Smart Industry: Cyber Security in de Industrie
•
0 likes•1,297 views
De enorme vlucht van de internet technologie maakte in theorie bijna alles mogelijk, maar zorgde hierbij ook voor toenemende complexiteit van systemen. Gebruik van de open protocollen, integreren van de systemen, installaties c.q. plant’s op afstand beheren, biedt enorm veel voordeel (concurrentie voordeel, flexibiliteit, effectiviteit). Maar het brengt ook nieuwe type risico’s met zich mee. Overal om ons heen zien we toenemende afhankelijkheid van de ICT. Dus ook in de Industrie. Dat betekent dat onze industriële systemen ook kwetsbaar worden voor risico’s die op het eerste oog niet zichtbaar zijn.
Recommended
Recommended
More Related Content
More from Croonwolter&dros
More from Croonwolter&dros (20)
Smart Industry: Cyber Security in de Industrie
- 1. SEMINAR SMART INDUSTRY “There is no escape” SEMINAR Seminar Smart Industry | 30 oktober 2014 | Pagina 1
- 2. CYBERSECURITY IN DE INDUSTRIE (Onder)kent u de risico’s? 3 Parallellezing 3 Marco van Vliet Zeljko Simic Seminar Smart Industry | 30 oktober 2014 | Pagina 2
- 3. Seminar Smart Industry | 30 oktober 2014 | Pagina 3 SMART INDUSTRY: NIEUWE TYPE RISICO Open protocollen Afhankelijkheid van ICT Integratie van systemen Know How bescherming
- 4. BEWUSTWORDING Seminar Smart Industry | 30 oktober 2014 | Pagina 4 Kwetsbaarheid Beschikbaarheid (24/7) Systeem IntegratieVerschillen IT/OT “Professionele” hackers voor ICS
- 5. HUIDIGE AANPAK: ISOLATIE Seminar Smart Industry | 30 oktober 2014 | Pagina 5
- 6. Sabotage IT SECURITY: GEVOLGEN Spionage Vitale infrastructuur Imagoschade Seminar Smart Industry | 30 oktober 2014 | Pagina 6
- 7. RISICO’S EN OPLOSSINGEN Seminar Smart Industry | 30 oktober 2014 | Pagina 7 Defense in Depth Fysieke beveiliging Security Management
- 8. REMOTE ACCES Seminar Smart Industry | 30 oktober 2014 | Pagina 8 Beheer externe toegang Afhankelijkheid van partners
- 9. (EX) MEDEWERKERS Seminar Smart Industry | 30 oktober 2014 | Pagina 9 Bewustwording Password Management Gedrag van mensen Persoonlijke accounts
- 10. RISICO MANAGEMENT Seminar Smart Industry | 30 oktober 2014 | Pagina 10 Risico Analyse Maatregelen Security beleid Bestaande Security Beleid
- 11. HOE TE WAPENEN TEGEN EEN ONZICHTBARE VIJAND Seminar Smart Industry | 30 oktober 2014 | Pagina 11 Samenwerking kantoor- en industriële automatisering Afstemming op algemeen security management Samenwerking met system integrators en leveranciers Kennis van systemen en processen Integraal onderdeel van design (aanbestedingen) Regelgeving en richtlijnen => overheid werkt aan nieuwe wetgeving
- 12. 3 EINDE Bedankt voor uw aandacht Parallellezing 3 Seminar Smart Industry | 30 oktober 2014 | Pagina 12 Marco van Vliet Zeljko Simic
Editor's Notes
- De enorme vlucht van de internet technologie maakte in theorie bijna alles mogelijk, maar zorgde hierbij ook voor toenemende complexiteit van systemen. Gebruik van de open protocollen, integreren van de systemen, installaties c.q. plant’s op afstand beheren, biedt enorm veel voordeel (concurrentie voordeel, flexibiliteit, effectiviteit). Maar het brengt ook nieuwe type risico’s met zich mee. Overal om ons heen zien we toenemende afhankelijkheid van de ICT. Dus ook in de Industrie. Dat betekent dat onze industriële systemen ook kwetsbaar worden voor risico’s die op het eerste oog niet zichtbaar zijn. Dat de tijd waarin de Brienenoord brug handmatig werd open gedraaid al lang voorbij is, is voor iedereen die de brug kent wel duidelijk. Veel minder zichtbaar is het risico, dat niet alleen bevoegden maar ook onbevoegden de brug kunnen opensturen. Misschien wel net zo onzichtbaar als de industriële besturingen in bijvoorbeeld tunnels, water zuivering installaties, maar ook chemische plant’s. Komende minuten willen we graag stilstaan bij deze nieuwe risico’s, gevolgen hiervan en met name hoe we deze risico’s met z’n alle kunnen verminderen.
- Elke verandering begint bij bewustwording. Bewustwording van het feit dat onze systemen kwetsbaar zijn voor digitale dreigingen. Bewustwording van het feit dat onze huidige systemen en onze manier van werken hiermee onvoldoende rekening houdt, zeker als je dit vergelijkt met de huidige kantoor automatisering. Dat de digitale beveiliging van onze systemen achterloopt is te verklaren door het feit dat deze ontworpen zijn met een focus op beschikbaarheid. Industriële systemen hadden hun eigen hardware en eigen protocollen die niet kwetsbaar waren voor de generieke virussen uit de kantoorautomatisering. Er was niet direct een noodzaak om hier rekening mee te houden. Systemen en protocollen zijn niet ontworpen om (digitaal) veilig te zijn. De kantoorautomatisering (IT) en de proces automatisering (OT) waren twee gescheiden werelden met ieder zijn eigen aanpak en eigen cultuur. Binnen de proces automatisering is een 24x7 beschikbaarheid vaak essentieel, iets wat vanuit de kantoor automatisering niet geboden kan worden met de huidige manier van werken. Met de opkomst van Smart Industrie zien we dat de systemen uit de verschillende werelden van IT en OT met elkaar gekoppeld worden. De PCS systemen hebben de aandacht van hackers, tot een aantal jaar geleden was het niet “cool” om dergelijke systemen te hacken. Verschillende voorbeelden hebben de afgelopen periode duidelijk gemaakt dat hacker zich nu ook op deze systemen richten. Het betreft hier niet de tiener op een zolderkamertje maar b.v. onderzoek journalisten, criminele organisaties en zelfs landen. Er is geen bom meer nodig om een fabriek, organisatie of zelfs een hele samenleving te ontwrichten.
- De huidige aanpak kenmerkt zich door systeem isolatie, waarbij proces netwerken volledig geïsoleerd worden van de buitenwereld. Als we de vergelijking maken met deze gevangenis, dat weten we dat isolatie niet kan voorkomen dat allerlei zaken binnen de gevangenis worden aangetroffen. Dit geldt ook voor een groot deel van de virussen en andere bedreigingen. Ook Croon kent verschillende geïsoleerde netwerken, waarop toch virussen worden aangetroffen. Algemeen gebruik van b.v. USB sticks en andere draagbare digitale media zijn een bron van besmetting. Is b.v. de laptop van de service engineer wel voorzien van anti virus en de laatste Microsoft patches? Recent is de Badusb-hack bekent gemaakt. Wie is hiermee bekent? Hiermee kan een USB stick worden gebruikt als ieder ander apparaat, b.v. een toetsenboard. Dit lekt kan voor alle bestaande apparatuur niet opgelost worden.
- Het is dus niet meer de vraag of ICT en het security onderdeel maken van onze Industry, eerder de vraag in welke mate, wat zijn de dreigingen en wat is de impact hiervan. En dat laatste brengt vaak grote gevolgen met zich mee. Het heeft impact op onze business en denk hier bijvoorbeeld aan: Financiële gevolgen (productie verlies): Drinkwater voorzieningen (b.v. hacken van een menger of zuivering en toevoegen van veel chloor of jodium in het water) Imago Schade: denk aan het verhaal van Digi Notar, Gemeente Veren (sluis), of lekken van de foto’s van de celebritys die in de Cloud opgeslagen waren Spionage en sabotage: Een potentiële vijand zou op deze manier makkelijk bij de betrouwbare data kunnen. Overheid, Ministerie van BiZA, AIVD hebben dit thema ook hoog in hun agenda staan. Denk alleen aan alle commotie rondom NSS eerder dit jaar in Den Haag. Of allerlei afluister praktijken tussen verschillende landen. Milleu, Mens, Dier: Helaas kan dit ook gevolgen hebben voor de mensen levens. In USA is een wijk(trafo) station gehacket en hierdoor is een brand ontstaan met fatale gevolgen voor een aantal mensen. Vitale Infrastructuur: Daar waar het in de conventionele oorlogsvoering zaak is vitale infrastructuur en energievoorziening als eerste uit te schakelen om de vijand te verzwakken (Red Alert) geldt in de “modern warfare” min of meer hetzelfde. Het is dan ook niet geheel toevallig dat juist ICS en kritische infrastructuur de meeste aandacht krijgen. Evenmin geldt dat voor het feit, dat juist vooraanstaande personen vanuit de krijgsmacht wordt gevraagd mee te denken in het vinden van de juiste ingrediënten voor het bestrijden van de gevaren veroorzaakt door hacking van systemen.
- Graag willen we jullie meenemen naar een aantal voorbeelden en aan de hand hiervan risico’s en mogelijke oplossingen bespreken. Wij hebben hier over de cyber security oftewel over een onzichtbare vijand. Maar een belangrijk onderdeel ook van deze (digitale) vorm van dreiging is de fysieke beveiliging. Fysieke beveiliging kan je niet los zien van de digitale beveiliging (cyber security), maar juist moet je dit als een geheel zien. Op het moment dat je gebruik maakt van de meest geavanceerde virus scanners, firewall’s, monitoring tool’s en dergelijke, maar de toegang tot je ICS/SCADA/PLC systeem open en toegankelijk voor iedereen is, dan hebben alle genoemde maatregelen weinig zin. Daarom moet fysieke beveiliging ook opgenomen worden in de security managment (processen en richtlijnen). Een van de meest gebruikte methode’s om security op een juiste manier te implementeren is Defence in Depth concept. Dit concept bestaat uit 3 lagen en een van de lagen is ook de fysieke beveiliging. Hiermee zorgen we ervoor dat ongewenste personen geen toegang hebben tot de plant/systeem en/of kritisch object. Tweede laag gaat over de netwerk security oftewel: segmenteren van netwerken, monitoren van datastromen en toepassen van de firewall. Tot slot beschrijft dit concept het systeem integrity. Hierin worden zaken genoemd zoals: gebruik van de antivirus/whitelistining software, onderhoud en update proces, gebruikers autorisatie en security by design. De implementatie van netwerksecurity begint bij een goed overzicht van de verschillende systemen en de aanwezige datastromen. Door het segmenteren van het netwerk kan de communicatie tussen de verschillende zones gecontroleerd en gemonitord worden met b.v. een firewall. Alleen het noodzakelijk dataverkeer wordt toegestaan, waarbij ook aangegeven kan worden in welke richting dit verkeer loopt. Bij het segmenteren van installaties kan b.v. de volgende indeling worden aangehouden: Safety systemen Process Controle (PLC) Visualisatie, monitoring (SCADA) MES ERP Extern Er zijn verschillende normen die gebruikt kunnen worden om deze indeling te bepalen, zoals de ISA 88, ISA 95 en ISA 99. Om deze beveiliging goed te implementeren is kennis noodzakelijk van het proces maar ook van de gangbare ICT beveiliging. In tegenstelling tot de kantoor omgeving zal de indeling en de firewall configuratie voor ieder systeem maatwerk zijn. Een bekende valkuil is dat een security leverancier vanuit de IT een firewall implementeert in een PCS omgeving zonder zich te verdiepen in de eigenschappen van de systemen.
- Het spreek voor zich dat alle externe toegang tot de systemen goed beheer moeten worden. De techniek maakt het echter steeds makkelijker om deze remote acces verbindingen aan te leggen. Denk aan Wifi voor moeilijk bereikbare systemen tot GPRS modems die geïntegreerd worden in systemen en zodat deze via internet 24 uur per dag toegankelijk zijn (dus ook voor hackers). Hierbij is een grote afhankelijkheid van de leveranciers en onderaannemers: Gebruik van encryptie Beheer van passworden en gebruikers (personeel verloop) Logging van gebruik Wie van de aanwezige heeft expliciet hierover afspraken gemaakt met partners? RWS heeft b.v. een centrale RAS oplossing, met persoonsgebonden accounts voor de service engineers van alle onderaannemers.
- Uit onderzoek blijkt dat de meeste incidenten veroorzaakt worden door eigen medewerkers, al dan niet bewust. Menselijk gedrag is een belangrijke factor als het gaat om voorkomen van risico’s. Ook dit begint weer bij bewustwording. Medewerkers dienen zich bewust te zijn van de risico’s en ze moeten weten hoe hier rekening mee te houden. Het opladen van een smartphone via de USB poort van een SCADA station is wellicht niet verstandig. Het sturen van menselijk gedrag is een aparte wetenschap, techniek kan hierbij helpen. Goed beheer van gebruikers en rechten kan hierbij helpen: Default passworden verwijderen uit systemen Persoonlijke accounts op systemen Password management periodiek wijzigen Logging en monitoring AAA methode
- De algemene aanpak van Cyber security is niet anders dan de andere risico’s binnen een organisatie. Het dient een onderdeel te zijn van het bestaande risico management beleid. De aanpak bestaat globaal uit de volgende stappen: Identificeren van risico’s Classificeren van risico’s Ontwerpen maatregelen Implementeren maatregelen Accepteren rest risico Instandhouding Afstemming op bestaande security beleid Ook hier geldt: 100% veiligheid bestaat niet. Er wordt geïnvesteerd in maatregelen die de grootste risico’s reduceren of de gevolgen hiervan beperken.
- Zoals jullie dat ongetwijfeld steeds vaker merken is cyber security en dus die onzichtbare vijand overal om ons heen. Het wapenen hiertegen is een continu proces en om dat proces zo goed mogelijk te laten verlopen is samenwerking heel belangrijk. En samenwerken op verschillende niveaus en tussen verschillende stakeholders. Allereerst is het belangrijk dat IT (kantoor automatisering) en OT (Industriële automatisering) gaan samenwerken en gezamenlijk verantwoordelijkheid hiervoor nemen. Een van de mogelijke oplossingen hiervoor is om binnen de organisatie een “security officer” aanstellen die deze belangen binnen MT vertegenwoordigt. Verder is samenwerking en co-creatie noodzakelijk door de hele keten:(eindgebruikers, OEM’ers, Systeem Integratoren, advies- en consultancy bureau’s en producenten van industriële producten en toepassingen) Regelgeving vanuit de overheid (gelijk bijvoorbeeld machineveiligheid)