Sikkerhet og sårbarhet i driftskontrollsystemer

Transkript

1 IPJ Brukerkonferansen / Sikkerhet og sårbarhet i driftskontrollsystemer Er det greit å sitte hjemme i sofaen og styre vannbehandlingsanlegget via nettbrettet hvor en også leser aviser og ungene leker med spill? Jon Røstum, seniorforsker SINTEF Vann og Miljø Jon.Rostum@Sintef.no 1

2 Sikkerhet innen Vannbransjen er i endring. - fra besøksanlegg i 2011 til skjermingsverdig objekt i 2014! 2

3 Kontinuerlige endringer - hendelser 3

4 Mattilsynets gjennomgang av driftskontrollsystemer (2015) 2/3 dårlige passord? 4

5 "Todays newtech is tomorrows vulnerability!" Ref: IoT

6 SMART- toalett hacking? "Overraskende" spyling Ikke spyling i det hele tatt Trekke ned i do hele tiden Kode: "0000" Illustrerer ansvaret til IT leverandører inn mot VA

7 August 2013: Mobilbank og sikkerhet? Praktisk, enkelt, (tilgjengelighet), men.. Like god sikkerhetsprogramvare som på en PC? Jailbreaking - fjerne begrensninger i telefonen? Barn bruker mobil/brett? Flere og flere app'er som krever personinfo Hva med BYOD? (Bring Your Own Device) 7

8 Februar 2014: Sikkerhetsoppdateringer Sikkerhetsfeilen som er funnet i programvaren ios og OS X for Apples produkter gjør at ondsinnede dataangripere i verste fall kan overvåke slik trafikk eller utgi seg for å være f.eks. nettbanken.

9 Juli 2013, Iphone hackes via lader Har du en smarttelefon/nettbrett med kritisk VAinformasjon, ikke lån lader av snille fremmede på en flyplass! (ref boks USB på P-plass)

10 Husker dere Maroochy Shire, Australia, 2000? / 10

11 Kunne tilsvarende hendt i Norge? (ref VG: August 2011)? Hva om dette var en som hadde mer kunnskap om skjermingsverdige objekter innen Vannforsyning enn salg av kumlokk?

12 "0000" 2011: 12

13

14 Stuxnet virus spesielt for DKS Aftenposten,

15 Det er første gang vi ser trojanere som er spesiallaget for å ta kontroll over prosess- og kontrollsystemene Det som har skjedd, er at en ansatt har brukt en USB-pinne privat eller andre steder. Den er blitt infisert med virus, som igjen blir aktivert når den brukes på en PC Den viktigste måten å beskytte seg på, er å sørge for absolutt vanntette skott mellom datanettverk som brukes til å styre maskinene, og datasystemer som brukes til kommunikasjon med omverdenen. Man må forhindre slurv ved bruk av minnebrikker og andre USB-enheter 15

16 Mye moro å finne på ebay : 16

17 BT, mai 2014: Hacking av VBA? Hvis du har den nødvendige kompetansen og kjenner hvordan systemene virker i detalj, kan du rent teoretisk åpne et damanlegg i Bergen hvis du har fysisk tilgang på kontrollsystemet seniorrådgiver Vidar Sandland i Norsk Senter for informasjonssikring

18 Søk, og I skal finne! 18

19 Driftskontrollsystemer som er åpne på www (Dagbladet) 19

20 November 2014 Dårlig sikrede styringssystemer som kobles til internett er et gjentakende problem og en stor utfordring, det har vi påpekt i flere rapporter. Det krever bevissthet og ansvarlighet fra eierne av slike systemer, sier Kjetil Berg Veire, NSM AGA benytter seg av styringssystemer fra Siemens Simatic, agas-interne-datasystemerligger-apent-pa-nett/

21 21

22 22

23 Det finnes hjelp! Rapport 195/2013: Veiledning om sikkerhet og sårbarhet i driftskontrollsystemer for VAanlegg Tema: Informasjonssikkerhet Sårbarheter Tiltak Sjekkliste 23

24 Informasjonssikkerhet - aspekter Konfidensialitet Integritet Tilgjengelighet Sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang - hackere får tilgang til hemmelig informasjon som ligger lagret i driftskontrollsystemet Sikre at informasjonen og metodene/beregningene er nøyaktige og fullstendige. - hackere som logger seg på DKS til et vannbehandlingsanlegg og endrer kjemikaliedoseringen slik at det blir over- eller underdosering Sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov - driftsoperatørene klarer ikke å logge seg på systemet for å endre verdier ved behov Hva er viktigst for vannbransjen? 24

25 Bruk av driftskontrollsystem innen VA for styring og overvåking Hva hender dersom DKS faller ut? Kommer det fortsatt rent vann? 25

26 Drivere og trender for IKT innen VA Ønske om å koble sammen administrativt nett med nett for DKS Effektivisering av driften ved å ha tilkobling til DKS også utenom vanlig arbeidstid (hjemmevakt) Avhengighet til leverandører og konsulenter og lite IT-kunnskap i egen organisasjon Økende krav og fokus fra tilsynsmyndigheter knyttet til IT sikkerhet (ønske?- realitiet 2015!!!) Raske teknologiske endringer og muligheter innen DKS (smart-telefoner, nettbrett). Økende bruk av ikke-proprietær programvare. Dette medfører at leverandører av DKS går fra å ha et totalansvar for DKS, til å bli mer ansvarlig for integrasjon av sitt produkt inn mot andre systemer. Dette medfører også økte krav til kompetanse hos VA-verket (bestiller-kompetanse, totaloversikt) Stadig mer komplekse anlegg/prosessanlegg Økt behov for måling, styring og overvåkning av hele VA (klimaendringer, service krav etc) Høyere krav til sikkerhet i samfunnet som en følge av samfunnsutviklingen Økt fare for IT- angrep mot samfunnskritiske funksjoner (nasjonalt og internasjonalt) 26

27 Man kan nå logge seg på det administrative nettet fra alle pumpestasjoner i kommunen VA-sjef, mellomstor norsk kommune Fordeler? Ulemper? 27

28 Illustrasjon av sikring av DKS NSM: S-01 Fire effektive tiltak mot dataangrep S-02 Ti viktige tiltak mot dataangrep 28

29 Sjekkliste 29

30 Sjekkliste (utdrag) gjennomgang i plenum 1. Er informasjonssikkerhet i driftskontrollsystemer godt nok forankret hos ledelsen i VAverket? 2. Har alle personlig brukernavn og passord ved pålogging av DKS? 3. Har virksomheten kontroll med hvem som har tilgang til DKS (tilgangsstyring), hvilke funksjoner de har lov til å utføre og når de har vært pålogget? 4. Er det egne PC, nettbrett etc. som bare brukes til drift og vakt? 5. Er det vurdert skille, eventuelt sikkerhetsbarrierer mellom administrative og DKS nett? 6. Er det vurdert skille, eventuelt sikkerhetsbarrierer mellom internett og DKS? 7. Har VA-verket vurdert kritikaliteten/viktigheten av de ulike utestasjoner/va-anlegg? 8. Er det foretatt geografisk sonedeling av DKS nett? 9. Er det noen anlegg som ikke kan driftes i manuell modus når man mister kontakt med utestasjonene (vannbehandlingsanlegg) 10. Dekker ROS-analyser/beredskapsplanen/beredskapsøvelsen også IKT/DKS hendelser? 11. Har VA-verket beredskap og forberedte tiltak for alternativ drift av VA-systemet ved svikt i hele eller deler av driftskontrollsystemet? 12. Er det gode rutiner for å sikre tilstrekkelig opplæring og videreutdanning av personell i informasjonssikkerhet? 30

31 Risiko- og sårbarhetsanalyse av årsaks- og konsekvenskjeder Trusler Trusler Årsakskjeder Uønsket hendelse = Barrierer og sikkerhetsfunksjoner Konsekvenskjeder Krisehåndtering gjenoppbygging, oppstart Ny stabil tilstand Risikoanalyse Sårbarhetsanalyse Hva kan gå galt? (fareanalyse) Strengere krav til vann enn avløp? Eksisterende tiltak og nye tiltak barrierer/tiltak som reduserer sannsynligheten for at noe går galt barrierer/tiltak som reduserer konsekvensene for at noe går galt Nye tiltak : nye anlegg, bedre drift og vedlikeholds rutiner, beredskap, styring etc 31

32 Husk at... De fleste sikkerhetsbrudd forårsakes av egne ansatte Med vilje eller tilfeldig Med "åpne" systemer kan hvem som helst angripe Største trussel: ignorans og manglende forståelse Hvis man ikke vet hva man skal beskytte... Kunnskap, kunnskap, kunnskap Risikovurdering, risikovurdering, risikovurdering Både tekniske og organisatoriske tiltak behøves Øvelser (dreiebøker etc) som også inkluderer svikt i DKS! 32

33 Mål: Ønsker ROBUSTE VA-systemer også med hensyn til driftskontrollsystemer/ikt Et robust VA-system kjennetegnes av å kunne opprettholde funksjonen sin (f.eks det å levere godt og nok vann) selv om VA-systemet (eller DKS) utsettes for ulike typer eksterne og interne trusler/farer 33

34 Er det greit å sitte hjemme i sofaen og styre vannbehandlingsanlegget via nettbrettet hvor en også leser aviser og ungene leker med spill? Risiko basert tilnærming konsekvensene er viktig å vurdere Trusler Årsakskjeder Uønsket hendelse Trusler Konsekvenskjeder = Barrierer og sikkerhetsfunksjoner Bevisste valg som en kan stå for i etterkant! Risikoanalyse Sårbarhetsanalyse 34

35 Strømsektoren har tatt bevisste valg knyttet til hjemmevaktsordning (168 sider ) Hentet fra Veiledning til forskrift om beredskap i kraftforsyningen (NVE, 2010) 35

36 Er ikke sikkerheten i DKS blitt mye bedre i det siste? En nyere masteroppgave fra NTNU tyder på noe annet! Angripe vi PLS! Turde ikke publisere verktøyene som ble utviklet 36

37 Dragonfly Stammer fra 2010/2011 Allment kjent i industrien først i juni 2014 "viste en spesiell interesse» farmasøytisk industri og kraftsektoren" Angriperne har brutt seg inn på hjemmesider til leverandører av kontrollsystemer, og byttet ut legitime installasjonsprogrammer (drivere etc.) med «trojanized» programvare. Intetanende kunder har så gått inn på leverandørens sider og installert det de trodde var offisielle oppdateringer, men i stedet pådratt seg en stygg infeksjon. Attacks.cfm 37

38 Er organisasjonene/kommunene klar for utfordringene? Ca "10 % av norske kommuner er på ROBEK-listen. Er disse kommunene klar for fremtidens utfordringer?" 1. Pålitelighet 2. Sensitiviet 3. Proaktiv Handlingsevne 4. Beredskapsevne 5. Læringsevne Pentagon modellen (Schiefloe, 20121)

39 Følg med på SINTEF informasjonssikkerhetsblogg 39

40 TEKNA kurs: RISIKO- OG SAMFUNNSSIKKERHET INNEN VA-BRANSJEN april 2015 NSM, FFI Fylkesmannen Kartlegging av vannverkenes sikkerhet i DKS Avløpstjenestene er helt avhengig av god driftssikkerhet i vannforsyningen (USA) Sikkerhet og risiko for vannbehandling og vannbehandlingsanlegg Risiko- og sårbarhetsanalyser - hva nå? Beredskapsplanlegging i store og små kommuner Kommunikasjonsstrategi 40

41 The Sleep Well At Night (SWAN) sover du godt om natten? Svarte svaner "oppdaget" i 1673 Teknologi for et bedre (Australia) samfunn 41