RJEŠENJA I NAČIN UPRAVLJANJA SISTEMA EE MREŽOM SA ASPEKTA CYBER SIGURNOSTI U HRVATSKOJ - postojeće i planirano stanje

Akademija Nauka i Umjetnosti BiH

Sarajevo, 13.6.2019.g.

Marijan Škoda, dipl.ing.el

Bernard Ivančević, mag.ing.el.

2/16

• NIS UREDBA• UPRAVLJANJE RIZICIMA• VANJSKE KOMUNIKACIJSKE MREŽE• VATROZID• POVJESNI RAZVOJ PRISTUPA EE OBJEKTU• SERVISI PROCESNE MREŽE• SIGURNOSNE SMJERNICE• ŠTO NOSI BUDUĆNOST

SADRŽAJ

2/21

NIS UREDBA

➢HOPS (Hrvatski operator prijenosnog sustava d.o.o. ) je subjekt koji pruža ključnu uslugu prijenosa električne energije i dužan je uspostaviti sustav upravljanja rizicima kojima je izložena sigurnost njegovih mrežnih i informacijskih sustava

➢ Temeljne obveze prema NIS uredbi:

➢ Uspostava i dokumentiranje politike upravljanja

➢ Organizacijska struktura

➢ Interni nadzor

➢ Upravljanje rizicima

➢Mjere zaštite ključnih sustava

➢ Upravljanje incidentima

UPRAVLJANJE RIZICIMA

➢ Definira se za ključni SCADA sustav Nacionalnog dispečerskog centra (NDC-a) i Mrežnih centara (MC-ova)

➢ Bazira se na:

ISO 31000 Risk Management-Guidelines

ISA/IEC 62443 Standards

ISO/IEC 27005 Information Security Risk Management

ISO/IEC 27001 Information Security Management Systems Requirements

Generic SCADA Risk Management Framework For Australian Critical Infrastructure

NIS uredba

NADZOR I PREGLED RIZIKA

Sustavno praćenje, ponovna procjena i revizija postojećih

rizika

Ažuriranje rizika

Implementacija tehničkih i

organizacijskih mjera za upravljanje rizicima

Provjera učinkovitosti primijenjenih

kontrola/mjera

Identifikacija novih rizika

➢ Kontinuirana komunikacija i konzultiranje

➢ Procjenu rizika potrebno provoditi kontinuirano,najmanje 1 godišnje ili ukoliko je došlo do većihpromjena u organizaciji ili informacijskim sustavima.

VANJSKE KOMUNIKACIJSKE MREŽE

Procesna mreža

(ICS)

Vanjska

procesna

mreža

Suradnici

Partneri

Proizvođači

Poslovna mreža

Udaljeni

korisnici

Data

Procesna okruženja u početku su bila komunikacijski zatvorena i ograničena

Današnja procesna okruženja elektroenergetskih (EE) operatora izložena su prema van na različite načine i to prema Internetu, udaljenim VPN korisnicima i udaljenim VPN mrežama

VATROZIDI NAMIJENJENI ZAŠTITI PROCESNIH OKRUŽENJA

Vatrozidi namijenjeni zaštiti procesnih okruženja predstavljaju dedicirane sigurnosne uređaje.

Funkcionalnosti vatrozida :

• Identity Aware vatrozid

• Intrusion Prevention System (IPS)

• Kontrola aplikacijskog prometa

• Antibot

• Virtual Patching

IMPLEMENTACIJA SCADA VATROZIDA

SCADA računalo EE objekata smješta se u zasebnu, privatnumrežu i povezuje na SCADA vatrozid

IMPLEMENTACIJA VATROZIDNE ZAŠTITE U EE OBJEKTIMA

Na tehničkoj je razini sigurnosne zahtjeve danas moguće ostvariti pomoću vatrozida nove generacije ciljano namijenjenih zaštiti procesnih okruženja

Takva rješenja pružaju raznoliki skup primarnih i proširenih sigurnosnih mehanizama kojima se u visokoj mjeri može osloviti i tretirati opisane ranjivosti i rizike

SCADA

IN

OUT

NUC

Vanjski sustavi

Sve multihomed veze

moraju se terminirati

na vatrozidu

EE objekti

IMPLEMENTACIJA VATROZIDNE ZAŠTITE - MREŽNI CENTAR

IMPLEMENTACIJA VATROZIDNE ZAŠTITE U EE OBJEKTIMA –TIPSKI OBJEKT

POVJESNI RAZVOJ PRISTUPA EE OBJEKTU

• Upravljanje EE objektom iz NUC korištenjem V.34 veza i IEC 60870-5-101 protokola

• Prijelaz na ethernet komunikacijski protokol i IEC 60870-5-104

• Uvođenje L3 segmentacije i Vatrozida centra

• Uvođenje zaštite mikro-segmentacijom mreže – instalacija vatrozida u EE objektima

SERVISI PROCESNE MREŽE

• Upravljanje EE sustavom

• Estimator stanja

• Sekundarna regulacija

• Nadzor raspoloživosti i sigurnosti procesne mreže

• Servisni pristupi specijalističkih odjela (relejna zaštita, procesna informatika, telekomunikacije, pomoćna napajanja, nadzor transformatora...)

• Sustavi poslovne inteligencije (Smart Grid Managment)

• Servisni pristup partnera

• Međuračunalna komunikacija s kupcima naše usluge

SIGURNOSNE SMJERNICE

• Uvođenje vatrozida u sve ‘pore’ procesne mreže, uključujući i L2 procesne prstene (komunikacija lokalnih SCADA sustava sa terminalnom opremom)

• Integracija logova u sustav kibernetičke forenzike

• Stroga zabrana Multi-homed računala i zaobilaska vatrozidne zaštite

• Uvođenje zaštite pristupa i spajanja na L2 i L3 uređajima –smjernice NIS

ŠTO NOSI BUDUĆNOST

• Kontinuirano usavršavanje radnika zaduženih za rad na mrežnoj infrastrukturi

• Modernizacija mrežno – sigurnosne infrastrukture u brzim kružnim ciklusima

• Spuštanje procesne mreže ‘nisko’ u upravljanje unutar EE objekata (Process Bus) – direktna komunikacija sa visokonaponskim elementima (prekidačima, rastavljačima, mjernim transformatorima...)

• Konstantno vaganje između sigurnosti (što zatvoreniji sustav) i upotrebljivosti (kolanje što više informacija)

Hrvatski operator prijenosnog sustava d.o.o.

www.hops.hr

Hvala na pažnji!