Helmut Klarer Arbeitsgruppe ICS CYBER SECURITY AUSTRIA Verein zur Förderung der Sicherheit Österreichs strategischer Infrastruktur ICS Security Klassische IKT Sicherheitsansätze und kritische Infrastrukturen
Problemauslöser: idente Technik TCP:????? Dynamische Funktionen (Aufgaben. Mitarbeiter) IEC 60870-5-104 IEC 61850: Layer2+ Statische Funktionen (Anlagen/Prozesse) 2020+ IEC 60870-5-104 IEC 60870-5-104 heute 2010 IEC 60870-5-104 IEC 60870-5-104 IEC 60870-5-101 2000 IEC 60870-5-104 Proprietäre Protokolle 1980
Konfliktzone: Funktion ICS Systeme benutzen zum Teil IKT Systeme oder idente Hardware, sie sind aber kein IKT System! System = Hardware + Funktion IKT = ICS = VoIP, Printserver, Mail, IIS, SAP, Handy/Blackberry, RAS Teleworker Dynamisches Routing, autom. Patches.. IDS, Skype, Teamviewer, Url-filter, Content Filter Binäre I/Os, 4-20mA Analogwerte, SPS Funktion, Starre Routing, kein autom. Patch Port 80 gesperrt, kein Gateway in Office-Netz, spezielle Echtzeit Protokolle Erkennen der Konfliktzonen
Konfliktzone: Wording (Cyber-) Security oder IKT werden als Begriffe verwendet in der: Business-IT & ICS-IT -> eigener Server Spezialist ICS Spezialist -> eigener Client Spezialist -> eigener Datenbank Spezialist -> eigener Hardware Spezialist -> Konzerneinkauf, billigste Hardware Unterschiedliche Anforderungen und Funktionen, aber gleiches Wording und keine formale Differenzierung. Erkennen der Konfliktzonen
Differenzierung der Architektur Quelle: Quelle: IEC 62443 http://www.excitingip.net/27/a-basic-enterprise-lan-network-architecture-block-diagram-and-components/ Business-IT -- flach -- Business Security vs. ICS-IT -- hierarchisch -- Zoning, individuell Erkennen der Konfliktzonen
Business-IT Prozesse in einer Minute Sicherheit vor Funktion Ereignis E A D B C Aktion QSU Prozess 1 QSU Prozess 2 QSU Prozess 3 QSU Prozess 4 QSU Prozess.. Mitarbeiter haben ihre Arbeitsweise an die Security/Rollen anzupassen Erkennen der Konfliktzonen
Typische Angriffsvektoren der Business-IT Quelle: http://www.itespresso.de/wp-content/uploads/2013/04/devicelock_schema.jpg Erkennen der Konfliktzonen
ICS / SCADA Prozesse in einer Minute Funktion vor Sicherheit Die Anlage MUSS weiterlaufen -> Die Security wird um definierte Anlagenfunktionen aufgebaut Erkennen der Konfliktzonen
Anlagenbetreuung Ausbildung Business-IT Im Bereich der Business oder Office-IT sind herstellerspezifische Seminare und Ausbildung (SAP, Oracle, Microsoft, Cisco,..) von Vorteil. Aber es gibt keine speziellen Vorschriften und Pflichten betreffend der Ausbildung zur Errichtung, Betrieb und Instandhaltung einer EDV bzw. IT oder Server Anlage. ICS Im Bereich der ICS Welt sind entsprechende Ausbildungen Pflicht und vorgeschrieben. Im Bereich von Hochspannungs-, Wasserkraft-, Medizin-, Eisenbahn- oder Fertigungsanlagen, etc. muss zudem auch das Fachwissen und die erforderliche Qualifikation (entsprechend den jeweiligen Normen) für die zu steuernden Anlagen vorhanden sein. Ausbildung & Empfehlungen
Trugschluss Die Aussage: Ich habe schon IT Mitarbeiter. Die sollen die Netzwerkgeräte in der Produktion gleich mit betreuen. ist daher in dieser Form nicht anwendbar. Denn: Der Business-IT Spezialist kommt/darf möglicher-weise gar nicht in die Nähe der ICS Netzwerkgeräte! Er darf aber mit Sicherheit diese NICHT betreuen! Plan A: Der IT Spezialist bildet sich weiter und macht die gewerkespezifischen Ausbildungen. Plan B: Fachkraft mit der vorhandenen Gewerkeausbildung bildet sich im Bereich IT weiter. Ausbildung & Empfehlungen
CISO & CASO Optimal: Es gibt für die Business-IT (CISO) und für ICS (CASO) je einen Verantwortlichen. Diese stehen hierarchisch auf der selben Ebene. Für KMU s und Kleinbetriebe: Aus wirtschaftlichen Gründen sind CASO + CISO eine Person: Wichtig ist hierbei jedoch: der Mitarbeiter muss sich der beiden unterschiedlichen Funktionen bewusst sein, und je nachdem wofür er gerade tätig wird, das jeweilige Kapperl aufsetzen!!! Ausbildung & Empfehlungen
Technische Anforderungen IPv6 ready Globale Cloud Business-IT Variierende (User-) Anzahl WLAN DHCP Kein PSK -> Zertifikate (Starten und Laden durch Person) Nicht- Echtzeitanwendungen HW Lifecycle: 2-4 Jahre IPv4 ICS-IT Definierte Zellen Definierte Geräte & Anzahl WLAN! DHCP! Keine Zertifikate -> PSK (Starten und Laden durch Automation System selbst) Echtzeitanwendung HW+SW Lifecycle: 15-20 Jahre Unterschiede
Unterschiede by Design Business-IT Sternförmige Verkabelung Redundanzen optional STP/RSTP Wenig (Etagen-) Switch Viele Ports (>24) Std. IT Schrank mit 200 Kabeln) Std. RJ45 Kabel/Stecker ICS-IT Ringstrukturen (und Stern) Redundanz durch Ringstruktur MRP/Ringprotokolle Viele Verteilswitche Wenig Ports (<8) Viele kleine Subverteiler nahe dem Prozess Erhöhte Staub- und Vibrationsfestigkeit (tw. M12) Unterschiede
Unterschiede by Funktion Business-IT Fokus: Rechenzentren Client Server Prinzip Server Client Laufzeit: 7 x24h Definierte Wartungsfenster Tausch: 7-8 Jahre Laufzeit 5 x8h Spontaner Support Tausch: 4 Jahre Zyklisch Permanente Verbindung mit Internet notwendig ICS-IT Fokus: technische Anlage Stationäre Prozess ICS Geräte Laufzeit: 7 x24h Spontane Störungsbehebung Tausch: LCC 15-20 Jahre Isolierte Zellen, ohne Internet/Intranet Verbindung Unterschiede
Administrative Anforderungen Business-IT Eigene DB Unit (Oracle) Eigene Server Unit Flexible Lizenzmodelle Auto-CAD Microsoft, Linux BYOD (Handy, Laptop ca. 300-500 ) Dynamische Netze/User Rascher Userwechsel Proprietär, In System RTU ICS-IT Fixe Gerätelizenzen Proprietäre Lösungen Zenon & Herstellerproprietär Systemrelevante Hardware (ca. 5.000 50.000 ) Statische Systeme Statisches Routing Unterschiede
Unterschiede by Security Business-IT OS Patches oft ungeprüft Jede Woche Alle Geräte/User flach vernetzt Blacklisting Standard IT/OS Systeme Flexible User: z.b. 20.000 kreative Personen starre Systeme: Server: 20 Komplexe ACL Konfigs Sicherheit durch wenige, aber komplexe ACL ICS-IT Patchfreigabe nach Test Nach Bedarf (Jahre?) Strenges Zoning /Trennung nach Funktion Whitelisting Keine Standard IT/OS Systeme Fixe User: z.b. 25 bekannte Systemtechniker Starre Systeme: RTUs: 3.500 Einfache ACL Konfiguration Sicherheit durch Kaskadierung einfacher Systeme Unterschiede
Verständnis: Safety vs. Security Quelle: Marco Di Filipo, Compass Secuity Unterschiede
Verständnis: Schutzzielpriorisierung Quelle: Marco Di Filipo, Compass Secuity Unterschiede
Klassische IKT Maßnahmen greifen in der ICS Welt nicht... Stuxnet und Nachfolger: Erkennung durch Std. IKT Technologien: nein Lösung: Parametrierungen in der ICS Anlage Mai 2013: Zählertelegramm Antwort an Alle Erkennung durch Std. IKT Technologien: nein Lösung: Parametrierungen der ICS Anlage April 2014: TLS/SSL Bug IKT Anlagen betroffen ICS Anlagen großteils nicht betroffen - IPSec statt Zertifikate Aufgabenstellung ICS Events
IKT vs. IKT Erkenntnisse: ICS Systeme benutzen zum Teil IKT Systeme oder idente Hardware, sind aber kein IKT System! Unterschiedliche Anforderungen und Funktionen, aber gleiches Wording und keine formale Differenzierung. Unterschiedliche Ziele Quelle: http://francosfreax.blogspot.co.at/