Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?

Størrelse: px

Begynne med side:

Download "Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius?"

Arnold Edvardsen
5 år siden
Visninger:

1 VA-dagene Midt-Norge 2018 Cybersikkerhet for vannbransjen Fra Jon Bing til Jon Gelius? Martin Gilje Jaatun

2 Februar Maroochy Shire, Australia 2

3 3

4 Nå forestill deg alle disse på internett 4 Illustration by Jason Bolonski; CC BY 2.0

Stuxnet http://www.stevemccranie.com/thoughts/?

jpg Dragonfly? DUQU? 5 http://warincontext.

5 Stuxnet Dragonfly? DUQU? 5 Flame?

6 6

7 Google Maps for Fun and Profit 7

8 South Houston, Texas 8 Siemens Simatic MMI tilgjengelig fra internet Passord på tre tegn er ikke mye bedre enn "0000" ( ) the default password for Siemens SIMATIC is 100. There are three different services that are exposed when Siemens SIMATIC is installed; Web, VNC, and Telnet. The default creds for the Web interface is Administrator:100 and the VNC service only requires the user enter the password of 100 B.K. Rios

9 Hvor vanskelig er det å finne en Simatic PLS? 9

10 Og skadevaren tar ingen ende Spoken here! IEC IEC IEC OLE for Process Control Data Access (OPC DA) 10

11 Digitalisering gjør oss i stand til å gjøre mer med mindre men gjør oss også mer sårbare for cyberangrep DU må bekymre deg for cybersikkerhet i din vanninfrastruktur Cybersikkerhet må bli en del av risikovurderinger Sikkerhet skal bygges inn, ikke ettermonteres "Luft-skillet" er sannsynligvis en luftspeiling 11

12 Kan du gå tilbake til manuell drift 12

13 når du ikke lenger har folk til sånt? 13 Illustration by Kitmondo PPM CC BY 2.0

STOP-IT til unnsetning! 14 http://www.stop-it-project.

14 STOP-IT til unnsetning! 14 Strategic, Tactical, Operational Protection of Water Infrastructure against Cyber-physical Threats H2020 CIP-01 "Innovation Action" Ledes av SINTEF Byggforsk (Rita Maria Ugarelli) 22 Partnere Kombinering av eksisterende produkter med ny teknologi og prosesser for å forbedre cyber-fysisk sikkerhet for VA-verk

STOP-IT Solutions - Risk assessment and treatment framework - Secure wireless sensor communications module - Toolbox of technologies for IT and supervisory control and data acquisition (SCADA)

15 STOP-IT Solutions - Risk assessment and treatment framework - Secure wireless sensor communications module - Toolbox of technologies for IT and supervisory control and data acquisition (SCADA) security - Toolbox of technologies for protection against physical threats - Cyber threat incident service - Real-time anomaly detection system - Public warning system secure information exchange technologies - Reasoning engine - Enhanced visualization interface for water utilities 2

16 Det finnes hjelp å få! 16

17 Aktuelle grunnprinsipper for IKTsikkerhet for VA-virksomheter Følger NSM sine anbefalinger 17

Verdivurdering av informasjonen innen VA 18 Lagres hos Lagringss leverandø Sikkerhets Personinformasjon Sensitive personopplysni Totalvurdering av Identifisert aktiva Eier Hjemmel ted r loven?

medium 1 2 2 5 Drifts- og vedlikeholdsplaner Drift Nei Nei Nei Nei lav medium medium 1 2 2 5 Hovedplaner Plan Nei Nei Nei Nei Ja lav medium medium 1 2 2 5 Hydrologiske data Plan Server Nei Nei Nei

18 Verdivurdering av informasjonen innen VA 18 Lagres hos Lagringss leverandø Sikkerhets Personinformasjon Sensitive personopplysni Totalvurdering av Identifisert aktiva Eier Hjemmel ted r loven? nger Skylagring K I T K I T kritikalitet Lokalt, Beredskapsplanverk Drift DVF perm Nei Nei Nei Nei Nei lav medium høy Dagbok/driftshendelser Drift Gemini VA Ja Nei Nei Nei Ja lav medium medium Drifts- og vedlikeholdsplaner Drift Nei Nei Nei Nei lav medium medium Hovedplaner Plan Nei Nei Nei Nei Ja lav medium medium Hydrologiske data Plan Server Nei Nei Nei Nei Ja lav medium medium Kommunikasjonsstrategi Drift Nei Nei Nei Nei Ja lav medium høy Ledningsnettdatabase GIS Arkivlov, Offentlig hetslov Ja Nei Nei Nei Ja lav medium medium osv Rammeavtaleliste Plan Arkivlov, Nei Nei Nei Nei lav lav medium ROS-analyser Plan DVF Server Nei Nei Nei Nei lav medium medium Tegninger høydebasseng GIS PBL, Ja Nei Nei Nei lav medium medium Tegninger overløp GIS PBL Ja Nei Nei Nei lav medium medium Vannkilde Plan DVF Nei Nei Nei Nei lav medium medium En må vite hva en har av informasjon!

Gjennomføre inntrengingstester for å avdekke sårbarheter i

sikkerhetsbarrierene gode nok? Er det noen bakdører?

Tester: Innside test (man er på innsiden av løsningen, hva

19 Gjennomføre inntrengingstester for å avdekke sårbarheter i infrastruktur og løsninger «Hvit hatt» hacker: Er sikkerhetsbarrierene gode nok? Er det noen bakdører? Er det noen sårbarheter? Tester: Innside test (man er på innsiden av løsningen, hva kan man få til?) Utvendig test (Kommer man gjennom fra utsiden via sky?) Avdekkede sårbarheter fjernes 19

20 Vannbransjen ER/skal OGSÅ i sky! En av fordelene ved å bruke skytjenester er at det forbedrer sikkerheten Hans Christian Pretorius, Direktør Cybersecurity Nasjonal Sikkerhetsmyndighet 20

21 Forholdet mellom VA-virksomhet, tilbydere, og nettskystjenester Sjekklisten kan hjelpe! VA-verk Tjenestetilbyder 21 Nettskytilbyder(e)

22 Utviklingen av ledningsdata i sky i Norge Vekst i antall kunder Sky Hybrid Lokal juli 2013 september 2013 november 2013 januar 2014 mars 2014 mai 2014 juli 2014 september 2014 november 2014 januar 2015 mars 2015 mai 2015 juli 2015 september 2015 november 2015 januar 2016 mars 2016 mai 2016 juli 2016 september 2016 november 2016 januar 2017 mars 2017 mai 2017 juli 2017 september 2017 november 2017 januar 2018 mars 2018 mai 2018 juli Graf fra Powel

23 Spørsmål? Technology for a better society

Like dokumenter

«SKJØNNER VANNBRANSJEN FORTSATT IKKE AT DEN IKKE FORSTÅR SEG PÅ INFORMASJONSSIKKERHET?» Jon Røstum, sjefstrateg Powel

«SKJØNNER VANNBRANSJEN FORTSATT IKKE AT DEN IKKE FORSTÅR SEG PÅ INFORMASJONSSIKKERHET?» Jon Røstum, sjefstrateg Powel Hvem av dere er det som jobber med informasjonssikkerhet til daglig? HAR DERE HØRT