IT Security in de industrie Praktische ervaringen met ‘cyber security’ in de Energiesector en Procesindustrie Henk Spelt
[email protected]
Experience you can trust.
Onderwerpen • Waarom is (cyber) security een hot • • • • •
issue? Kwetsbaarheden van Procescontrole en SCADA systemen Bedreigingen (Beveiligings Schillen) Voorbeelden van beveiligingsincidenten Wat betekent dit voor de IT industrie? Aanbevelingen 2
Procescontrol systemen (vroeger/nu) Vroeger was security geen issue vanwege: • Proprietary (besturings-) systemen en protocollen
• Beperkt aantal externe
Tegenwoordig is het aantal externe verbindingen toegenomen:
• •
Corporate LAN Koppeling met andere (energie)bedrijven
verbindingen
• Geïsoleerd systeem (stand-alone)
Dus werd er niet veel aandacht besteed aan: • Encryptie • Authenticatie
Meer standaardisatie van de verschillende onderdelen:
• • •
Gebruik van TCP/IP Windows Standaard IP based (IEC) protocollen 3
Kwetsbaarheden van Procescontrole & SCADA systemen (1) • Origineel waren het geïsoleerde • • • • • •
systemen => nu niet meer Protocollen niet voorzien van beveiligingsmechanisme Zwakke SCADA protocol implementaties Geen/beperkt gebruik van beveiliging technieken uit normale ICT Ontwerp beperkingen sluiten bestaande beveiligingstechnieken uit Geen of laat aanbrengen van patches Kwetsbaar onderliggend besturingssysteem met meer functies (vb. Windows)
4
Kwetsbaarheden van Procescontrole & SCADA systemen (2) • Eén poort • Beveiligingscultuur is anders • Informatie procescontrole systemen en • • • •
protocollen publiekelijk toegankelijk Eigendom/beheer netwerken niet altijd meer bij procescontrole/SCADA eigenaar Onveilige verbindingen (inbelmodems) Gebruik simpele of standaard wachtwoorden Firewalls zijn niet altijd effectief geconfigureerd 5
Bedreigingen (Beveiligings Schillen) • Fysieke Beveiliging • Sloten • Hekken • Organisatorische beveiliging • Procedures, policies • Technische beveiliging • Firewalls • Virusscanners • Intrusion Detection Systemen (IDS)
6
Hoe kan een aanvaller binnen komen? Leverancier belt in Contact PLC/RTU direct Data Historian
PLC
IT gecontroleerde communicatie
PLC
Modem Pool
VPN via Internet/ Corporate
RTU FEP
Bridge tussen omgevingen Management Console
SCADA NETWORK `
Bestaande connectie door een firewall
Web Server
BUSINESS / CORPORATE NETWORK
Database Server
Internet
Domain Name Server (DNS)
7
Beveiligingsincidenten (1) – GazProm (Rusland) in 1998 24 uur volledige controle overgenomen door groep hackers (wel hulp van insider) => doel afpersing
– Draadloze inbraak (2000) : Riolering Queensland (Aus) SCADA systeem gehacked door ex-werknemer => 1 miljoen liter afval water geloosd in milieu
– N.N. fabriek in procesindustrie (VS) (2002); kantoornetwerk kreeg virus; slechte isolatie met Windows gebaseerd SCADA systeem dus ook die systemen werden geïnfecteerd => productieverlies van 3 dagen
8
Beveiligingsincidenten (2) – N.N. regionaal E-bedrijf (Ned) (2003); Alle systemen in één ruimte opgesteld. Deur niet afgesloten omdat daar ook het bezemhok was van de schoonmakers
– 2003 SQL Slammer Worm: Energie station, Ohio (VS)=> E-Station 6 uur onbereikbaar, telemetrie 8 uur buiten gebruik
– Department of Energy (USA, 2004); 80 uitgevoerde penetratie testen bij E-bedrijven blijken op één na allemaal succesvol geweest. Die éne werd al gehacked door Chinezen vandaar dat gestopt werd 9
Beveiligingsincidenten (3) – Een TSO (Europa, 2004); Hacker actief, tien dagen geduurd voor tracering hoe => had setpoints kunnen wijzigen/ commando’s kunnen geven
– N.N. chemische plant (2004); hacker toegang tot masterconsole controlekamer => implementatie nieuwe beveiligingsstandaarden voor alle plants
– Automobielindustrie (België, VS, Australië (2005)); worm legt 23 fabrieken van Daimler-Chrysler in VS plat + Opel fabriek in België geïnfecteerd en General motors fabriek in Australië enkele uren buiten bedrijf => productieverlies 6 miljoen $ 10
Wat betekent dit voor de (IT) industrie? Kennis nemen van informatie security proces: – Risico analyse – Opstellen security beleid en procedures – Implementatie procedures – Training van personeel – Monitoren van security (audits en penetratie testen) – Bijstellen beleid en procedures indien van toepassing 11
Aanbevelingen • In kaart brengen van Procescontrole & SCADA • • • • •
kwetsbaarheden, bedreigingen en organiseer een risico analyse voor de kritische processen Creëer bewustzijn, niet alleen op operationeel maar ook op management niveau Houdt kennis m.b.t. Procescontrole & SCADA security actueel Ontwerp in security vanaf de start, NIET achteraf Regelmatig monitoren van gebruikte ICT systemen/infrastructuur (middels penetratietesten) Overweeg certificatie conform ISO 27001:2005 norm (certificeren van informatiebeveiliging in organisaties) 12
Vragen? Op onze stand kunt u terecht voor nadere informatie betreffende onze (cyber) security dienstverlening en deze presentatie ( www.kema.com )
Experience you can trust.
