Beveiliging van SCADA systemen
NiVo
www.NiVo.nl
Waar gaan we het overhebben
1. Wat is SCADA? 2. Risico’s en impact binnen SCADA 3. Hoe beveiligen? 4. Aanpak
NiVo
www.NiVo.nl
1. WAT IS SCADA?
NiVo
www.NiVo.nl
NiVo
www.NiVo.nl
SCADA definities
• ICS = Industrial Control Systems • SCADA = Supervisory Control And Data Acquisition • DCS = Distributed Control Systems • PLC = Programmable Logic Controller
NiVo
www.NiVo.nl
SCADA
o o
o o o o
NiVo
Controle van geografisch verspreide onderdelen Centrale monitoring en controle van processen Drinkwater netwerken Rioolwater systemen Olie en gas pijpleidingen Spoorwegen
www.NiVo.nl
DCS
o
Controle van industriële processen binnen een locatie
o
Olieraffinaderijen Rioolwater reiniging Chemische, voedsel en auto-industrie
o o
NiVo
www.NiVo.nl
PLC
o
Gebruikt voor aansturen van de processen en machines
o
Sturen processen aan op basis van de meetgegevens die ontvangen worden van sensoren Worden specifiek geprogrammeerd voor het proces waar ze onderdeel van zijn
o
NiVo
www.NiVo.nl
SCADA systemen
NiVo
www.NiVo.nl
Waterdruk regeling
PLC
NiVo
www.NiVo.nl
Visualisatie van productie proces SCADA / DCS
NiVo
www.NiVo.nl
Human Machine Interface (HMI)
Hier denken we aan PLC Based Automation Factory Station
NiVo
www.NiVo.nl
Hier denken we aan
NiVo
www.NiVo.nl
Maar dit valt er ook onder
NiVo
www.NiVo.nl
Maar dit valt er ook onder
NiVo
www.NiVo.nl
2. RISICO’S EN IMPACT BINNEN SCADA NiVo
www.NiVo.nl
Kenmerken SCADA systemen
• SCADA systemen (Oud) o o o
Draaien op proprietary hardware en software Worden geïsoleerd van overige IT systemen geïnstalleerd Systemen in verschillende locaties draaien onafhankelijk
• SCADA systemen (Nieuw) o o o
o
NiVo
Gebruiken open standaarden (Protocollen) Vaak windows-based (OS) Worden steeds meer geïntegreerd met IT systemen en office netwerken Verhoogd cybersecurity risico
www.NiVo.nl
Risico’s SCADA systemen
• SCADA systemen o o o o
Hebben lange levensduur (20+ jaar is geen uitzondering) Strikte onderhouds-windows Draaien vaak op verouderde OS Worden steeds vaker via netwerk ontsloten voor remote beheer
• Het exploiteren van vulnerabilities wordt steeds eenvoudiger o
o
NiVo
Shodan (the world's first search engine for Internet-connected devices) Nessus / Metasploit
www.NiVo.nl
Waarom extra beveiligingsmaatregelen • Een incident binnen een SCADA omgeving kan grote gevolgen hebben o o o o
Stroomuitval binnen stedelijke gebieden Ontploffing van gasleidingen Grote financiële schade voor bedrijf Gevaren voor volksgezondheid o o o o
NiVo
door lozing riool water Foutieve temperatuur registratie binnen productieproces Verkeerde samenstelling producten Etc
www.NiVo.nl
NiVo
www.NiVo.nl
1999, Bellingham (US) benzinepijpleiding • SCADA was niet in staat overdruk te voorkomen • 3 doden, 8 gewonden, grote schade voor omgeving
NiVo
www.NiVo.nl
StuxNet
NiVo
www.NiVo.nl
Waarom extra beveiligingsmaatregelen • Steeds makkelijker om Internet facing systemen te vinden o
NiVo
Voorbeeld: 7200 Internet facing control systemen gevonden in de US in december 2012 (ICS-CERT)
www.NiVo.nl
NiVo
www.NiVo.nl
3. HOE BEVEILIGEN?
NiVo
www.NiVo.nl
Maatregelen
• Segregatie van office en SCADA netwerk • DeMilitarized Zones (DMZ) • Intrusion Prevention Systems (IPS) • Remote Support Access • Redundancy in oplossing • Logging en monitoring NiVo
www.NiVo.nl
Fysieke Scheiding
NiVo
www.NiVo.nl
Fysieke Scheding
• Pro o o
Geen fysieke connecties tussen SCADA en regulier netwerk SCADA omgeving maakt gebruik van eigen hardware
• Con o o o
NiVo
Dure optie door opzetten van twee gescheiden netwerken Gelimiteerd remote management mogelijk Gelimiteerd remote monitoring mogelijk
www.NiVo.nl
Logische Scheiding
NiVo
www.NiVo.nl
Logische Scheiding
• Pro o o
Geen logische connectie tussen SCADA en regulier netwerk Voordeliger optie door mixed gebruik van componenten
• Con o
o o
NiVo
SCADA en regulier netwerk maken gebruik van zelfde hardware Gelimiteerd remote monitoring mogelijk Gelimiteerd remote management mogelijk
www.NiVo.nl
Firewall / ACL
NiVo
www.NiVo.nl
Firewall / ACL
• Pro o o o
Remote monitoring mogelijk Remote management mogelijk SCADA en regulier netwerk maken gebruik van zelfde hardware waar mogelijk en gescheiden hardware waar nodig
• Con o
NiVo
Logische en fysieke connectie tussen SCADA en regulier netwerk
www.NiVo.nl
Standaarden
• ISA-88 o
bestaat uit modellen en termen die het productieproces logisch indelen en de besturing van het machinepark regelen
• ISA-95 o
Internationale standaard voor de integratie van kantoor- en productieautomatiseringssystemen
• ISA/IEC-62443 (voorheen ISA-99) o
NiVo
Internationale standaard voor de beveiliging van productieautomatiserings- en controle systemen
www.NiVo.nl
Classificeren – ISA-95 levels
• ISA-88 • ISA-95 • ISA/IEC-62443 (formerly ISA-99)
NiVo
www.NiVo.nl
Classificeren – ISA-95 levels
NiVo
www.NiVo.nl
4. HOE PAK JE HET AAN?
NiVo
www.NiVo.nl
Goede Business Case
NiVo
www.NiVo.nl
Contact met de Site
NiVo
www.NiVo.nl
NiVo
www.NiVo.nl
Zorg dat alles getest wordt Zo wel voor als na migratie
NiVo
www.NiVo.nl
NiVo
www.NiVo.nl
