Whitepaper SCADA / ICS & Cyber Security
Kasper van Wersch Erwin van Harrewijn Qi ict, januari 2016
Inhoudsopgave Inhoudsopgave 1. Risico’s industriële netwerken 2. SCADA / ICS beveiliging 3. Qi ict en SCADA / ICS 4. Tot slot
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
1 2 4 6 7
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 1
1.
Risico’s industriële netwerken
In de meeste industriële omgevingen kunnen we onderscheid maken tussen de ICT infrastructuur voor kantoortoepassingen en de productie-kritische infrastructuren. Deze laatste infrastructuren betreffen vaak SCADA (Supervisory Control And Data Acquisition) omgevingen en/of ICS (Industrial Control Systems) omgevingen. Daar waar de kantoorautomatisering reeds tientallen jaren op een ethernet/IP infrastructuur is gebaseerd, paste men voor industriële netwerken eigen protocollen en bekabelingssystemen toe (PLC’s, Profibus, Modbus, RS422/RS485 etc.). De laatste jaren zijn ook deze productienetwerken langzaamaan vervangen door ethernet/IP infrastructuren. Hierdoor is de mogelijkheid ontstaan om deze netwerken te koppelen aan de “gewone” kantoornetwerken voor beheer, rapportages, software aanpassingen etc. Daarnaast worden steeds meer automatiseringsmiddelen als pc’s e.d. ingezet in dit soort netwerken. Hierdoor neemt het gevaar op ‘hacks & attacks’ (cybercrime) enorm toe. Denk aan besmettingen door virussen en malware. En dat er ook voor deze omgevingen malware bestaat bleek een aantal jaren geleden toen de Stuxnet worm op verschillende plekken in de wereld computers in industriële omgevingen besmette. Sindsdien zijn er al zo’n 300 zogenaamde malware bestanden ontdekt, specifiek geschreven voor industriële omgevingen. Het aantal onontdekte malware bestanden zal echter vele malen groter zijn. Een aanvaller van het SCADA netwerk zal bijna altijd proberen de malware via het kantoorautomatiseringsnetwerk de organisatie binnen te brengen. De malware is zo ingericht dat het zijn weg naar de SCADA omgeving kan vinden. Het wordt dus steeds belangrijker deze SCADA omgevingen afdoende te beveiligen. Dit kan plaatsvinden door virtuele netwerkscheiding, maar dit is niet veilig genoeg. Het is beter oplossingen in te zetten die diep in de data kunnen kijken en daardoor ook SCADA netwerkverkeer (protocollen en commando’s) kunnen herkennen en monitoren. Ook wordt hiermee de mogelijkheid gecreëerd om bekende malware te weren uit de SCADA omgeving en onbekende malware te herkennen. In tegenstelling tot kantoorautomatisering heerst in de industrie nog te veel de “Don't touch a running system” gedachte. Er wordt regelmatig gewerkt met verouderde versies van o.a. SCADA software en operating systems. En dat gebeurt dan omdat de gedateerde hardware niet compatibel is met recentere Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 2
softwareversies en/of updates. Het kan ook voorkomen dat systemen voor bepaalde updates herstart moeten worden. Iets wat ondenkbaar is in een 24/7 productieomgeving. Zonder dat het wordt opgemerkt staat de deur voor hackers, trojans, malware en spyware wagenwijd open.
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 3
2.
SCADA / ICS beveiliging
Wat is er dan nodig om deze omgevingen naar het volgende level van security te brengen? Als het werkende systeem niet kan of mag worden aangepast, hoe kan er dan toch meer veiligheid worden geboden? Onze relaties hebben ons de afgelopen jaren steeds vaker gevraagd om mee te helpen/denken over de manier waarop deze omgevingen beter beveiligd kunnen worden. Om die reden is Qi ict in contact getreden met een van de topspelers in het veld van industriële automatisering. Het doel van deze samenwerking is geweest om meer inzicht te krijgen over de manier waarop industriële automatisering wordt ingericht, welke protocollen hierin het meest gangbaar zijn en hoe deze omgevingen zich op dit moment weren tegen cybercrime. Samen met deze organisatie heeft Qi ict een testomgeving ingericht om te onderzoeken op welke manier IT oplossingen toepasbaar kunnen zijn binnen industriële netwerken, waarmee de beschikbaarheid gegarandeerd is en veiligheid verbeterd wordt. Uit deze samenwerking zijn de volgende 8 conclusies getrokken: 1. De kans dat SCADA omgevingen gelijk zijn bij verschillende organisaties is vrijwel nihil, er is geen ‘one size fits all’; 2. zonering van de SCADA omgeving ontbreekt vrijwel altijd (een platte structuur in de SCADA omgeving); 3. veel industriële systemen draaien op (oude versies van) Windows. Iedere dinsdag brengt Microsoft updates en upgrades uit voor het dichten van nieuwe bekende “lekken” in de software. In de industrie wordt echter vrijwel nooit gepatched (gemiddeld maar 1 x in de 4 jaar); 4. producenten van SCADA omgevingen publiceren op hun websites welke “lekken” ze ontdekt hebben en welke releases er zijn vrijgegeven om deze “lekken” te dichten. Dit alleen al vormt een groot risico vanwege bovengenoemd punt; 5. het verlenen van toegang tot de SCADA omgevingen is lang niet altijd even veilig. 6. In (delen van) industriële netwerken is lage latency essentieel. Daarom mag de beveiligingsoplossing nooit vertraging introduceren in (deze delen van) de infrastructuur.
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 4
7. Er zijn verkeersstromen die nooit geblokkeerd mogen worden; daarom is een juiste plaatsing en inrichting van de beveiligingsoplossing essentieel. 8. Wanneer kwaadwillende mensen in staat zijn om zich fysieke toegang te verschaffen tot de industriële apparatuur (bv tot transformatorstations of waterpompen in den lande) wordt het heel lastig om dit via het netwerk te ontdekken, zeker wanneer er geen verkeer wordt gegenereerd over de ethernet/IP infrastructuur. Om een passende oplossing te bieden voor deze uitdagingen zijn design, plaatsing van apparatuur en het vaststellen van de protocollen die in de omgeving gehanteerd worden de belangrijkste uitgangspunten om tot een goede beveiliging te komen.
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 5
3.
Qi ict en SCADA / ICS
Qi ict werkt al jaren als partner samen met organisaties met kritische infrastructuren en industriële omgevingen. Een aantal organisaties waar Qi ict mee samenwerkt zijn onder andere ProRail, Waterschap Hunze en Aa’s, WML en Eurocontrol. De oplossingen die Qi ict levert aan deze organisaties waren tot voor kort vooral gericht op het verbeteren/verhogen van de connectiviteit en beschikbaarheid. Door het eerder beschreven onderzoek is Qi ict echter in staat om met haar oplossingen en dienstverlening een hoge mate van veiligheid te bieden en real time inzicht te geven in SCADA /ICS omgevingen. Ook bieden deze oplossingen de mogelijkheid met terugwerkende kracht te zien is wat er gebeurd is. Cyber Security is namelijk niet alleen het plaatsen van een oplossing; men dient ook te begrijpen wat er door deze oplossing wordt gemeld, en hier de juiste acties op te ondernemen. De oplossingen van Qi ict bieden organisaties de mogelijkheid (a) voor (b) tijdens en (c) na een aanval inzichtelijk te maken wat er gebeurt, of gebeurd is. De gemiddelde organisatie weet (pas) na 200 dagen dat er iets (of iemand) in het netwerk zit dat er niet thuishoort. Dan is het wel belangrijk om na ontdekking terug te kunnen kijken naar de schade die er is aangericht en hoe deze tot stand is gekomen. Tevens is Qi ict in staat om ondersteuning te bieden bij het interpreteren van de verschillende meldingen die onze oplossingen genereren.
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 6
4.
Tot slot
Wat duidelijk is in deze markt is dat beveiliging nog in de kinderschoenen staat en dat geen omgeving hetzelfde is. Qi ict heeft jarenlange ervaring met het beveiligen van infrastructuren en kan dit nu ook doortrekken naar de kritische infrastructuren; wij willen dan ook graag met u om tafel om de mogelijke beveiligingsoplossingen voor uw SCADA / ICS omgeving met u te bespreken. Qi ict De missie van Qi ict is het maximaliseren van de uptime van ict infrastructuren en de beschikbaarheid van data door het aanbieden van hoogwaardige diensten en producten. Net als gas, water en licht verwachten klanten en medewerkers dat systemen 24 x 7 up & running zijn. Al sinds 1983 zorgt Qi ict ervoor dat de netwerken en systemen van haar relaties optimaal werken en zo veilig mogelijk zijn. Qi ict biedt oplossingen en diensten op het gebied van netwerk, storage, en security met vestigingen in Delft, Zwolle en Veldhoven. In 2014 heeft Qi ict er een zusterorganisatie bij gekregen: inovativ. Inovativ is opgericht in 2007 en is integrator op het gebied van Microsoft platform & productivity. Denk hierbij aan Microsoft Azure, Office 365, Skype for business, SharePoint, Intune, System Center, Hyper-V en Enterprise Mobility Suite. Met maar liefst 14 Microsoft MVP’s (Most Valuable Professional) in dienst is inovativ de meest gespecialiseerde Microsoft integrator van Europa. Samen met inovativ is Qi ict in staat om te acteren als system integrator voor haar relaties. Naast het leveren van een projectmatige aanpak voor het integreren en implementeren van architecturen, zijn Qi ict en inovativ in staat om organisaties ook ná de implementatie volledig te ontzorgen. Zowel Qi ict als inovativ willen hun klanten de meeste expertise en ervaring bieden rondom het portfolio dat ze bieden. Qi ict wil een echt kennis- en kwaliteitshuis zijn en haar klanten laten ervaren dat ze met alle vertrouwen hun ontwerp, implementatie, projectmanagement, support en beheerbehoeften in handen van Qi ict kunnen leggen: Denkt een (potentiële) klant aan Cyber Security dan denken ze automatisch aan Qi ict voor al deze aspecten. Qi ict wil de ‘trusted advisor’ zijn voor haar relaties. www.qi.nl Kasper van Wersch Erwin van Harrewijn Januari 2016
Qi ict bv www.qi.nl
[email protected]
Delftechpark 35-37, 2628 XJ Delft De Run 4238 A, 5503 LL Veldhoven Dokter van Wiechenweg 14, 8025 BZ Zwolle
T: +31 15 888 04 44 T: +31 40 291 31 31 T: +31 15 888 04 44 7