Cybersecurity in der Energiewirtschaft Beyond Safe Harbour

Transkript

1 Cybersecurity in der Energiewirtschaft Beyond Safe Harbour

2 Cybersicherheit Ausgangslage in der Energiewirtschaft Angriffe / Bedrohungsszenarien Internationale und Nationale Gremien / Anforderungen Weiterentwicklung des Stromnetzes zu Smart Grid Schutz kritischer Infrastrukturen Standards in Entwicklung Beispiel Smart Meter Ausblick Digitalisierung 2

3 Der ge(über)forderte Mensch (CIO, CISO, Architekt.)? IT- interne Collaboration wird zur Schlüsselfähigkeit 3

4 Sicherheitsbewußtsein hoch, aber neue Risiken Sicherheit ist und war lange vor der Liberalisierung ein Thema Versorgungssicherheit Arbeitssicherheit, Unfallverhütung Objektschutz, Zugangsbeschränkungen Risikomanagement Kommunikationssicherheit IKT Energiesysteme massiv in Veränderung Standardisierung in Etablierung Permanente Veränderungen bei Risiken und Sicherheitstechnologien Aufsichtsratspräsentation 4

5 IKT ist Schlüsseltechnologie für viele Branchen auch für die Energiewirtschaft! In Zukunft: Ein breites Umfeld an Komponenten & Systemen Erhöhter Integrations- und Kommunikationsbedarf im Stromnetz der Zukunft Massiver Anstieg der Vernetzung und der Komplexität Standard IKT Komponenten werden Bestandteil des Energienetzes Aufsichtsratspräsentation 5

6 Wie viel Security braucht die Energiewirtschaft Entscheidend dafür sind u.a.: Gesetze und Regulierung Technologische Entwicklungen Bedrohungslage und Risikoanalyse Zertifizierungen führen nicht automatisch zu notwendigem Sicherheitsniveau Internationale Normen und Standards nur als Orientierungshilfe Etablierung von Branchenstandards für einheitliches Sicherheitsniveau Standards und Normen in Entwicklung Aufsichtsratspräsentation 6

7 C-Level Awareness für Technologiethemen 7

8 Businesstrends ultimative Herausforderungen für die Cybersicherheit 8

9 Cybercrime Zu Beginn, einige Zahlen 348 Mio Identitäten wurden 2014 weltweit gestohlen, in ca. 35% der Fälle waren Finazinformationen davon betroffen; 49% aller Angriffe wurden von Hackern verursacht (Quelle: Symantec Internet Security Threat Report 2014) Die Kosten (direkte und indirekte Kosten) je kompromittierten Datensatz aufgrund einer böswilligen Handlung liegen in Deutschland bei durchschnittlich 161 (Quelle: Studie Ponemon Institute Cost of a data Breach) 2014 gab es ca. 317 Millionen unterschiedliche neue Schadsoftware Varianten (Quelle: Symantec Internet Security Threat Report 2015) 9

10 Cybercrime Kritische Infrastrukturen im Fokus 10

11 Persönlich Alles Sicher Mehrfache Verwendung gleicher Accounts 12

12 Gibt es den perfekten Mitarbeiter? Noch engere Zusammenarbeit zwischen IT- Disziplinen und mit Fachbereichen ( 2 speed IT ) Integration unterschiedlicher Kompetenzbereiche - Vernetztes Arbeiten Neue Themenstellungen (IT/OT) sichere Kopplung mit operational technologies Sourcing Architektur Prozessketten über Unternehmensgrenzen und Landesgrenzen Neue Technologien (Cloud, Sensoren ) 13

13 Social Engineering Kunst der menschlichen Manipulation Allgemein Angreifer nutzt oftmals ein Vertrauensverhältnis (jemanden den man kennt oder vertraut) aus bzw. versucht, dieses aufzubauen Oftmals Vorbereitung für Einbruch in das Firmennetzwerk (z.b. Erfragen von Benutzername/Passwort; Erlangen von Zutritt zu sensiblen Bereichen) Ziel Gewinnen von Informationen um Zugriff auf Systeme bzw. Zutritt zu Räumlichkeiten erlangen Zitat Eine Firma kann hunderttausende Dollar in Firewalls, Verschlüsselung und andere Sicherheitstechnologien stecken. Doch wenn ein Angreifer eine eigentlich vertrauenswürdige Person anrufen kann, diese sich hereinlegen lässt und der Angreifer somit in das Netzwerk der Firma gelangen kann, dann ist das ganze Geld umsonst ausgegeben worden. Kevin Mitnick 14

14 Malware Beispiele 15

15 Persönlicher Beitrag zur IKT Sicherheit Sicherer Umgang mit Passwörter Passwort soll wenn möglich Nicht im Wörterbuch vorkommen Nicht ihren Namen oder Teile davon beinhalten Nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen (also nicht asdfgh oder 1234abcd usw.) Bauen Sie sich Eselsbrücken für ihr Passwort, indem sie beispielswiese einen Satz ausdenken und benutzen sie von jedem Wort nur einen bestimmten (z.b. 1. oder 2.) Buchstaben. Anschließend ersetzen Sie bestimmte Buchstaben durch Zahlen oder Sonderzeichen. Beispiel: Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang --> MsiaupmmZdMl Ms1aupmmZ3M1 16

16 Europäische Organisationen / Gremien in der Energiewirtschaft 17

17 National Cybersicherheitsstrukturen Cyber Security Steuerungsgruppe (CSS) Vorsitz: BKA Mitglieder: BMI, BMLVS, BMeiA, BMJ, im Bedarfsfall weitere Verbindungspersonen zum nationalen Cyber-Experten Sicherheitsrat Operative Koordination Krisenmanagement SKKM - BMI Cyber Security Center bzw. Cyber Defence Zentrum Vorsitz: BMI bzw. BMLVS Mil ZE RT C4 Gov ZE RT CERT Verbund Cyber Struktur E-Wirtschaft Cyber Struktur Sektoren Cyber Security Plattform Austausch mit der Wirtschaft CSC KSÖ Konferenz Austrian Trust Circle BMLVS Konferenz KSÖ Forum Experten IKT Sicherheitsport al Aufsichtsratspräsentation

18 Internationale Entwicklungen EU: Richtlinie für Netzwerk- und Informationssicherheit (NIS) Finalisierung 2016 Umsetzungsfrist 18 Monate Danach Umsetzung der Richtlinie durch Mitgliedsstaaten in nationales Recht für NIS zuständige Behörden + unmittelbarer Kontakt bei Behörde Sicherheitsmaßnahmen für Betreiber kritischer Infrastrukturen Risikobewertung und -management der IT-Systeme Maßnahmen zur Verhinderung und Reduzierung der Auswirkungen von IT-Sicherheitsvorfällen Unverzügliche Meldung von schwerwiegenden Vorfällen an die NIS-Behörde EU: Datenschutzgrundschutz Verordnung (DSGVO) Hohe Strafen bei Datenschutzverletzungen (zwischen 2 und 5 % des Konzernumsatzes, max. 100 Mio ) 19

19 Standardisierung? Figure 1: Security Standard Coverage (extended version of Figure 6 in the M/490 report [8]. 20

20 Nationale Entwicklung Cyber Security APCIP (Austrian Program for Critical Infrastructure Protection) Österreichisches Programm zum Schutz Kritischer Infrastruktur Betreiber kritischer Infrastrukturen werden angehalten, eine umfassende Sicherheitsarchitektur zu implementieren EVN-Gruppe ist Teil dieser kritischen Infrastruktur In Summe 393 Unternehmen, davon 10 Energieversorger ÖSCS Österreichische Strategie für Cyber Sicherheit ( beschlossen 2013 Umfassendes Konzept zum Schutz des Cyber-Raums und der Menschen im virtuellen Raum Handlungsfeld 4: Schutz kritischer Infrastrukturen Ergänzung und Vertiefung der APCIP Maßnahmen

21 Nationale Entwicklung Cyber Security ECA: Risikoanalyse Informationssysteme E- Wirtschaft 73 Einzelrisiken identifiziert Fokus: Risiken, die potentiell einen nennenswerten, flächendeckenden Stromausfall verursachen können. 33 Maßnahmen mit Auswirkungen auf den Stromnetzbetreiber Umsetzung der Maßnahmen als freiwillige Selbstverpflichtung (Maßnahmenbehandlung in oe) Zusammengefasst in sieben Risiko-Cluster: Eskalation und Kommunikation Design und Architektur Human Factor Organisatorische Sicherheit Hardware und Software Normung und Recht Zugriffskontrolle und 22

22 Entwicklung des Stromnetzes Quelle: Quelle: Smart Grid Security General Concepts and Dependencies with ICT (ENISA) Erhöhter Kommunikationsbedarf im Stromnetz der Zukunft Massiver Anstieg der Vernetzung und der Komplexität Zunehmende Abhängigkeit von IKT Komponenten Klassische IKT-Risiken wirken in diesem Umfeld Aufsichtsratspräsentation 23

23 OT (Operational Technologies) und IT/Digitalisierung neue Herausforderungen in der Energiewirtschaft 24

24 From standalone embedded systems to secure and intelligent Cyber-Physical Systems SW Open Source SW Intermodal Interaction Ambient Intelligence Cloud Computing Data Multi-Core Embedded System In-memory computing/ real-time DA 1) Social Networks and Platforms Knowledge Virtual World Cyber Security Standalone embedded systems Closed network of distributed embedded systems IT Security Open network of systems of systems of embedded systems Real World Yesterday Today Tomorrow 1) Data Analytics

25 Festlegung des unternehmensspezifischen Sicherheitsniveaus: AAA? Zukünftige Anforderungen an die IT-Sicherheit: Aufsichtsratspräsentation 26