Einführung Cybersicherheit für Industrieanlagen

Transkript

1 Kundentag - Cybersicherheit für Industrieanlagen , Ragnar Schierholz ABB Einführung Cybersicherheit für Industrieanlagen Slide 2

2 Leitprinzipien der Cybersicherheit Realität Es gibt keine 100%ige oder absolute Sicherheit Prozess Cybersicherheit ist kein stabiler Zustand sondern ein sich bewegendes Ziel es erfordert nicht (nur) Produkte, sondern Prozesse Balance Bei Cybersicherheit ist es wichtig, eine Balance zu finden hinsichtlich Nutzerfreundlichkeit und Kosten Cybersicherheit ist im Wesentlichen Risikomanagement Slide 3

3 Cybersicherheit in Energietechnik und Industrieautomation Warum ist Cybersicherheit überhaupt ein Thema? Energietechnik und Industrieautomation heute Cyber security issues Moderne Leittechniksysteme sind hochspezialisierte IT Systeme Setzen auf kommerzielle, Standardkomponenten aus der IT Welt auf Nutzen standardisierte IP-basierte Kommunikationsprotokolle Sind hochgradig verteilt und vernetzt Nutzen zunehmend mobile Geräte und Medien Erhöhte Angriffsfläche im Vergleich zu proprietären Systemen Kommunikation mit externen (nicht-lt) Systemen Angriffe aus der bzw. über die IT Welt Angriffe sind real und haben Konsequenzen für Arbeits- und Umweltsicherheit, sowie das finanzielle Ergebnis Slide 4

4 Cybersicherheit in Energietechnik und Industrieautomation Warum ist Cybersicherheit überhaupt ein Thema? Angriffe sind real und haben Konsequenzen für Arbeits- und Umweltsicherheit, sowie das finanzielle Ergebnis Slide 5

5 Realitätsprüfung Cybersicherheitsrisken kein Mythos Beispiele aus dem Geschäftsgeschehen der ABB Generische Schadsoftware infiziert ABB Kunden Was passierte Generische Windows Schadsoftware infizierte das Leitsystem einer Kundenanlage Performanceeinbußen durch Verlust der Konnektivität zwischen Client/Server Komponenten ABB Service wurde gerufen, um die Situation zu untersuchen und unterstützte den Kunden bei der Bereinigung Aufgrund fehlender Logs und fehlendem Security Monitoring keine Ursachenanalyse möglich Entstandener Schaden Ineffizienter Betrieb der Anlage Aufwand für Untersuchung der Ursache Aufwand für Bereinigung des Systems Möglicher weiterer Schaden Produktionsausfall Reputationsschaden Slide 6

6 Realitätsprüfung Cybersicherheitsrisken kein Mythos Beispiele aus dem Geschäftsgeschehen der ABB ABB Kunde setzt Produkte außerhalb der spezifizierten Rahmenbedingungen ein Was passierte IT Abteilung des Kunden beginnt Vulnerability Scans mit kommerzieller Software gegen alle intern erreichbaren IP Adressen, inkl. destruktiver Scans SPS Geräte stoppen und erfordern Neustart ABB Service wurde gerufen, um die Situation zu untersuchen Bekannte und bereits behobene Schwachstelle war die Ursache, da die aktualisierte Firmware nicht eingespielt worden war Entstandener Schaden Produktionsstörungen Lieferverzögerungen Aufwand für die Untersuchung der Ursache 9 Stunden Nicht-Verfügbarkeit von Teilen des Systems verteilt über 3 Wochen Möglicher weiterer Schaden Kompletter Produktionsausfall Konventionalstrafen wg. Lieferverzögerungen Reputationsschaden Slide 7

7 ABB Cybersicherheit Stellungnahme des CEO von ABB Ulrich Spiesshofer, CEO ABB ABB recognizes the importance of cyber security in control-based systems and solutions for infrastructure and industry, and is working closely with our customers to address the new challenges. Slide 8

8 ABB Group Cyber Security Council Zusammensetzung Group Cyber Security Council - Zusammensetzung Divisions Power Products Power Systems Discrete Automation and Motion Process Automation Low Voltage Products Cross Functions Processes People Technology Software Development IT Security Legal Communication Corporate Security Service Insurance Risk Management Research ABB hat eine formale Organisation für Cybersicherheit, die an das Top Management berichtet Slide 9

9 Wie arbeitet ABB an Cybersicherheit? Cybersicherheit ist integraler Bestandteile unserer Produkte und Systeme Eingebettet in den Produktlebenszyklus Eingebettet in die Organisation Kooperation mit den Domänenexperten Aktive Teilnahme an Standardisierung Slide 10

10 Wie arbeitet ABB an Cybersicherheit? Ein wichtiger Faktor in allen Phasen Produkt- Lebenszyklus Projekt Lebenszyklus Anlagen Lebenszyklus Design Implementierung Verifikation Release Support Design Engineering FAT Komissionierung SAT Betrieb Wartung Review Upgrade Slide 11

11 Modularer Ansatz am Beispiel 800xA Enhanced security Fundamental security Products Digital Signature Advanced Access Control 800xA Whitelisting 800xA Audit Trail PC, Network and Software Monitoring Management & Monitoring Industrial Defender Automation Systems Manager Cyber Security Fingerprint Services Cyber Security Monitoring Service (ServicePort) Policies & Guidelines Consultancy Automation Sentinel Antivirus updates Windows Security updates Training (e.g. E163) Built-in security System Hardening & System Configuration (Robustness testing, roles based access control, IPSec, back-up & restore, host firewall for severs & workstations, and storm protection for controllers & communication modules, etc.) My Control System (Field communication - e.g. security bulletins & security reports) Slide 12

12 Externes Portal zu Cybersicherheit Links Web: Slide 13

13 Kundentag - Cybersicherheit für Industrieanlagen , Ragnar Schierholz ABB Sicherheitsstandards Cybersicherheit für Industrieanlagen Slide 14

14 Die größten Herausforderungen nicht-technisch Risikomanagement Bewusstsein Kompetenzmanagement Compliance Bildquellen: wegilant.com blogpool4tool.com Slide 15

15 Bestehender regulatorischer Rahmen Energiewirtschaftsgesetz (EnWG) - 11 (1a-c) Verlangt von Energieversorgern angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme Katalog von Sicherheitsanforderungen von der Bundesnetzagentur seit August 2015 verfügbar Verlangt dies auch von Betreibern von Energieanlagen, die als Kritische Infrastruktur bestimmt wurden binnen zwei Jahren nach Inkrafttreten einer Rechtsverordnung zur Bestimmung der KRITIS. Verlangt von diesen Betreibern, erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu melden. Slide 16 Bildquellen: animalethics.umwblogs.org

16 Bestehender regulatorischer Rahmen IT-Sicherheitsgesetz (Novelle des BSI Gesetzes) 8a Verpflichtet Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme zu treffen binnen zwei Jahren nach Inkrafttreten einer Rechtsverordnung zur Bestimmung der KRITIS. Fordert den Erfüllungsnachweis alle zwei Jahre. Referenziert den Stand der Technik, und ermöglicht Verbänden und Betreibern branchenspezifische Standards vorzuschlagen. Slide 17 Bildquellen: animalethics.umwblogs.org

17 Bestehender regulatorischer Rahmen IT-Sicherheitsgesetz (Novelle des BSI Gesetzes) 8b Verpflichtet Betreiber Kritischer Infrastrukturen erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme [ ], die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit [ ] führen können oder geführt haben, [ ] an das BSI zu melden binnen sechs Monaten nach Inkrafttreten einer Rechtsverordnung zur Bestimmung der KRITIS. Verlangt von Betreibern eine Kontaktstelle für das BSI, kann innerhalb von Sektoren gebündelt werden. Verlangt vom BSI, für die Sicherheit in der Informationstechnik wesentlichen Informationen zu sammeln und die Betreiber darüber zu unterrichten. Slide 18 Bildquellen: animalethics.umwblogs.org

18 Zu erwartender regulatorischer Rahmen Entwurf einer EU Direktive NIS (2013/0027 COD) Definiert Rahmen für pan-eu Informationsaustausch bzgl. Cybersicherheit Bedrohungen und Vorfälle. Fordert von den Mitgliedsstaaten die Einrichtung einer Aufsichtsbehörde In DE, per IT Sicherheitsgesetz das BSI Aufsichtsbehörde stellt sicher, dass Marktteilnehmer" angemessene technische und organisatorische Maßnahmen ergreifen und meldet Vorfälle. Slide 19 Bildquellen: animalethics.umwblogs.org

19 NIST Cyber Security Framework Generischer Referenzrahmen für übergreifende Vergleiche Slide 20 Bildquellen: animalethics.umwblogs.org

20 Standards, Richtlinien und Empfehlungen Überblick ISO IEC ISO ANSI/ISA ICS Security Kompendium IT-Sicherheitskatalog Anforderungen an sichere Steuerungsund Telekommunikationssysteme IT-Sicherheit für Erzeugungsanlagen Slide 21

21 Standards, Richtlinien und Empfehlungen ISO/IEC General IEC (Ed. 2) IEC/TR IEC/TS IEC/TR Concepts and models Master glossary of terms and abbreviations System security conformance metrics IACS security life-cycle and use-cases Direkt für Betreiber relevant Policies & Procedures IEC (Ed. 2) IEC/TR IEC/TR IEC Requirements for an IACS security management system Implementation guidance for an IACS security management system Patch management in the IACS environment Requirements for IACS solution suppliers Relevant für Schnittstelle zwischen Betreiber und Dienstleister (Integration o. Wartung) System IEC/TR IEC IEC Security technologies for IACS Security risk assessment and system design System security requirements and security levels Relevant für Schnittstelle zwischen Integrator u. Hersteller Component IEC IEC Product development requirements Technical security requirements for IACS components Slide 22 Quelle: isa99.isa.org

22 Standards, Richtlinien und Empfehlungen IT Sicherheitskatalog gem. EnWG 11 (1a) Kernforderung: Einführung eines ISMS gemäß ISO und Zertifizierung durch unabhängige, akkreditierte Stelle Des Weiteren Einrichtung einer Kontaktstelle für Cybersicherheit (zur Bundesnetzagentur) Erstellung und Pflege eines Netzstrukturplans Prozess zur Riskoeinschätzung und -behandlung Slide 23

23 Fazit Regulatorische Auflagen werden auf Betreiber von Kritischen Infrastrukturen zukommen und verlangen Konformität mit Industriestandards z.b. IT-SiG z.b. EU NIS Direktive Betreiber müssen ein Management System für Cybersicherheit einführen, bspw. gemäß ISO / ISO/IEC (Empfehlung: Edition 2 verwenden) Als Referenzen für Projektausschreibungen können dienen ISO/IEC (Service Providers Capabilities) ISO/IEC (System Capabilities) Slide 24

24