HMS og IKT-sikkerhet i integrerte operasjoner Uønskede hendelser, oppfølging mot indikatorer og planer videre Randi Røisli CISO (Statoil) Leder arbeidsgruppe informasjonssikkerhet (OLF IO)
2 Eller historien om virusangrep 15.09.05 Håndtering av krisen Hva lærte vi av dette? Forbedringstiltak? Hvordan måle at vi gjør fremskritt?. og ja, i dette tilfellet hadde vi flaks
3 Sammensatt infrastruktur Brannvegg Teknisk nett Win2000 Statoil nett WinXP Mail-servere Win2000 Win2003
4 Hva skjedde : I slutten av august 2005, merket IT Drift en øking i trafikk gjennom brannveggen (ikke http-trafikk initiert fra Statoil) Samtidig kom det inn rapporter om pc-er med merkelig oppførsel IT fant relativt fort ut oppførselen skyldtes data-ormen ZOTOB.E Ormen bredte seg raskt Infected PCes by date and virus count 30.aug 1 01.sep 1 13.sep 11 15.sep 157 17.sep 22 31.aug 1 02.sep 1 14.sep 65 16.sep 37 18.sep 2 Vi er rimelig sikker på at smitten skyldes en tredjeparts pc som ble koblet opp i nettet
5 Fra fagpresse: Gode antivirusprogrammer er oppdaterte - Det er kun gamle Windows-operativsystemer som er utsatt, Windows 2000 og noen av de tidligste XP-utgaver, sier Audun Lødemel i Norman. Ormene ligner Sasser-ormen, som gjorde stor skade verden over i fjor. - Den gjør det samme med pc-en som Sasser-ormen. Den slår av maskinen din hele tiden, setter systemet i stang, starter igjen og går ned igjen, sier Lødemel. Høy risiko Ormene bruker port 445 i TCP/IP-protokollen, som er en del av fildelingen i Windows, og utnytter en feil i Plug-and-play. Ormen har fått stempelet "høyeste oppmerksomhet" fra alle antivirusselskapene, og McAfee har sendt ut en pressemelding der de setter risikoen for orme-angrep som "høy. fra idg.no 17-08-06
6 Ingen lenke er sterkere enn det svakeste ledd. ZOTOB.E ormen spredde seg raskt til de pc-er som ikke hadde virusprogram eller rett patche-nivå. Ormen var programmert med en call home og det var denne funksjonen vi klarte å stoppe før det ble gjort store skader (som f.eks. sletting av data på klient/ servere) Alle de infiserte pc-ene ble en del av et kontrollert nettverk Botnet (som brukes av kriminelle miljøer). Konsekvensene kunne vært formidable - lammet all produksjon offshore, stoppet raffineriene våre, all bensinsalg for 1-2-3 stasjoner osv
7 Et virkelig problem i en sårbar industri 185 klienter og servere ble infisert De fleste maskiner var koblet opp i et nett som ikke ble driftet og vedlikeholdt av den sentrale IT staben Vanskelig å finne infiserte maskiner og vanskelig å finne noen som kunne hjelpe IT taskforce jobbet 50 timer i strekk med feilretting (stort sett patching av infiserte maskiner) Mange infiserte maskiner ivaretok viktige funksjoner (med andre ord vanskelig å ta dem ned) Men like vel utrolig flaks: ingen signifikant nedetid eller system utilgjengelighet
8 Identifiserte tiltak Få på plass spesifikke retningslinjer Må forhindre at utstyr som ikke har viruskontroll tilkobles nettet Fokus på opplæring, bevisstgjøring av sluttbrukerne Endre kontraktene til leverandørene som har utstyr i vårt nett, slik de er bevisst sitt ansvar når de kobler til utstyr
9 Samtidig jobbet vi regi av OLF Mandat for Arbeidsgruppe Informasjonssikkerhet An industry guideline is required to manage identified risks satisfactorily through Control of ICT equipment brought offshore Security requirements for ICT solutions on production networks Criticality analysis and classification of ICT systems Reporting of ICT incidents
10 Retningslinje 104: 16 basiskrav til informasjonssikkerhet på norsk sokkel / integrerte operasjoner (utgitt juni 06) Gjelder både for operatører og leverandører Eksempel: ISBR #1 An Information Security Policy for process control, safety and support ICT systems shall be documented Alle 16 er gitt på www.olf.no under Retningslinjer
11 Måle grad av etterlevelse Yes No Not at all To a lesser degree To some degree To a large degree ISBR# 1 An Information Security Policy for process control, safety, and support ICT systems environments shall be documented. Has an information security policy document been specifically developed for the PCSS/ICT systems in the product environments? Does the company have a global/corporate information security policy? Has it been signed by the top management in Norway? Has the policy been written or revised during the last previous three years? To which degree is it enforced in all of the company's production environments? To which degree is the top management active in promoting the secuerity policy? To which degree are the employees in the production environment familiar with the policy? To which degree do all the employees in the production environment abide by the policy? To which degree have information security instructions and/or guidelines been develeoped for the production environments? Are these information security instructions/guidelines written/revised during the previous three years? To which degree do they prevail in all production environments? To which degree do all the employees in the production environment abide by the information security instructions/guidelines? 0-5% 6-35% 36-65% 66-95%