Säkerhet i framtidens industrisystem

Säkerhet i framtidens industrisystem Davor Toncic - Erik Halvordsson HMS Industrial Networks AB Januari 2016

Kort intro HMS Hur ser hotbilden ut? Hur arbeter industrin idag Framåt! Säkerhet i alla lager Exempel

HMS Industrial Networks Our world Connecting Devices Industrial communication for discrete manufacturing Chicago/Boston USA Coventry UK Copenhagen Denmark Halmstad Sweden (HQ) Karlsruhe/Ravensburg Germany Beijing China Headquartered in Halmstad, Sweden Key R&D sites in Halmstad (SE) and Ravensburg (DE) Founded in 1988 3 million+ installed nodes Yokohama Japan More than 370 employees Listed on NASDAQ-OMX Nordic Exchange Turnover: 62 MEUR (2014) Mulhouse France Milano Italy Pune India Distributors 20% Growth

Industri 4.0 och IT-OT convergence i ett säkerhetsperspektiv Level X Internet IP & Ethernet Level Y ISA 95 Model IP everywhere! Systems speaking directly to each other!

Hur ser hotbilden ut?

Firewalls today

Firewalls and more firewalls Firewalls VPN VLAN Segmentation DMZ DPI

Multiple Layers of Security Cyber Security Systems and solutions preventing attacks aimed at sabotage and espionage. Typically securing data and information flows across factory, enterprise and internet including managing access and access rights INFORMATION Information Security Highly specialized security solutions aimed to protect information and information content. Network Security Products, tools and methods preventing unauthorized network access (NAC) or network traffic. This also includes functions to segment networks that restricts traffic that devices will see on a network. Infrastructure solutions to interconnect different networks and providing secure remote access interfaces is an important function in this category Device Security Security mechanism that protects a device from a malicious network attack. Either to take control of a device (intrusion?) or just to interfere with normal device functionality or in worst case crashing a device SYSTEM NETWORK DEVICE DATA System Security Traditional built-in IT solutions to prevent unauthorized access to systems and information e.g. authentication, authorization and accounting Anti-tampering Internal device security concerning executable code, configurations and other operational data critical to the device behavior Key technologies: FW signing and data encryption

Vad krävs för att utveckla ett industriellt nätverksinterface i framtiden? Device Security Security mechanism that protects a device from a malicious network attack. Either to take control of a device (intrusion?) or just to interfere with normal device functionality or in worst case crashing a device DEVICE DATA Anti-tampering Internal device security concerning executable code, configurations and other operational data critical to the device behavior Key technologies: FW signing and data encryption Certification and Standards Organisational Capabilities Technical Capabilities

En berättelse om säkerhetshotet - Heartbleed

HMS och Heartbleed buggen HMS erbjuder en molnbaserad fjärrövervakningstjänst som påverkades Heartbleed

Om Heartbleed Offentliggjord den 7 April 2014 En säkerhetslucka i Open Source biblioteket OpenSSL

Vilket hot utgjorde Heartbleed? Tillgång till den privata nyckeln säkerhetscertifikatet. Avlyssning av krypterad datatrafik Man-in-the-middle attack Logga in på HMS molntjänsten Exempel: Ändra bör-värden i en PLC. Styrenheter

Slutsatser från Heartbleed buggen Integrering av IT och OT introduceras nya typer av säkerhetsrisker. Patch Management Regelbundna uppdateringrutiner för att snabbt hantera säkerhetsrisker. Security Incidents Management Tydliga rutiner gällande hantering av tjänst och hårdvara. Säkerhet i produktutveckling: Reserverad minnearea för säkerhetsuppdateringar för att förlänga livslängden av OT produkter. Open Source/ Proprietär OT Ökande säkerhetsrisker Heartbleed Poodle Shellshock IT Tänk lager på lager. Minnesarea Reserverad minnesarea för säkerhetsuppdateringar

Exempel: Säkerhetslager vid fjärrkommunikation SMS Säkerhetscertifikat, 2-stegs verifikation av användare Accessrättigheter Krypterad datakommunikation White listing av IP addresser, portar och protokoll Internet Krypterad datakommunikation Relä som indikerar aktiv fjärrkommunikation. Lokalt godkännande av fjärråtkomst. Supervisory network Control network

Sammanfattning Långsiktigt kommer lösningar som involverar Internet att användas för att höja produktiviteten i producerande anläggningar Detta är en stor utmaning men inget vi kan undvika För tillverkare av industriella system så innefattar begreppet säkerhet både tekniska och organisatoriska aspekter

Tack! HMS Industrial Networks AB Davor Toncic - Business Development Manager Erik Halvordsson HMS Labs

Thank you for listening! www.hms-networks.com