Säkerhet i industriella styrsystem. Problemformulering. Hans Grönqvist Ph. D.

Transkript

1 Säkerhet i industriella styrsystem Problemformulering Hans Grönqvist Ph. D. hans.gronqvist@swerea.se 1

2 Lite definitioner ICS = Industrial Control System SCADA = Supervisory Control And Data Acquisition 2

3 Vad har hänt? 1982 CIA Trojan Causes Siberian Gas Pipeline Explosion 1985 Union Carbide Chemical Leak West Virginia 1988 PLC Password Change 1989 Oil Company SCADA System Impacted by RF Interference 1991 Computer Error at Sellafield Nuclear Plant in UK 1992 Computer Sabotage at Nuclear Power Plant 1996 Omega Engineering Sabotage 2010 Malware Targets Uranium Enrichment Facility (Stuxnet) 2014 German Steel Mill Cyber Attack Från RISI Online Incident Database 3

4 Stuxnet Denna trojan var den som fick mycket uppmärksamhet. Syftet var att sabotera Irans anrikningsanläggning för kärnbränsle. Utnyttjar säkerhetshål i Windows och Siemens programvara för PLC. Skapades troligtvis av USA och Israel. Googlar man på Stuxnet hittar man idag över sidor. Dock, pratar man med industrin är det ofta okänt. 4

5 Varifrån kommer hoten? Mycket är internt. Samma processer som ledde fram till Ludditerna i England Interna fel vid t.ex. uppdateringar. Industrispionage? Krigföring? Ekonomisk brottslighet? 5

6 Hur mycket skräppost kommer det? Rapporter på senare tid varnar för att syftet med spam-mail också handlar om att öppna vägen in för andra typer av skadlig kod. Mycket handlar förstås om att stjäla personlig information eller bara försöka sälja varor. M3AAWG_ Q2_Spam_Metrics_Report16 6

7 Är industrin beredd? ICS är ofta anslutna till Internet (via brandvägg?). Ofta väldigt öppna system. IT-lösningar köps off the shelf. Installatörer är inte IT-experter. (Det fungerar, rör inget.) Snabbt och enkelt att använda trådlösa protokoll. 7

8 Finns det någon som arbetar med dessa frågor? MSB. (Myndigheten för samhällsskydd och beredskap). FOI. NCS3 (Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet). 8

9 Målgrupper: (Från MSB utlysning 2014) 1. Eneriförsörjning a) Produktion och distribution av el b) Produktion och distribution av fjärrvärme c) Produktion och distribution av bränslen (inklusive kärnbränsle) d) Hantering av kärnavfall (transport och slutförvaring) 2. Handel och industri a) Produktion av farliga ämnen (primärt industrier som faller under SEVESO-avtalet) 3. Kommunalteknisk försörjning a) Dricksvattenproduktion b) Dricksvattendistribution c) Avloppsförsörjning 4. Transporter a) Spårbunden trafik b) Vägtrafik c) Sjöfart och hamnar d) Flygtrafik och flygledningssystem e) Kollektivtrafik 9

10 Vad som saknas Alla vanliga företag och organisationer! Minns DN s reportageserie hösten 2014: DN granskar: Det sårbara digitala samhället IT-expert: Bristerna ett hot mot rikets säkerhet Bokmärk artikel Publicerad :05 I detta fall var det företaget Kabonas fastighetssystem som granskades. 10

11 Från DN s granskning I Hedemora kyrka ingår förutom värme och ventilation även kyrkklockorna i styrsystemet. DN testade tillsammans med kyrkoherden Pontus Gunnarsson och kunde utan problem hacka oss in och sätta i gång klockorna. Det där borde inte du ha kunnat göra, säger han. 11

12 SHODAN sökmotor Exempel som visar mängden ICS som det inte är meningen man skall komma åt. I en rapport från 2014 hade man hittat mer än 2 miljoner sådana. (Drygt 28 tusen i Sverige). 12

13 Dagens buzz words Detta sker samtidigt som vi pratar om: Digitalisering. Industri 4.0. Den uppkopplade fabriken. Internet of tings. 13

14 Från: MSB Trendrapport: Samhällets informationssäkerhet 2012 Från: SvD 9/

15 Reflektion. På EMC-mötet i Ludvika 2013 varnade jag att mycket snart kommer en tvättmaskin att vara vägen in för hackers. (Vi pratade om smarta elnät hos ABB) Jag hade fel! Det blev ett kylskåp. 15

16 Experiment av Trend Micro 2015 Man satte upp tre fejkade SCADA-system synliga mot Internet Det tog 18 h innan första attacken kom. Under 28 dagar attackerades systemen 39 ggr. från 11 länder. 16

17 USA (245 incidenter rapporterade okt 2013 sept 2014) National Cybersecurity and Integration Center, part of the Department of Homeland Security. ICS-CERT Year in Review

18 Samhällets kostnader? Svårt att säga. UK Office of Cyber Security and Information Assurance: Cybercrime cost UK 27 billion every year. 18

19 Vad gör vi nu? Många attacker men än så länge begränsade skador. Kommentar jag läst: När en fabrik havererat kan man inte bara läsa in en backup! 19

20 Vägen framåt. Det finns mycket rapporterat. (Finns ingen anledning att gräva upp massor med dokumentation om risker och incidenter.) Det finns standarder och best practices för att säkra upp system. (Målgrupper från företagsledning till tekniker.) Det saknas riskmedvetenhet! Krävs ett byte av mindset i industrin. 20

21 21 Vi arbetar på vetenskaplig grund för att skapa industrinytta.