Cyberäkerhet i industriella styrsystem och IoT Var är riskerna? Hans Grönqvist Ph. D. hans.gronqvist@swerea.se 1
Detta är Swerea IVF Vi levererar avancerade forskningsoch konsulttjänster. Vi omvandlar ny teknik och nya metoder till praktisk nytta. Vi värnar om jordens ändliga resurser.
Ägarsammansättningen i Swerea
Lite definitioner ICS = Industrial Control System SCADA = Supervisory Control And Data Acquisition http://www.technologyuk.net/telecommunications/industrial_networks/scada.shtml 4
Var finns dom? Överallt! Styr processer i industrin. Inom tillverkning Inom processindustrin Inom kommunal verksamhet osv http://www.bbc.com/news/technology-30575104 5
En del av dessa finns inom samhällskritisk verksamhet Här har MSB ett speciellt ansvar. (Myndigheten för samhällsskydd och beredskap). I samarbete med bl.a. FOI, NCS3. (Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet). 6
Målgrupper: (Från MSB utlysning 2014) 1. Energiförsörjning 2. Handel och industri 3. Kommunalteknisk försörjning 4. Transporter 7
Målgrupper: (Från MSB utlysning 2014) 1. Energiförsörjning a) Produktion och distribution av el b) Produktion och distribution av fjärrvärme c) Produktion och distribution av bränslen (inklusive kärnbränsle) d) Hantering av kärnavfall (transport och slutförvaring) 2. Handel och industri 3. Kommunalteknisk försörjning 4. Transporter 8
Målgrupper: (Från MSB utlysning 2014) 1. Energiförsörjning 2. Handel och industri a) Produktion av farliga ämnen (primärt industrier som faller under SEVESO-avtalet) 3. Kommunalteknisk försörjning 4. Transporter Sevesoavtalet kom till pga. två större miljökatastrofer: Flixborough (UK) 1974. Utsläpp av cyklohexan och Seveso (Italien) 1976. Utsläpp av dioxin. http://www.reach-gs.eu/products.asp?lang=en&id=96 9
Målgrupper: (Från MSB utlysning 2014) 1. Energiförsörjning 2. Handel och industri 3. Kommunalteknisk försörjning a) Dricksvattenproduktion b) Dricksvattendistribution c) Avloppsförsörjning 4. Transporter a) Spårbunden trafik b) Vägtrafik c) Sjöfart och hamnar d) Flygtrafik och flygledningssystem e) Kollektivtrafik 10
Vad som saknas Alla vanliga företag och organisationer! Minns DN s reportageserie hösten 2014: DN granskar: Det sårbara digitala samhället IT-expert: Bristerna ett hot mot rikets säkerhet Bokmärk artikel Publicerad 2014-11-03 00:05 I detta fall var det ett specifikt fastighetssystem som granskades. 11
Från DN s granskning I Hedemora kyrka ingår förutom värme och ventilation även kyrkklockorna i styrsystemet. DN testade tillsammans med kyrkoherden Pontus Gunnarsson och kunde utan problem hacka oss in och sätta i gång klockorna. Det där borde inte du ha kunnat göra, säger han. http://www.dn.se/nyheter/sverige/it-expert-bristerna-ett-hot-mot-rikets-sakerhet/ 12
Vad har hänt? (Tre exempel) Dessa har det pratats mycket om Delar av Ukrainas elsystem slogs ut 2015 Oklart av vem. Stålverk i Tyskland havererade 2014 Ingen information är släppt Irans anrikningsanlägnning för kärnbränsle havererade 2009-2010 Stuxnet (finns ca. 600 000 sidor på internet om detta) Det finns massor av incidenter om man vill läsa mer 13
Sårbart? Stuxnet Kaspersky lab Industrial control systems vulnerablities statistics. Oxana Andreeva et. al. 14
Hur mycket rapporteras? 15
USA (245 incidenter rapporterade okt 2013 sept 2014) National Cybersecurity and Integration Center, part of the Department of Homeland Security. ICS-CERT Year in Review 2014. 16
Experiment av Trend Micro 2015 Man satte upp tre fejkade SCADA-system synliga mot Internet Det tog 18 h innan första attacken kom. Under 28 dagar attackerades systemen 39 ggr. från 11 länder. http://www.techweekeurope.co.uk/workspace/china-hackers-industrial-systems-trend-110506/ 17
SHODAN sökmotor Exempel som visar mängden ICS som det inte är meningen man skall komma åt. I en rapport från 2014 hade man hittat mer än 2 miljoner sådana. (Drygt 28 tusen i Sverige). https://www.scadacs.org/ 18
Reflektion. På möte i Ludvika 2013 varnade jag att mycket snart kommer en tvättmaskin att vara vägen in för hackers. (Vi pratade om smarta elnät hos ABB) Jag hade fel! Det blev ett kylskåp. http://www.businessinsider.com/hackers-use-a-refridgerator-to-attack-businesses-2014-1?ir=t 19
Sedan tekokare (2015-10-19) Citat ur artikeln: Munro says the state of internet of things security is "utterly bananas" and akin to the quality of infosec in the year 2000. http://www.theregister.co.uk/2015/10/19/bods_brew_ikettle_20_hack_plot_vulnerable_london_pots/ 20
Från: MSB Trendrapport: Samhällets informationssäkerhet 2012 Från: SvD 9/1 2015 21
21 oktober 2016 En attack som kom via uppkopplade prylar var det som stängde stora delar av Internet en fredag nyligen. 22
Utdrag ur rapporteringen Unlike other botnets, which are typically made up of computers, the Mirai botnet is largely made up of so-called internet of things (IoT) devices such as digital cameras and DVR players. We have a serious problem with the cyber insecurity of IoT devices and no real strategy to combat it, Fidler said. The IoT insecurity problem was exploited on this significant scale by a non-state group, Imagine what a well-resourced state actor could do with insecure IOT devices, he added. https://www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet 23
Är industrin beredd? ICS är ofta anslutna till Internet (via brandvägg?). Ofta väldigt öppna system. IT-lösningar köps off the shelf. Installatörer är inte IT-experter. (Det fungerar, rör inget.) Snabbt och enkelt att använda trådlösa protokoll. 24
Vägen framåt. Det finns mycket rapporterat. (Finns ingen anledning att gräva upp massor med dokumentation om risker och incidenter.) Det finns standarder och best practices för att säkra upp system. (Målgrupper från företagsledning till tekniker.) Det saknas riskmedvetenhet! Krävs ett byte av mindset i industrin. 25
Vad gör vi nu? Många attacker men än så länge begränsade skador. Kommentar jag läst: http://www.rsc.org/chemistryworld/2015/06/chemical-plants-vulnerable-cyber-attacks När en fabrik havererat kan man inte bara läsa in en backup! http://www.bbc.com/news/technology-30575104 26
Inom RISE arbetar vi med dessa frågor. Välkomna! 27
28 Vi arbetar på vetenskaplig grund för att skapa industrinytta. www.swerea.se