IT Security in de industrie

Transcriptie

1 IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Experience you can trust.

2 Onderwerpen Waarom is (cyber) security een hot issue? Kwetsbaarheden van Procescontrole en SCADA systemen Bedreigingen (Beveiligings Schillen) Voorbeelden van beveiligingsincidenten Wat betekent dit voor de IT industrie? Aanbevelingen 2

3 Procescontrol systemen (vroeger/nu) Vroeger was security geen issue vanwege: Proprietary (besturings-) systemen en protocollen Beperkt aantal externe verbindingen Geïsoleerd systeem (stand-alone) Dus werd er niet veel aandacht besteed aan: Encryptie Authenticatie Tegenwoordig is het aantal externe verbindingen toegenomen: Corporate LAN Koppeling met andere (energie)bedrijven Meer standaardisatie van de verschillende onderdelen: Gebruik van TCP/IP Windows Standaard IP based (IEC) protocollen 3

4 Kwetsbaarheden van Procescontrole & SCADA systemen (1) Origineel waren het geïsoleerde systemen => nu niet meer Protocollen niet voorzien van beveiligingsmechanisme Zwakke SCADA protocol implementaties Geen/beperkt gebruik van beveiliging technieken uit normale ICT Ontwerp beperkingen sluiten bestaande beveiligingstechnieken uit Geen of laat aanbrengen van patches Kwetsbaar onderliggend besturingssysteem met meer functies (vb. Windows) 4

5 Kwetsbaarheden van Procescontrole & SCADA systemen (2) Eén poort Beveiligingscultuur is anders Informatie procescontrole systemen en protocollen publiekelijk toegankelijk Eigendom/beheer netwerken niet altijd meer bij procescontrole/scada eigenaar Onveilige verbindingen (inbelmodems) Gebruik simpele of standaard wachtwoorden Firewalls zijn niet altijd effectief geconfigureerd 5

6 Bedreigingen (Beveiligings Schillen) Fysieke Beveiliging Sloten Hekken Organisatorische beveiliging Procedures, policies Technische beveiliging Firewalls Virusscanners Intrusion Detection Systemen (IDS) 6

7 Hoe kan een aanvaller binnen komen? Leverancier belt in PLC PLC RTU Management Console ` Contact PLC/RTU direct FEP Bridge tussen omgevingen SCADA NETWORK Data Historian IT gecontroleerde communicatie BUSINESS / CORPORATE NETWORK Modem Pool VPN via Internet/ Corporate Internet Bestaande connectie door een firewall Web Server Database Server Domain Name Server (DNS) 7

8 Beveiligingsincidenten (1) GazProm (Rusland) in uur volledige controle overgenomen door groep hackers (wel hulp van insider) => doel afpersing Draadloze inbraak (2000) : Riolering Queensland (Aus) SCADA systeem gehacked door ex-werknemer => 1 miljoen liter afval water geloosd in milieu N.N. fabriek in procesindustrie (VS) (2002); kantoornetwerk kreeg virus; slechte isolatie met Windows gebaseerd SCADA systeem dus ook die systemen werden geïnfecteerd => productieverlies van 3 dagen 8

9 Beveiligingsincidenten (2) N.N. regionaal E-bedrijf (Ned) (2003); Alle systemen in één ruimte opgesteld. Deur niet afgesloten omdat daar ook het bezemhok was van de schoonmakers 2003 SQL Slammer Worm: Energie station, Ohio (VS)=> E-Station 6 uur onbereikbaar, telemetrie 8 uur buiten gebruik Department of Energy (USA, 2004); 80 uitgevoerde penetratie testen bij E-bedrijven blijken op één na allemaal succesvol geweest. Die éne werd al gehacked door Chinezen vandaar dat gestopt werd 9

10 Beveiligingsincidenten (3) Een TSO (Europa, 2004); Hacker actief, tien dagen geduurd voor tracering hoe => had setpoints kunnen wijzigen/ commando s kunnen geven N.N. chemische plant (2004); hacker toegang tot masterconsole controlekamer => implementatie nieuwe beveiligingsstandaarden voor alle plants Automobielindustrie (België, VS, Australië (2005)); worm legt 23 fabrieken van Daimler-Chrysler in VS plat + Opel fabriek in België geïnfecteerd en General motors fabriek in Australië enkele uren buiten bedrijf => productieverlies 6 miljoen $ 10

11 Wat betekent dit voor de (IT) industrie? Kennis nemen van informatie security proces: Risico analyse Opstellen security beleid en procedures Implementatie procedures Training van personeel Monitoren van security (audits en penetratie testen) Bijstellen beleid en procedures indien van toepassing 11

12 Aanbevelingen In kaart brengen van Procescontrole & SCADA kwetsbaarheden, bedreigingen en organiseer een risico analyse voor de kritische processen Creëer bewustzijn, niet alleen op operationeel maar ook op management niveau Houdt kennis m.b.t. Procescontrole & SCADA security actueel Ontwerp in security vanaf de start, NIET achteraf Regelmatig monitoren van gebruikte ICT systemen/infrastructuur (middels penetratietesten) Overweeg certificatie conform ISO 27001:2005 norm (certificeren van informatiebeveiliging in organisaties) 12

13 Vragen? Op onze stand kunt u terecht voor nadere informatie betreffende onze (cyber) security dienstverlening en deze presentatie ( ) Experience you can trust.