Beveiliging van SCADA systemen NiV www.niv.nl
Waar gaan we het verhebben 1. Wat is SCADA? 2. Risic s en impact binnen SCADA 3. He beveiligen? 4. Aanpak NiV www.niv.nl
1. WAT IS SCADA? NiV www.niv.nl
NiV www.niv.nl
SCADA definities ICS = Industrial Cntrl Systems SCADA = Supervisry Cntrl And Data Acquisitin DCS = Distributed Cntrl Systems PLC = Prgrammable Lgic Cntrller NiV www.niv.nl
SCADA Cntrle van gegrafisch verspreide nderdelen Centrale mnitring en cntrle van prcessen Drinkwater netwerken Rilwater systemen Olie en gas pijpleidingen Sprwegen NiV www.niv.nl
DCS Cntrle van industriële prcessen binnen een lcatie Olieraffinaderijen Rilwater reiniging Chemische, vedsel en aut-industrie NiV www.niv.nl
PLC Gebruikt vr aansturen van de prcessen en machines Sturen prcessen aan p basis van de meetgegevens die ntvangen wrden van sensren Wrden specifiek geprgrammeerd vr het prces waar ze nderdeel van zijn NiV www.niv.nl
SCADA systemen NiV www.niv.nl
Waterdruk regeling PLC NiV www.niv.nl
Visualisatie van prductie prces SCADA / DCS Human Machine Interface (HMI) NiV www.niv.nl
Hier denken we aan PLC Based Autmatin Factry Statin NiV www.niv.nl
Hier denken we aan NiV www.niv.nl
Maar dit valt er k nder NiV www.niv.nl
Maar dit valt er k nder NiV www.niv.nl
2. RISICO S EN IMPACT BINNEN SCADA NiV www.niv.nl
Kenmerken SCADA systemen SCADA systemen (Oud) Draaien p prprietary hardware en sftware Wrden geïsleerd van verige IT systemen geïnstalleerd Systemen in verschillende lcaties draaien nafhankelijk SCADA systemen (Nieuw) Gebruiken pen standaarden (Prtcllen) Vaak windws-based (OS) Wrden steeds meer geïntegreerd met IT systemen en ffice netwerken Verhgd cybersecurity risic NiV www.niv.nl
Risic s SCADA systemen SCADA systemen Hebben lange levensduur (20+ jaar is geen uitzndering) Strikte nderhuds-windws Draaien vaak p veruderde OS Wrden steeds vaker via netwerk ntslten vr remte beheer Het expliteren van vulnerabilities wrdt steeds eenvudiger Shdan (the wrld's first search engine fr Internet-cnnected devices) Nessus / Metasplit NiV www.niv.nl
Waarm extra beveiligingsmaatregelen Een incident binnen een SCADA mgeving kan grte gevlgen hebben Strmuitval binnen stedelijke gebieden Ontplffing van gasleidingen Grte financiële schade vr bedrijf Gevaren vr vlksgezndheid dr lzing ril water Futieve temperatuur registratie binnen prductieprces Verkeerde samenstelling prducten Etc NiV www.niv.nl
NiV www.niv.nl
1999, Bellingham (US) benzinepijpleiding SCADA was niet in staat verdruk te vrkmen 3 dden, 8 gewnden, grte schade vr mgeving NiV www.niv.nl
StuxNet NiV www.niv.nl
Waarm extra beveiligingsmaatregelen Steeds makkelijker m Internet facing systemen te vinden Vrbeeld: 7200 Internet facing cntrl systemen gevnden in de US in december 2012 (ICS-CERT) NiV www.niv.nl
NiV www.niv.nl
3. HOE BEVEILIGEN? NiV www.niv.nl
Maatregelen Segregatie van ffice en SCADA netwerk DeMilitarized Znes (DMZ) Intrusin Preventin Systems (IPS) Remte Supprt Access Redundancy in plssing Lgging en mnitring NiV www.niv.nl
Fysieke Scheiding NiV www.niv.nl
Fysieke Scheding Pr Geen fysieke cnnecties tussen SCADA en regulier netwerk SCADA mgeving maakt gebruik van eigen hardware Cn Dure ptie dr pzetten van twee gescheiden netwerken Gelimiteerd remte management mgelijk Gelimiteerd remte mnitring mgelijk NiV www.niv.nl
Lgische Scheiding NiV www.niv.nl
Lgische Scheiding Pr Geen lgische cnnectie tussen SCADA en regulier netwerk Vrdeliger ptie dr mixed gebruik van cmpnenten Cn SCADA en regulier netwerk maken gebruik van zelfde hardware Gelimiteerd remte mnitring mgelijk Gelimiteerd remte management mgelijk NiV www.niv.nl
Firewall / ACL NiV www.niv.nl
Firewall / ACL Pr Remte mnitring mgelijk Remte management mgelijk SCADA en regulier netwerk maken gebruik van zelfde hardware waar mgelijk en gescheiden hardware waar ndig Cn Lgische en fysieke cnnectie tussen SCADA en regulier netwerk NiV www.niv.nl
Standaarden ISA-88 bestaat uit mdellen en termen die het prductieprces lgisch indelen en de besturing van het machinepark regelen ISA-95 Internatinale standaard vr de integratie van kantr- en prductieautmatiseringssystemen ISA/IEC-62443 (vrheen ISA-99) Internatinale standaard vr de beveiliging van prductieautmatiserings- en cntrle systemen NiV www.niv.nl
Classificeren ISA-95 levels ISA-88 ISA-95 ISA/IEC-62443 (frmerly ISA-99) NiV www.niv.nl
Classificeren ISA-95 levels NiV www.niv.nl
4. HOE PAK JE HET AAN? NiV www.niv.nl
Gede Business Case NiV www.niv.nl
Cntact met de Site NiV www.niv.nl
NiV www.niv.nl
Zrg dat alles getest wrdt Z wel vr als na migratie NiV www.niv.nl
NiV www.niv.nl