Pomáhá zvýšit odolnost vůči útokům
Průmyslová bezpečnost
© Siemens 2014. Všechna práva vyhrazena.
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Trendy v bezpečnosti Svět je dnes více propojený než kdykoliv před tím Trendy ovlivňující bezpečnost
• Cloud Computing • Zvýšená četnost mobilních zařízení
• Bezdrátové technologie • Smart Grid • Vzdálený přístup k jednotlivým strojům i celým provozům • Mobilní aplikace • Internet věcí “The Internet of Things”
Source: World Economic Forum, 50 Global Risks
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Řetěz bezpečnosti je tak silný, jako jeho nejslabší článek Bezpečnost může selhat z těchto důvodů • Zaměstnanec • Smartphone • Laptop • PC stanice • Síťová infrastruktura • Mobilní datová úschovna • Tablet PC • Počítačové centrum • Pravidla a koncepce • Tiskárna • Produkční systém © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Zprávy o zranitelnosti plní titulky novin Tlak na projektanty SCADA Stárnoucí průmyslové řídicí systémy se stávají stále více zranitelnými ke kyber útokům Útok na energetickou síť U.S. at Risk of Hack Attack Dangerous Security Holes in U.S. Power Plant & Factory Software
German Source: http://www.energie-und-technik.de/automatisierung/news/article/94110 V ICS-CERT fiskálním roce (od září 2011 do října 2012) ICS-CERT detekovalo 198 útoků na řídicí systémy v USA.
Příchod hackerů: červ WANK a útok na NASA Červ WANK, jehož obětí se staly především NASA a americké Ministerstvo energetiky, byl jedním z prvních případů hackerského aktivismu a jedním z největších kybernetických útoků v oblasti jaderné energetiky. Nebyl sice destruktivní, dokázal ale vyvolat paniku v síti vesmírných programů a jaderného výzkumu v USA.
Lukáš Erben, www.root.cz
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Proč se stala průmyslová bezpečnost tak důležitá?
Hlavní trendy ovlivňující zranitelnost automatizačních celků
• Horizontální a vertikální integrace na všech úrovních • Připojení automatizačních sítí s IT sítěmi a Internetem pro vzdálenou správu • Zvýšené užití otevřených systémů a systémů založených na PC • Rostoucí hrozby kvůli těmto trendům: • Neautorizovaný přístup osob • Odposlouchávání a manipulace s daty (porušení integrity) • Narušení a ztráta dat způsobená malware
• Několik bezpečnostních incidentů odhalilo zranitelnost automatizačních provozů.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Kyber zranitelnost může normální provoz ovlivnit na mnoha úrovních
Potřeba konat kvůli bezpečnostní zranitelnosti
• • • • • •
Ztráta intelektuálního vlastnictví, receptur,… Sabotáže výrobních procesů Odstávka výroby např. způsobená virem Manipulace s daty nebo s aplikačním software Neautorizované užití systémových funkcí Regulace a standardy pro průmyslovou bezpečnost vyžadují konformitu • Regulace: FDA, NERC CIP, CFATS, CPNI, KRITIS • Standardy: ISA 99, IEC 62443
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost BSI: Žebříček 10 nejvýznamnějších hrozeb pro ICS Hlavní trendy ovlivňující zranitelnost automatizačních provozů 1
Neautorizované užití vzdálené správy
2
Online útoky přes podnikové/ kancelářské sítě
3
Útoky proti standardním komponentám v ICS sítí
4
(Distribuovaný) Denial of Service Attacks ((D)DoS Attacks)
5
Lidská chyba a sabotáž
6
Nákaza škodlivým kódem přes přenosná média a externí hardware
7
Čtení a psaní zpráv v ICS síti
8
Neautorizovaný přístup ke zdrojům
9
Útoky na síťové komponenty
10
Technická chyby
Source: BSI analysis about cyber security 2012
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Koncept ochrany Provozní bezpečnost (Plant security) Přístupová práva uživatelů Preventivní fyzická ochrana kritických úseků
Síťová bezpečnost (Network security) Řízené rozhranní mezi kanceláří a provozem např. s pomocí firewallu Segmentace provozní sítě
Integrita systému (System integrity)
Antivirus a whitelisting software System hardening Proces správy a aktualizace Autentizace operátorů na provozní úrovni Mechanismus integrované ochrany přístupu automatizačních komponent
Industrial Security levels according to current standards and regulations
Bezpečnostní řešení v průmyslovém prostředí musí zahrnovat všechny ochranné úrovně © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens přístup k bezpečnosti
Siemens přístup k bezpečnosti
Implementace Správy zabezpečení Rozhraní jsou předmětem regulací – a jsou podle toho monitorována PC systémy musí být chráněny
Řídicí úroveň musí být chráněna Komunikace musí být monitorována a případně segmentovaná
Siemens přístup je založen na pěti klíčových bodech © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení
Služby průmyslové bezpečnosti
Servis a konzultace*
Správa zabezpečení
Pravidla a procesy*
Produkty & Systémy
Bezpečné PC, automaty a sítě
Siemens řešení omezuje riziko za pomoci promyšleného bezpečnostního konceptu. © Siemens 2014. Všechna práva vyhrazena.
* Službu poskytuje Siemens AG Industrial Security
Průmyslová bezpečnost Postupný přístup k dlouhodobé ochraně ICS Krok 1: Zhodnocení*
Krok 2: Implementace*
Krok 3: Správa za běhu*
Činnosti
Činnosti
Činnosti
• Zhodnocení současné architektury • Threat modeling • Analýza zranitelných míst a následků při selhání
• Trénink zaměstnanců • Optimalizace procesů • Implementace bezpečnostních technologií
• Globalní monitoring • Detekce problémů a upozornění správce • Vytvořit opatření proti opakování podobného problému
© Siemens 2014. Všechna práva vyhrazena.
* Službu poskytuje Siemens AG Industrial Security
Průmyslová bezpečnost Základní aspekty správy zabezpečení •
Kontinuální ochrana s pomocí monitorování a analýzy bezpečnostního a systémového stavu snižuje riziko produkčních ztrát a poškození majetku stejně tak jako chrání intelektuální vlastnictví
•
Proaktivní varování založené na globální podpoře z našeho Cyber Defense Centra, které chrání Vaši reputaci a obraz značky.
•
Vytváření bezpečnostních záplat kvůli neustále se měnící oblasti bezpečnostních hrozeb chrání zařízení po celou dobu jeho životního cyklu.
•
Schopnost reagovat na bezpečnostní incidenty, navrhovat řešení, poskytovat odborný dohled a vykonat nápravu.
•
Znovu vyhodnocení bezpečnostních rizik, školení personálu a posílení bezpečnostních prvků zajišťuje shodu se současnými i budoucími průmyslovými regulemi stejně tak jako snižuje riziko nehod.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení pro bezpečnost provozu
Správa zabezpečení
The interfaces are subject to regulations and are monitored accordingly.
Plant security PC-based systems must be protected.
The control level must be protected. Communication must be monitored and can be segmented.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Správa zabezpečení Proces správy zabezpečení
• Analýza rizik a návrhy jejich zmírnění • Nastavení pravidel a koordinace organizačních opatření • Koordinace technických opatření • Pravidelné / událostí řízené opakování analýzy rizik
1 Risk analysis
4
2 Validation & improvement
Policies, Organizational measures
3 Technical measures
Správa zabezpečení je základní předpoklad pro bezpečnostní koncept. © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Siemens řešení pro síťovou bezpečnost
Implementace Správy Zabezpečení Rozhraní jsou pečlivě monitorována. Systémy založené na PC musí být chráněny.
Network security
Řídicí úroveň musí být chráněna. Komunikace musí být monitorována a je možné ji segmentovat.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Integrovaná bezpečnost je základní komponenta konceptu Defense in Depth Bezpečnost provozu • Přístup je odepřen neautorizovaným osobám • Fyzická ochrana přístupu ke kritickým komponentám Síťová bezpečnost • Rozhraní jsou kontrolována SCALANCE firewallem • Další segmentace s Advanced CP Systémová integrita • Ochrana know-how • Ochrana proti kopírování • Ochrana proti manipulaci s daty • Kontrola přístupu • Rozšířená ochran přístupu s CP 1543-1
Siemens produkty se Security Integrated poskytují bezpečnostní prvky jako integrovaný firewall, VPN komunikaci, kontrolu přístupu, ochranu proti manipulaci. © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost Security Integrated – Přehled
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : SCALANCE S Security moduly Požadavky zákazníků
Naše řešení
Ochrana sítě a segmentace
SCALANCE S security moduly s Integrovaným zabezpečením poskytují:
Ochrana proti:
SCALANCE S 602/612/623
•
Stateful Inspection Firewall
•
Odposlech komunikace
•
VPN (šifrování dat a autentizace)
•
Manipulace s daty
•
NAT/NAPT (překlad adres)
•
Neautorizovaný přístup
•
Funkce routeru (PPPoE, DynDNS) pro širokopásmový přístup k internetu (DSL, kabel)
•
S623 s dodatečným VPN portem (DMZ), dovolujícím bezpečně připojit další síť pro servisní a diagnostické účely.
•
Redundance bezpečnostních modulů včetně směrovacích a firewall funkcí s pomocí S623
Umožnit bezpečný vzdálený přístup pro: •
Telecontrol
•
Teleservice
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : SCALANCE S627-2M Security Module
SCALANCE S627-2M
Požadavky zákazníků
Naše řešení
•
Více flexibility díky bezpečnostním konceptům
•
Zabezpečení redundantních topologií
•
Vysoká dostupnost díky redundantnímu párování
•
Použití v průmyslovém prostředí
SCALANCE S627-2M bezpečnostní modul s Integrovaným zabezpečením poskytuje: Všechny funkce SCALANCE S623 A navíc: • Dva další sloty pro dvouportové media moduly, které lze integrovat do kruhové nebo liniové topologie •
Přímí přístup do optických sítí s pomocí optického media modulu
•
Zabezpečení kruhových topologií využívajících protokoly MRP nebo HRP.
•
Redundantní zapojení. Záložní modul je připraven převzít veškerou komunikaci.
•
Router a firewall redundance
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení : CP pro SIMATIC S7-1200*/1500 CP1243-1*/CP1543-1
CP 1543-1
Požadavky zákazníků
Naše řešení
Síťová bezpečnost a oddělení bez speciálních bezpečnostních zařízení
CP1543-1/CP1243-1* s Integrovaným zabezpečením poskytuje:
Ochrana proti: • Odposlech komunikace • Manipulace s daty • Neautorizovaný přístup
•
Stateful Inspection Firewall
•
VPN (šifrování dat a autentizace)
•
HTTPS (šifrovaný přístup k webovým stránkám přes SSL)
CP1543-1 navíc nabízí: •
FTP (bezpečný přenos souborů)
•
NTP secure (bezpečná synchronizace času)
•
SNMP V3 (bezpečný přenos informací o síti)
CP 1243-1* © Siemens 2014. Všechna práva vyhrazena.
* Předpoklad uvolnění 9/2014 Industrial Security
Síťová bezpečnost Integrované zabezpečení : CP pro SIMATIC S7-300/400 CP 343-1/CP 443-1 Advanced Požadavky zákazníků
Naše řešení
Síťová bezpečnost a oddělení bez speciálních bezpečnostních zařízení
CP343-1 / CP443-1 Advanced s Integrovaným zabezpečením poskytuje:
Ochrana proti: • Odposlech komunikace • Manipulace s daty • Neautorizovaný přístup
•
Stateful Inspection Firewall
•
VPN (šifrování dat a autentizace)
•
HTTPS (šifrovaný přístup k webovým stránkám přes SSL)
•
FTP (bezpečný přenos souborů)
•
NTP secure (bezpečná synchronizace času)
•
SNMP V3 (bezpečný přenos informací o síti)
CP 343-1 Advanced CP 443-1 Advanced
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: CP1628 Požadavky zákazníků
Naše řešení
Ochrana inženýrských a operátorských stanic
CP 1628 s Integrovaným zabezpečením poskytuje: •
Stateful Inspection Firewall
•
VPN (šifrování dat a autentizace)
Ochrana proti:
•
NTP secure (bezpečná synchronizace času)
•
Odposlech komunikace
•
•
SNMP V3 (bezpečný přenos informací o síti)
Manipulace s daty
•
Neautorizovaný přístup
CP 1628
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SOFTNET Security Client Požadavky zákazníků
Naše řešení
Bezpečný přístup z inženýrských a servisních PC
SOFTNET Security Client s Integrovaným zabezpečením poskytuje: •
VPN (šifrování dat a autentizace)
•
Komunikace může probíhat pouze mezi autentizovanými uživateli a zařízeními
•
Integrovaný bezpečnostní koncept pro automatizaci zahrnující SIMATIC-CP / PC-CP / SCALANCE S / SCALANCE M
Ochrana proti:
•
Odposlech komunikace
•
Manipulace s daty
•
Neautorizovaný přístup
SOFTNET Security Client
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SCALANCE M874
SCALANCE M874-x
Požadavky zákazníků
Naše řešení
Ochrana sítě Ochrana proti:
UMTS Router SCALANCE M874-3 (UMTS) a M874-2 (GSM) s Integrovaným zabezpečením poskytuje:
•
Odposlech komunikace
•
Stateful Inspection Firewall
•
Manipulace s daty
•
VPN (šifrování dat a autentizace)
•
Neautorizovaný přístup
•
NAT/NAPT (překlad adres)
• Umožnit bezpečný vzdálený přístup pro:
Funkce routeru pro mobilní širokopásmový přístup k Internetu (GPRS, UMTS)
•
Širší pole aplikací díky šířce pásma, výkonu a rychlosti
•
Telecontrol
•
Připojení přes mobilní sítě druhé a třetí generace
•
Teleservice
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SCALANCE M875
SCALANCE M875
Požadavky zákazníků
Naše řešení
Ochrana sítě
UMTS Router SCALANCE M875 (UMTS) s Integrovaným zabezpečením poskytuje:
Ochrana proti:
•
Stateful Inspection Firewall
•
Odposlech komunikace
•
VPN (šifrování dat a autentizace)
•
Manipulace s daty
•
NAT/NAPT (překlad adres)
•
Neautorizovaný přístup
•
Funkce routeru pro mobilní širokopásmový přístup k Internetu (GPRS, UMTS)
Umožnit bezpečný vzdálený přístup pro:
•
Díky shodě s EN50155 a e1/E1 je možné nasadit v systémech veřejné dopravy
•
Telecontrol
•
Rozšířený rozsah pracovních teplot -40°C až +75°C
•
Teleservice
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení: SCALANCE M81x* Požadavky zákazníků
Naše řešení
Ochrana sítě
ADSL2+ Router SCALANCE M81x s integrovaným zabezpečením poskytuje:
Ochrana proti:
•
Stateful Inspection Firewall
•
Odposlech komunikace
•
VPN (šifrování dat a autentizace)
•
Manipulace s daty
•
NAT/NAPT (překlad adres)
•
Neautorizovaný přístup
•
Funkce routeru pro pevnolinkový širokopásmový přístup k Internetu (ADSL2+)
•
Širší pole aplikací díky šířce pásma, výkonu a rychlosti
Umožnit bezpečný vzdálený přístup pro: SCALANCE M812* SCALANCE M816*
© Siemens 2014. Všechna práva vyhrazena.
•
Telecontrol
•
Teleservice
* Předpoklad uvolnění 6/2014 Industrial Security
Průmyslová bezpečnost Siemens řešení pro řízení přístupu
Implementace Správy Zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny
System Integrity
Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC S7-1500 a TIA Portal Bezpečnostní poznámky SIMATIC S7-1500 a TIA Portal poskytují několik bezpečnostních prvků:
•
Zvýšená ochrana Know-How ve STEP 7 Ochrana intelektuálního vlastnictví a investic: • Ochrana programových bloků ve STEP 7 heslem zabraňuje nedovolenému kopírování např. procesních algoritmů atp. • Ochrana heslem proti neautorizovanému vyhodnocení programových bloků externími programy • Ze STEP 7 projektu • Z data na paměťové kartě • Z programových knihoven
•
Zvýšená ochrana proti kopírování Ochrana proti neautorizované reprodukci spustitelných programů: • Párování programového bloku se sériovým číslem paměťové karty nebo PLC • Ochrana proti neautorizovanému kopírování programových bloků ve STEP 7
• Ochrana proti kopírování projektu uloženém na paměťové kartě
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC S7-1500 a TIA Portal Bezpečnostní poznámky SIMATIC S7-1500 a TIA Portal poskytují několik bezpečnostních prvků: •
•
Zvýšená ochrana přístupu (Autentizace) Rozsáhlá ochrana proti neautorizovanému přístupu k projektům: •
Nový stupeň ochranné úrovně PLC, celkové zamčení (rovněž HMI rozhraní může vyžadovat heslo) *
•
Konfigurovatelné úrovně autorizace (1-3 každý se svým vlastním heslem)
•
Pro přístup k PLC a k rozhraním komunikačních modulů
•
Obecné blokování změn parametrů projektu
Rozšířená ochrana přístupu Rozšířená ochrana proti neautorizovaným změnám v projektu: •
•
S pomocí Security CP1543-1 díky integrovanému firewallu a VPN komunikaci
Zvýšená ochrana proti manipulaci s daty Ochrana komunikace proti manipulaci: •
Ochrana proti manipulaci s daty díky kontrolnímu součtu
•
Ochrana proti útokům jako falešná / nahrávaná síťová komunikace (replay attacks)
•
Zabezpečený přenos hesla kvůli bezpečné autentizaci
•
Detekce falešných aktualizací firmware díky kontrolnímu součtu
* Podporováno SIMATIC HMI produkty a SIMATIC NET OPC Serverem. © Siemens 2014. Všechna práva vyhrazena. Industrial Security * Only possible in connection with SIMATIC HMI Panels
Průmyslová bezpečnost SIMATIC S7-1200 V4.0 a TIA Portal Bezpečnostní poznámky SIMATIC S7-1200 V4.0 a TIA Portal poskytují několik bezpečnostních prvků: •
Zvýšená ochrana Know-How ve STEP 7 Ochrana intelektuálního vlastnictví a investic: • Ochrana programových bloků ve STEP 7 heslem zabraňuje nedovolenému kopírování např. procesních algoritmů atp. • Ochrana heslem proti neautorizovanému vyhodnocení programových bloků externími programy • Ze STEP 7 projektu • Z data na paměťové kartě • Z programových knihoven
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC S7-1200 V4.0 and the TIA Portal Bezpečnostní poznámky SIMATIC S7-1200 V4.0 a TIA Portal poskytují několik bezpečnostních prvků: •
Zvýšená ochrana přístupu (Autentizace) Rozsáhlá ochrana proti neautorizovanému přístupu k projektům: • Nový stupeň ochranné úrovně PLC, celkové zamčení (rovněž HMI rozhraní může vyžadovat heslo) * • Konfigurovatelné úrovně autorizace (1-3 každý se svým vlastním heslem) • Pro přístup k PLC a k rozhraním komunikačních modulů • Obecné blokování změn parametrů projektu
•
Zvýšená ochrana proti manipulaci s daty Ochrana komunikace proti manipulaci: • Ochrana proti manipulaci s daty díky kontrolnímu součtu • Ochrana proti útokům jako falešná / nahrávaná síťová komunikace (replay attacks) • Zabezpečený přenos hesla kvůli bezpečné autentizaci • Detekce falešných aktualizací firmware díky kontrolnímu součtu
* Nur im Zusammenspiel mit den SIMATIC HMI Panels möglichpodporováno SIMATIC HMI produkty a SIMATIC NET OPC Serverem. * Nejlépe
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC S7-300, S7-400 a TIA Portal Bezpečnostní poznámky
SIMATIC S7-300 a S7-400 a TIA Portal poskytují několik bezpečnostních prvků k ochraně proti neautorizovanému čtení a kopírování: • Zvýšená ochrana Know-How Program block
STEP7
Download
Upload
•
Umí zabránit čtení, kopírování a změnám obsahu programových bloků
•
Chrání programové bloky v inženýrských nástrojích a PLC automatech
•
Ochrana programových bloků v projektech a knihovnách
• Programovatelná ochrana kopírování •
Programy s ochranou Know-how mohou být rozšířeny
•
Porovnání se sériovým číslem paměťové karty nebo CPU
Program block
S7-Controller
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost STEP 7 V5.5 Požadavky zákazníků
Naše řešení
Ochrana Know-How
STEP 7 V5.5 poskytují několik bezpečnostních prvků:
•
Zvýšená ochrana Know-How
Ochrana proti:
Program block STEP 7 Download
Upload
S7-Controller
•
Ochrana programového kódu heslem a S7-Block Privacy
•
Odposlechu
•
Ochrana proti čtení a změnám v obsahu
•
Neautorizovanému přístupu
•
K programový blokům mají přístup pouze autentizovaní uživatelé
•
Manipulaci s daty
•
Programovatelná ochrana kopírování •
Programy s ochranou Know-how mohou být rozšířeny
•
Porovnání se sériovým číslem paměťové karty nebo CPU
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost WinCC V7 Požadavky zákazníků
Naše řešení
Zabezpečené SCADA prostředí
WinCC V7 poskytují širokou nabídku bezpečnostních prvků:
Ochrana proti: •
Odposlechu
•
Neautorizovanému přístupu
•
•
WinCC User Administrator Pouze autentizovaný uživatel má přístup k systému
•
WinCC Runtime Žádný nebo omezený přístup k systému
•
WinCC Web Viewer Přístup pouze k operátorské obrazovce bez přístupu k internetovým stránkám, aby se zamezilo stažení malware
•
WinCC Change Control / Audit Sledování a záznam akcí uživatele např. pro FDA řešení
•
WinCC Runtime Redundancy Výšší dostupnost serverů / procesních připojení v případě chyby
•
Systém je testovaný (s dokumentovanými výsledky) pro skutečné virus skenery
Manipulaci s daty
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC Logon
© Siemens 2014. Všechna práva vyhrazena.
Požadavky zákazníků
Naše řešení
•
Centrální uživatelská správa
Bezpečná správa přístupu …se SIMATIC Logon
•
Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty)
Správa uživatelů ve WinCC založená na SIMATIC Logon s…
•
Vysoká bezpečnost ve spolupráci s MS Windows
•
Podporuje koncept domén a pracovních skupin (Windows workgroups)
•
Centralizovaná správa (stárnutí hesel, automatické odhlášení po určité době neaktivity nebo opakovaně špatně zadaném heslu, zamknutí obrazovky)
•
Konfigurace za běhu (přidat / zamykat / odstranit uživatelské účty)
•
Všechny WinCC konfigurace jsou podporovány včetně webu
•
Podporuje koncept domén a pracovních skupin (workgroups)
Správa uživatelů a autentizace pro bezpečnost provozu Industrial Security
Průmyslová bezpečnost Antivirus a whitelisting Požadavky zákazníků
Naše řešení
Detekce a prevence proti škodlivému software (Viruses, Worms and Trojans)
Antivirus a whitelisting řešení poskytuje tyto bezpečnostní funkce:
Ochrana proti: •
Škodlivému software
•
Manipulaci
•
Ochrana proti škodlivému software (Viruses, Worms a Trojans)
•
Zabránit běhu neautorizovaných aplikací a malware
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost PCS7 podporuje všechny ochranné úrovně
Implementace Správy Zabezpečení Rozhraní jsou pečlivě monitorována Systémy založené na PC musí být chráněny Řídicí úroveň musí být chráněna Komunikace musí být monitorována a je možné ji segmentovat
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost SIMATIC PCS 7 – Zabezpečení, kterému věříte Požadavky zákazníků
Naše řešení
Ochrana proti: • Ztrátě kontroly
SIMATIC PCS 7 – Snížení rizik s pomocí Defense-in-Depth Strategy
• Prostojům
• Segmentace / Security Cells
• Ochrana kvality
• Bezpečné přístupové body • Autentizace uživatelů • Bezpečná komunikace • Správa bezpečnostních záplat • System Hardening
• Virus Scanner • Whitelisting © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Přehled síťové bezpečnosti Opatření pro průmyslové aplikace Kontrola přístupu • Rozhraní do IT sítí: Zabezpečená architektura s DMZ (SCALANCE S623 a S627) • Zabezpečený přístup přes Internet • Lokální zabezpečení přes autentizaci uživatelů a zařízení Redundance • Ochrana redundantních síťových topologií se SCALANCE S627-2M
Ochrana úseků sítě • Snížení rizika s pomocí segmentace sítě • Ochrana síťových úseků se zabezpečovacím zařízením nebo s S7-Security CP • Použití protokolů pro bezpečnou komunikaci (např. https) zabraňuje odposlouchávání a manipulaci s daty © Siemens 2014. Všechna práva vyhrazena.
Produkty s firewall a VPN funkcemi Industrial Security
Aplikace se SCALANCE S623 Vytvoření demilitarizované zóny (DMZ) s Firewallem Zadání Síťový uživatelé (např. MES servery) by měly být přístupné z vnitřní i vnější sítě (Internet) bez toho, aby obě sítě byly přímo propojeny. Řešení Demilitarizovaná zóna DMZ může být vytvořena na žlutém portu SCALANCE S623, v které může být umístěn výše zmíněný server.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S623 Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem Zadání Přístup k vzdálené sítí za pomoci Internetu a šifrovaného VPN tunelu.
Řešení Počáteční bod (např. systémový integrátor): např. SSC, CP1628 nebo SCALANCE M jako VPN klient Koncový bod (např. systém koncového klienta): SCALANCE S623 jako VPN server • Červený port: Připojení k síti provozu • Žlutý port: Připojení k modemu / routeru • Zelený port: Připojení k vnitřnímu segmentu © Siemens 2014. Všechna práva vyhrazena.
Výhody • • •
Zabezpečený přístup přes Internet nebo mobilní síť jako UMTS za pomoci virtuální privátní sítě VPN (protokol IPSec) Omezení přístupu integrovanými funkcemi firewallu Zabezpečený vzdálený přístup bez přímé komunikace s automatizačním segmentem díky DMZ protu SCALANCE S623
Industrial Security
Aplikace se SCALANCE M874 Bezpečná vzdálená správa přes mobilní sítě Zadání Typické aplikace jako vzdálené programování, parametrizace a diagnostika ale také monitorování strojů i celých provozů může být realizováno ze servisního centra přes Internet.
Řešení Ke každému zařízení založeném na IP protokolu a obvzláště těm automatizačním, které jsou pod M874 v lokální síti je možné přistupovat zvenku. Implementovat je možné i aplikace náročná na přenos dat jako je streamování videa. VPN tunely umožňují bezpečný přenos dat přes celý svět
Výhody •Malé investice a provozní náklady pro bezpečný vzdálený přístup ke strojům i celým provozům •Snížení nákladů na cestování a účty za telefon díky vzdálenému programování přes mobilní sítě •Uživatelsky přívětivá diagnostika přes webové rozhraní •Krátká doba přenosu díky vysoké rychlosti s HSDPA and HSUPA •Bezpečnost díky firewallu a VPN tunelům
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S Segmentace sítě a ochrana segmentů Zadání Části systému, které spadají do odlišných logických celků a často pocházejí i od rozdílných výrobců by spolu měly komunikovat pouze, když je to absolutně nezbytné.
Řešení SCALANCE S je umístěn před automatizační segment, a proto segmentuje síť a redukuje komunikaci s pomocí firewallových pravidel na příslušných rozhraních.
Výhody • • • • •
Vysoká úroveň IT bezpečnosti provozu díky implementaci koncepce ochrany segmentů Ochrana automatizačních segmentů bez vlivu na výkon mezi buňkami a real time komunikaci Snadná integrace do existujících sítí a ochrana zařízení, která vlastní zabezpečení nemají Diagnostika celé sítě díky SNMP nebo Syslog Výměna modulu bez potřeby konfigurace zařízení, kvůli C-PLUG vyměnitelnému mediu pro zálohu dat
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace s bezpečnostními komunikačními procesory Řízení přístupu a oddělení sítě pro SIMATIC S7-1500 s CP1543-1 Zadání Komunikace mezi automatizační sítí a odděleným automatizačním segmentem s S7-1500 PLC by měla být zabezpečená.
Řešení Komunikační procesor CP1543-1 chrání automat S7-1500 s pomocí integrovaných bezpečnostních funkcí (firewall, VPN) proti neautorizovanému přístupu, odposlechu a manipulaci s daty. Díky oddělení od sítě je možné pro identická zařízení používat jednu IP adresu.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace s bezpečnostními komunikačními procesory Řízení přístupu a oddělení sítě pro SIMATIC S7-1200 s CP1243-1* Zadání Komunikace mezi provozní sítí a automatizačním segmentem s automatem S7-1200 by měl být zabezpečená.
Řešení Komunikační procesor CP1243-1 chrání automaty S7-1200 s pomocí integrovaných bezpečnostních funkcí (firewall, VPN) proti neautorizovanému přístupu, odposlechu a manipulaci s daty. Díky oddělení od sítě je možné pro identická zařízení používat jednu IP adresu. © Siemens 2014. Všechna práva vyhrazena.
* Předpoklad uvolnění 9/2014 Industrial Security
Aplikace s bezpečnostními komunikačními procesory Řízení přístupu a oddělení sítě pro SIMATIC S7-300 a S7-400 Zadání Komunikace mezi automatizační sítí a odděleným automatizačním segmentem S7-300 nebo S7-400 PLC by měla být zabezpečená.
Řešení Komunikační procesor CP343-1 Advanced chrání automaty S7-300 a S7-400 s pomocí integrovaných bezpečnostních funkcí (firewall, VPN) proti neautorizovanému přístupu, odposlechu a manipulaci s daty. Díky oddělení od sítě je možné pro identická zařízení používat jednu IP adresu. © Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se Security PC CP 1628 Zabezpečení komunikace s PC
Zadání Komunikace s PC systémem (např. operátorskou stanicí) by měla být zabezpečená.
Řešení Komunikační procesor CP1628 je ethernetová karta pro PC. Díky integrovaným bezpečnostním funkcím (firewall, VPN) je možné PC chránit proti neautorizovanému přístupu, odposlechu a manipulaci s daty.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Zabezpečená redundance s CP1628 a CP443-1 Advanced
Zadání Ochrana redundantních připojení mezi PC systémem a automatem S7-400H v provozech s vysokou dostupností.
Řešení VPN tunel je vytvořen mezi komunikačními procesory CP1628 a CP 443-1 Advanced, které dovolují přenos H-komunikace. Navíc CP1628 chrání PC systém od neautorizovaného přístupu díky integrovanému firewallu.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S627-2M Zabezpečené a redundantní propojení kruhů Zadání Dva kruhy mají být propojeny bezpečným a redundantním způsobem.
Řešení Kruh A je připojen přes porty prvního media modulu (červené porty) a kruh B je připojen pomocí portů druhého media modulu (zelené porty). S627-2M funguje jako router a firewall. Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem a je v pohotovostním režimu kdykoliv připraven nahradit první S627. Synchronizaci konfigurací a sledování chybového stavu zařízení provádějí přes žlutý (DMZ) port. © Siemens 2014. Všechna práva vyhrazena.
*) Alternativně k MRP by oba kruhy mohly využívat protokol HRP
Výhody • Bezpečné redundantní propojení redundantních kruhů • Firewall kontrola komunikace mezi redundantními kruhy • Vysoká dostupnost sítě díky redundantnímu designu SCALANCE S627-2M Industrial Security
Aplikace se SCALANCE S627-2M Zabezpečené a redundantní propojení kruhu pod prvozní sítí Zadání Kruh A má být připojen k síti provozu bezpečným a redundantním způsobem.
Řešení Kruh je připojen přes porty druhého media modulu (zelené porty) a síť provozu je připojena přes porty prvního media modulu (červené porty). Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem a je v pohotovostním režimu kdykoliv připraven nahradit první S627. Synchronizaci konfigurací a sledování chybového stavu zařízení provádějí přes žlutý (DMZ) port. Alternativa: Kruh je připojen přes porty druhého media modulu (zelené porty) a síť provozu je připojena přes červený RJ45 port SCALANCE S627-2M. Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem.
*) Alternativně k MRP by kruh mohl využívat protokol HRP
Výhody • • •
Zabezpečené a redundantní připojení redundantního kruhu do provozní sítě Firewall kontrola komunikace mezi kruhem a provozní sítí Vysoká dostupnost sítě díky redundantnímu designu SCALANCE S627-2M
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Aplikace se SCALANCE S627-2M Zabezpečené a redundantní propojení automatizačního segmentu ke kruhu Zadání Automatizační segment má být připojen ke kruhu bezpečným a redundantním způsobem.
Řešení Kruh je připojen přes porty prvního media modulu (červené porty) a automatizační segment je připojena přes porty druhého media modulu (zelené porty). Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem a je v pohotovostním režimu kdykoliv připraven nahradit první S627. Synchronizaci konfigurací a sledování chybového stavu zařízení provádějí přes žlutý (DMZ) port. Alternativa: Kruh je připojen přes červený port RJ45 a automatizační segment je připojen přes porty druhého media modulu (zelené porty). Druhý redundantní SCALANCE S627-2M je připojen stejným způsobem.
© Siemens 2014. Všechna práva vyhrazena.
*) Alternativně k MRP by oba kruhy mohly využívat protokol HRP
Výhody • • •
Zabezpečené a redundantní připojení automatizačního segmentu ke kruhu na vyšší úrovni Firewall kontrola komunikace mezi kruhem a automatizačním segmentem Vysoká dostupnost sítě díky redundantnímu designu SCALANCE S627-2M Industrial Security
Průmyslová bezpečnost SIMATIC S7-1500 a TIA Portal: Nastavení zabezpečení Zadání Nastavit zabezpečení pro SIMATIC S7-1500, který je připojený k HMI zařízení.
Řešení KROK 1: KROK 2: KROK 3: KROK 4: KROK 5:
V device nebo network view vyberte SIMATIC S7-1500 a klikněte na properties SIMATIC S7-1500. Na záložce Display nastavte heslo pro zobrazení Na záložce Web server aktivujte Web server https. Poté vytvořte uživatele a přiřaďte mu práva. Na záložce Protection nastavte úroveň zabezpečení. Pozn.: “Complete protection“ znamená úroveň 4. Zadejte heslo pro HMI komunikaci.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Síťová bezpečnost Integrované zabezpečení v TIA Portal: Konfigurace uživatelských práv Zadání Konfigurace uživatelských práv pro produkty Integrovaného zabezpečení a přiřazení rolí a práv v TIA Portálu
Řešení 1.
V global Global security settings otevřete User Management Folder.
2.
Klikněte na záložku User a přiřaďte jednu z předdefinovaných rolí Administrator, Standard a Diagnosis. Zadejte uživatelské jméno a heslo.
3.
Volitelně lze přidat i další role se specifickým oprávněním. Klikněte na záložku Roles a v seznamu vyberte protokoly a služby, které budou moci uživatelé s touto rolí využívat.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost System hardening a whitelisting Příklad 2
Příklad 1 Správa operačního systému na počítači vyžaduje: •
Reboot po instalaci bezpečnostních záplat.
•
Během tohoto procesu musí být provoz zastaven.
Podpora operačního systému Windows XP končí v roce 2014. Pro současné vestavěné počítače mEC to znamená: •
mEC počítače nepodporují 64 bitové operační systémy.
•
S mEC počítači, které budou podporovat 64 bitové operační systémy, je počítáno po roce 2014.
Řešení Instalace záplat může být méně častá díky whitelisting softwaru: •
•
Protože na počítači běží pouze schválený software, bezpečnostní záplaty mohou být instalovány méně často. Díky tomu může být méně často zastaven i provoz.
Řešení Životní cyklus mEC počítačů je možné prodloužit díky whitelisting softwaru: •
Protože na počítači běží pouze schválený software, je možné jej provozovat i po roce 2014 bez dalších bezpečnostních záplat.
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost • Trendy • Siemens řešení • Aplikační příklady
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Průmyslová bezpečnost První výrobce s certifikací Achilles Level 2 Achilles Level 2 certifikovaná PLC S7- 300 PN/DP
Achilles Level 2 certifikovaná DP ET200 PN/DP CPUs
S7- 400 PN/DP S7- 1500 PN/DP
Achilles Level 2 certifikovaná CP
CP343-1 Advanced
+ Ochrana proti DoS útokům
CP443-1 Advanced
+ Definované chování v případě útoku
CP1543-1
Zvýšená dostupnost
CP1628 CPU 410-5H
IP ochrana Mezinárodní standard
© Siemens 2014. Všechna práva vyhrazena. Industrial Security
Děkuji za pozornost! Vladimír Ševčík Promotér & konzultant Simatic NET & SCALANCE Industrial Switches & Routers Mobil: +420 731 198 738 Email:
[email protected]
siemens.com/industrialsecurity © Siemens 2014. Všechna práva vyhrazena. Industrial Security