Cyber-Risiken und Sicherheitsansätze für die Energiebranche

Transkript

1 Cyber-Risiken und Sicherheitsansätze für die Energiebranche Strategische Infrastrukturen sind die Lebensadern einer modernen Gesellschaft.

2 Sicherheitsaspekte und Lösungen im Energiebereich Zunehmender Einsatz klassischer ICT Energieproduktionsanlagen Netzbereich Smart Meters Sicherheitsanforderungen steigen Cyber Attacken von intern und extern Daten- und Kontrollverlust Versorgungssicherheit Privacy Erfahrungsberichte aus unseren Sicherheitsanalysen zeigen auf, worauf Sie achten müssen und wie Sie Sicherheit etablieren können. SEITE 2

3 Ausgangslage - Markt Zunahme Marktdynamik für EVU / Liberalisierung Neue Business-Modelle Real-Time Anforderungen nehmen zu Verteilte Stromerzeugung & Speicherung Verteilte Datenerhebung Intelligente Messsysteme (SmartX) Selbstregulierende/automatisierte Reaktion auf Last- & Produktionsschwankungen Zentrales Zählerdatenmanagement (De-) Kommissionierung von Kunden Zunehmende Vernetzung und Datenaustausch Bedarf an flexiblen und sicheren Lösungen steigt SEITE 3

4 SEITE 4

5 Trends Zusammenwachsen der Welten SCADA - ICT Klassischer Energie-Bereich Planungshorizonte 20 Jahre + SCADA - ICT Paradigmen Personensicherheit, Zutrittssicherheit Stabilität, Verfügbarkeit Schutz der Infrastrukturen und Investitionen IPv4 im Kommen Reduktion dedizierter Umgebungen Sekundäre Nutzung und tertiäre von Risiken COTS Klassische ICT Planungshorizonte 5 Jahre Paradigmen Gemeinsame Herausforderungen CIA Internet-of-Things, M2M auch in Energie Sektor Unterschiedliche Erfahrungen Nutzen der Erfahrungen aus beiden Welten Verfahren müssen gesucht werden IPv4 viele Erfahrungen, IPv6 im Kommen Klassische Vernetzung Verfahren etabliert Cloud Services Primäre Risiken (Commercial Off-The-Shelf, Components-Off-The-Shelf ) SEITE 5

6 Steigende Risikolage Vernetzung von SCADA, ICS und ICT Grossflächiges Netz, viele Teilnehmer und Zugangspunkte Komplexität, Dominoeffekt Perimeter aufgelöst Unsichere Komponenten /Konfiguration alte Systeme, proprietäre Systeme Fehlender Systemunterhalt Cloud Services Unwissen/Unklarheit über Risiken und Gefahren Sicherheitssensibilisierung Privacy SEITE 6

7 Cyber-Risiken im Energiesektor Der Energiesektor hat sich in letzter Zeit zu einem Top 5 Ziel für gezielte Cyberangriffe entwickelt. (Quelle: Symantec) SEITE 7

8 Attacken im Energiesektor Seit 2000 vermehrt Angriffe 2010 Stuxnet 2012 Shamoon 2014 Dragonfly FYI: SEITE 8

9 Aktuell: Dragonfly 2014 Ziele: Energieunternehmen, Ölfirmen und Infrastrukturanbieter in Europa & USA SCADA Systeme Wirtschaftsspionage, permanenter Zugriff Sabotage möglich Art & Weise Phishing Attacke auf Mitarbeiter Gezielter Angriff auf 3 europäische Hersteller von Steuerungssoftware: Kompromittierung Update Server Schadsoftware auf Foren und digitalen Branchentreffs der Energiebranche FYI: SEITE 9

10 Wer greift an und warum? Angreifer Script Kiddies Mitbewerber Bezahlte Hacker Regierungen Hacktivists Terroristen Insiders «Kunden» Systemstörung Fehlkonfiguration Gründe Wettbewerbsvorteile Informationskrieg Erpressung Protest Finanzgewinne Gratis Strom Rache SEITE 10

11 Wie erfolgen die Angriffe? Gezielte Angriffe Schwachstellen Passwörter Support-Zugänge USB Trojaner Phishing & Social Engineering Wasserlöcher DDoS Angriffe auf Office Umgebung Angriffe auf kleine Teilnehmer am Smart Grid SEITE 11

12 Mögliche Auswirkungen / Risiken von Smart Grid Angreifer schaltet gleichzeitig Stromversorgung vieler tausender Kunden ab Einbruch, z.b. über Konzentratoren in Netzleitsysteme Energiediebstahl durch Zählermanipulation Persönlichkeitsschutz (DSG) SEITE 12

13 Zusammenfassung Zentrale und dezentrale Infrastrukturen Interoperabilität Prozesse Kommunikation Intelligenz Automatisierung Power Grid(s) EVU Smart Meter : Internet of Things höherwertige OS z.b. embeded linux Basierend auf IP Komplexe Infrastrukturen und Abhängigkeiten zeitnah Grosse Daten Sammlungen Datenschutzgesetz (DSG) Erhöhte Angriffsvektoren Design Architektur Betrieb Überwachung Steigende Komplexität des Gesamtsystems einhergehend mit steigenden Risiken GESAMT- SYSTEM KUNDEN DATEN Datenschutz und Privacy Technologiebedenken Sicherheitsbedenken Erhöhte Komplexität Intermediäre Risiken Zunahme Datenfluss Systemische Abkängigkeiten Ungleiche Systeme EDM (Energy Daten Management) Datenschutz Datenverwaltung Datennutzung SEITE 13

14 Sicherheitsansätze für die Energiebranche Strategische Infrastrukturen sind die Lebensadern einer modernen Gesellschaft.

15 Security Audit - typische Prüfaspekte Intrusionsschutz Detektion Schutz vor Ausführung / Verbreitung Schutz des Systems Reaktion Organisatorische Rahmenbedingungen SEITE 15

16 2014 BSI Top 10 Bedrohungen für Industrial Control Systems Infektion mit Schadsoftware über Internet und Intranet Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware Social Engineering Menschliches Fehlverhalten und Sabotage Einbruch über Fernwartungszugänge Internet-verbundene Steuerungskomponenten Technisches Fehlverhalten und höhere Gewalt Kompromittierung von Smartphones im Produktionsumfeld Kompromittierung von Extranet und Cloud-Komponenten (D)DoS Angriffe Klassiker in der klassischen IT! FYI: SEITE 16

17 Security Audit - Resultate und konkrete Massnahmen SEITE 17

18 Ganzheitliche Sicherheit Prozesse Security by Obscurity ist keine Option! Risiko Management Prozess (GRC) Informationssicherheits-Management System Sicherheitsvorgaben / Berücksichtigung von Standards (Internationale, Kontinentale, Nationale) Proaktiver Schutz der Information Berechtigungsmanagement Datenschutz-Management System Regelmässige Prozess Audits 7x24 Verfügbarkeit der kritischen Infrastruktur SEITE 18

19 Ganzheitliche Sicherheit Technologie Security by Design, Line of Defence Verbindung von SCADA & ICT mit Ende-zu-Ende Sicherheit Perimeterschutz u.a. Firewall, Intrusion Prevention System, Virtual Private Network, Anti-Virus Host Intrusion Detection System, Host Anti-Virus DeMilitarized Zone Interne Sicherheit u.a. Firewall, Intrusion Detection System, Virtual Private Network, Anti-Virus Host IDS, Host Anti-Virus Network Admission Control Virtualisierung Interoperabilität der Lieferanten und Systeme Verfügbarkeit z.b. Ausfall Kommunikationsnetze, Systemkomponenten Vertraulichkeit z.b. Abrechnungsdaten, Vertragsdaten, Messdaten (im Sinne Datenschutz) Integrität z.b. Mess- und Steuerdaten, Abrechnungsdaten Authentisierung der Benutzer und Komponenten Cloud Schutz Aktives Monitoring / Security Information Event Management Regelmässige System Audits / Penetration Tests / Vulnerability Scanning SEITE 19

20 Ganzheitliche Sicherheit Mitarbeitende Kontinuierliche Sensibilisierung und Ausbildung in drei Schritten Sehen: Die Mitarbeiter, Partner müssen auf die Risiken und Gefahren aufmerksam gemacht werden. Verstehen: Das Sicherheitsdenken wird gezielt geschult und korrektes Verhalten gefördert. Handeln: Das Sicherheitsbewusstsein der Mitarbeiter wird nachhaltig gefestigt. SEITE 20

21 Sicherheit als integraler Bestandteil vom Smart Grid Vergessen Sie im Rahmen Ihrer Strategiefindung Geschäftsmodelle, Unternehmensprozesse, IT-Komponenten, Smart Grid-Technologien und Kooperationspartner die Sicherheit nicht! SEITE 21

22 InfoGuard AG Schweizer Experte für Netzwerke & Informationssicherheit Security Services Effiziente Sicherheitsprozesse nach Mass Network & Security Solutions Erprobte ICT-Lösungen und zuverlässige Services SEITE 22

23 InfoGuard AG Schweizer Experte für Netzwerke & Informationssicherheit Schweizer Unternehmen Langjährige Praxiserfahrung und Kontinuität Viele Kunden im Energiesektor über 300 Mitarbeitende in der Gruppe Forschung, Entwicklung und Produktion von eigenen Sicherheitslösungen in der Schweiz Partnerschaften mit ausgewählten Herstellern InfoGuard AG Lindenstrasse 10, 6340 Baar Telefon SEITE 23