Herausforderungen der Informationssicherheit in kritischen Infrastrukturen

Transkript

1 MEET SWISS INFOSEC! 27. Januar 2016 Herausforderungen der Informationssicherheit in kritischen Infrastrukturen Reto Zbinden, Rechtsanwalt/CEO, Swiss Infosec AG

2 Was sind denn kritische Infrastrukturen? Definition aus der «Nationalen Strategie zum Schutz kritischer Infrastrukturen» Kritische Infrastrukturen sind Infrastrukturen, deren Störung, Ausfall oder Zerstörung gravierende Auswirkungen auf die Gesellschaft, die Wirtschaft und den Staat hat. Die kritischen Infrastrukturen werden in drei Ebenen unterteilt: Sektoren: z.b. Energie, Finanzen, Gesundheit Teilsektoren: z.b. Stromversorgung, Erdölversorgung, Erdgasversorgung (Einzel-)Objekte/Elemente: z.b. Leitstellen, Steuerungssysteme, Rechenzentren, usw. Der Schutz kritischer Infrastrukturen umfasst Massnahmen, die die Eintrittswahrscheinlichkeit und/oder das Schadensausmass einer Störung, eines Ausfalls oder einer Zerstörung von kritischen Infrastrukturen reduzieren beziehungsweise die Ausfallzeit minimieren. Bundesrat, 27. Juni

3 Bereiche mit sehr grosser Kritikalität ( Energie: Erdölversorgung, Stromversorgung Finanzen: Banken Information und Kommunikation: Informationstechnologien, Telekommunikation Nahrung: Wasserversorgung Verkehr: Schienenverkehr, Strassenverkehr

4 Kritische Infrastrukturen und Informationssicherheit Besondere Anforderungen Sehr hohe Verfügbarkeitsanforderungen Hohe Anforderungen an Schnelligkeit IT (u.a. Steuerungssysteme) Gegenseitige Abhängigkeiten (Öl, Strom, Kommunikation, usw.) Hochsicherheitsbereiche in der (IT-)Architektur Internationale Ausrichtung, Lieferanten, Wartung «Unsichtbare» IT Spezialgesetze, Regulatoren und Verbände Kernenergie, Finanzwesen, Telekommunikation Gesundheit / Medizinalwesen Neue gesetzliche Forderungen D: IT-Sicherheitsgesetz seit 5. Juli 2015 in Kraft. CH: Informationssicherheitsgesetz, ab 2018 in Kraft?

5 Einige Besonderheiten Internet of Things (IoT) und Industrie 4.0 machen übergreifendes Funktionieren der Informationssicherheit verschiedener Infrastruktursektoren immer wichtiger Komplexität der Abhängigkeiten steigt stetig Interne Vernetzung als Fact Unausgereifte SCADA (computergesteuerte Überwachung/ Steuerung technischer Prozesse) Bsp. Risikomatrix babs.admin.ch

6 WAS SOLLTE ERREICHT WERDEN? Schutz der Informationen, Systeme und Geschäftsfortführung (BCM) Unsere Empfehlung Betrieb eines integralen Managementsystems Aufbau ISMS Aufbau BCMS Präventive und reaktive Massnahmen sind notwendig Aufbau einer «starken» integralen Sicherheitsorganisation Spezieller Schutz des «logischen» Perimeters Externe Mitarbeiter, Lieferanten, usw. Netzübergänge, u.a. Internet Durchsetzung IT-Sicherheit Externe Mitarbeiter, Lieferanten, usw. Unternehmensweit, auch in technischen Bereichen

7 WAS SOLLTE ERREICHT WERDEN? Schutz der Informationen, Systeme und Geschäftsfortführung (BCM) Was heisst angemessene Informationssicherheit? Was heisst die richtige Taktik?

8 Informationssicherheit Was ist Informationssicherheit? Definition laut ISO 27001: Angemessene Gewährleistung der Vertraulichkeit: Lesender Zugriff nur für autorisierte Benutzer Integrität: Nur berechtigte Veränderungen, Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen. Zentrale Aufgabe der Organisation ist die laufende Überprüfung der Angemessenheit (Gesetz/Vertrag/interne Anforderungen)

9 Informationssicherheit / ISMS ISO und ISO 27002: ISO fordert die Einführung eines Information Security Management Systems kurz ISMS: Der Teil des allgemeinen Managementsystems, basierend auf einem Geschäftsrisikoansatz, zur Einrichtung, Implementierung, Betrieb, Kontrolle, Überprüfung, Unterhalt und Verbesserung der Informationssicherheit ISO verweist, was die eigentlichen Sicherheitsmassnahmen anbelangt, auf ISO ISO umfasst sogenannte Controls oder Best Practice-Sicherheitsmassnahmen, deren Einhaltung bei einer allfälligen Zertifizierung nachgewiesen werden muss

10 Informationssicherheit / ISMS Ein ISMS enthält: die Durchführung von Risikoanalysen und einen darauf basierenden Risk Treatment Plan Den Erlass von Weisungen/Regelungen basierend auf und konkretisierend zu den Controls gemäss ISO Die Verwaltung von Regelausnahmen und Security Incidents Durchführung von Audits die Inventarisierung von Schutzobjekten eine Zuordnung von Schutzobjekt-Ownern Klassifizierung der Schutzobjekte Dokumentenlenkung Nachweis stetiger Verbesserung

11 Managementsystem? Was ist ein Managementsystem? Managementsysteme beschreiben die Aufgaben des Managements und verknüpfen Methoden, um die Management- Aufgaben «Ziele setzen, steuern und kontrollieren» erfolgreich zu bewältigen. Quelle: de.wikipedia.org

12 Einige häufige Probleme Öfters Überreaktionen und/oder Nachlässigkeiten Laut Website Cybersquirrel über 600 Strom- und Internetausfälle durch Eichhörnchen verursacht und NICHT Terroristen, dazu kommen viele «Angriffe» weiterer Tiere Wartungszugriffe nicht kontrolliert Lieferantenpassworte werden nicht zurückgesetzt Fehlende Komplexität der Passworte Mangelnde Updates Ausfall Windows XP in australischem Spital, 15. Januar 2016 Und vieles andere mehr

13 INFORMATIONSSICHERHEIT NICHT IN ISOLATION SEHEN Möglichst umfassend denken

14 Business Continuity Planning / Business Impact-Analyse Wir untersuchen proaktiv unsere kritischen Geschäftsprozesse auf mögliche Impacts! Risikoanalyse Schadensausmass Business Impact-Analyse BIA Kritischer Geschäftsprozess HR «3.» IT LOG IT «3.» HR Ressourcen: Human Resources, IT, Dienstleistungen Dritter, Logistik / Infrastruktur Eintretenswahrscheinlichkeit PROAKTV

15 von innen REAKTIV v.aussen Übersicht Business Continuity Management BC Politik Business Continuity Management BC Prozess BC Organisation Business Continuity Planning HR Ressourcen Business Impact- Analyse Kritischer Geschäftsprozess 3. IT 3. LOG PROAKTIV IT BCP- Varianten planen / umsetzen HR BCP testen üben überprüfen PROAKTIV Krisenmanagement Führungsprozess Führungseinrichtungen BCP- Strategie (strateg. Massnahmen) Führungsorganisation Krisenhandbuch Übungen Katastrophe Krise Notfall Störung

16 INTEGRIERTES MANAGEMENTSYSTEM: ISMS UND BCMS Viele Gemeinsamkeiten

17 Information Security Management System ISMS Version 2.0 Oktober 2013 Auditergebnisse beeinflussen das Risikomanagement Direkter Einfluss auf das Risikomanagement RISIKOMANAGEMENT 2 5 Integrale 1 Sicherheitspolitik oder IT / Information Security Policy! Direkter Einfluss auf das Risikomanagement Security Sign Off 8 LEGENDE Dokumente, die alle Mitarbeitenden betreffen 3 Dokumente, die nur bestimmte Funktionen betreffen ! ISMS- Weisung Umsetzen von Massnahmen Vorgaben Exception Management Eskalation 10 Direkter Einfluss auf das Risikomanagement Security Incident Management Krisenmanagement Business Continuity Management 9 9 Schwachstellen Bedrohungen Ausnutzung von Schwachstellen NACHWEISE 18 Anwendung auf Schutzobjekte Beschreibt das Vorgehen des Risikomanagements Dokumentenlenkung 4 Change Management Sofortmassnahmen Management Review AUDITPLAN AUDITS intern / extern Schutzobjektinventar Beschreibt das Vorgehen der Inventarisierung 15 Inventarisierungsund Klassifizierungskonzept Objekteignerkonzept 6 7 Risikoanalysekonzept 5! wird von allen Mitarbeitenden unterschrieben Acceptable Use Policy Weisungen/ Checklisten Awareness ISO/IEC Controls Personalprozesse Umsetzung der Controls Betriebshandbücher Verträge, SLAs mit Dritten / Geheimhaltungsvereinbarungen weitere weitere ISO PDCA ISO

18 Business Continuity Management System BCMS Version 1.0 Januar 2013 Auditergebnisse beeinflussen die Risikoanalyse Direkter Einfluss auf die Risikoanalyse Anwendung auf Schutzobjekte Business Impact Anlayse BCMS Scope BIA (Business Impact Analyse) D C B Risikoanalyse BC Politik oder BC Policy BC bei neuen Projekten A Direkter Einfluss auf die Risikoanalyse BC Strategie BC Plan Risk Treatment Plan BCMS- Weisung Vorgaben Business Continuity Management Umsetzen der BC Pläne Exception Management Direkter Einfluss auf die Risikoanalyse Krisenmanagement Security Incident Management Business Impacts Bedrohungen Dokumentenlenkung Change Management NACHWEISE Management Review AUDITPLAN AUDITS intern / extern Verträge, SLAs mit Dritten Beschreibt das Vorgehen der Inventarisierung Schutzobjektinventar Inventarisierung der Business Prozess Prozesseigner Risikoanalysekonzept Beschreibt das Vorgehen der Risikoanalyse LEGENDE ISO Dokumente, die alle Mitarbeitenden betreffen Dokumente, die nur bestimmte Funktionen betreffen PDCA 21

19 ISMS und BCMS Gleichheiten im Aufbau, Ähnliches im Zweck Definierter Scope Notwendige Management Atttention Übergeordnete Leitlinie, Policy Sicherheitsorganisation als Owner Schützen Assets, Schutzobjekte (u.a. Prozesse, Informationen, Systeme) Schützen Verfügbarkeit Risiko- und Business Impact-Analyse ISMS-/BCM-Strategie Massnahmenkatalog/BC-Pläne Maintenance & Monitoring Audits, Management-Reviews Kontinuierlicher Verbesserungsprozess

20 ISMS und BCMS Gemeinsamkeiten Beide Managementsysteme sind aufgrund der heutigen Service-, Produktund Prozessstrukturen und weltweiten Abhängigkeiten höchst prioritär Sie bilden wesentliche Säulen im Rahmen des ganzheitlichen (operationellen) Risikomanagements Im Rahmen der Analysen (Business Impact-Analyse, Risikoanalyse und Schutzbedarfsanalyse) nutzen sie ähnliche bis gleiche Ressourcen Hohes Mass an Interaktionen und Abhängigkeiten

21 Starke Sicherheitsorganisation INTEGRALE SICHERHEIT Organigramm eines Gremiums für Integrale Sicherheit (GIS)

22 Ziele GIS Weshalb ein Gremium für Integrale Sicherheit? Das GIS wird vom Delegierten für Sicherheit innerhalb der GL geleitet. Mitglieder sind mindestens die Sicherheitsbeauftragten der Teilbereiche. Stärkung Sicherheitsorganisation (1+1=3) und Sicherheitskultur Vorberatendes Gremium, Unterstützung der Linie Klare Verantwortlichkeiten Begleitung sicherheitsrelevanter Projekte Koordinationsfunktion, effiziente und zielführende Umsetzung von Aufgaben und Pendenzen Vermeidung von Reibungsverlusten Sicherheitsteilbereichsübergreifende Sicherheitsmassnahmen können beantragt, beschlossen, koordiniert und umgesetzt werden IT-Sicherheitsanforderungen müssen unternehmensweit durchgesetzt werden

23 IT im Blickfeld des ISMS IT ist überall Die IT beeinflusst die Informationssicherheit und umgekehrt Ganzheitliche Betrachtung der Informationssicherheit (Business- und Technik) ist notwendig: über Abteilungs- und Systemgrenzen hinweg. Übersicht bestehender Regelungen (intern/extern) Übersicht Assets, Schutzanforderungen Klassifizierung Assets Übersicht aller Schnittstellen, insbesondere zu extern, Internet und zwischen IT-Welten Umfassende und laufende technische (Schwachstellen-)Analyse aller Systeme Analyse/Behandlung von Risiken Identifikation der Risiko-Owner Ableitung angemessener Massnahmen oder bewusste Akzeptanz des Risikos Umsetzung Massnahmen unternehmensweit, über alle Bereiche hinweg

24 Lieferanten, Wartung, Externe - Systemzugriffe Erstellen Sie klare Regelungen Folgende Punkte sind zu beachten: Analysieren und überwachen Sie die Risiken externer Zugriffe und Zutritte Formulierung und Durchsetzung klarer Anforderungen Vertragliche Anpassungen (Lieferung, Betrieb und Wartung von Systemen) Informationssicherheits- und Compliance-Anforderungen Verfügbarkeit, Vertraulichkeit Right to Audit Beschränkung der möglichen Involvierten Überwachung und Berichterstattung

25 SCHUTZ KRITISCHER INFRASTRUKTUREN Empfehlungen aus Sicht Informationssicherheit Unsere Empfehlung Betrieb eines integralen Managementsystems Aufbau ISMS Aufbau BCMS Präventive und reaktive Massnahmen sind notwendig Aufbau einer «starken» integralen Sicherheitsorganisation Spezieller Schutz des «logischen» Perimeters Externe Mitarbeiter, Lieferanten, usw. Netzübergänge, u.a. Internet Durchsetzung IT-Sicherheit Externe Mitarbeiter, Lieferanten, usw. Unternehmensweit, auch in technischen Bereichen

26 VIELEN DANK Ihre Lösung beginnt mit einem Kontakt bei uns: ,