GRC para Redes Industriais e SCADA                                                                                        ...
Agenda•   Riscos em redes industriais e SCADA•   Ataques a infraestruturas críticas•   Normas Internacionais para Seguranç...
Riscos em redes industriais e SCADA
Sistemas Supervisórios Sistemas SCADA – No início      • Sistemas proprietários isolados e dependente de fabricantes      ...
Evolução dos sistemas SCADA                      •   Sistemas abertos                      •   Arquitetura centrada em Con...
Alguns riscos em redes industriais
Ataques a infraestruturas críticas
Ataque à planta de Energia Nuclear de Davis-Besse•   Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina    nuclea...
Ataque à ET de Maroochy Shire31/10/2001•   Ataque ao sistema de controle de tratamento de    resíduos de Maroochy Shire em...
Ataque ao Satélite ROSAT                     •   Em 2008 investigadores da NASA reportaram que                         uma...
O Worm Stuxnet•   O Stuxnet é um worm desenvolvido para atingir sistemas de    controle industriais que usam PLCs Siemens....
O Worm Stuxnet•   O Stuxnet foi o primeiro worm conhecido a ter como alvo uma rede    industrial.•   Especialistas apontam...
Normas Internacionais para Segurança SCADA
Normas para segurança SCADA•   ANSI/ISA-99 ( www.isa.org )•   NIST SP 800-82 (http://csrc.nist.gov/publications/PubsDrafts...
A norma ANSI/ISA 99•   Norma elaborada pela ISA (The Instrumentation Systems and    Automation Society) para estabelecer s...
Normas para segurança SCADARepresentação Brasileira
ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa desegurança de sistemas de controle e automação industrial
As Etapas para a implementação do CSMS1. Análise de Riscos      •     Racional do negócio, identificação de riscos, classi...
A norma NIST 800-82•    Norma elaborada pelo NIST•    O documento é um guia para o estabelecimento de     sistemas de cont...
Gestão de Riscos para infraestruturas críticas      O Módulo Risk Manager com base de conhecimentos de riscos ANSI/ISA-   ...
Análise e Gestão de Riscos para Automação•   Baseada nas normas ANSI/ISA-99 e NIST 800-82•   Objetivos     • Avaliar ameaç...
Algumas bases de conhecimento do Módulo RiskManager
A Base de conhecimento ANSI/ISA99 e NIST 800-82•   A norma ANSI/ISA-99 detalha uma estratégia para análise, mitigação e mo...
A Base de conhecimento ANSI/ISA99 e NIST 800-82
Ciclo para Gestão de Riscos
Inventário
Análise          RESPOSTA DOS QUESTIONÁRIOS
Integrações Módulo Risk Manager
Avaliação1. Geração de relatórios2. Avaliação dos riscos prioritários para tratamento3. Exportação dos relatórios em forma...
Relatórios Gerados•   Disponíveis em Português e Inglês•   Modelos customizáveis em PDF e RTF•   Agendamento de envio por ...
Tratamento dos riscos
Pictograma da Solução
Casos de Sucesso
Soluções para segurança em redes industriais eSCADA
Sistema de Fiscalização da Produção - SFP               Controle da Movimentação               de Gás Natural - CMGN
Sistema de Fiscalização da Produção - SFP
Sistema de Fiscalização da Produção - SFP
Sistema de Fiscalização da Produção - SFP
Sistema de Fiscalização da Produção - SFP
Sala de Fiscalização da Produção O&G•   Sala de Controle com informações diárias•   Aumento da confiabilidade dos números ...
Caso CEMIG•   Gestão de Riscos, Gestão de Continuidade de Negócios, Política de    Segurança e, Campanha de Conscientizaçã...
Caso Itaipu                                       Hidrologia                      Barragem        Transmissão             ...
Caso Itaipu
Caso Itaipu        Plano de Ações em Busca de Maior Eficiência        •   2004 – Set 2005:        •   Criada equipe intern...
Caso Itaipu
DESAFIO : Integração Segura entre o “core”(Engenharia/Industrial) e o “meio” TI               OBJETIVOS:                  ...
Módulo – Copyright © Todos os direitos reservados                                                       www.tisafe.com   w...
Upcoming SlideShare
Loading in …5
×

Apresentação Comercial - Análise de Riscos SCADA com Módulo Risk Manager

1,643 views

Published on

Apresentação de solução de análise de riscos para ambientes industriais baseada no Módulo Risk Manager com base de conhecimento ANSI/ISA-99 desenvolvida pela TI Safe.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,643
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
42
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Apresentação Comercial - Análise de Riscos SCADA com Módulo Risk Manager

  1. 1. GRC para Redes Industriais e SCADA Módulo – Copyright © Todos os direitos reservados Modulo Risk Manager™ Base de conhecimento ANSI/ISA99 e NIST 800-82 Agosto de 2012 www.tisafe.com www.modulo.com.brMódulo – Copyright © Todos os direitos reservados www.modulo.com.br
  2. 2. Agenda• Riscos em redes industriais e SCADA• Ataques a infraestruturas críticas• Normas Internacionais para Segurança SCADA• Gestão de Riscos para infraestruturas críticas Módulo – Copyright © Todos os direitos reservados• Casos de Sucessowww.modulo.com.br
  3. 3. Riscos em redes industriais e SCADA
  4. 4. Sistemas Supervisórios Sistemas SCADA – No início • Sistemas proprietários isolados e dependente de fabricantes • Arquiteturas fechadas , “Ilhas de automação”
  5. 5. Evolução dos sistemas SCADA • Sistemas abertos • Arquitetura centrada em Conectividade • Integrações cada vez mais freqüentes: • Sistemas SCADA e Intranet corporativa • Sistemas SCADA e Internet
  6. 6. Alguns riscos em redes industriais
  7. 7. Ataques a infraestruturas críticas
  8. 8. Ataque à planta de Energia Nuclear de Davis-Besse• Em 25 de janeiro de 2003, a usina nuclear Davis-Besse usina nuclear em Oak Harbour, Ohio, foi infectada com o worm "Slammer" do MS SQL.• A infecção causou uma sobrecarga de tráfego na rede local. Como resultado, o Sistema de Segurança de Display de Parâmetros (DOCUP) ficou inacessível por quase cinco horas, e o computador de processos da planta por mais de 6 horas.• Um firewall estava no local para isolar a rede de controle da rede da empresa, no entanto, havia uma conexão T1 a partir de uma empresa de consultoria de software, que entrou na rede de controle por trás do firewall, ignorando todas as políticas de controle de acesso impostas pelo firewall corporativo.• O worm infectou servidor do consultor e foi capaz de entrar na rede Davis-Besse através da linha T1.
  9. 9. Ataque à ET de Maroochy Shire31/10/2001• Ataque ao sistema de controle de tratamento de resíduos de Maroochy Shire em Queensland, Austrália.• A Planta passou por uma série de problemas: bombas não acionavam quando comandadas, alarmes não estavam sendo reportados, e havia uma perda de comunicações entre o centro de controle e as estações de bombas.• Estes problemas causaram o alagamento do terreno de um hotel próximo, um parque, e um rio com mais de 7 milhões de litros de esgoto bruto.
  10. 10. Ataque ao Satélite ROSAT • Em 2008 investigadores da NASA reportaram que uma falha no ROSAT estava ligada à uma cyber invasão no Goddard Space Flight Center, centro de comando do satélite. • Segundo o relatório da NASA: “Atividades hostis comprometeram sistemas de computadores que direta ou indiretamente lidam com o controle do ROSAT” • Após sucessivas falhas nos meses seguintes, em 23/10/11 o satélite alemão ROSAT explodiu ao reentrar na atmosfera terrestre. Seus destroços caíram em áreas inabitadas do planeta não causando vítimas.
  11. 11. O Worm Stuxnet• O Stuxnet é um worm desenvolvido para atingir sistemas de controle industriais que usam PLCs Siemens.• Seu objetivo aparenta ser a destruição de processos industriais específicos.• O Stuxnet é muito grande, muito codificado, muito complexo para ser compreendido imediatamente. Ele tem em seu bojo, incríveis truques novos, como a tomada de controle de um sistema de computador sem o usuário tomar qualquer ação ou clicar em qualquer botão, apenas inserindo um pendrive infectado.• O Stuxnet infecta computadores com sistema operacional Windows no controle de sistemas SCADA, independente de ser ou não Siemens.• O Worm somente tenta fazer modificações em controladoras dos PLCs modelos S7-300 ou S7-400, entretanto ele é agressivo e pode afetar negativamente qualquer sistema de controle. Computadores infectados também podem ser usados como uma entrada para futuros ataques.
  12. 12. O Worm Stuxnet• O Stuxnet foi o primeiro worm conhecido a ter como alvo uma rede industrial.• Especialistas apontam como alvo inicial do worm a infraestrutura do Irã, que utilizava o sistema de controle da Siemens em suas principais plantas de enriquecimento de urânio.• A infestação do worm danificou as instalações nucleares iranianas de Natanz, e atrasou o início da produção da usina de Bushehr.• Em Israel, centrífugas nucleares virtualmente idênticas às localizadas no Irã permitiram testes do Stuxnet em condições muito próximas das reais.• Foi comprovado que o Stuxnet tinha duas funções:• Fazer com que as centrífugas iranianas começassem a girar 40% mais rapidamente por quinze minutos, o que causava rachaduras nas centrífugas de alumínio.• Gravar dados telemétricos de uma típica operação normal das centrífugas nucleares, sem que o alarme soasse, para depois reproduzir esse registro para os operadores dos equipamentos enquanto, na verdade, as centrífugas estavam literalmente se destruindo sob a ação do Stuxnet sem que os funcionários soubessem.
  13. 13. Normas Internacionais para Segurança SCADA
  14. 14. Normas para segurança SCADA• ANSI/ISA-99 ( www.isa.org )• NIST SP 800-82 (http://csrc.nist.gov/publications/PubsDrafts.html )
  15. 15. A norma ANSI/ISA 99• Norma elaborada pela ISA (The Instrumentation Systems and Automation Society) para estabelecer segurança da informação em redes industriais• É um conjunto de boas práticas para minimizar o risco de redes de sistemas de controle sofrerem Cyber-ataques
  16. 16. Normas para segurança SCADARepresentação Brasileira
  17. 17. ANSI/ISA-TR99.00.02-2004: Estabelecendo um programa desegurança de sistemas de controle e automação industrial
  18. 18. As Etapas para a implementação do CSMS1. Análise de Riscos • Racional do negócio, identificação de riscos, classificação e análise2. Endereçando riscos com o CSMS • Política de Segurança, Organização e Treinamento • Definir escopo, segurança organizacional, treinamento da equipe, plano de continuidade de negócios, políticas e procedimentos • Selecionar contramedidas de segurança • Segurança pessoal, segurança física, segmentação de rede, controle de acesso, autenticação e autorização • Implementação • Gerência de riscos e implementação, desenvolvimento e manutenção de sistemas, gestão da informação e documentos, planejamento de incidentes3. Monitorando e melhorando o CSMS • Compliance • Revisar, melhorar e manter o CSMS
  19. 19. A norma NIST 800-82• Norma elaborada pelo NIST• O documento é um guia para o estabelecimento de sistemas de controle de segurança para indústrias (ICS).• Estes sistemas incluem controle supervisório e aquisição de dados em sistemas SCADA, sistemas de controle distribuídos (DCS), e outras configurações de sistema para PLCs. http://csrc.nist.gov/publications/drafts/800-82/draft_sp800-82-fpd.pdf
  20. 20. Gestão de Riscos para infraestruturas críticas O Módulo Risk Manager com base de conhecimentos de riscos ANSI/ISA- 99 e NIST 800-82.
  21. 21. Análise e Gestão de Riscos para Automação• Baseada nas normas ANSI/ISA-99 e NIST 800-82• Objetivos • Avaliar ameaças aos ativos • Levantar vulnerabilidades existentes • Definir a probabilidade de ocorrência de incidentes • Quantificar o impacto no negócio • Definir medidas para prevenir e responder aos incidentes • Avaliar o risco residual• Procedimentos • Aprovação da execução • Levantamento de ativos da planta de automação • Análise de riscos qualitativa e/ou quantitativa em áreas de automação • Definição de ações prioritárias • Execução do plano de tratamento de riscos: Mitigação / Transferência / Aceitação • Manutenção e gestão continuada
  22. 22. Algumas bases de conhecimento do Módulo RiskManager
  23. 23. A Base de conhecimento ANSI/ISA99 e NIST 800-82• A norma ANSI/ISA-99 detalha uma estratégia para análise, mitigação e monitoramento de riscos de segurança denominada CSMS (Cyber Security Management System).• A implantação do CSMS em uma rede industrial é uma tarefa bastante complexa e que envolve diversos atores na empresa, desde gerentes industriais ao pessoal da rede de TI devem participar e o controle de todas as atividades relacionadas requer ferramentas automatizadas.• Verificando esta necessidade e de acordo com o foco da empresa em segurança de automação industrial, a TI Safe Segurança da Informação desenvolveu durante o ano de 2011 uma completa base de conhecimento que relaciona todos os 70 controles de segurança que devem ser avaliados em uma rede industrial e sistemas SCADA durante a implantação do CSMS preconizado pela norma ANSI/ISA-99.
  24. 24. A Base de conhecimento ANSI/ISA99 e NIST 800-82
  25. 25. Ciclo para Gestão de Riscos
  26. 26. Inventário
  27. 27. Análise RESPOSTA DOS QUESTIONÁRIOS
  28. 28. Integrações Módulo Risk Manager
  29. 29. Avaliação1. Geração de relatórios2. Avaliação dos riscos prioritários para tratamento3. Exportação dos relatórios em formato PDFpara anexos nos eventos de tratamento do workflow
  30. 30. Relatórios Gerados• Disponíveis em Português e Inglês• Modelos customizáveis em PDF e RTF• Agendamento de envio por email• Relatórios disponíveis: • RAR – Relatório de Análise de Riscos • REX – Relatório Executivo da Análise • ROR – Relatório Operacional de Riscos • RORTHREAT - Relatório Operacional de Riscos por Ameaça
  31. 31. Tratamento dos riscos
  32. 32. Pictograma da Solução
  33. 33. Casos de Sucesso
  34. 34. Soluções para segurança em redes industriais eSCADA
  35. 35. Sistema de Fiscalização da Produção - SFP Controle da Movimentação de Gás Natural - CMGN
  36. 36. Sistema de Fiscalização da Produção - SFP
  37. 37. Sistema de Fiscalização da Produção - SFP
  38. 38. Sistema de Fiscalização da Produção - SFP
  39. 39. Sistema de Fiscalização da Produção - SFP
  40. 40. Sala de Fiscalização da Produção O&G• Sala de Controle com informações diárias• Aumento da confiabilidade dos números da produção de petróleo e gás• Otimização do trabalho de fiscalização• Redução dos desvios para aumento da arrecadação• Emissão de alertas a partir de variações críticas
  41. 41. Caso CEMIG• Gestão de Riscos, Gestão de Continuidade de Negócios, Política de Segurança e, Campanha de Conscientização• Plano de Indicadores para Gestão da Segurança da Informação
  42. 42. Caso Itaipu Hidrologia Barragem Transmissão Geração Vertedouro
  43. 43. Caso Itaipu
  44. 44. Caso Itaipu Plano de Ações em Busca de Maior Eficiência • 2004 – Set 2005: • Criada equipe interna Gestão Segurança em TI • Realizada qualificação técnica para seleção de empresa de consultoria especializada, visando a elaboração de um projeto conjunto, englobando • TI e Sistemas de Tempo Real • Definição do Projeto de Segurança em Tecnologia da Informação – Rede Corporativa • “Contratação da empresa especializada e líder na América Latina em Segurança em TI MODULO Security – certificação ISO- 17799 e ISO 9001” • Estudos para adequação do ambiente de TI à Lei Sarbanes Oxley
  45. 45. Caso Itaipu
  46. 46. DESAFIO : Integração Segura entre o “core”(Engenharia/Industrial) e o “meio” TI OBJETIVOS: Sistema Integrado de Redes Industriais - SIRI • Prover Integração das redes dos sistemas de tempo real existentes, garantindo conectividade com segurança, redundância, alta performance e disponibilidade. • Manter Matriz de Risco atualizada em tempo real, sobre as operações da Usina, assim como das conexões com outros Processos • Disponibilizar aos usuários, dados em tempo real, por meio de sistema de Gerenciamento de Informações de Processo (PIM). • Prover recursos para armazenamento de dados históricos dos processos destinados à produção de energia.
  47. 47. Módulo – Copyright © Todos os direitos reservados www.tisafe.com www.modulo.com.brMódulo – Copyright © Todos os direitos reservados www.modulo.com.br

×