Cybersikkerhet og sikkerhetskritiske kontrollsystemer

Transkript

1 Cybersikkerhet og sikkerhetskritiske kontrollsystemer Maintech-konferansen 2016 Working together for a safer world

2 Oversikt Hvorfor cybersikkerhet? Risikostyring og cybersikkerhet Risikoanalyse Noen gode råd

3 Hvem er Håkon? Bakgrunn som siv.ing prosessregulering (NTNU, 2006) Forsket på optimalregulering Jobbet med risikoanalyser, pålitelighet og industriell cybersikkerhet hos LR Consulting fra 2010 Sertifisert Global Industrial Cyber Security Professional fra GIAC Erfaring fra olje og gass, jernbane og landbasert industri

4 Hvorfor informasjonssikkerhet? 1998 shit just got (almost) real. Media: En 12-åring fikk full tilgang til HMI-en til Roosevelt Dam gjennom en nettleser. (I realiteten, han var 27 år og hadde kun lesetilgang, men historien er nok til å gi folk gåsehud) War Games (1983) Roosevelt Dam 1.8 x m 3 vann

5 Slammer Worm lammet kontrollsystemene på Davis-Besse kjernekraftverk (2003) Leverandør-PC infisert T1-linje omgikk brannmurregler, spredning til kontornett Spredning til sårbar Windowsserver på industrisiden Kontrollsystemet krasjet i løpet av kort tid, HMI og alarmstyring Recovery: 6 TIMER

6 IEC ny utgave kommer i 2016 Standard for pålitelighet av sikkerhetskritiske kontrollsystemer, brukes i prosessindustrien (og olje- og gassektoren) Nytt fra ny utgave: Klausul 8.2.4: «A security risk assessment shall be carried out to identifiy the security vulnerabilities of the SIS». Innholder krav om vurdering av villede handlinger og tilfeldige feil. Inneholder krav om tiltaksplanlegging Mange selskaper har allerede interne krav for sine kontrollsystemer, mens dette vil være nytt for mange

7 Tradisjonell IT vs produksjonssytemer Kontor Hvert 3. år? Patches «kontinuerlig» Avanserte overvåkningsteknologier Konfidensialitet prioritert hva med tilgjengelighet og integritet? Produksjon Hvert år? Patches ved revisjonsstans? Eller ikke? Andre rammebetingelser (latency, robusthet på utstyr, etc.) Konfidensialitet, tilgjengelighet og integritet hva er viktig?

8 Hvor passer informasjonssikkerhet inn i risikostyringen? Risiko må ses ut fra bedriftens kontekst Konsekvensklasser av betydning: Fysiske konsekvenser (personsikkerhet, miljø, utstyrsverdi) Operasjonelle konsekvenser (nedetid) Omdømmemessige konsekvenser Juridiske konsekvenser (erstatningsrettslig, strafferettslig i spesielle tilfeller) Sikring bør være en integrert del av virksomhetens risikostyring

9 Risikoanalyse konsekvens og troverdighet Hva er den mulige konsekvensen av et dataangrep? Hvor troverdig er angrepsscenarioet? Er risikoen akseptabel for vår virksomhet, eller må tiltak treffes?

10 Produksjonssystemer krever nye verktøy Konsekvens avhenger av fysisk utstyr, ikke bare logisk utstyr IT-leverandører som tilbyr «threat intelligence» gjør oftest dette på en generisk basis Troverdigheten avhenger av flere faktorer enn «kompleksitet», som ofte er brukt som proxy for usikkerhetsmål i risikoen Hva kan vi gjøre med dette?

11 Hvem er aktørene i spillet Arnes Turmat AS som eksempel Hele verdikjeden påvirker riskoen for virksomheten gjennom angrepsflater, konsekvenser og motivasjon for angripere Ola Soldat? Leverandører Råstoff Service IT Finansiering Arnes turmat AS Grossister FLO? Arnes polarmat AS REMA 1000? Sluttbrukere Ola Nordmann? Røde kors? Greenpeace? UDI?

12 Typiske trusselaktører i industrisammenheng Cyberkriminelle Hacktivister Statlige aktører Innsideaktører

13 Har hackere noen egenskaper som påvirker troverdighet? Motivasjon Relasjon angriper-offer Hensikt Kapasitet og ressurser Tilgangspunkt? Finansielle ressurser Profilering i etterforsking: vet hva forbrytelsen er, hva slags trekk vil forbryteren sannsynligvis ha? Profilering i risikoanalyse: vet hva forbrytelsen kan være og hvem forbryteren kan være (stereotypi), hvor troverdig er gjennomføring av forbrytelsen? Kost-nytte-avveining Står kostnad i forhold til nytteverdi? Avskrekking? Kunnskap Er angrepet teknisk gjennomførbart?

14 Strukturen i en risikogjennomgang Systembeskrivelse organisasjon, verdikjede, IT-system Kritikalitetsvurdering CIA Risikoidentifikasjon: Cyber-HAZID Troverdighetsvurdering basert på aktørprofiler og systembeskrivelse Tiltaksplanlegging

15 Eksempel server for oppdateringer i kontrollnettverk ASSET: Engineering Workstation for Production Control System No real damage to company or operations Potentially serious damage to company or operations Potentially catastrophic damage to company or operations CONFIDENTIALITY Breach of confidentiality has no real impact. INTEGRITY May cause misconfiguration, leading to significant downtime and broken equipment. AVAILABILITY Unavailability of the WSUS service is not critical to operations

16 Risikogjennomgang basert på ledeord Organisasjon og ledelse Programvare og data Maskinvare Nettverk Utmatning Stress Tydelighet Kompetanse Rolleforståelse Overforbruk Tyveri Støttesystemer Tilgangseskalering Konfigurasjonsendring Sletting Sperring Degradering Man-in-the-middle Båndbredde Kryptering Spoofing DNS Protokoller VPN

17 Eksempel på Cyber-HAZID System: Engineering Workstation for driftskontrollsystem. Kritikalitet: Høy. Kategori: Programvare og data. Ledeord Trussel Konsekvens C I A Anbefaling Uautorisert tilgang Lokal bruker eskalerer privilegier på engineering workstation vha sårbarhet i Adobe Acrobat Reader Leverandør for admintilgang, kan lese alle data, endre alle innstillinger, stenge ned produksjon. x x x Oppdater Adobe Acrobat Reader Continuous. Innfør patch management for alle engineering-stasjoner. Vurder organisatoriske tiltak om nødvendig.

18 Er standardprogrammer som en PDF-leser mulige veier inn? Kilde: NIST National vulnerability database

19 Troverdighet hvordan vurdere? Scoring-system for hver hacker-kategori innenfor: Motivasjon Ressurs og kapasitet Kost-nytte Kunnskap Må kalibreres til risikokontekst (verdikjede, aktører, hva som er viktig for bedriften, kjente konflikter, etc.) Vårt case: Arnes turmat. Vi ser på trusselen mot engineering-stasjonen for produksjonslinjen. Vi kjenner til at store sluttkunder er Forsvaret og sportskjeden Enormt Extra Stor. Bedriften har et lavt lønnsnivå og hyppig bruk av vikarbyråer, og har vært i media for konflikter rundt tariffavtaler i flere år. Matkjeden RIMILIG 1234 har droppet samarbeid pga dette tidligere.

20 Hva kan hackeren oppnå (i vår lille Turmat-case) Sikkerhet: eksplosjon og brann er lite sannsynlig Miljø: utslipp til ytre miljø ikke mulig. Ødelagt utstyr / produksjonsstans: kan enkelt gjennomføres både av målrettet angrep og ved feilinnstilling. Nedetid over en uke kan medføre tapte kontrakter. Omdømme: blir det kjent at produksjonstilgjengeligheten kan lammes, kan fremtidige muligheter begrenses. Kan bidra til økonomisk tap. Juridisk risiko: regnet for liten, force majeure.

21 Hvem kan stå bak? Cyberkriminelle? Ransomware? Proxy for andre? Hacktivister? Har bedriften kunder som er mål for aktivisme? Er bedriften selv et mål for slik grunnet miljø, politikk, e.l.? Fremmede stater? Er bedriften en kritisk leverandør til for eksempel Forsvaret? Interne? Ansatte på oppsigelsestid / i alvorlig konflikt? Ubevisste feilhandlinger? Ofre for «social engineering»?

22 Profilbasert vurdering av troverdighet Arnes Turmat Kategori Motivasjon Ressursbehov Kost-nytteforhold Kriminelle Hacktivister Pengeutbetaling/utpressing. Høy sannsynlighet for å lykkes. Begrenset verdi. MIDDELS Skaffe oppmerksomhet rundt sak. Andre kanaler mer effektive. LAV Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. HØYT. Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. HØYT. Høy kostnad, begrenset nytte. LAVT. Høy kostnad, begrenset nytte. LAVT. Kunnskap Har gode tekniske kunnskaper, kan mangle kunnskap om organisasjonen. MIDDELS. Har middels tekniske kunnskaper, kan mangle kunnskap om organisasjonen. MIDDELS. Trussel troverdig? Nøytral. Nei. Stater Hindre leveranser av ressurser til viktig aktør, eller skaffe informasjon om leveransekjeder. LAV i nåværende kontekst. Krever lokal tilgang, enten ved infiltrasjon eller social engineering. Krever antakelig menneskelig kontakt. Gode ressurser for dette. MIDDELS. Middels kostnad, begrenset nytte i nåværende kontekst. LAVT. Har svært gode tekniske kunnskaper, evne til å skaffe informasjon om organisasjon uten å vekke oppsikt. HØY. Nøytral. Insidere Ramme arbeidsgiver i konflikt, hevn. HØY. Kan ha tilgang fra før, ikke noe spesielt ressursbehov. LAVT. Risiko for «å bli tatt». Kan alvorlig ramme arbeidsgiver. MIDDELS. Har spesifikke kunnskaper om systemet, kjenner organisasjonen. HØY. Ja.

23 Vi har en risikobeskrivelse hva nå? Vi er her! Planlegg tiltak som: Reduserer sannsynligheten for et angrep Reduserer konsekvensen av et angrep Mulige tiltak: a) Innfør patch management system b) Har vi mulighet til å detektere at noe har skjedd? (Logging, etc) c) Hvordan redusere troverdigheten av et insider-angrep? (Følg arbeidsmiljøloven ) d) Hvordan reduserer vi konsekvensen? Har vi trent på å håndtere dataangrep?

24 Standarder som kan hjelpe ISO Information Security Management IEC Industrial communication networks network and system security Norsk olje og gass Retningslinje 104

25 Minstemål for god sikkerhet Sikkerhetspolicy Oppdatering av programvare og hardware Kompetanse Ikke admin-tilgang for brukere Blokker ikke-godkjent programvare Tenk risikostyring og beredskap!

26 Kort oppsummert Cybersikkerhet er av økende betydning for produksjonsprosesser IEC setter fra utgave 2 krav om sikkerhetsanalyser for systemer med SIL-krav Risikovurderinger for cybersikkerhet kan og bør bakes inn i virksomhetens risikostyring Troverdighetsdimensjonen er viktig og verktøyene finnes!

27 Ta kontakt for en prat om cybersikkerhet for din verdikjede! Håkon Olsen Overingeniør II / Leder for forretningsutvikling industri og elkraft Trondheim T E hakon.olsen@lr.org Lloyd s Register Consulting Working together for a safer world Lloyd s Register and variants of it are trading names of Lloyd s Register Group Limited, its subsidiaries and affiliates. Copyright Lloyd s Register Consulting A member of the Lloyd s Register group.