Cybersecurity nei sistemi industriali - Gennaio 2020 - Confindustria Toscana Nord
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cybersecurity nei sistemi industriali Gennaio 2020 Umberto Cattaneo Cybersecurity CBC, EMAIL PMP, Sec+, IEC62443 Certified specialist Umberto.cattaneo@se.com
Umberto Cattaneo
Cybersecurity Business Consultant
Biografia:
Dr. Fisica Cibernetica ,
Certificazioni: PMP, CompTIA Security +,
ISA99/IEC62443 Certified Specialist
Oltre 30 anni di esperienza nell'integrazione dei sistemi,
Oil&Gas, SCADA, soluzioni di crittografia, implementazione
di reti nazionali di comunicazione sicura, sistemi di
comando e controllo, GMDSS, ITS, GIS
Occupazioni precedente:
Eni
AGUSTA –Leonardo Elicotteri
Sirti
Qnective AG (Svizzera)
Membro di: IEC, ANIE, ISA, Clusit, PMI©
Diversi articoli pubblicati su argomenti di cybersecurity per i
sistemi industriali e le infrastrutture critiche
MOBILE
+39 335 5821626
EMAIL
Umberto.cattaneo@se.com
Confidential Property of Schneider Electric
Cybersecurity nei sistemi
industriali
• Differenze tra IT e OT
• Come proteggere un Sistema di
Controllo Industriale
• Lo standard ISA99/IEC62443
• Leggi in Italia: DL NIS e succ.
• 10 Suggerimenti
• I 5 passi della Cybersecurity
• Case study
• Q&A
Confidential Property of Schneider Electric
Quali sono i driver della digitalizzazione nell'industria?
CONNETTIVITA’ MOBILITA’ CLOUD ANALYTICS
• Dispositivi connessi • Comunicazione pervasiva e • Massiccia aggregazione di • Applicazioni cognitive
intelligenti (prodotti) conveniente dati • Intelligenza artificiale che
• Accesso remoto • Accesso ai dati da parte di
• Connettività standard- ottimizza le prestazioni a
• Interfacce user-driven specialisti
driven • Eco-sistema di sviluppatori tutti i livelli
• Minor costo di Misurazione di applicazioni industriali
Confidential Property of Schneider Electric | Page 3
Top 10 Minacce 2020* (prima della crisi Covid-19)
Rank Trend 2019
Cyber incidents (e.g. cyber crime, IT failure/outage, data breaches,
1 fines and penalties) ↑ 2
2 Business interruption (incl. supply chain disruption) ↓ 1
Changes in legislation and regulation (e.g. trade wars and tariffs,
3 economic sanctions, protectionism, Brexit, Euro-zone ↑ 4
disintegration)
4 Natural catastrophes (e.g. storm, flood, earthquake)1 ↓ 3
Market developments (e.g. volatility, intensified competition/new
5 entrants, M&A, market stagnation, market fluctuation) = 5
6 Fire, explosion = 6
7 Climate change/increasing volatility of weather ↑ 8
8 Loss of reputation or brand value ↑ 9
New technologies (e.g. impact of artificial intelligence,
9 autonomous vehicles, 3D printing, Internet of Things, ↓ 7
nanotechnology, blockchain)
Macroeconomic developments (e.g. monetary policies, austerity
10 programs, commodity price increase, deflation, inflation) ↑ 13
Confidential Property of Schneider Electric |
© 2019 Schneider Electric. All Rights Reserved. Page 5
*Source: Risk barometer 2020: Allianz risk barometer 2020
Cyber Threats in Industrial Control Systems are Growing
Exponentially, Impacting Equipment Availability and Safety
2010 2011 2012 2013 2014 2015
Stuxnet ZeuS Shamoon HaveX German steel mill Ukraine
Iran nuclear plant Saudi Aramco attack Malware embedded into Breakdowns of individual 200K+ without power.
“Zeus” malware,
vendor software. control components led
45,000 machines infected in available for about 30,000 Windows-based to the uncontrolled
Remote control of SCADA.
Iran, Germany, France, India, $1200, were able to machines infected Gathered OPC tag data
shutdown of a blast Destruction of device
Indonesia steal over $12 million for later attack.
furnace firmware.
from five banks in the
US and UK.
2016 2017 2017 2018 2019 2019 2020
Shamoon 3 SAIPEM Norway aluminium
Shamoon 2 Triton NotPetya Venezuela power
Saipem targeted with a grid plant
Civil Aviation, KSA First attack targeted to Danish Shipping MAERSK modified version of the
Safety Instrumental port terminal attacked by Shamoon virus, taking Venezuelan power grid Ransomware LockerGoga
government agencies blocked plants over 40
Thousands of machines Systems (SIS) in Middle ransomware: shut down down hundred computers was out of services for 2
East. for 2 days 300 Mil USD in the UAE, Saudi Arabia, days due to suspicious countries
Wiped
Loss Scotland, and India cyber attack
Confidential Property of Schneider Electric | Page 6
I più comuni danni derivanti da attacchi cyber
Costo per contenimento danno
Violazione dati Violazione privacy
Danno reputazionale
confidenziali: segreti Spese legali
Furto proprieta’ intellettuale
industriali e dati sensibili Responsabilita’ civile C-level
Interruzione di esercizio
Risarcimento danni e/o multe
Malfunzionamento reti Danni a dipendenti
sistemi IT e OT Danni all’ambiente
Danni fisici all’impianto
Danno reputazionale
Responsabilita’ civile C-level
Cancellazione e
Costo per contenimento danno
deterioramenti dati Perdita dati
Spese legali
Es.: Virus, Wiper, … Responsabilita’ prodotti
Responsabilita’ civile C-level
Criptatura dati e Costo per contenimento danno
Riscatto per estorsione dei dati
furto/Riscatto Frode finanaziaria
Confidential Property of Schneider Electric | Page 3 Responsabilita’ civile C-level
Confidential Property of Schneider Electric
Da dove vengono le minacce Confidential Property of Schneider Electric
Architettura di un Sistema di controllo (Purdue) IT
Corporate Web Email Infrastructure Wireless
External Zone Corporate Zone Servers Corporate Workstations Servers Servers Servers Access
Points
Corporate
Firewall
Corporate
VPN Corp DMZ Corporate LAN
Internet
Dedicated
Comm Path
Data Zone CS Web
Data
Database Secondary Acquisition Configuration
External Server Server Historian Control Workstations Server
Remote Server
Business
Operations Comms
and CS LAN
Firewall Server
Facilities Dedicated CS DMZ
Comm Path Applications, database,
External VPN
Access support Control System LAN
Remote
Business
Partners
and Control Zone Field Level
Vendors and
Device
Firewall HMI
Primary Control Room
RTU / PLC Historian Workstations
Field
Locations
Sensors
and
Actuators
Source: Recommended Practices:
Improving Industrial Control System
Cyber security with Defense in Depth Safety Zone Safety
Strategies from Department of
Homeland Security
Instrument
Systems
OT
Confidential Property of Schneider Electric
Key concepts: Data Privacy & Cybersecurity
Cos’è la data privacy? Cos’è la cybersecurity?
Data privacy si riferisce ai requisiti di Cybersecurity è l'arte di proteggere in modo
protezione e confidenzialità, stabiliti per la sicuro reti, dispositivi, programmi e dati da
manipolazione, la condivisione e la accessi non autorizzati o uso criminale,
memorizzazione di informazioni personali (PII). garantendo al contempo la riservatezza,
l'integrità e la disponibilità di informazioni.
▪ Esempio: GDPR European regulation
GDPR, ISO 27001 NIS IEC62443, NIST, NERC
Confidential Property of Schneider Electric | Page 10Operational Technology Vs. Information Technology
I sistemi e le reti sono usati per gestire
I sistemi e le reti sono usati per far
processi di business e per la diffusione di
funzionare I processi produttivi negli
informazioni (social media, siti web, e-
impianti.
commerce,...)
Le priorità sono la continuità operativa e la
Le priorità sono la confidenzialità dei dati,la
sicurezza di persone e ambiente.
loro integrità e la continuità operativa.
Confidential Property of Schneider ElectricDifferenze tra IT e OT: le 5 aree
Priorità
Performances Rischi
Availability Ambiente
Confidential Property of Schneider ElectricDifferenze tra IT e OT
Riservatezza Integrità Disponibilità
Integrità Riservatezza Integrità
Disponibilità Disponibilità Riservatezza
Priorità
IT LAB OT
Confidential Property of Schneider ElectricScopo della Cybersecurity
Disponibilità
Integrità
Physical Assets
Riservatezza • People • Identify
• Process • Block
Social Engineer
Attack
• Technologies • React Because there is
Cosa proteggere • Design no patch to
human stupidity
confidenziale Cyber Attacchi
Confidential Property of Schneider ElectricI 5 falsi miti sulla sicurezza industriale
• Mito 1 "Non siamo connessi a Internet..."
• Mito 2 I Sistemi di controllo sono dietro un firewall
• Mito 3 Gli hacker non capiscono i sistemi di controllo
• Mito 4 La nostra struttura non è un bersaglio
• Mito 5 I nostri sistemi di sicurezza ci proteggeranno
Confidential Property of Schneider ElectricFalso mito 1: "Non siamo connessi a Internet..."
Falso mito 2: «Hackers Non capiscono i Sistemi di
Controllo Systems»
https://www.udemy.com/course/nfi-plc-online-leaning/
Confidential Property of Schneider ElectricFalso mito 3: «La nostra struttura non è un obiettivo»
..attaccate nel 2020:
Confidential Property of Schneider ElectricUn approccio sistematico alla cybersecurity
Adapted from IEC62443-1-1
Gerarchie di controllo
Definiscono obiettivi e riferimenti organizzativi e
livelli di sicurezza per gli assets soggetti alla messa
Obbligatorie in azienda Policies in sicurezza
Definiscono requirements, tecnologie e processi
Obbligatori se indicate per
Standards da implementare
legge
Forniscono raccomandazioni su come e dove
Raccomandazioni Guidelines applicare gli standard
Puntuali e Forniscono in modo dettagliato le azioni
Procedures
obbligatorie da implementare per rispettare gli
standard
Confidential Property of Schneider ElectricInternational standards compliance Confidential Property of Schneider Electric | Page 20
ISA99/IEC62443: Un approccio sistematico alla cybersecurity Overview 4 Livelli 13 Pubblicazioni: 7 Standard 6 Technical Reports Confidential Property of Schneider Electric
Linee Guida di Cybersecurity
Hardening
Tecnologie
User Authentication
Products and systems
End point
Protection Internal Process
Processi
Segregation and conduit
Risk
assessment
Access
Protection Securing devices
Security logs & Test
Incident
Response
Patch Management
Secure Operations
Audit Secure
Capability Security Configuration
Training
Security Service Offer
Awareness
Persone
Confidential Property of Schneider ElectricUn approccio sistematico alla cybersecurity
Adapted from IEC62443-1-1
Assess
Perform risk and threat
Start assessment and gap analysis
Determine appropriate security
level settings
Establish Zones and
Conduits
1
Oil and Gas
Maintain WWW
MMM
F&B
Implement
Conduct periodic vulnerability Energy Design zones and conduits to
assessments Utility meet target SLs
3 Pharma
2
Test and Deploy patches Validate and Test
Implement additional Determine the achieved
security measures SL
Confidential Property of Schneider ElectricAssess
I rischi e le minacce
Confidential Property of Schneider Electric | Page 24Cyber Security Risk Assessment
Risk Analysis Risk Reduction
1. Define the risk 2. Identify major 3. Identify and 4. Reduce risks by 5. Document
methodology items evaluate threats, designing results in risk
impact and adequate register
likelihood countermeasures
Before to protect the ICS we must know what we are dealing with Develop a plan to address unacceptable risk
Each assessment must be site specific
Confidential Property of Schneider ElectricSviluppare e
implementare
Defence in depth
Confidential
Confidential Property
Property of Schneider
of Schneider Electric |Electric
Page 26Chi sono le minacce?
Hactivists usano Individui e sofisticate Insiders rubano Organizzazioni Gruppi terroristici Organizzazioni
computer e reti organizzazioni informazioni e per nemiche conducono sabotano i sistemi nemiche sabotano i
per promuovere criminali rubano ragioni personali, intrusioni informatiche informatici che sistemi di infrastrutture
le loro idee politiche informazioni personali finanziarie ed per rubare segreti di gestiscono le nostre militari e critici per
e sciali e fannno estorsioni ideologiche. stato e informazioni infrastrutture critiche ottenere un vantaggio
per soldi. proprietarie da società come la rete elettrica. in caso di conflitto.
private
Confidential Property of Schneider Electric Source: FBI Cyber Division Webinar hosted by Realty Executive International.
“Wire Fraud: Educating Clients & Avoiding Scams in Real Estate”IEC 62443.3.3 Security Level (SL) Confidential Property of Schneider Electric
Quale modello di sicurezza applicare?
Defense in depth
Single Layer
VS
La maggioranza dei casi L’approccio corretto
Confidential Property of Schneider ElectricDefense in depth
Sicurezza fisica
Policy e procedure
Sicurezza di rete
Sicurezza dell'host
▪ Progettazione dell'architettura Sicurezza delle applicazioni
sicura
▪ Zone e conduit ▪ Secure software design
▪ Ridurre privilegi ▪ Validation of user input
Device
▪ IDS ▪ User authentication
▪ Operating system protection
▪ Firewall NG ▪ Function level access control
▪ Antivirus software
▪ Patch/Upgrade ▪ Use of strong cryptography
▪ Host-based firewalls
▪ ▪ Patch/upgrade
▪ White & black listing
applications ▪ Post deployment security
▪ Sandboxing
▪ Post deployment security
Confidential Property of Schneider ElectricElementi di valutazione dei Security Level per IACS As per IEC 62443 FR 1: Identification and authentication control FR 4: Data Confidentiality (IAC) FR 2: User Control (UC) FR 3: System Integrity (SI) (DC) Human user identification and authentication Authorization enforcement Communication integrity Information confidentiality Software process and device identification and authentication Wireless use control Malicious code protection Information persistance Account management Use control for portable and mobile devices Security functionality verification Use of cryptography Identifier management Mobile code (e.g. javascript, Java …) Software and information integrity Authenticator management Session lock Input validation Wireless access management Remote session termination Deterministic output Strenght of password based authentication Concurrent session control Error handling Public Key Infrastructure (PKI) certificates Auditable events Session Integrity Strenght of public key authentication Audit storage capacity Protection of audit information Authenticator feedback Response to Audit processing failure Unsuccesful login attempt (limitation) Timestamp System use notification Non repudiation Access via untrusted networks (monitor and control all methods of access) Confidential Property of Schneider Electric | Page 31
Elementi di valutazione dei Security Level per IACS
As per IEC 62443
FR 6: Timely Response to Event
FR 5: Restricted Data Flow (RDF) (TRE) FR 7: System Availability (SA)
Network segmentation Audit log accessibility Denial of service protection
Zone boundary protection Continuous monitoring Resource management
General purpose person-to-person
communication restrictions (email, social
networks and so on…) Control System Backup
Application partitioning Control system recovery and reconstitution
Emergency power
Network and security configuration settings
Control system component inventory
Confidential Property of Schneider Electric | Page 32SL 0 Confidential Property of Schneider Electric
Cybersecurity solutions portfolio – Level 1 (SL-1
compliant)
Access Protect Detect Respond
• Authentication, • Endpoint protection • Security Information & • Backup / Disaster
Authorization, anti-virus, anti- Event Management Recovery
Accounting malware, (SIEM)
• Network • Patch Management • Network performance
Segmentation monitoring
• Anomaly Detection
• Intrusion Detection
(NIPS)
• SOC / NOC
Confidential Property of Schneider ElectricCybersecurity solutions portfolio – Level 3 (SL-3 compliant)
Identify Protect Detect Respond
• Authentication, • Endpoint protection • Security Information & • Backup / Disaster
Authorization, anti-virus, anti-malware, Event Management Recovery
Accounting (SIEM)
• DLP, HIPS, whitelisting
• Multi-Factor • Network performance
• Central Device Control
Authentication monitoring
• CPU/PID Protection
• Network Segmentation • Anomaly Detection
• Patch Management
• Secure Remote Access • Intrusion Detection
(NIPS)
• Physical Security
• SOC / NOC
Confidential Property of Schneider Electric
Page 35Secure Remote Access
3rd Party Technicians 3rd Party Technicians Remote Employees Remote Employees
SRA Admin
• Granular user/asset access policy
• Enforce Auth. Policies (MFA) and Vault Passwords
HTTPS/443
Control • Manually approve remote connections
SRA Central
• Real-time ”over the shoulder” video viewing of session
DMZ
Firewall Monitor • ”Red Button” for immediate session termination
• Audit video session recordings
Firewall Audit • Session integrity validation using CTD activity timeline
SSH Reverse Tunneling
SRA Site
SSH/22 HTTP/80,443 FW Open Ports
OT Network
RDP/3389 VNC/5800, 5900
Engineering HTTP/S – 80 / 443
DCS/SCADA
Historian HMI Workstation
Server
PLC PLC PLC PLC
Valve Drill Valve Drill Valve Drill Valve Drill
36Confidential Property of Schneider Electric Copyright Claroty 2019 – All Rights ReservedCertification
Use Certified Developed in certified By certified
Products development centres authorities
• Any embedded product with an • Follow the Secure Development • For Process Automation we use
interface and IP Stack now undergo Lifecycle exida and TÜV for Safety
Embedded Device Security Assurance • All Policies, Practices & Procedures
(EDSA) certification. reviewed / updated every quarter.
• For long development cycles devices
will undergo Achilles certification in the
interim. Workstations will also be
Achilles certified
Certification underpins cybersecurity technology
Confidential Property of Schneider ElectricMantenere
I più alti livelli di
protezione informatica
Confidential
Confidential Property
Property of Schneider
of Schneider Electric |Electric
Page 38MANUTENZIONE: su misura
Gold
Silver
Bronze
Confidential Property of Schneider ElectricLe normative sulla Cybersecurity in Italia
Classificazione delle Aziende
Perimetro Cyber
OSE
Altre aziende
Confidential Property of Schneider Electric Confidential Property of Schneider Electric | Page 40La Cybersecurity è un obiettivo Nazionale di sicurezza
Direttiva UE 2016/1148 del 6/7/2016 per la
creazione di un alto livello di sicurezza nelle reti
e nei sistemi informatici (NIS) in EU
In Italia
Decreto legge n. 65, del 16 maggio 2018
Il 9 giugno è andato in Gazzetta Ufficiale ed è in
vigore dal 26 giugno 2018.
Confidential Property of Schneider ElectricOperatori Servizi Essenziali (OSE)
Elettricità – Petrolifere – Gas
Energia
Produzione, fornitura e distribuzione
Aeroporti – Ferrovie – Trasporto Acque
Trasporti
Strade (Utilities /Authorities)
Ospedali – Cliniche
Sanità e Acque
Fornitori - Distributori
Banche e finanza Società di credito - Traders
Multe da 12.000 fino a 1.500.000 euro (riviste col DL 105/2019)
Confidential Property of Schneider ElectricObblighi
Gestione del rischio:
«Gli operatori di servizi essenziali devono adottare misure
tecniche e organizzative adeguate e proporzionate alla gestione
dei rischi posti alla sicurezza delle reti e dei sistemi informativi.»
Minimizzazzione dell’impatto:
«Gli operatori di servizi essenziali devono adottare misure
adeguate per prevenire e minimizzare l'impatto di incidenti a
carico della sicurezza della rete e dei sistemi informativi…, al fine
di assicurare la continuità dei servizi»
Notifica:
«Gli operatori di servizi essenziali devono notificare all’ autorità
competente o al CSIRT gli incidenti»
Confidential Property of Schneider ElectricLEGGE 18 novembre 2019, n. 133
Perimetro di sicurezza nazionale cibernetica.
Al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei
servizi informatici delle:
Amministrazioni pubbliche
Enti
Operatori nazionali pubblici e privati,
dal cui esercizio dipendono funzioni
essenziali e critiche per lo Stato
e’ inoltre istituito il:
Centro di valutazione e certificazione nazionale (CVCN)
Confidential Property of Schneider Electric
Page 44Leggi nel modello IACS
ISO 27001
Corporate
Corporate Servers Web Email Infrastruct Wireless
External Corporate Workstations
SICUREZZA CIBERNETICA
Servers Servers ure Access
Zone Zone Corporat
e
Servers Points
GDPR
Firewall
Corporate
Inter VPN Corp DMZ Corporate LAN
net
Dedicated
Data
Comm Path
Process DatabaseSecondary
IEC 62443
PERIMETRO
External CS Web Acquisition
Server Historian Server Configurati
Remote
Zone Business Server on Server
Operation Control
CS LAN Comms
s and Workstations
Firewall Server
Facilities Dedicated
Comm Path External CS DMZ
VPN Access Applications, database, Control System LAN
Remote support
Business
Partners and
Vendors Control Field
Level
Zone
RTU / PLC Field
and
Device Primary
HMI
Control Room NIS
Locations Firewall Historian Workstations
Sensors and
Actuators
Source: Recommended
Practices: Improving Industrial Safety
Control System Cyber security Instrument
with Defense in Depth
Strategies from Department of
Safety Zone Systems IEC 61508/61511
Homeland Security
Framework Nazionale Cybersecurity basato su NIST ed ENISA
Confidential Property of Schneider ElectricI 5 passi della Cybersecurity
Processi
Persone
Tecnologie
Assessment Design Implementazione Manutenzione Monitoraggio
Firewall Security
Asset Inventory Policy & Procedure System Upgrades
Defense in Depth Security Patches Device Mgmt.
Gap Analysis Hardware & Software Unified Threat Mgmt. NIPS
Secure Architecture Awareness & Training
Risk & Threat Security Assurance Level System Hardening Device Security Mgmt.
Compliance Incident Response
Asset Management Solution Integration SIEM Security Device Mgmt.
Policy & Procedure Penetration Testing
Policy & Procedure Knowledge Transfer
Progetto Ricorrente
Security Security Advanced
Security Engineer
Awareness Administrator Expert
Formazione
Confidential Property of Schneider ElectricCybersecurity nei sistemi
industriali
• Differenze tra IT e OT
• Come proteggere un Sistema di
Controllo Industriale
• Lo standard ISA99/IEC62443
• Leggi in Italia: DL NIS e succ.
• 10 Suggerimenti
• I 5 passi della Cybersecurity
• Case study
• Q&A
Confidential Property of Schneider ElectricGRAZIE PER
L’ATTENZIONE
umberto.cattaneo@se.com
Confidential Property of Schneider ElectricPuoi anche leggere
