Veileder BfK Kap 6 Informasjonssikkerhet med fokus på klasse 2 og 3-anlegg Frank Skapalen Seksjon for beredskap, energiavdelingen
Agenda Hvorfor strenge regler til IKT-sikkerhet? Gjennomgang av de viktigste kravene Diskusjon: Revidert BfK: hva mener dere at det er viktig å ha fokus på? 2
Hvorfor strenge krav til IKT-sikkerhet i driftskontrollsystem? 3
IKT-sikkerhet ikke bare for kraft Samfunnet er avhengige av IKT Kritisk infrastruktur helt avhengig av IKT (fly, tog, sykehus) Mobile plattformer øker dramatisk, vi trenger ikke være på kontoret i det hele tatt. Nettbanker og minibanker er ryggraden i bankvesenet. Osv, osv. og alle er avhengig kraftforsyningen! 4
Selskapenes utfordringer Økt krav til kosteffektivitet Stadig økende press for sammenkobling med administrasjonssystem for mer effektiv utnyttelse av verdikjeden Kompleksiteten øker Stadig utvidelse av kontrollsystemet AMS Mer vridning mot Smart Grid i fremtiden? 5
Hva er truslene? Trusselbildet forverres, og blir stadig mer uoversiktlig SCADA mer interessante angrepspunkt Mer press i selskapene for sterkere integrering nett-/produksjonsstyring og merkantile system (mer og mer over på Microsoft-plattform) AMS vil gjøre alt mer komplekst 6
7
Forsøk på å infiltrere prosesskontrollsystemer kan bli en av de største utfordringene samfunnet står overfor. NSM 8
9
Hvor sannsynlig? Finner ofte mye på tilsyn Overdreven tro på egen sikkerhet i driftskontrollsystemene Manglende ROS-analyser og beredskapsplan Manglende dokumentasjon Ikke kontroll på tilgangspunkter fra Internett Avstanden mellom krav og etterfølgelse er for stor 10
Det svakeste ledd Flere og flere har god fokus på perimetersikringen, men People still represent the weakest link in security for a large amount of enterprises, and that is the reason they are targeted. Rik Ferguson, Trend Micro 12
Det svakeste ledd Flere og flere har god fokus på perimetersikringen, men People still represent the weakest link in security for a large amount of enterprises, and that is the reason they are targeted. Klikk her! Rik Ferguson, Trend Micro 13
14
Hvordan skal vi møte utfordringene? Ha en sikkerhetspolicy med fokus på organisasjon, prosedyrer og sikkerhetskultur Systematisk og kontinuerlig opplæring og bevisstgjøring Implementasjon av eksisterende teknologi skal være gjennomtestet Bruk ny teknologi der det virkelig hjelper Husk at: IKT-sikkerhet BÅDE er forebygging mot uønskede hendelser OG beredskap for å håndtere uønskede hendelser 15
Regelverket er basisen Løpende helhetlig vurdering av IKT-sikkerheten Nødvendige tiltak og rutiner skal etableres og vedlikeholdes IKT-sikkerhet omfatter konfidensialitet, integritet og tilgjengelighet av informasjon og ressurser 16
6-4 Særlige krav til driftskontrollsystemer 17
i BfK relevant for IKT-sikkerhet (1) Generelle bestemmelser 1-3 Risiko-og sårbarhetsanalyse 1-1 Beredskapskonsept 1-2 Kvalitetssystem 1-4 Beredskapsplan 1-5 Øvelse Ressurser driftskontroll og samband 3-4 Drift 3-5 Gjenoppretting av funksjon 3-8 Samband 18
i BfK relevant for IKT-sikkerhet (2) ROS-analyse av klassifiserte anlegg 5-4 Analyse Sikringstiltak driftssentraler og sambandsanlegg 5-5 Sikringsnivå Krav til Informasjonssikkerhet 6-1 Generelt 6-2 Beskyttelse av Informasjon 6-3 Sikkerhetskopier Krav til driftskontrollsystemer og samband 6-4 Særlige krav til driftskontrollsystemer 6-5 Mobile radionett - driftsradio 6-6 Relésamband - vern av kraftsystem 19
Generelt om kravene Kravene omfatter både fysisk, elektronisk og administrativ sikkerhet Kravene skal sikre tilgjengelighet til utstyr, prosesser og funksjoner i driftskontrollsystemet for autoriserte brukere i henhold til tjenstlig behov og til rett tid Egne ansatte, innleid personell eller eksterne personer skal ikke ha tilgang til driftskontrollsystemet eller prosesser utover tjenstlig behov 20
Generelt (forts) Ingen utgående dataforbindelser til Internett skal kunne etableres fra driftskontrollsystemet Krav til adgangskontrollerte soner gjelder for følgende; Driftssentraler, rom med utstyr tilhørende DS, sambandsanlegg, nødstrøm, hjemmevakt-pc, fjerntilgang etc Sambandsanlegg: der det er aktuelt med tilgang for flere etater og virksomheter krav om avtaleregulert tilgang 21
Dessuten: For alle klassifiserte driftskontrollsystem skal det gjennomføres egen ROS-analyse Jf 5-5 Analyse Skal minimum oppdateres årlig Analyser for fjerntilgang skal oppdateres hver 6. mnd 22
ROS-analyse IKT-system Fullstendig dokumentasjon Grovanalyse/ sikkerhetsgjennomgang -Status beredskap og kontinuitet -Status fysisk sikring -Lover og regler - Interne krav Kartlegge prosesser Kartlegge kritiske system/ komponenter Verdivurdering - Hvilke system er mest kritiske og som ikke bør svikte? - Hvilke prosesser er kritiske for å utøve oppgavene? - Hvilke kan vi utelate i analysen? ROS-analyse tjenestenivå ROS-analyse systemnivå Tids- og ansvarsfestet handlingsplan/tiltaksplan - Kartlegge risikoer mot de kritiske systemene - Klarere risikobilde - Bevisstgjøring omkring risikoer og konsekvenser - Planlegge beredskap - Godt grunnlag for kost/- nytte for gjennomføring av tiltak. - Prevantive organisatoriske/ad ministrative tiltak (internkontroll) - Prevantive fysiske/ tekniske tiltak 23 Oppdatering styrende dokumenter/beredskapsplan/ avvikshåndtering Øve!
ROS-analyse IKT-system Fullstendig dokumentasjon Grovanalyse/ sikkerhetsgjennomgang -Status beredskap og kontinuitet -Status fysisk sikring -Lover og regler - Interne krav Kartlegge prosesser Kartlegge kritiske system/ komponenter Verdivurdering - Hvilke system er mest kritiske og som ikke bør svikte? - Hvilke prosesser er kritiske for å utøve oppgavene? - Hvilke kan vi utelate i analysen? ROS-analyse tjenestenivå ROS-analyse systemnivå Tids- og ansvarsfestet handlingsplan/tiltaksplan - Kartlegge risikoer mot de kritiske systemene - Klarere risikobilde - Bevisstgjøring omkring risikoer og konsekvenser - Planlegge beredskap - Godt grunnlag for kost/- nytte for gjennomføring av tiltak. - Prevantive organisatoriske/ad ministrative tiltak (internkontroll) - Prevantive fysiske/ tekniske tiltak 24 Oppdatering styrende dokumenter/beredskapsplan/ avvikshåndtering Øve!
6-4 a) Planer og dokumentasjon 25
Krav: Dokumentert sikkerhetspolicy Dokumentert systembeskrivelse og konfigurasjonskontroll Dokumenterte rutiner for oppdatering av dokumentasjonen ALL DOKUMENTASJON SKAL INNGÅ I KVALITETSSYSTEMET 26
6-4 b) Tilgangskontroll 27
Tilgangskontroll er krevende Kilde: NIST: SP 800-82-Guide to Industrial Control Systems (ICS) Security 28
Elektronisk beskyttelse Adskille driftskontrollsystemet fra andre systemer metoder; Fysisk atskillelse (segregerte nettverk) - ingen form for forbindelser mot driftskontrollsystemet Elektronisk atskillelse, slik at ikke uautorisert elektronisk kommunikasjon kan hoppe, smitte, spre seg eller liknende fra andre systemer til driftskontrollsystemet, eller manipuleres til slikt av uvedkommende 29
Interne datanettverk, brannmurer, logisk skille etc Særdeles streng policy ved bruk av minnepinner Ikke trådløse nettverk eller utstyr med trådløse sendere Brannmurfunksjon kombinert med segmentering av nettverk Krav til funksjoner for brannmur (utvalgte krav) Kontroll av trafikk, adresser, for virus etc All tilgang som ikke er tillatt skal sperres Forsøk på uautorisert tilgang skal avvises Ruting av eksterne linjer til avgrenset og kontrollert område (for eksempel DMZ) 30
Logging og overvåking Krav til logging av aktivitet særlig ved eksterne forbindelser Rutiner som kan avdekke uautorisert tilgang, bruk, eller forsøk på dette Bruk av IDS og eventuelt IPS Etablere effektive reaksjonsrutiner for å håndtere alarmer/hendelser 31
Tilgang for autoriserte brukere (1) Selskapet må ha dokumenterte rutiner og tiltak for; kontroll og rutiner for autorisering av rettmessige brukere. autentisering av rettmessige brukere (passord, biometri og smartkort eller kombinasjoner). å sikre at autentiseringen er tilstrekkelig, eksempelvis kontroll av passord (lengde, innhold) og/eller samtidig bruk av to autentiseringsløsninger ved pålogging. 32
Tilgang for autoriserte brukere (2) å skifte passord. å sikre at utstyr som forlates ikke skal kunne brukes av uvedkommende (avlogging). å differensiere autoriserte brukeres ulike rettigheter ved tilgang (eksempelvis lese, endre, koble) i henhold til tjenstlige behov. Viktig å differensiere tilgang og rettigheter etter behov! 33
Hjemmevakt - driftsoperatør Klasse 3: Ikke tillatt med tilgang fra hjemmevakt Klasse 2: Framvisning av tilstand i nettet/anlegg samt alarmer kan tillates. Kobling tillates ikke. Klasse 1: Kobling i nett kan tillates 34
Hjemmevakt generelt (1) Fjerntilgang skal vurderes svært restriktivt - kun ved nødvendig behov Det kreves særskilt ROS-analyse og forsterkede sikkerhetsrutiner for fjerntilgang for IKT drift tilsvarende hjemmevakt for driftsoperatør Ved bemannet driftssentral bør tilgangen; være forhåndsavtalt og varslet spesifikt tillates av leder DS-vakt være tidsbegrenset 35
Hjemmevakt generelt (2) Bruk av sikker kanal for kommunikasjon (for eksempel VPN med sterk kryptering av forbindelse) Sterk bruker-og utstyrsautentisering (minimum to-nivå autentisering av brukere, feks engangspassord) 36
Hjemmevakt generelt (3) Selvstendig fjerntilgang til funksjoner for administrasjon av sikkerhet og systemrettigheter (tilsvarende systemadministrator) er ikke tillatt Sambandsvei mellom utstyr hos hjemmevakt (alle typer) og driftskontrollsystem skal oppfylle alle krav til systemsikkerhet på lik linje med øvrige samband i driftskontrollsystemet. God virusbeskyttelse og oppdatering av denne Tilgangskontroll i brannmur 37
Ekstrakrav hjemmevakt klasse 3 Svært høyt sikringsnivå rundt oppkobling (VPN, 2-faktor) Oppkobling fra hjemmevakt skal kun skje dersom det er absolutt nødvendig og etter tillatelse fra DS DS skal terminere oppkobling etter utført arbeid Vurdere bruk av IDS og IPS Alt arbeid skal logges 38
Maskinvare hjemmevakt Utstyret skal kun ha nødvendig programvare for å kunne koble seg opp mot driftskontrollsystemet. Maskinene skal ha krypterte harddisker Det er ikke tillatt å bruke utstyret til annet formål! 39
Fjerntilgang fra leverandør (1) Egen analyse Fjerntilgang fra leverandør skal vurderes restriktivt og være under særlig god kontroll hos enheten. Fjerntilgang skal ikke tillates mot utstyr i driftskontrollsystem med ubemannet driftssentral Leverandører skal ikke ha tilgang til funksjoner for administrasjon av sikkerhet og systemrettigheter (tilsvarende systemadministrator) eller operative driftsfunksjoner (tilsvarende driftsoperatør) 40
Fjerntilgang fra leverandør (2) Det kreves forsterkede sikkerhetsrutiner for fjerntilgang fra leverandør som for hjemmevakt. I hvert enkelt tilfelle skal oppkoblingen: være forhåndsavtalt og varslet spesifikt tillates av enheten være tidsbegrenset Enheten må påse at det gjennomføres tilsvarende sikkerhetstiltak, dokumentering av tiltakene og rutiner for kontroll hos leverandør som hos egen virksomhet 41
Programfeil/svakheter, bakdører og ondsinnet programvare Dere må; Stille krav til leverandører gjennom skriftlige avtaler om at det er uakseptabelt med tilsiktede sikkerhetshull for viktig programvare som leveres til kraftforsyningen Stille krav til årvåkenhet og sikkerhetspolicy hos de ansvarlige hos alle parter Gjennomføre en systematisk oppfølging og implementering av sikkerhetsoppdateringer/nye versjoner etter hvert som feil og svakheter oppdages 42
Programfeil/svakheter, bakdører og ondsinnet programvare Kreve at leverandører gjennomfører tilsvarende systematiske oppfølginger og implementeringer av sikkerhetsoppdateringer/nye versjoner Sørge for gode varslingsrutiner til/fra leverandører vedrørende ondsinnet programvare 43
Konfigurasjonskontroll og lignende Alle endringer i konfigurasjonen skal planlegges, evalueres i forhold til sikkerhet og dokumenteres. Fokus; Endringer/oppdateringer av operativsystem og annen programvare. Tilkobling av eksterne forbindelser (husk analyse!). Innføring og utfasing av lagringsmedier. 44
6-4 c) Systemsikkerhet 45
Redundans Ingen enkeltfeil eller hendelse skal kunne sette driftskontrollsystemet eller viktige funksjoner ut av drift. N-1 kriteriet Dublering og separering 46
Redundans (1) Metode 1: Dublering og separering på alternativt sted, med tilstrekkelig fysisk avstand. Eksempel: Den andre prosessmaskinen, med tilhørende nødvendig utstyr som sambandskomponenter, nødstrøm og kjøling, er plassert i et annet bygg. Metode 2: Dublering og separering på samme sted. Eksempel: Begge prosessmaskiner i hver sin branncelle i samme bygg. 47
Anlegg i klasse 2 og 3 Metode 1 X Y Z Anlegg bemannes etter behov Tale- og datasamband System A System B Nøddrift fra alternativt sted System A og B m/driftssentral på forskjellige steder 48
Anlegg i klasse 2 og 3 X Y Z Metode 2 Anlegg bemannes etter behov Tale- og datasamband System A System B Nøddrift fra alternativt sted System A og B m/driftssentral i samme bygg 49
Redundans (2) Metode 3: I noen tilfeller kan lokalstyring i kraftforsyningsanlegg godkjennes som redundans. Det forutsetter lokal kontrollutrustning, samt tilstrekkelig bemanning og kompetanse. Fallback i form av ulike alternativer og reserveløsninger eller i ulike kombinasjoner av disse metodene. 50
Anlegg i klasse 2 og 3 Metode 3 X Y Z Lokalt bemannede anlegg Talesamband Driftsledelse sted A Driftsledelse sted B Lokal bemanning med mulighet for driftsledelse på forskjellige steder. 51
Alternativ driftsløsning Enheten må i ha alternative driftsløsninger for å kunne håndtere situasjoner med svikt i de redundante systemene. Driftsløsningen må minst omfatte samband, nødstrøm og kompetanse, hvorav kun de viktigste funksjonene blir ivaretatt på et minimumsnivå. 52
Gjenopprettingsevne Klasse 3: Gjenoppretting av funksjonstap skal skje straks Klasse 2: Gjenoppretting av funksjonstap skal skje raskt. Klasse 1: Funksjonstap skal kunne gjenopprettes innen rimelig tid. 53
Samband Driftskontrollsystemets samband omfatter alle samband som fører signaler for data og tale mellom driftssentral og kraftforsyningsanleggene som styres, men ikke lokalt inne i selve kraftforsyningsanlegget (frem til RTU). Driftskontrollsystemer i klasse 3 skal kunne fungere uavhengig av offentlige nett og tele tjenester. 54
Fiber Egen fiber Svart fiber Full kontroll på endeutstyret, forsterkere og fiberføring Kanal i eksisterende fiber Kun klasse 2, med full kontroll på endeutstyr og fiberføring. 57