Cyber Security: Sluit de achterdeuren! Hoe kwetsbaaris de BV Nederland? Jaap Schekkerman CGI GLOBAL MARKETING DIRECTOR CYBER SECURITY-CI DOCENT TOPTECH PROGRAMMA TU DELFT 2014, CGI Group Inc. SECURE-ICS Be in Control Securing Industrial Automation & Control Systems This document is part of CGI s SECURE-ICS family of Cyber Security methods, tools, materials, services, etc. to Secure Industrial Automation & Control Systems environments / Critical Infrastructures.
2 Cyber Security: Sluit de Achterdeuren!
Vitale Infrastructuren onder Vuur: Sluit de Achterdeuren! Voeding Industrie Chemische Industrie INSTRUMENTED Olie & Gas Industrie 3 Telecom Netwerken CGI Group Inc., 2014. All rights reserved Manufacturing Industrie Energie Centrales INTERCONNECTED Water Voorziening Banken / Verzekeraars Gezondheidszorg / Ziekenhuizen Energie Netwerken INTELLIGENT Transport / Luchtvaart Overheid / Defensie
Vitale Infrastructuren onder Vuur!? Energie Sector 4 CGI Group Inc., 2014. All rights reserved
Vitale Infrastructuren onder Vuur!? - Olie & Gas Sector 5 CGI Group Inc., 2014. All rights reserved
Waar gaat Cyber Security in Vitale Infrastructuren over? Verlies van Gegevens Verlies van Intellectual Property Verlies van Overzicht Verlies van Controle Verlies op de Uitvoering Verlies van Productie Verlies van Levens Schade aan de Vitale Infrastructuur Schade aan de Omgeving 6 CGI Group Inc., 2014. All rights reserved
Cyber Security hand in hand met Safety in Vitale Infrastructuren Cyber Security Dreigingen gaan veel verder dan: Virus Verspreiding Computer of Gegevens Schade Gegevens Diefstal Ze bereiken een vaardigheid tot het: Verhogen van de druk in pijpleidingen Veranderen van de settings van field parameters Sluiten / Openen van motor gestuurde kleppen / schuiven Het veroorzaken van een Denial of Service (DoS) aanval binnen proces control netwerken Verhogen / Verlagen van motor snelheden Opzetten van valse HMI uitlezingen.etc. 7 CGI Group Inc., 2014. All rights reserved
Vitale Infrastructuren onder Vuur!? - De Aanvallers Peildatum December 2013 en 9 januari 2014 - Bron: http://www.sicherheitstacho.eu/?lang=en 8 CGI Group Inc., 2014. All rights reserved
Vitale Infrastructuren onder Vuur!? - De Slachtoffers 9 CGI Group Inc., 2014. All rights reserved
Vitale Infrastructuren onder Vuur!? - De Incidenten USA - ICS Incidenten gerapporteerd door ICS-CERT 1st Helft 2013 Source: USA ICS Cyber Emergency Response Team June 2013 10 CGI Group Inc., 2014. All rights reserved
Vitale Infrastructuren onder Vuur!? - De Financiële Impact 11 CGI Group Inc., 2014. All rights reserved
12 Hoe Kwetsbaar is de BV Nederland?
Hoe kwetsbaar is de BV Nederland!? Bron: www.aivd.nl 13 CGI Group Inc., 2014. All rights reserved
Hoe kwetsbaar is de BV Nederland!? Belangrijke Dreigingen: Vitale Infrastructuren verbonden met het Internet? http://www.scadacs.org Interactieve "Industriële Risk Assessment Map" (IRAM) visualiseert bij benadering de geografische locaties van ICS/SCADA en Building Management Systemen (BMS) die verbonden zijn met het Internet. Project Shine 14 CGI Group Inc., 2014. All rights reserved Bron: http://www.scadacs.org
Waar komen de Dreigingen vandaan? Verstoring Samenleving (Energie, Water, Telecom, etc.) & Economie Bron: CyberSecurityBeeld Nederland 2012-2013 (CSBN-3); Nationaal Cyber Security Centrum 15 CGI Group Inc., 2014. All rights reserved
Hier zijn de vijf belangrijkste factoren die het Cyber Security landschap de komende tijd in de wereld zal veranderen: 1. Uitschakelen van de nationale vitale infrastructuur: we weten dat cyberaanvallen overheidsnetwerken kunnen verstoren, maar de meest recente gevallen komen nog niet tot het niveau van een bedreiging van de nationale veiligheid. Stuxnet en Irans vermeende vergelding tegen Saudi Aramco heeft het denken over cyber oorlogen dichter bij de werkelijkheid gebracht. 2. Cyber wapens Verdrag: Indien wereldleiders, cyberaanvallen meer zien als hun verantwoordelijkheid dan iets wat hun overkomt, dan kunnen ze toetreden tot een cyber wapens verdrag of kunnen ze een non-agressiepact voor cyberspace ondertekenen. 3. PRISM, vrijheid van meningsuiting en privacy: wij zijn nog steeds aan het begin van het internettijdperk, en de gesprekken hierover zijn nog maar net begonnen. Het omvat de vraagstukken naar buiten gebracht door Daniel Ellsberg, Chelsea Manning, en Edward Snowden, alsmede de verklaring van onafhankelijkheid, Enigma en The Onion Router (TOR). 4. Nieuwe actoren op het cyber toneel: de revolutionaire aard van computers en de versterkende kracht en macht van netwerken zijn niet exclusief voor's werelds grootste Naties. Iran, Syrië, Noord-Korea, en zelfs niet-statelijke actoren zoals Anonymous hebben cyberaanvallen uitgevoerd als een manier om diplomatieke druk uit te oefenen en om oorlog te voeren t.b.v. andere doelen. 5. Sterkere nadruk op ontwijking: zoals we hebben gezien, weten sommige natiestaten om heimelijke cyberaanvallen te lanceren. Maar aangezien de discipline van cyber defensie rijpt, en het publieke bewust zijn m.b.t. het fenomeen van Wereldoorlog C groeit, zullen sommige "luidruchtig" cyber aanvallers zoals China kunnen worden gedwongen om hun spel te veranderen door te proberen om onder de radar te gaan vliegen. 16 CGI Group Inc., 2014. All rights reserved Bron: 2013 Report FireEye, Inc. http://www.fireeye.com/resources/pdfs/fireeye-wwc-report.pdf
Wat is de NL Verdediging Strategie? 17
Wat gaat de NL Overheid nu Doen? Bron: De Nationale Cybersecurity Strategie (NCSS) 2; Ministerie van Veiligheid & Jusititie 18 CGI Group Inc., 2014. All rights reserved
Actieprogramma 2014 2016: Vooral Wat en Weinig Hoe! CONCREET 19 CGI Group Inc., 2014. All rights reserved Bron: De Nationale Cybersecurity Strategie (NCSS) 2; Ministerie van Veiligheid & Jusititie, 2013
Defensie Cyber Strategie - Internationale Samenwerking 20 CGI Group Inc., 2014. All rights reserved Bron: http://www.defensie.nl/taken/cyber/speerpunten_defensie_cyber_strategie/
Internationale Samenwerking in Cyber Defence NATO Operating Domains 21 CGI Group Inc., 2014. All rights reserved
Task Force Cyber Defence Ministerie van Defensie 22 CGI Group Inc., 2014. All rights reserved Bron: http://www.defensie.nl/taken/cyber/
Nationale Cybersecurity Strategie 2 en de rol van Defensie Aanpak vitaal 23 CGI Group Inc., 2014. All rights reserved Bron: Presentatie Cyber Security Raad, Ministerie van Defensie, oktober 2013
Conclusie: Cyber Security in VI vraagt naast Internationale Samenwerking tussen Overheid, Bedrijfsleven en Defensie, Concrete Actie Plannen met te stellen Eisen aan Partijen! CGI is involved in the development of the USA NIST Cyber Security Framework for CI as well as the Public Safety Canada Action Plan and is Securing several Critical Infrastructure & Defense environments. Pentagon 24 CGI Group Inc., 2014. All rights reserved
Questions Jaap Schekkerman Global Marketing Director Cyber Security Thought Leader BTS, EA, Security-ICS/CI Mobile +31 6 13 18 63 70 jaap.schekkerman@cgi.com George Hintzenweg 89 3068 AX Rotterdam The Netherlands Tel. +31 88 564 0000 cgi.com/cyber 25 CGI Group Inc., 2014. All rights reserved
More Information Jaap Schekkerman Global Marketing Director Cyber Security Thought Leader BTS, EA & Security ICS/CI CGI Group Inc. George Hintzenweg 89 I 3068AX I Rotterdam I The Netherlands P: +31 (0) 88 564 0000 M: +31 (0) 613 186 370 Jaap.Schekkerman@cgi.com www.cgi.com/cyber Founded in 1976, CGI is a global IT and business process services provider delivering business consulting, systems integration, cyber security and outsourcing services. With 68,000 professionals operating in 400 offices in 40 countries, CGI fosters local accountability for client success while bringing global delivery capabilities to clients front doors. CGI applies a disciplined and creative approach to achieve an industry-leading track record of on-time, on-budget projects and to help clients leverage current investments while adopting new technology and business strategies.
SECURE-ICS Be in Control Securing Industrial Automation & Control Systems These documents are part of CGI s SECURE-ICS family of Cyber Security methods, tools, materials, services, etc. to Secure Industrial Automation & Control Systems environments / Critical Infrastructures.