Onbewust onveilig Ir. Eric Luiijf TNO / CPNI.NL
Wie zijn wij? TNO & informatiebeveiliging bescherming vitale infrastructuur, defensie, overheid & private organisaties nationale risicobeoordeling Int l cyber security strategieën trends & initiële aanpak CPNI.NL (voormalig NICC) vitale infrastructuur Process Control System Security per 01.01 naar NCSC zie website cpni.nl voor PCS good practices
3 Septe mber 2010 Safecomp 2010
4 PCS kwetsbaarheden - organisatorisch 3 ber Management (nog) niet geïnteresseerd in beveiliging PCS 2009 gebrek aan kennis en bewustwording onderkenning technologieontwikkeling faalt geen investering in opleidingen economie wint het van informatiebeveiliging Investeringen in procesoptimalisatie; niet in beveiliging lange afschrijvingsperiode; KA max. 3 jaar Geen integrale risicoanalyse standaarden helpen (nog) niet (bijv. ISO/IEC-27001:2005) onbeperkt vertrouwen in medewerkers derde partijen Menselijke factor onderschat geïnfecteerde laptoppen en USB sticks gemak dient de mens: modems en internettunnels decem
Organisatorisch 5 Investeringstrajecten door bijv. facilitair manager, hoofd gemeentewerken, procesmanager. bestelt functie, geen beveiligde functie Procesautomatisering (PA) medewerkers geen cyber security bewustzijn / opleiding ICTers zien alleen motoren, kleppen,. vette vieze handen zijn we toch niet van?
Organisatorisch PA en KA: geheel gescheiden werelden echter technisch verbonden Verantwoordelijkheid? Wie opereert hier? ICT beveiliging PA (engineering)
Cultuurverschillen KA/ICT en PA 7 ICT C-I-A herstart tijdens lunch patchdinsdag 1 wachtwoord/gebruiker regelmatig verversen geen default accounts controlled remote access PCS A-I-C 24/7 geen garantie leverancier 1 wachtwoord/allen nooit niet te wijzigen / mag niet modem voor leverancier Hoe overbruggen we de cultuurverschillen?
8 Uitgangspunten veel PCS omgevingen PCS is volledig gebaseerd op proprietary code en standaarden Alleen leverancier weet hoe het systeem werkt PCS is volledig geïsoleerd van andere netwerken PCS draait in een vriendelijke, betrouwbare omgeving Aanvallers niet geïnteresseerd in PCS en in motoren, kleppen, instellingen HELAAS...
9 is de PCS-wereld veranderd Van automatisering naar (remote) ICT en webinterfaces, Septe mber 2010 Van gesloten naar open internationale standaarden hardware, programmatuur, protocollen (PC, Windows/Linux, TCP/IP) informatie vrijelijk op Internet Boven op commercial-off-the-shelf h/w & S/w met vele bekende kwetsbaarheden Koppelingen met KA & netwerken in publieke domein Koppeling met internet moet toch kunnen?
10 De verkeerde uitgangspunten geven kwetsbaarheden PCS beveiliging loopt minimaal 5-10 jaar achter bij KA Protocollen en -implementaties zwak; geen beveiligingsmechanismen uit te buiten fouten slechts één poort (Modbus port 502; IEC 60870-5-104 port 2404 en ICCP protocol port 102) zwakke implementaties een byte-je meer crash [bijv. Nessus test]
Geweldspectrum 11 Wie? staten terroristen irreguliere strijders (h)activisten bedrijven criminelen e-spionage Cyber criminaliteit Cyber activisme Hackerazzi Cyberoorlog e-spionage cybotage Cyber terreur vandalen hackers lol geld beperkt terreur& (staats)macht Doel? hobby controle doel revolutie
Actordreigingen voor PCS Ongerichte malware-schrijvers Hobbyisten Metasploit, toolkits Criminelen afpersen door ontregelen ontregelen ten gunste van concurrent Hactivisten, statelijke & niet-statelijke actoren verstoren van het fysieke proces
Shodan Google voor hackers 13 PCS gekoppeld aan het Internet
14 PCS security incidenten (publiek) Verstoring drinkwater- en rioleringssysteem Brisbane Elektriciteitsnetwerken EU, VS en Brazilië Worm beïnvloedt nucleaire centrale, treinen VS &AUS, lopende banden GM Airco computercentrum bank; HVAC ziekenhuis Manipulatie drinkwatersysteem via telewerk-laptop Manipulatie verkeerslichten L.A. (3 dagen chaos) Trams botsen - hackertje speelt met wissels
Nederland en België 15 Als hele volksstammen hun financiën via internet regelen, dan moet je op die manier een waterzuivering kunnen aansturen. In polders en waterwegen staan meetstations met ingebouwde webservers, ftp-servers en GSM-modems die via GPRS en internet draadloos meetgegevens versturen { } 1400 waterpeilregelende kunstwerken worden met internet- telemetrie en afstandbediening bewaakt en bedient. Dat gaat niet zonder problemen want de betrouwbaarheid en veiligheid van GPRS-netwerken zijn nog steeds niet groot. Rioleringen e.a. systemen aantal gemeenten in NL Zwembadpompen HVAC systemen in NL en BE
Waarom? 16 Gehele keten acteert onbewust onveilig eigenaar verwerft een functie - geen beveiliging airco, brug, afvalwaterzuivering, lopende band. installatiebureau - alleen de fysieke beveiliging systeemintegrator - regelt en test de functie usr=profi bus pwd=bus of geen pwd PCS leverancier - beveiliging ½ pagina (na pag.66) default: geen beveiliging onderhoud op afstand (internationaal) usr = opdrachtgever pwd = BE_geheim simpele wachtwoorden; eigenaar mag geen eisen stellen
17 Gehele keten acteert Onbewust Onveilig NIEMAND eist een veilig systeem NIEMAND voelt beveiligingsverantwoordelijkheid EIGENAAR krijgt DUS functie zonder beveiliging De hacker krijgt DUS een leuk speeltje vooral als er ook nog een te hacken webcam is
Dos en Don ts 18 Managementbewustzijn moet omhoog http://www.cpni.nl/index.php/download_file/view/15/149/ garandeer veiligheid in de keten PA en IT: leer elkaar kennen Er zijn good practices voor u beschikbaar http://www.cpni.nl/files/3813/0388/2940/scada_security_good_practices_f or_the_drinking_water_sector.pdf http://www.cpni.nl/index.php/download_file/view/43/149/ www.cpni.gov.uk SCADA en www.cpni.nl PCS Process Control Domain Security Requirements For Vendors www.wib.nl Gebruik individuele passwords, wissel passwords regelmatig en patch tijdig
Dos en Don ts (2) 19 MP3/IPhone opladen - ook USB! Netwerken onder controle brengen van derden regelmatige controle netwerkscheidingen koppelen met de boze buitenwereld? Bezint eer ge begint! Onderhoud op afstand stel harde eisen en controleer, controleer,
20 Vragen? eric.luiijf@tno.nl