Februari 2013 Konsult vid Management Doctors AB, Analys, metodstöd, rådgivning och granskning av informationssäkerhet i företagsövergripande systemarkitekturer åt näringsliv och offentlig verksamhet Genomfört informationssäkerhetsrelaterade projekt åt ett flertal organisationer och myndigheter, t ex MSB (KBM), SLV, SV, KV m fl www.managementdoctors.se Senior forskare och lärare vid KTH, Knuten till avd för Industriella informations- och styrsystem www.ics.kth.se Föreläsare, författare och evangelist Vägledning till säkerhet i digitala kontrollsystem i samhällsviktiga verksamheter Medförfattare till Säkerhetshandbok för dricksvattenproducenter Adjungerad i utvecklingsarbetet ISO/IEC TK318 Informationssäkerhet Deltar i internationella nätverk för ökad SCADA-säkerhet Tränat SCADA/IT-säkerhet vid övningar hos INL, USA Er vision & mål? garantera säker inte ska behöva uppleva oplanerade störningar För att en organisation ska vara verkligt effektiv, måste varje del av den arbeta tillsammans mot samma mål, med insikt om att varje person och varje aktivitet påverkar och i sin tur påverkas av varandra... (Fritt översatt från TQM, Oakland, 1989 ) Säkerhet är en kvalitetsaspekt Erik Johansson 1
Februari 2013 Säkerhet? Säkerhet = Staket Bom Lås Larm Vaktbolag Kameraövervakning Rutiner för tillträde mm Ett typiskt SCADA-system* ProcessB% gränsni$% KommunikaKonsB% system% MänniskaB% maskinb% gränsni$% Integration Process% Lokala% system% Centrala% system% *SCADA,(Supervisory,Control,And,Data,Aquisi4on), dvs,system,som,samlar,in,och,förmedlar,informa4on,från,fysiska,processer,, Fri$%från%Cegrell,%T.%&%Sandberg,%U.%(1994)%Industriella,styrsystem.%SIFU%förlag,%Borås% Människa% Erik Johansson 2
Februari 2013 ldsbevakning Utbildning te behöva uppfinna hjulet på nytt Arbetsgruppen SV-SCADA har en iss omvärldsbevakning där arbetförsöker att kartlägga vad som sker former av utbildningsinsatser för att höja långsiktig ambition att genomföra olika nder inom området. Bland annat medvetandet och förmedla kunskap och a genom direkta kontakter med råd till branschen. Som ett led i detta anisationer till Svenskt Vatten men planerar Svenskt Vatten att hålla ett om aktivt deltagande på internaonferenser. I år har arbetsgrup- våren 2010. Tanken är att seminariet seminarium för sina medlemmar under tit kontakter med American Water bland annat ska baseras på resultat från ssociation (AWWA) samt besökt en årets kartläggning. onell konferens kring säkerhet i vatrn (Water Security Congress). Mer information Box 47607 117 94 Stockholm Tfn: 08-506 002 00 Fax: 08-506 002 10 svensktvatten@svensktvatten.se www.svensktvatten.se Grafisk form: Sonja Ländén, Svenskt Vatten Svenskt Vattens medlemmar vill enligt kartläggningen se ett brett stöd kring IT-säkerhet i digitala kontrollsystem. hemsida finns vidare en rad länkar och tips på litteratur för den som söker unskap inom området IT-säkerhet i kontrollsystem. Som medlem i Svenskt är du alltid välkommen att höra av dig med frågor, idéer och synpunkter. www.svensktvatten.se/säkerhet _i_it-system Andreas Wiberg, Svenskt Vatten, andreas.wiberg.svensktvatten.se Ökad IT-säkerhet inom dricksvattenområdet Svenskt Vattens satsning för ökad IT-säkerhet inom dricksvattenområdet Datorisering medför ökade möjligheter men innebär också nya risker Datoriseringen av dricksvattenförsörjningen sker i en snabb takt och inom flera områden. Olika ITsystem integreras så att verksamheten kan effektiviseras. Exempelvis kan allt fler pumpar och ventiler idag fjärrstyras och övervakas på distans. Digitaliseringen av informationsunderlag, såsom kartor över ledningsnät, underlättar kommunikation en mellan olika system och användare. Integrationen av styrsystem har pågått under en längre tid Kompletta leverantörslösningar Isolerade Patentskyddade Lång livslängd: 15-20 år Specialiserade kommunikation Bredband, fiber, mikrovågs, uppringd, seriell, etc. 100-tals olika leverantörsberoende protokoll Långsam kommunikation, t.ex. 1200 baud Licensierade radiospektrum Teknik baserad på COTS (commercial-off-the-shelf) Processorer från exempelvis Motorola, Intel, Operativsystem som Linux, Windows, inbäddade realtids OS Program - Databaser, webbservrar, webbläsare, osv IT-protokoll - HTTP, SMTP, FTP, DCOM, XML, SNMP, etc. Processnätverk ansluts/utbyter data med kontorsnätverk Ökad synlighet, effektivare affärsprocesser Fjärråtkomst till ledningscentral och fältenheter IP-nätverk Ethernet används alltmer i processnära utrustning äldre protokoll insvepta i TCP/UDP-paket nya industriella enheter har Ethernet-portar nya styrsystemarkitekturer är i princip alltid IP-baserad Erik Johansson 3
Februari 2013 Confidentiality Integrity Availability Säkerhet = Safety + Security 2013-02-04 Source: https://www.nsslabs.com/reports/vulnerability-threat-trends COTS + Ethernet + IP + Integration = säkerhetshål rt/ ms/ics-ce trol_syste n o c / v o rt.g ww.us-ce http://w Erik Johansson Maskar och virus Äldre operativsystem och applikationer DOS och DDOS kan försämra tillgängligheten Oförmåga att begränsa tillgången Obehörig åtkomst Oförmåga att återkalla åtkomst Okänd tillgång Systemloggar granskas inte Opatchade system Oavsiktlig felkonfigurering Liten eller ingen användning av anti-virus Felaktigt säkrade enheter Begränsad användning av brandväggar Felaktigt säkrade trådlösa Felaktig användning av SCADA arbetsstationer Okrypterade länkar till andra sajter Otillåtna program Lösenord skickas i klartext Onödiga program Default lösenord Öppna portar för FTP, Telnet, SNMP, HTTP mfl Problem med hantering av lösenord Känsliga utrustningar Förinstallerad säkerhetskonfiguration i OS IT-personal som skannar nätverk Opatchade routrar och switchar 4
Februari 2013 Finns det någon som skulle tänkas vilja angripa och skada er verksamhet? Har det hänt några IT-relaterade incidenter? http://www.shodanhq.com Project SHINE - SHodan INtelligence Extraction since april 2012 over 450,000 potential control system assets world-wide Source: wikipedia Erik Johansson 5
" Februari 2013 Attack på vattenverket i South Houston, Nevada Intruder Knowledge Back Doors Disabling Audits Control Systems: Packet Spoofing War Dialing Sniffers Hijacking Era of Legacy Technology" Sessions Exploiting Known Vulnerabilities Password Cracking ( Security through Obscurity ) Password Guessing Attacking IRC Based Controls Root ( From Kits Top-Floor to Shop-Floor ) Denial of Service BOT nets Zero Day Exploits Automated Probes/Scans Viruses Era of Modern Information Technology" Zombies Transition Phase Worms ( Industrial Controls goes IT ) 1980 1985 1990 1995 2000 2005 2010 Based on material from Idaho National Laboratory Total number of Malware > 99.000.000 Erik Johansson 6
Februari 2013 IntenKonal% N/A% 0%% UnintenKonal% Disgruntled" Employee Software or" Device Flaw Insider% 14%% Outsider% 47%% External " Hacker Erik Johansson Human" Error N/A% 48%% Insider% 53%% Inten:onal) 20%) Outsider% 38%% Uninten:onal) 80%) Malware" Infection Erik)Johansson ) Source: The Security Incidents Organization, www.securityincidents.org The Security Incidents Organization is a non-profit company that operates the Repository of Industrial Security Incidents (RISI) 2011 7
Februari 2013 Duqu Stuxnet FlameGauss Conficker Removable media Business Continuity planning Incident perspective Integration management Employees Education Vendors Culture Security Analyses Secure procurement Contract Specifications Practical tests & exercise Mapping of current status ändringshantering kontinuitetsplanering incidenthantering Organisatoriska aspekter Ledningens fokus och medvetenhet, delegering av ansvar och befogenheter, tilldelning av resurser mm Tekniska aspekter Aktuella nulägesbeskrivningar, sårbarhetsanalyser mm Administrativa aspekter Styrande dokument och rutiner, träning/övning/utbildning, kravställning och uppföljning, incidenthantering mm Erik Johansson utgöra ett första steg i en självutvärderingsprocess ett internt dokument för respektive organisation som kan ge en indikation om var verksamheten kan förbättras. att ge insikt om brister som kan åtgärdas för att uppnå en förbättrad informations- och IT-säkerhet. underlag för att ta fram en passande åtgärdsplan. 8
Februari 2013 Övergripande)självutvärdering)för)säkerhetsarbetet) #% med)tyngdpunkt)på)industriella)kontrollsystem)(scada)) JA% Till%viss% del% NEJ% Sammanvägt)index)=)43) % %% 4a% % % % Finns%det%styrande%dokument%vilka%vägleder%arbete%som%direkt%(eller%indirekt)%kan%komma%a$%påverka% informakonssäkerheten%för%verksamheten?% x% % % 4b% B%Inkluderar%dessa%styrande%dokument%även%hanteringen%av%industriella%kontrollsystem?% % x% % 34%% 4c% B%Har%kraven%i%dessa%styrande%dokument%uppdaterats%under%senaste%tre%åren?% % x% % % %% 1% 2% 0% 5% % %% Finns%det%inom%organisaKonen%e$%etablerat%forum%där%representanter%för%verksamheten%och% specialisbunkkoner%samarbetar%kring%aktuella%informakonssäkerhetsfrågor?% % % x% 0% 0% 1% 66%% 6% Har%alla%system,%inklusive%industriella%kontrollsystem,%en%utpekad%systemägare?% % x% % Säkerhetsarbetet%OK% Förbä$ringsmöjligheter% Genomför en självutvärdering mha checklistan Ta fram anpassade åtgärdsplaner Rapportera in ert säkerhetstal till SV Vid frågor kontakta Johanna Lindgren, Johanna.Lindgren@svensktvatten.se Anmäl er till kurser som ges av MSB/FOI www.foi.se/sik Läs handböcker och vägledningar Kontakta'mig'gärna'' om'ni'har'frågor' Erik%Johansson%% +46%70%6861133% %erik@managementdoctors.se% % Twitter:%%%erijo08% Erik Johansson 9