Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.
Agenda §
Introductie
§ §
§
2
Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN Cyber Security?
§
Achtergrond
§
Consequenties
§ §
§ Verleden § Heden § Problemen § Risico’s
Voorbeeld Wat hebben wij hieraan gedaan?
Toekomst
Snelle feiten over Lyondell
§ § § § § §
3
Eén van de 10 grootste chemische bedrijven ter wereld Vestigingen op vijf continenten Ongeveer 10,000 werknemers Leidende capaciteitsposities voor alle belangrijkste producten Voortdurende verbetering in maatregelen inzake de bescherming van het milieu En op een van de hoogste plaatsen in de branche wat betreft veiligheid op het werk
Verleden
§
Verleden:
§ Specifieke Separate Systemen (stand-alone informatiesystemen)
§ Ingebedde Software § Terminal/Host applicaties § Totaal gescheiden van kantoornetwerk (LAN/WAN) § Beheer en exploitatie bij “verschillende afdelingen” § Huidige beheersprocessen onnodig of nauwelijks toepasbaar
4
Heden §
Tegenwoordig:
§ § § § § § §
5
Veel standaard IT Hardware op het Process Control Netwerk (PIMS/SCADA, LIMS, WCS, Vibration Monitoring etc.) Geïntegreerde informatiesystemen (voor o.a. productie, planning, verkoop) Client/Server- en Internettechnologie Interface naar LAN/WAN via Firewalls Beheer door “IT-organisatie” Moet passen in de huidige IT beheersprocessen PCN wordt gezien als Business Critical (security, redundancy en disaster recovery processen noodzakelijk)
Consequenties
§ Problemen § Steeds meer standaard Wintel Hardware en standaard Netwerk Equipment op PCN
§ Veel verschillende systeem eigenaren (E&I, PA, Reliability, Lab etc.) maar beheer door IT
§ Equipment is Business Critical § DCS § Triconex (interlock system) § OPC interface (PIM/Historian data interface naar DCS) § LCS (Loading Control Systeem) § Laboratorium instrumenten 6
Problemen § §
Hardware Maintenance contracten Lifecycle planning
§ § § § § § § § § 7
Hardware lifecycle Software lifecycle – Gebruik van oude Operating Systemen (W9x, NT4) Application lifecycle - maintenance contract, software release, OS patch validatie
Security patching Virus scanners en update methodiek Back-up van configuraties en/of data Operating Systeem security hardening Disaster recovery plannen Licentie administratie
Risico’s §
Virus infecties
§ §
§
§
E-mails, modem connecties, web-sites, floppy disks, USB devices, CD-ROMS, en over het netwerk
Consequenties
§ § § §
Impact op geïnfecteerde machine; downtime Data verlies Recovery tijd Impact op de onderneming; verspreiding van infectie, netwerk overloads
Exploits op Operating Systemen (patch level)
§
§
8
Geïntroduceerd door
Geïntroduceerd door
§ §
Weloverwogen of accidental Hacking (intern/extern; risico is intern het grootst) Gebruikt door virussen
Consequenties
§
Zie hierboven
Risico’s §
Hardware falen
§ §
§
9
§ § §
Onvoldoende lifecycle, maintenance en redundancy Onvoldoende hardware condition monitoring Hardware is geplaatst in verkeerde omgeving (niet in computer ruimten)
Consequenties
§ §
Down time; verlengd door kennisgebrek, maintenance contracten, backups Loss of data
Software falen
§ §
§ §
Geïntroduceerd door
Geïntroduceerd door
§ §
Gebrek aan geplande upgrades en maintenance Geen monitoring
Consequenties
§
Downtime en data verlies
Incompliancy met License agreements Ongeautoriseerde/ongewilde impact op Process Control systemen
Voorbeeld §
§
Korgos virus incident in mei 2005
§
§ Systemen bleven rebooten Oorzaak:
§
Process Control Netwerk PC infecteerde de onderneming
§
Firewalls
(W32.Korgo.P )
§ LSASS port 445 was niet ge-blocked
§
Lyondell’s Intrusion Detection System (IDS)
§
Routers
§ 10
Laboratorium PC’s niet gepatched; resulteerde in 12 uur downtime voor een plant lab.
§ IDS herkende het virus niet, omdat port 445 verkeer werd gezien als legitiem § Geen ACLs blocking ports 445, 5554, en 9996 Niet alle PC’s binnen de onderneming op hetzelfde patch en virusdefinitie nivo
Wat hebben wij hieraan gedaan? §
Nieuwe processen en methoden voor;
§ § §
Virus scanners en update methodiek
§ §
Virus definities worden regelmatig ge-update (via firewall)
Security patching
§
Gebruik maken van onze standaard update methodiek voor MS Security Patches (MS Windows Server Update Services WSUS via firewall)
Lifecycle planning
§
Hardware lifecycle
§
Software lifecycle
§
11
Gebruik maken van onze IT standaard beveiligings-software
§ §
Gebruik maken van onze IT standaard hardware Alleen onze IT standaard Operating Systemen (WinXP voor desktops, W2003 voor server class machines)
Application lifecycle
§ § §
Herzien maintenance contracten Software releases (alleen op standaard OS) OS patch validatie met leverancier
Toekomst § § §
In de komende vijf jaar zullen nieuwe technologieën de bestaande informatiebeveiliging volledig ontoereikend maken. Technologieën zoals webservices en draadloze mobiele apparaten zullen nieuwe beveiligingslekken blootleggen in de huidige infrastructuren. Bedrijven zullen hun leveranciers meer onder druk moeten zetten om kwetsbare plekken te verwijderen voordat producten op de markt worden gebracht.
§
12
(volgens Gartner)
Door het aantal kwetsbare plekken in de software met 50 % te reduceren voordat de producten verschijnen, zouden de kosten voor configuratiemanagement en incidentenrespons met 75 % kunnen verminderen.
