Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Cybertruslen mod et fjernvarmeværk– hvordan nedbrydes viden om trusler til et risikobillede, man kan handle på?
Jens Christian Vedersø
Rådgivning
Uklassificeret
Agenda
▪ Cybertruslen mod Energisektorerne
▪ Eksempler på hændelser
▪ Fra trusler til risici
▪ Sammenhæng mellem de lokale forhold og de farlige omgivelser – scenarier og kortlægning
▪ Konsekvenser og sandsynlighed
▪ Hvordan arbejder man med risikoscenarier i en fjernvarmevirksomhed?
▪ Hvad er du bange for? Og hvad burde du være bange for?
2
Uklassificeret
3
Hvordan arbejder man med sikkerhed?
4
Vurderinger af: Trusler, risici,
sårbarheder, og midler
Produkt:
Tiltag og planlægning
Hændelse -
Erkendelse:
Logning og undersøgelses-
procedure
Hændelse -Handlinger:
Handlinger der skal genoprette
forsyningen
Evaluering af: Handlingerne
og planerBeredskabscirkelen er en løbende optimeringsproces:
1. Analysér situationen og udfordringen
2. Lave procedurer der definere handlinger
3. Erkend en hændelse
4. Håndtér en hændelse
5. Bliv klogere - løbende
5
Vurderinger af: Trusler, risici,
sårbarheder, og midler
Produkt:
Tiltag og planlægning
Hændelse -
Erkendelse:
Logning og undersøgelses-
procedure
Hændelse -Handlinger:
Handlinger der skal genoprette
forsyningen
Evaluering af: Handlingerne
og planer
▪ Meget høj▪ Ransomeware
▪ Meget høj▪ Teknologisk viden
▪ Lav ▪ Symbolske mål
▪ Mindre sandsynligt
▪ Kan ændres i konfliktsituationer
6
Tyveri
Spionage
Aktivisme
Destruktive angreb
Motiver
Tyveri
Spionage
Aktivisme
Destruktive angreb
Hvad betyder det for en Fjernvarmevirksomhed?
▪ Hvordan kan man berige sig på bekostning af et fjernvarmeselskab?
▪ Kundeoplysninger – GDPR-afpresning
▪ Kryptering af systemer – Ransomeware
▪ Botnet – kan bruges til at angribe andre
▪ Hvilke oplysninger vil man stjæle?
▪ Driftsdata fra ny teknologi?
▪ Tekniske oplysninger om ny teknologi?
▪ Hvad er signalværdien af at forhindre leveringen af fjernvarme?
7
Tyveri
Spionage
Aktivisme
Destruktive angreb
Motiver
Tendenser og eksempler
▪ Ransomeware bliver mere avanceret
▪ Mere fokuseret på offerets systemer og sårbarheder
▪ SCADA –ransomeware nye angrebsmetoder
8
Tilfældige følgevirkninger af et destruktivt angreb
NotPetya
▪ Russisk gennemført destruktivt angreb
▪ Forklædt som et ransomware angreb.
▪ Ramte virksomheder bredt, med udgangspunkt i Ukraine.
▪ Angrebet kostede Mærsk mellem 1,2 mia. kr. og 2 mia. kr.▪ Læringspunkter:
▪ Et cyberangreb kan spredes ukontrollabelt.
▪ Et ”fladt netværk” med begrænset brugerkontrol medfører en sårbarhed. – lav flere lag af sikkerhed.
▪ Lav hyppige backup, der skal gemmes offline.
▪ Invester i risikovurderinger og forholdsregler – det betaler sig.
9
Botnet ved 2018
10
?
Botnet ved 2018
11
Botnet ved 2018
12
Botnet ved 2018
Erfaringer:
Leverandør havde ikke aktiveret en firewall på en station i fjernvarmenettet.
Begrænset indblik i digitale sårbarheder. Holte fjernvarmes systemer er leveret og serviceret af flere forskellige leverandører.
Forskellige sprog: Det varsel Holte fjernvarme modtager er ikke til at forstå og svært at reagere på.
13
Omsætning af trusler til risici
Identificer trusler
Afdæk din angrebsflade
• Truslens relevans
Lav scenarier
Vurder sandsynlighed og konsekvens
Håndter risici
14
Hvordan erkendes trusler? – og hvordan forholder man sig til dem?
15
Omsætning af trusler til risici
16
Tyveri
Spionage
Aktivisme
Destruktive angreb
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
Angrebsflader
Omsætning af trusler til risici
17
Tyveri
Spionage
Aktivisme
Destruktive angreb
Angrebs-teknikker
DDOS
Social engineering
Man in the middle
Phising
Spoofing
X-script
Malware
Wateringhole
Og 1000 andre
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
AngrebsfladerTiltag
Antivirus
Firewalls
Segmentering
Awareness
White list
Patching
Asset-management
Acces-management
Og 1000 andre
18
Tyveri
Spionage
Aktivisme
Destruktive angreb
*
*
*
*
*
*
*
*
*
*
*
*
*
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
19
Tyveri
Spionage
Aktivisme
Destruktive angreb
*
*
*
*
*
*
*
*
*
*
*
*
*
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
Tiltag eksempler
20
Tyveri
Spionage
Aktivisme
Destruktive angreb
*
*
*
*
*
*
*
*
*
*
*
*
*
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
Reetab
lering
Aw
areness
Wh
ietlist
Firewall, p
atchin
go
g segmen
tering
Omsætning af trusler til risici
Identificer trusler
Afdæk din angrebsflade
• Truslens relevans
Lav scenarierHvor truslen adresserer
sårbarheder
Vurder sandsynlighed og konsekvens
Håndter risici
21
Find scenarier ved at se på alle perspektiver
22
▪ Hvad er du bange for?▪ Hvorfor?
▪ Hvorfor?
▪ Hvorfor?
▪ Hvorfor?
▪ Hvorfor?
Inddrag relevante kilder, spørg evt. en kollega eller en el-virksomhed
Hvordan man laver scenarier?
Angriber
• Motivet – Hvad vil angriberen opnå?
• Metoden - Hvordan ville I opnå motivet?
Sårbarhed
• Angrebsfladen
• Hvilke sårbarheder er relevante og skal undersøges?
Risiko
• Konsekvens og sandsynlighed
• Kan man svare på, hvordan det påvirker virksomheden?
23
Omsætning af trusler til risici
Identificer trusler
Afdæk din angrebsflade
• Truslens relevans
Lav scenarierHvor truslen adresserer
sårbarheder
Vurder sandsynlighed og konsekvens
Påvirkning på værdikæden
Håndter risici
24
Vurder sandsynlighed og konsekvens i en værdikæde
25
Energi
•Biomasse
•El
•Naturgas
Anlægget
•Kedel
•Varmelager
•Varmepatron
Distribution
•Rør
•Overvågning
•Kunden
Betaling
•Til leverandører
•Fra kunder
Vurdér sandsynlighed og konsekvens
26
Vurdér konsekvenser og sandsynlighed
▪ Inddrag alle områder i virksomheden – for en vurdering af konsekvensen er kun relevant i forhold til virksomhedens værdikæde.▪ Intern enighed om hvad virksomheden producere og hvordan.
▪ Fokuser på at vurdere konsekvenserne.
▪ Sandsynligheden kan være vanskelig at vurdere fordi:
▪ Der er megen data, der ikke er tilgængelig (mørke tal)
▪ Hastig udvikling af angrebsmetoder
▪ Begrænset viden om egne it-systemer
Sandsynligheden kan tages for givet ved arbejdet med scenarier
27
Omsætning af trusler til risici
Identificer trusler
Afdæk din angrebsflade
•Truslens relevans
Lav scenarierHvor truslen
rammer sårbarheder
Vurder sandsynlighed og konsekvens
Påvirkning på værdikæden
Håndter risici Undgå Begræns Del Accepter
28
29
Tyveri
Spionage
Aktivisme
Destruktive angreb
*
*
*
*
*
*
*
*
*
*
*
*
*
Motiver
Mennesker
It-systemer
infrastruktur
Ekstern kommunikation
Reetab
lering
Aw
areness
Wh
itlist
Firewall, p
atchin
go
g segmen
tering
Invester i relevante tiltag for og gør det smart.
▪ Relevante tiltag:
▪ Få selv overblikket over trusler, sårbarheder og værdikæder.
▪ Eksterne kan kun bidrage med specifik viden eller specifikke undersøgelser. Det er virksomheden, der skal sikre, at de eksternes viden er relevant.
▪ Gør det smarte:
▪ Håndter SRO/ICS/SCADA systemet som et drift-system
▪ Overvej om man kan vælge en nem leverandør.
▪ Find evt. synergi ved at have samme leverandør eller service som regnskabssystemet, naboselskabet eller en funktion andet sted i kommunen.
30
Hovedbudskabet
Energi
• Biomasse
• El
• Naturgas
Anlægget
• Kedel
• Varmelager
• Varmepatron
Distribution
• Rør
• Overvågning
• Kunden
Betaling
• Til leverandører
• Fra kunder
31
Vurderinger af: Trusler, risici,
sårbarheder, og midler
Produkt:
Tiltag og planlægning
Hændelse -
Erkendelse:
Logning og undersøgelses-
procedure
Hændelse -Handlinger:
Handlinger der skal genoprette
forsyningen
Evaluering af: Handlingerne
og planer
Relevante publikationer
▪ Relevante vejledninger fra CFCS
▪ Cyberforsvar det virker
▪ Sådan kan du imødegå DDoS-angreb
▪ Reducér risikoen for ransomware
▪ Vejen til sikkerhed i SCADA-systemer (kommer snart)
▪ Fra trusselsvurdering til risikovurdering (kommer snart)
32