Upload
phamphuc
View
220
Download
0
Embed Size (px)
Citation preview
—SSTY 30.5.2018, SÄHKÖJAOKSEN AJANKOHTAISPÄIVÄ
Kyberturvallisuus huoltovarmuuskriittisissä kohteissaUhkat, haavoittuvuudet ja suojautuminenJari J Koski, Information Security Manager, ABB (->1.6.2018 Cyber Security Liasion, ABB Grid Automation, EU Region)
Timo Kontturi, Hospital Industry Segment Manager, ABB Oy
—ABB Suomessa
Slide 2
Henkilöstöstä tutkimuksessa ja tuotekehityksessä
Kesätyöntekijää
Avainlukuja
5 300Henkilöstön määrä
~1/7
Liikevaihto (2017)
2,3 miljardia €
Tuotantokeskittymät sijaitsevat Helsingissä, Vaasassa, Porvoossa ja Haminassa
131 miljoonaa €
Tutkimukseen ja tuotekehitykseen
~1 100
—
Vaasa
Moottorit
Erikoismuuntajat
MicroSCADA Pro käytönvalvontajärjestelmä MicroSCADA Pro käytöntukijärjestelmä
Pienjännitetuotteet ja –järjestelmät
Sähkön siirto- ja jakelujärjestelmät
Voimantuotannon järjestelmät
Prosessiteollisuuden kokonaisprojektointi
ABB:llä suunnittelua, valmistusta ja Service-toimintaa ympäri Suomea
Slide 3
Vuosaari, Helsinki ja Hamina
Azipod®-ruoripotkuri-järjestelmät
Pitäjänmäki, Helsinki
Moottorit
Dieselgeneraattorit
Taajuusmuuttajat
CPM-energianhallinta-järjestelmät ja paperikone-käyttöratkaisut
ABB palvelee kaikkialla Suomessa
Porvoo
Sähköasennustuotteet
Vaasa
Helsinki, Pitäjänmäki ja Vuosaari Porvoo
Hamina
Sodankylä
Kajaani
Kuopio
Joensuu
Tornio
Oulu
Jyväskylä
Lappeenranta
Varkaus
Raahe
KokkolaPietarsaari
Pori Tampere
Turku
KouvolaVantaa
Helsinki
Tuemme huoltovarmuutta paikallisella valmistuksella ja asiantuntijapalveluilla
—ABB:n ydintarjooma huoltovarmuuskriittiseen kohteeseen
June 7, 2018 Slide 4
Kyberturvallisuus mukana tuotteiden, ratkaisujen ja palveluiden koko elinkaaren ajan
Sähkönjakelu10-35 kV
Digitaalinen kj-kojeistoÄlykkäät releet
Kantaverkko-yhteys
Digitaalinensähköasema
220-110 kV
Jakelumuuntajat UPS DigitaalinenPienjännitekojeistoÄlykkäät katkaisijat
Pienjännite-keskukset
Palvelin
.
Varavoima
Asiantuntijapalvelut koko elinkaaren ajalle
Sähkö- ja varavoimaverkon valvonta-ja ohjausjärjestelmä MicroSCADA Pro
Moottorit jataajuusmuuttajat
Logistiikkarobotit
Sähkön pääjakelu KNX-taloautomaatioIEC 61850-protokolla
—Haavoittuvuudet ja uhkat
—Uhka on todellinen
June 7, 2018 Slide 6
Hyökkäykset ovat aitoja ja niillä on turvallisuuteen, terveyteen, ympäristöön ja talouteen liittyviä vaikutuksia
—Uhka on todellinen
Iltalehti 12.5.2017
—Haavoittuvuudet lisääntyvät ja uhkat kehittyvät
June 7, 2018 Slide 8
Vanha sanonta “Never touch a running system” ei päde enää
0
50
100
150
200
250
300
2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015*
12.5% 87.5%
—
Tripwire 2016 Energy Survey*
Energiasektori kohteena
June 7, 2018 Slide 9
“It’s tempting to believe that this increase in attacks is horizontal across industries, but the data shows that energy
organizations are experiencing a disproportionately large increase when compared to other industries. At the same time,
energy organizations face unique challenges in protecting industrial control systems and SCADA assets.” (Tim Erlin, director of IT
security and risk strategy for Tripwire)
Ero tarpeelliseksi todettujen ja varsinaisten investointien välillä suuri
Source: http://www.tripwire.com/company/research/tripwire-2016-energy-survey-attacks-on-the-rise/
* Feedback from >150 IT professionals in the energy, utilities, and oil and gas industries
—
Kyberturvarikkeiden todelliset vaikutukset
June 7, 2018Financial consequences of a cyber attack, broken down across six categories.Source: Understanding economics of IT risk and reputation, IBM 2013
Slide 10
70% kustannuksista aiheutuu vahingoittuneesta maineesta, tuotannon menetyksestä tai menetetystä liikevaihdosta
Lisäkustannukset ympäristön turvallisuuden varmistamiseksi, vakuutuksiin sekä tuotannon palauttamisesta
Tekijänoikeudellisen aineiston tai luottamuksellisen tiedon menetys
—Prosessiverkkojen erityispiirteet
June 7, 2018 Slide 11
“Perinteinen” IT järjestelmä Prosessin suojaus ja valvontajärjestelmä
Suojattava kohde Tieto Fyysinen prosessi
Riskin vaikutus Tietojen julkistaminen, kaupalliset tappiot Turvallisuus, terveys, ympäristö, taloudellinen
Tärkeintietoturvatavoite
Luottamuksellisuus, yksityisyys Tiedon saatavuus ja eheys
Turvallisuuden fokusKeskuspalvelimet
(nopea CPU, paljon muistia, …)
Hajautettu järjestelmä
(rajalliset resurssit)
Saatavuusvaatimukset95 – 99%
(sallitut käyttökatkokset vuodessa: 18.25 - 3.65 päivää)99.9 – 99.999%
(sallitut käyttökatkokset vuodessa: : 8.76 h – 5.25 minuuttia)
Järjestelmän elinkaari 3 – 10 Vuotta 5 – 25 Vuotta
—
Vaikutusalueet
June 7, 2018 Slide 12
Kyberturvallisuusstandardit
IEC 62443*
IEEE 1686
IEC62351*
NERC CIP
ITU-T X.805
IEC 61850 on digitalisoidun sähkönjakelun väyläratkaisuprotokolla
—
Tyypilliset uhkaskenaariot
June 7, 2018 Slide 13
Lähtötaso
Asemataso
Valvomo
IEC 61850 / Asema väylä
Valvomo työasema
MicroSCADA
Pro HSB System
ProsessiIEC 61850 / Prosessi väylä
ABB Service Center
ABB Etähallinta
ABB Päivityspalvelin
Internet
-Toimistoverkko
-Laskutusjärjestelmät
-Prosessien ohjausjärjestelmät
-Raportointijärjestelmät
-Sähköverkkoyhtiöt
jne.
Yhteydet muihin järjestelmiin
Luvaton henkilö
Luvaton henkilö
Luvaton henkilö
Tunkeutuja tai
haittaohjelma
USB
Saastunut media
Saastunut tietokone
June 7, 2018 Slide 14
Yhteyksiä muihin ympäristöihin -Toimistoverkko
-Laskutusjärjestelmät
-Prosessien ohjausjärjestelmät
-Raportointijärjestelmät
jne.
Yhteydet muihin järjestelmiin
Internet
Toimittajien
etähallinta
Asemataso
Valvomo
Ulkoiset
yhteydet
Huolto-
henkilökunta
Kriittisen sähkö- ja varavoimaverkon ohjaus- ja valvontajärjestelmä
Miten suojautua?
Suojautuminen uhkilta
June 7, 2018 Slide 16
Lähtötaso
Asemataso
Valvomo
IEC 61850 / Asema väylä
Valvomo työasema
MicroSCADA
Pro HSB System
ProsessiIEC 61850 / Prosessi väylä
-Toimistoverkko
-Laskutusjärjestelmät
-Prosessien ohjausjärjestelmät
-Raportointijärjestelmät
-Sähköverkkoyhtiöt
jne.
Yhteydet muihin järjestelmiin
Kovennus
Pääsynhallinta
Haittaohjelma suojaus Palomuuri
USB Siirrettävät mediat
Salattu kommunikaatio
SDM
600Keskitetty käyttäjätilien
ja lokienhallinta
Tietoturvapäivitykset
USB
USBSDM
600
ABB Service Center
ABB Etähallinta
ABB Päivityspalvelin
Internet
Monitasoinen suojaus erillisillä itsenäisillä suojauskerroksilla
Defense in depth - Enabling smarter system protection
Security
assessment &
monitoring
Backup &
recovery
Security
updates &
hardening
Malware
protection
Procedures
& policies
Perimeter
protection
7 June 2018 Slide 17
Kolmivaiheinen lähestyminen kyberturvallisempaan huomiseen
June 7, 2018 Slide 18
Kyberturvallisuusauditointi, jossa
selvitetään järjestelmän nykytila ja
haastatellaan Tilaajan henkilöstöä
ymmärtääkseen Tilaajan prosessit ja
menettelytavat.
Auditoinnista laaditaan Tilaajalle
yksityiskohtainen raportti, josta
ilmenee suositellut toimenpiteet
kyberturvallisuuden parantamiseksi.
Erikseen sovittaessa kumppani voi
toteuttaa joko osan tai kaikki
suositelluista toimenpiteistä.
Halutessaan Tilaaja voi toteuttaa
myös omatoimisesti suositellut
toimenpiteet.
Valitsemalla vahvan toimijan
kyberturvallisuuskumppaniksi,
osapuolten välille voidaan solmia
tukipalvelusopimus, joka takaa että
kumppanin maailmanlaajuinen
asiantuntemus on jatkuvasti
käytettävissäsi.
Järjestelmää voidaan auditoida ja
monitoroida säännöllisesti
mahdollisten uhkien havaitsemiseksi.
Kyberturva on jatkuva prosessi
Arviointi Toteutus Ylläpito
Kyberturvallisuuden parantaminen
June 7, 2018 Slide 19
Lisätään tietoisuutta organisaation johdossa ja muissa tärkeissä
funktioissa
Identifioidaan suurimmat riskialueet järjestelmäympäristössä ja
toimintatavoissa
Vähennetään yleisimpiä riskejä vastatoimilla, joita organisaatio
kykenee hallinnoimaan
Kehitetään jatkuvasti organisaation kyberturvallisuutta
mukautumaan kehittyvien uhkakuvien mukaisesti
Luodaan systemaattiset turvallisuuskäytännöt
Noudatetaan standardeja (esim. NERC-CIP, IEC 62443-2-1)
Tärkeimmät tavoitteet
Risk
Kyberturvallisuuden parantaminen
June 7, 2018 Slide 20
Tietoisuuden lisääminen (koulutus)
Kyberturvallisuusauditointi
Tietoturvapäivitysten hallinta
Haittaohjelmasuojauksen hallinta
Järjestelmän koventaminen
Varmuuskopioinnin ja palautuksen hallinta
Verkkoturvallisuuden hallinta
Käyttäjä- ja pääsynhallinta
Haavoittuvuuksien hallinta ja tiedotus
Aktiivinen tietoturvamonitorointi
Tietoturvatapahtumien hallinta (Incident Response)
Kyberuhkien ja -hyökkäysten havainnointi (Threat Intelligence)
Esimerkki kyberturvallisuuspalveluista
Yhteenveto
June 7, 2018 Slide 21
– Kyberturvallisuus on jatkuva prosessi joka vaatii vastuiden
määrittelyn ja jatkuvia investointeja
– Varmistakaa että toimittajilla ja yhteystyökumppaneilla on
kyberturvallisuus kunnossa
– Lisätkää tietoisuutta omassa organisaatiossa aina
johdosta koko henkilökuntaan
Avainasiat
Mukana elinkaaren kaikissa vaiheissa
Kyberturvallisuus ABB:llä
June 7, 2018 Slide 22
ABB vaatii saman omilta toimittajiltaan
Suunnittelu
Toteutus
Varmistus
Julkaisu
Tuki
Tuote
Operointi
Ylläpito
Tarkastus
Päivitys
Suunnittelu
Tekninen toteutus
FAT
Käyttöönotto
SAT
Projekti
Asennuskohde
Ohjaavat periaatteet:
Ei ole 100% turvallisuutta
Kyberturvallisuus on jatkuva prosessi
Tasapainoilua käytettävyyden ja
kustannusten ehdoilla