Informacijska sigurnost u energetskim sustavima

1. Predrag Pale Informacijska sigurnost u energetskim sustavima

3. Zašto ? • Zakoni • Zakon o zaštiti osobnih podataka • Zakon o tajnosti podataka • Zakon o informacijskoj sigurnosti • Standardi • ISO 27000 • IEC 62351 • Pogledi • kritična nacionalna infrastruktura • Promjene u energetskom sustavu

4. Mitovi, legende i predrasude • Energetski sustav nije zanimljiv hakerima • ES su neobični pa ih hakeri ne poznaju • Tehničari su savjesni i dobro podučeni • Informacijska sigurnost je važna samo bankama i obavještajnoj zajednici • Informacijska sigurnost je stvar informatičara

5. Što je informacijska sigurnost ? • skup mjera • pravila, postupaka, resursa, opreme, sustava • koji osigurava da su • informacije • i infrastruktura • u svakome trenutku • raspoloživi • cjeloviti • dostupni samo ovlaštenima

6. Što čini informacijski sustav • računala • mreže • procesna oprema • pravila • postupci • ljudi

7. Koje informacije treba štititi • primarne • koje su dio poslovanja ili se odnose na njegov sadržaj • meta informacije • podaci o primarnim podacima • adrese, vlasništvo, vremena, pristup, zaštite, količina • sekundarne • informacije o sustavu i organizaciji koje nisu u izravnoj vezi sa sadržajem poslovanja • zaposlenici, sustavi potpore, ....

8. informacijski sustavi • prijetnje • ranjivosti • metode napada • SCADA sustavi • elementi • prijetnje • posebnosti • tehnike zaštite

9. IS - Prijetnje • Napadači • Žrtve • Svrha napada • Cilj napada • Meta napada

10. IS - Prijetnje - Napadači • profesionalci • najamnici, stručnjaci za sigurnost IS • lopovi • stručnjaci za krađu ili područje rada • teroristi • vandali • istraživači • stručnjaci za IS ili područje rada • umjetnici • stručnajci za IS ili bilo koje područje, umjetnici “općeg tipa” • posrednici

11. IS - Prijetnje - Žrtve • poznate • točno određena organizacija ili pojeidnac • izvedene • žrtva ima određeno svojstvo • slučajne • nasumice izabrana žtva • postranične (collateral) • usputna žrtva pri napadu na pravi cilj

12. IS - Prijetnje - Svrha napada • osobna korist • financijska • korištenje resursa • image i status • znanje • uzbuđenje • nauditi drugome • financijski • oduzeti resurs • image i status • narušiti znanje • bez osobita razloga

13. IS - Prijetnje - Cilj napada • pribaviti informaciju • izvorna informacija ostaje vlasniku neoštećena • često se ne zna da je kopirana • oštetiti informaciju • vlasnik više nema izvornu informaciju • vlasnik ili nije svjestan promjene • ili je promjena javno poznata • kontrola sustava • napadač može upravljati sustavom po volji • vlasnik najčešće toga nije svjestan

14. računala hardver poslužitelji korisnička oprema stolna i prijenosna računala telefoni osobna oprema softver operacijski sustavi aplikacije komunikacije oprema telefonske centrale računalni usmjerivači, ... tijek podataka fizički medij eter IS - Prijetnje - Meta napada • procesi • ljudi

15. IS - Ranjivosti • hardver • kvar, greške, loš dizajn, zastarjelost, loše održavanje • softver • greške, loš dizajn, zastarjelost, loše održavanje • komunikacije • greške, loš dizajn, zastarjelost, loše održavanje • dokumenti / podaci • nisu zaštićeni • okolina • fizički pristup, pristup energetskom ili komunikacijskom priključku • postupci (procedure) • ne postoje, loše, ne provode se • osoblje • pomanjkanje svijesti, obrazovanja, motiva • osobna korist, zla namjera, osveta

16. IS - Metode napada • krađa • opreme, dokumenata • provala • prostorije, oprema, dijelovi • zlouporaba • ovlasti, povjerenja • prisluškivanje • žica, etera, ekrana • prijevara • “otključavanje” • dekriptiranje, pogađanje • korištenje “rupa” • slabe lozinke, greške u dizajnu ili izvedbi

17. Elementi SCADA sustava • mjerni instrumenti • oprema – izvršni članovi • računala • lokalna • prikupljanje lokalnih podataka • autonomno upravljanje • središnja • prikupljanje globalnih podataka • daljinski nadzor • središnje upravljanje • komunikacije • kratkog dometa - u perimetru objekta • dalekog dometa - za povezivanje udaljenih lokacija

18. Prijetnje SCADA sustavima • zlonamjerni programi • neusmjereni napad • sami se šire • osoblje • osveta, dosada, neupućenost • hakeri • znatiželja i smodokazivanje • teroristi • kritična nacionalna infrastruktura

19. Posebnosti SCADA sustava • (ne)iskustvo osoblja • sigurnost vs. raspoloživost • operacijski sustavi • standardizacija, rijetki update • autentikacija • naglasak na jednostavnost i brzinu rada • problem biometrije • udaljeni pristup • javni sustavi • umreženost • imperativ • nepostojanje zaštite • nije uobičajeno • SCADA softver • slaba zaštita • javnost informacija • javni sustavi, znanstveni i stručni radovi • fizička zaštita • stari koncepti i ugroze

20. Metode zaštite • prevencija • održavanje aplikacija i sistemskog SW • kvalitetan sustav lozinki, biometrija • vatrozidi, antivirusna zaštita • otkrivanje • IDS, IPS • dobra administracija (monitoring) svih sustava • kvalitetno i trajno obrazovani specijalizirani stručnjaci • rješavanje incidenta • timovi i sustavi za rješavanje incidenata • pričuvni sustavi • oporavak • backup podataka • disaster recovery plan (DRP) • business continuity plan (BCP)

21. Prevencija • administrativne mjere • strategija, politike, pravila, procedure • potrebne službe i potpora • svjesnost i obrazovanje • svi zaposlenici • specijalizirani profesionalci • trajno obrazovanje • tehničke mjere • sustavi, procedure • posebni sustavi • posebni IDS, IPS sustavi

22. Organizacijske pretpostavke • strategija • outsource-ati IS ili ne ? • popustiti ucjeni ili ne ? • politike • nadležnosti i odgovornosti • financiranje • pravila • provedba politike • postupci • usklađivanje poslovanja s IS • procesi (sigurnosni) • operacionalizacija zaštite • odvraćanje • smanjiti interes, preplašiti, zavesti na krivi trag

23. Ljudski faktor • Samozaštita • svijest, znanje i vještine • odgovornost za vlastitu sigurnost • Briga za kolektiv • odgovornost za zajedničku sigurnost • komunikacija, dobri odnosi, kultura • Službena uloga • jasne uloge • naglasak na rukovoditeljima • odnos IS i proizvodnosti, učinkovitosti, troškova

24. ISO 27000 • 27001 • BS 7799-2 • 27002 • ISO 17799 • 27004 • information security management measurement and metrics • 27005 • information security risk management

25. ISO 27002 aka ISO 17799 • Security Policy  • System Access • Control • Computer & Operations Management • System Development and Maintenance • Physical and Environmental Security • Compliance • Personnel Security • Security Organization • Asset Classification • and Control • Business Continuity Management (BCM)

26. ISO 27001 • Introduction • Scope • Normative References • Terms and Definitions • Information Security Management System • Management Responsibility • Management review of the ISMS • ISMS improvement

27. ISO 27001 – šest koraka • Define an information security policy • Define scope of the information security management system • Perform a security risk assessment • Manage the identified risk • Select controls to be implemented and applied • Prepare an SoA ("statement of applicability")

28. ISO 27001 – PIPD (PDCA) pristup Planiraj uspostavi ISMS Izvrši primjeni i upravljaj ISMS Djeluj održavaj, poboljšavaj ISMS Provjeri nadziri i provejravaj ISMS

29. IEC 62351 • 62351-1: Introduction • 62351-2: Glossary of Terms • 62351-3: Profiles Including TCP/IP • 62351-4: Profiles Including MMS • 62351-5: Security for IEC 60870-5 and Derivatives (i.e. DNP 3.0) • 62351-6: Security for IEC 61850 Profiles • 62351-7: Security Through Network and System Management

30. Veza IEC TC57 standarda i 62351

31. Predrag.Pale@FER.hr www.FER.hr/Predrag.Pale