Proba odpowiedzi na pytanie czy elementy automatyki przemyslowej w przedsiebiorstwach przemyslowych naprawde sa bezpieczne? Czy niewiele informacji o wlamaniach do nich to rzeczywiscie dowod na to, ze wlamania do nich nie maja miejsca? Czy na pewno? I kilka podstawowych wskazowek jak zmniejszyc ryzyko takich wlaman..
2. Automatyka przemysłowa
– podatność na ataki
duża szansa na owocną współpracę
pomiędzy IT, Utrzymaniem Ruchu i Automatykami
w przedsiębiorstwach przemysłowych
Marek Niziołek
CIO Grupa Synthos SA
elektronik AUTOMATYK (mgr inż.), PMP, ITIL Expert, MBA
SCRUM MASTER, Agile Practitioner
3. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
AGENDA
I. Przykłady ataków na instalacje automatyki przemysłowej ze strony IT – słabe
punkty, sposoby działania, ryzyka
II. Systemy automatyki przemysłowej – słabe punkty,
III. Podstawowe metody zabezpieczeń automatyki przemysłowej
4. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
TEZY
I. Cyberprzestępczość może stanowić dzisiaj duże i coraz większe
zagrożenie również dla automatyki przemysłowej
II. Dzisiejsze cyberataki na automatykę przemysłową to już nie tylko ryzyko
utraty danych, ale też ryzyko znaczących strat w fizycznej
infrastrukturze przedsiębiorstw - a tym samym duże zagrożenie dla
działalności wielu przedsiębiorstw przemysłowych
III. Warto zastosować sprawdzone w obszarze ogólnego IT przedsiębiorstw
metody zabezpieczania przed cyberprzestępczością dla sieci automatyki
przemysłowej, ale z dodatkowymi poziomami separacji obszarów
sterowania automatyką przemysłową od ogólnej sieci teleinformatycznej
przedsiębiorstwa i ogólnego dostępu z internetu
5.
6. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
Kauczuk Syntetyczny
- najważniejszy produkt Grupy Synthos
7. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
7
Synthos SA
● Zakłady produkcyjne ulokowane w sercu Europy, blisko głównych klientów
● Product groups
● Roczna produkcja zaawansowanych kauczuków 355 000 ton
● Produkcja środków termoizolacji oraz pochodnych styrenu 335 000 ton
● Dyspersje, kleje i lateksy 50 000 ton
● Łącznie z monomerami łączna roczna produkcja to 1 160 000 t
● Zatrudnienie: 2 200 pracowników, 16 doktorów nauk ścisłych
Przychody wg geografii (2014) Przychody wg grup produktów (2014) Ilości w podziale na branże klientów (2014)
1 2 4 1
8. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
I. Czy ataki cyberprzestępców na instalacje
automatyki przemysłowej to dzisiaj
rzeczywiste zagrożenie?
- Przykłady cyberataków na instalacje automatyki
przemysłowej
– cele, metody , skutki
9. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
Cyberatak na rurociąg transsyberyjski – 1982
10. 1982 - Atak na rurociąg
transsyberyjski
Cel: utrudnienie uruchomienia
rurociągu, dywersja
11. 1982 - Atak na rurociąg
transsyberyjski
Cel: utrudnienie uruchomienia
rurociągu, dywersja
Podwójny rosyjski szpieg
Vladimir Ippolitovich Vetrov
(1932-1985)
pseudo „FAREWELL”
Metoda: przekazanie
nieprawdziwych specyfikacji
technicznych szpiegom
przemysłowym, a „podrzucenie” do
nielegalnego wykorzystania
oprogramowania SCADA zarażonego
wirusem
13. Metoda: Zainfekowanie
oprogramowania sterującego
automatyką rurociągów wirusem
typu koń trojański – przejęcie
częściowej kontroli nad sterowaniem
rurociągiem
Skutki: utrudnienia w eksploatacji, przerwy w działaniu rurociągu
1999 Atak na rurociągi
należące do GAZPROM
Cel: uszkodzenie urządzeń,
wstrzymanie pracy urządzeń
przesyłowych
14. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
Atak na ośrodek wytwarzania
wzbogaconego uranu w Natanz w Iranie - 2010
15. 2010 Atak na zakłady wytwarzania
wzbogaconego Uranu w Natanz w Iranie
16. 2010 Atak na zakłady wytwarzania
wzbogaconego Uranu w Natanz w Iranie
Cel: utrudnienie na drodze do
produkcji broni atomowej w Iranie
przez fizyczne uszkodzenie wirówek
do wzbogacania uranu
Metoda: wprowadzenie do podsieci automatyki
przemysłowej zamaskowanego oprogramowania
szpiegującego nowej generacji STUXNET, które w 1-szym
kroku wyszukuje czy w sieci są interesujące układy
automatyki Siemens sterujące wirówkami. Następnie
oprogramowanie pobiera instrukcje wykonawcze którymi
modyfikuje program sterowania, aby w niezauważalny
sposób zwiększyć szybkość obrotów wirówek i
doprowadzić do ich zniszczenia.
Skutki: uszkodzenie ok. 1 tysiąca wirówek do
wzbogacania uranu (1/5 wszystkich)
17.
18. 2010 Atak na zakłady wytwarzania
wzbogaconego Uranu w Natanz w Iranie
Cel: usunięcie danych z
komputerów światowego lidera
w produkcji ropy naftowej
Metoda: wprowadzenie do sieci
przedsiębiorstwa samoreplikującego się
wirusa Shamoon, który kasował dane z
dysków twardych komputerów
Skutki: zarażenie ok 30 tys. komputerów, wykasowanie danych , m.in.
receptur produkcyjnych, opisów procesów technologicznych, projektów
technicznych. Paraliż działalności na kilka dni, przywracanie danych przez
2 tygodnie, całkowita utrata części danych technologicznychW niedługim czasie po awarii Iran wycofał się z
programu zbrojeń atomowych!
19. Metoda: Zainfekowanie komputerów elektrowni w Ohio
robakiem Slammer, który zorganizował atak typu DoS
(Denial of Service)
Skutki: na pięć godzin elektrownia została sparaliżowana –
praktycznie pozbawiona kontroli przez pracowników
2003 Atak na elektrownię
atomową w Ohio USA
Cel: dywersja, informatyczny atak
terorystyczny
20. Metoda: ataki m.in. na systemy
SCADA przy pomocy robaka
mailowego Night Dragon
Skutki: kradzież informacji, blokowanie stron www,
kradzież danych dostępowych oraz czasowe zakłócenia
w pracy elementów automatyki przemysłowej
2009 Cyberatak na systemy
SCADA w Exxon, Shell, BP
Cel: kradzież danych
technologicznych
22. 2012 Atak na Saudi Aramco
w Abqaiq w Arabii Saudyjsiej
23. 2012 Atak na Saudi Aramco
w Arabii Saudyjskiej
Cel: dywersja, usunięcie danych z
komputerów światowego lidera w
produkcji ropy naftowej
Metoda: wprowadzenie do sieci przedsiębiorstwa
samoreplikującego się wirusa Shamoon, który kasował dane z
dysków twardych komputerów
Skutki: zarażenie ok 30 tys. komputerów, wykasowanie danych
, m.in. receptur produkcyjnych, opisów procesów
technologicznych, projektów technicznych. Paraliż działalności
na kilka dni, przywracanie danych przez 2 tygodnie, utrata
części danych technologicznych
24. 2012 Atak na Saudi Aramco
w Arabii Saudyjskiej
Skutki: zarażenie ok 30 tys. komputerów, wykasowanie danych , m.in.
receptur produkcyjnych, opisów procesów technologicznych, projektów
technicznych. Paraliż działalności na kilka dni, przywracanie danych przez
2 tygodnie, całkowita utrata części danych technologicznych
25. Metoda: pozyskanie haseł
dostępowych m.in. do SCADA
poprzez socjotechniki / pishing –
uzyskanie dostępu do systemów IT,
m.in. przejęcie sterowania nad
urządzeniami automatyki
przemysłowej
Skutki: - kradzież dokumentacji technologicznej,
- gwałtowne zamknięcie = uszkodzenie wielkiego pieca hutniczego,
czyli ogromne straty finansowe
2014 Atak na niemiecką
Hutę Stali
Cel: uszkodzenie instalacji hutniczych
26. Metoda: przekazanie nieprawdziwych
specyfikacji technicznych szpiegom
przemysłowym, a „podrzucenie” do
nielegalnego wykorzystania oprogramowania
SCADA zarażonego wirusem
Skutki: eksplozja rurociągu, opóźnienie
rozruchu, przerwy w przesyle
2014 Wirus Hadex w
oprogramowaniu SCAD
producentów
Cel: utrudnienie uruchomienia
rurociągu, dywersja
Metoda: Cyberatak na środowisko IT
producentów oprogramowania SCADA –
zainfekowanie wersji instalacyjnych ich
oprogramowania zaawansowanym,
trudno wykrywalnym wirusem Havex
Skutki: wiele instalacji automatyki przemysłowej w Europie
podatnych na cyberataki – kradzież danych i przejmowanie kontroli
nad instalacją
2014 Wersje instalacyjne
oprogramowania SCADA
zainfekowane zaawansowanym
robakiem Havex
Cel: stworzenie możliwości dostępu do
danych technologicznych i sterowania
automatyką przemysłową w firmach
korzystających z tego oprogramowania
SCADA
27. Metoda: Zaawansowane,
wielościeżkowe ataki informatyczne
na sieci teleinformatyczne firm
technologii lotniej – instalowanie
oprogramowania zbierającego i
wysyłającego dane technologiczne do
serwerów sterujących
Skutki: kradzież danych, wyciek rozwiązań technologicznych dla
najbardziej zaawansowanych na świecie technologii lotniczych m.in.
do Chin
2011-2015 Cyberataki na firmy tworzące rozwiązania
technologiczne dla nowego myśliwca 5-tej generacji F - 35
Cel: przejmowanie zaawansowanych
technologii wojskowych
28. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na
automatykę przemysłową – METODY I SKUTKI
Pozyskanie dostępu do systemów sterowania instalacjami produkcyjnymi:
- wejście cyberprzestępców od strony sieci internet / korporacyjnej sieci IT
- wejście poprzez zawirusowane oprogramowanie dostarczone przez przenośne nośniki USB
- uzyskanie dostępu do sieci sterowania automatyką przemysłową poprzez prawdziwe loginy i hasła
pozyskane dzięki socjotechnikom od pracowników
Szkodliwe działania:
- Kradzież danych (technologie, ustawienia, hasła itd.)
- Zablokowanie atakowanemu możliwości sterowania częścią lub całością procesów
technologicznych
- Przejęcie kontroli nad urządzeniami automatyki przemysłowej - działania sabotażowe mające na
celu uszkodzenie instalacji
29. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE
I. Cyberprzestępczość dzisiaj stanowi duże i coraz większe zagrożenie
również dla automatyki przemysłowej
II. Dzisiejsze cyberataki na automatykę przemysłową to już nie tylko ryzyko
utraty danych, ale też ryzyko znaczących strat w fizycznej
infrastrukturze przedsiębiorstw - a tym samym duże zagrożenie dla
działalności wielu przedsiębiorstw przemysłowych
III. Warto zastosować sprawdzone w obszarze ogólnego IT przedsiębiorstw
metody zabezpieczania przed cyberprzestępczością dla sieci automatyki
przemysłowej, ale z dodatkowymi poziomami separacji obszarów
sterowania automatyką przemysłową od ogólnej sieci teleinformatycznej
przedsiębiorstwa i ogólnego dostępu z internetu
30. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
Wdrożenie podstawowych standardów zabezpieczenia
systemów kontroli procesów i automatyki przemysłowej np.:
I. Wypracowanie Polityki Bezpieczeństwa, obejmując również obszar sterowania i automatyki przemysłowej
II. Separacja sieci oddzielanie systemów sterowania i automatyzacji przemysłowej od innych sieci przy
pomocy „stref zdemilitaryzowanych” (DMZ – demilitarized zones), w celu ochrony ochrony systemów
przemysłowych przed poleceniami i informacjami napływającymi z sieci firmowej.
III. Ochrona na granicach sieci: zapory firewall, weryfikacja tożsamości, autoryzacja dostępu, sieci VPN (IPsec) i
oprogramowanie antywirusowe, blokujące dostęp osobom bez uprawnień.
IV. Segmentacja sieci: ograniczenie zasięgu potencjalnych naruszeń bezpieczeństwa do jednego segmentu przy
pomocy przełączników sieciowych i sieci VLAN, dzielących sieć na kilka podsieci i ograniczających wymianę
danych pomiędzy nimi. Pomaga to ograniczyć negatywne skutki ataku złośliwego oprogramowania do
jednego segmentu, redukując straty w całej sieci. Wzmacnianie ochrony urządzeń: zarządzanie hasłami,
zdefiniowanie profile użytkowników i zatrzymanie zbędnych procesów w celu podniesienia poziomu
bezpieczeństwa urządzeń.
V. Monitoring i aktualizacje: nadzór nad aktywnością operatora i komunikacji w obrębie sieci (np. IDS, IPS).
Regularne aktualizacje oprogramowania i firmware.
W oparciu Raport przygotowany przez Frost & Sullivan we współpracy z Schneider Electric „Cyberbezpieczeństwo środowisk sterowania i automatyki
przemysłowej Strategie ochrony i zapobiegania naruszeniom bezpieczeństwa w obliczu rosnących zagrożeń” 04.2013
31. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
I. Audyt bezpieczeństwa systemów sterowania i
automatyki przemysłowej u „dobrego” dostawcy
– identyfikacja podstawowych podatności na ataki
np. Rockwell Security Audyt
Następnie priorytetyzacja i stopniowa
implementacja zaleceń wg priorytetów
32. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
II. Edukacja pracowników nt zagrożeń i zasad
poprawnego zachowania (e-learning, grywalizacja, szkolenia
stacjonarne) + systematyczne testy podatności na
socjotechnikę na losowo wybranych pracownikach i
nagłośnianie wyników/postępów (bezosobowo)
33. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
III. Wydzielenie 3 wewnętrznych podstref o różnym
poziomie bezpieczeństwa w sieci wewnętrznej
przedsiębiorstwa:
1) Strefa biznesowa (ogólna sieć IT);
2) Wewnętrzna strefa DMZ (pomiędzy strefą sterowania i
strefą ogólną)
3) Strefa sterowania systemami!
34. Wydziel 3 strefy ochrony w sieci wew. firmy rozdzielone zaporami:
1) Strefa biznesowa (ogólna sieć IT);
2) Wewnętrzna strefa DMZ (pomiędzy strefą sterowania i strefą ogólną)
3) Strefa sterowania systemami!
Wewnętrzny DMZ
1
2
3
1
2
3
35. Dobre praktyki wewnętrznego DMZ:
- Wyeliminuj równoczesny ruch poprzez obydwie
zapory DMZ:
- Nie ma wyjątków dla ruchu poprzez DMZ
- Zablokuj DMZ od strony Internetu
- Ogranicz lokalne logowanie się oraz zdalny dostęp do
DMZ
- Kontroluj ruch w sieci DMZ
- Do komunikacji ze sterownikami stosuj
interfejsy/serwery pośredniczące
z buforowaniem ruchu (proxy)
- Zminimalizuj obsługę protokołów sieci
biurowej i protokoły www w DMZ
- Monitoruj ruch w DMZ (np. IDS / IPS ect)
- Wprowadź oddzielne uprawnienia do
logowania się do elementów w DMZ
36. PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
1 2
3
4
Konsolidacja i budowa w 4 krokach dojrzałego, bezpiecznego, taniego w
utrzymaniu i niezawodnego rozwiązania sterowania (SCADA) lub monitoringu
procesów (historiany i wizualizacja procesów)
37. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE – typowe ataki na automatykę
przemysłową – PRZECIWDZIAŁANIE
IV. Całkowite zablokowanie możliwości korzystania z
urządzeń USB dla pracowników w strefie sterownia
i wewnętrznym DMZ lub zezwolenie wyłącznie na
korzystanie z szyfrowanych (tj autoryzowanych np. przez
lokalne IT) nośników USB
38. 17-18 listopada 2015, Warszawa, AirPort Hotel Okęcie
PODSUMOWANIE
I. Cyberprzestępczość dzisiaj stanowi duże i coraz większe zagrożenie
również dla automatyki przemysłowej
II. Dzisiejsze cyberataki na automatykę przemysłową to już nie tylko ryzyko
utraty danych, ale też ryzyko znaczących strat w fizycznej
infrastrukturze przedsiębiorstw - a tym samym duże zagrożenie dla
działalności wielu przedsiębiorstw przemysłowych
III. Warto zastosować sprawdzone w obszarze ogólnego IT przedsiębiorstw
metody zabezpieczania przed cyberprzestępczością dla sieci automatyki
przemysłowej, ale z dodatkowymi poziomami separacji obszarów
sterowania automatyką przemysłową od ogólnej sieci teleinformatycznej
przedsiębiorstwa i ogólnego dostępu z internetu