Onbewust onveilig
Ir. Eric Luiijf TNO / CPNI.NL
Wie zijn wij? TNO & informatiebeveiliging bescherming vitale infrastructuur, defensie, overheid & private organisaties nationale risicobeoordeling Int’l cyber security strategieën trends & initiële aanpak
CPNI.NL (voormalig NICC) vitale infrastructuur Process Control System Security per 01.01 naar NCSC zie website cpni.nl voor PCS good practices
3 Septe mber 2010
Safecomp 2010
4
PCS kwetsbaarheden - organisatorisch 3 decem ber Management (nog) niet geïnteresseerd in beveiliging PCS 2009 gebrek aan kennis en bewustwording onderkenning technologieontwikkeling faalt geen investering in opleidingen economie wint het van informatiebeveiliging
Investeringen in procesoptimalisatie; niet in beveiliging lange afschrijvingsperiode; KA max. 3 jaar
Geen integrale risicoanalyse standaarden helpen (nog) niet (bijv. ISO/IEC-27001:2005) onbeperkt vertrouwen in medewerkers derde partijen
Menselijke factor onderschat geïnfecteerde laptoppen en USB sticks gemak dient de mens: modems en internettunnels
Organisatorisch
5
Investeringstrajecten door bijv. facilitair manager, hoofd gemeentewerken, procesmanager …. bestelt functie, geen beveiligde functie
Procesautomatisering (PA) medewerkers geen cyber security bewustzijn / opleiding
ICTers
zien alleen motoren, kleppen, …. vette vieze handen … zijn we toch niet van?
Organisatorisch PA en KA: geheel gescheiden werelden echter technisch verbonden Verantwoordelijkheid? Wie opereert hier?
ICT beveiliging
PA (engineering)
Cultuurverschillen KA/ICT en PA
ICT
7
PCS
C-I-A
A-I-C
herstart tijdens lunch
24/7
patchdinsdag
geen garantie leverancier
1 wachtwoord/gebruiker
1 wachtwoord/allen
regelmatig verversen
nooit
geen default accounts
niet te wijzigen / mag niet
controlled remote access
modem voor leverancier
Hoe overbruggen we de cultuurverschillen?
8
Uitgangspunten veel PCS omgevingen PCS is volledig gebaseerd op proprietary code en standaarden Alleen leverancier weet hoe het systeem werkt PCS is volledig geïsoleerd van andere netwerken PCS draait in een vriendelijke, betrouwbare omgeving Aanvallers niet geïnteresseerd in PCS en in motoren, kleppen, instellingen …
HELAAS ....
… is de PCS-wereld veranderd 9
Septe mber
Van ‘automatisering’ naar (remote) ICT en webinterfaces, … Van gesloten naar open internationale standaarden hardware, programmatuur, protocollen (PC, Windows/Linux, TCP/IP) informatie vrijelijk op Internet Boven op commercial-off-the-shelf h/w & S/w met vele bekende kwetsbaarheden Koppelingen met KA & netwerken in publieke domein
Koppeling met internet “moet toch kunnen?”
2010
De verkeerde uitgangspunten geven kwetsbaarheden
10
PCS beveiliging loopt minimaal 5-10 jaar achter bij KA Protocollen en -implementaties zwak; geen beveiligingsmechanismen uit te buiten fouten slechts één poort (Modbus port 502; IEC 60870-5-104 port 2404 en ICCP protocol port 102)
zwakke implementaties een byte-je meer crash [bijv. Nessus test]
“Geweldspectrum”
Wie?
Cyberoorlog e-spionage cybotage
staten terroristen
Cyber terreur
irreguliere strijders (h)activisten
11
Cyber activisme
bedrijven
e-spionage Cyber criminelen criminaliteit
Hackerazzi
vandalen hackers lol geld hobby controle
beperkt doel
terreur& (staats)macht revolutie
Doel?
Actordreigingen voor PCS
Ongerichte malware-schrijvers Hobbyisten Metasploit, … toolkits Criminelen afpersen door ontregelen ontregelen ten gunste van concurrent Hactivisten, statelijke & niet-statelijke actoren verstoren van het fysieke proces
Shodan – Google voor “hackers” … 13
PCS gekoppeld aan het Internet
14
PCS security incidenten (publiek) Verstoring drinkwater- en rioleringssysteem Brisbane
Elektriciteitsnetwerken EU, VS en Brazilië Worm beïnvloedt nucleaire centrale, treinen VS &AUS, lopende banden GM Airco computercentrum bank; HVAC ziekenhuis Manipulatie drinkwatersysteem via telewerk-laptop
Manipulatie verkeerslichten L.A. (3 dagen chaos) Trams botsen - hackertje speelt met wissels
Nederland en België …
15
“Als hele volksstammen hun financiën via internet regelen, dan moet je op die manier een waterzuivering kunnen aansturen.”
“In polders en waterwegen staan meetstations met ingebouwde webservers, ftp-servers en GSM-modems die via GPRS en internet draadloos meetgegevens versturen {…} 1400 waterpeilregelende kunstwerken worden met internet- telemetrie en afstandbediening bewaakt en bedient. Dat gaat niet zonder problemen want de betrouwbaarheid en veiligheid van GPRS-netwerken zijn nog steeds niet groot.” Rioleringen e.a. systemen aantal gemeenten in NL Zwembadpompen
HVAC systemen in NL en BE
Waarom ?
16
Gehele keten acteert onbewust onveilig “eigenaar” verwerft een functie - geen beveiliging airco, brug, afvalwaterzuivering, lopende band ….
installatiebureau - alleen de fysieke beveiliging … systeemintegrator - regelt en test de functie … usr=profi bus pwd=bus of geen pwd PCS leverancier - beveiliging ½ pagina (na pag.66) default: geen beveiliging… onderhoud op afstand (internationaal) usr = opdrachtgever pwd = BE_geheim simpele wachtwoorden; eigenaar mag geen eisen stellen
17
Gehele keten acteert Onbewust Onveilig NIEMAND eist een veilig systeem NIEMAND voelt beveiligingsverantwoordelijkheid EIGENAAR krijgt DUS functie zonder beveiliging
De hacker krijgt DUS een leuk speeltje vooral als er ook nog een te hacken webcam is …
Dos en Don’ts 18
Managementbewustzijn moet omhoog http://www.cpni.nl/index.php/download_file/view/15/149/ garandeer veiligheid in de keten
PA en IT: leer elkaar kennen
Er zijn good practices voor u beschikbaar http://www.cpni.nl/files/3813/0388/2940/Scada_security_good_practices_f or_the_drinking_water_sector.pdf http://www.cpni.nl/index.php/download_file/view/43/149/ www.cpni.gov.uk SCADA en www.cpni.nl PCS Process Control Domain Security Requirements For Vendors www.wib.nl
Gebruik individuele passwords, wissel passwords regelmatig en patch tijdig
Dos en Don’ts (2)
19
MP3/IPhone opladen - ook USB! Netwerken onder controle brengen van derden regelmatige controle netwerkscheidingen koppelen met de boze buitenwereld ? Bezint eer ge begint !
Onderhoud op afstand stel harde eisen en controleer, controleer, …
20
Vragen?
[email protected]
