Christian damsgaard jensen

Sikring af kritisk (IT-)infrastrukturChristian Damsgaard Jensen, Ph.D., Applied Matemathics & Computer science, DTU

Indlæg på DANSK IT’s konference It-sikkerhed 2016Torsdag den 4. februar 2016

Sikkerhed i kritisk (IT)-infrastruktur

Christian Damsgaard Jensen

DTU Compute

Cyber Security Section

Danmarks Tekniske Universitet

[email protected]

http://www.compute.dtu.dk/~cdje

Dansk IT – IT-sikkerhed 20163 – 4 februar

3 DTU Compute Technical University of Denmark

• Tre sektioner der forsker i IT-sikkerhed

– Cyber Security sektionen

– Formal Methods sektionen

– Embedded Systems Engineering

• En studielinje i ”Computer Security” på kandidatniveau

– Udvikling af sikre programmer og systemer

– Kryptologi

• Specialprogram i ”Cybersecurity”

– Kombinerer teori og praksis i 3 kurser

• Practical Network Security

• Computer Forensics

• Incident Response

DTU Compute



• Typisk definition:

• Hvad er egentlig nødvendigt for at et samfund kan fungere?

– Udgangspunkt i Maslows behovspyramide

• Især de 2 nederste lag

– Kompleksitet af det moderne samfund

• Mere end de basale behov må opfyldes

• Ingen er rigtigt selvforsynende

– Behov for både offentlige og private

ydelser af forskellig art

Hvad er kritisk infrastruktur?

Kritisk infrastruktur omfatter alle aktiver der er nødvendige for at et samfund og en økonomi kan fungere

“”



• ”Jeg kan ikke tænke uden Google”

• ”Jeg kan ikke leve uden Facebook”

• Hvor meget virker uden NemID

Men hvad med …?



• Energi produktion og distribution

– Uden elektricitet er der ikke meget der virker

• Kommunikation

• Vandforsyning (drikke-/spildevand)

• Fødevareforsyning

– Produktion og distribution

• Sundhedsvæsenet (hospitaler, klinikker og læger)

• Beredskabet (brand, politi og ambulance)

– Alarmcentral og enkelte tjenester

• Transport og logistik

– Kontrol og signalering

• Banker og betalingsmidler

– NETS, SWIFT, …

Kritisk infrastruktur



Indbyrdes afhængigheder af infrastruktur



• Energi produktion og distribution

• Kommunikation

• Vandforsyning (drikke-/spildevand)

• Fødevareforsyning

– Landbrug, distribution, detail, forbrug

• Sundhedsvæsenet (hospitaler, klinikker og læger)

– Sundhedssektoren, plejesektoren, netdoktor

• Beredskabet (brand, politi og ambulance)

– Stigende vigtighed af kort og navigationstjenester

• Transport og logistik

– Jernbane, veje, skibs- og flytrafikken

• Banker og betalingsmidler

– Børshandel, bogføring, betalingsoverførsel, netbanker

IT i kritisk infrastruktur



• Kritisk IT-infrastruktur

– Systemer der er nødvendige for at andre systemer kan fungere

• Offentlig infrastruktur

– Kommunikation mellem myndigheder og private partnere

– Sundheds- og plejesektorerne (i regioner og kommuner)

– Transportsektoren (luftfart, skibsfart, vejvæsenet, bus og tog)

• Privat infrastruktur

– Nets, herunder Nem-ID

• Nem-ID lagt ned af teenagere i 2013 (pris 10$)

– Energiforsyning - el, gas, fjernvarme, brændstof (lagring og transport)

– Vand – drikke- og spildevandsforsyning

– Kommunikation – telefoni (fastnet og mobil) og internet

• Mange af disse IT-systemer er forbundet til Internettet

Kritisk IT-infrastruktur



• Oprindeligt designet til at overleve et atomangreb på U.S.A.

– Robuste protokoller, decentral kontrol (autonome systemer)

– DNS systemet har hidtil overlevet alle angreb

• Stigende grad af centralisering

• Effektivisering Administrative IT-systemer

– Offentlige IT-systemer (stat og kommuner)

– Private IT-systemer (borgere og erhvervsliv)

• Essentielle tjenester

– Officielle tjenester (DNS, NemID, PKI, CVR, CPR, …)

• Portaler og Gateways

– Uofficielle tjenester (Google, Facebook, …)

• Civile tjenester

– Kort, GPS navigation, RKI, TrustPilot

Internetet



• Stigende afhængighed af IT

– Sikrer effektiviseringer i både offentlige og private sektor

• Generelt få krav til sikkerheden af IT-systemer

– Både funktionelt og sikkerhedsmæssigt

• Ingen garanti og ingen erstatningsansvar

• Ingen pligt til anmeldelse af sikkerhedsbrister

• Ingen krav om vidensdeling på tværs af organisationer

• Stigende kommercialisering af kritiske IT-systemer

– Krav om effektiv drift (dimensionering efter normaltilstand)

• Ønsker om integration og effektivisering af forskellige ydelser

– Integration af forskelligartede systemer

– Stigende kompleksitet af integrerede systemer

Problemet kort



• Supervisory Control and Data Acquisition (SCADA)

– Indgår ofte som del af en kontrolløkke

– Produceret og konfigureret til et enkelt formål

• Ofte ringe mulighed for opdatering og opgradering

• Opdatering kræver adgang til en særlig service-port

– Kommunikation benytter normalt dedikeret hardware/protokoller

– legacy-systemer med en afskrivning over 10-30 år

Kontrolsystemer til kritisk infrastruktur

Sensor AktuatorKontrol



• SCADA systemer

– Standardkomponenter og protokoller er med til at sænke prisen

• Mange indlejrede systemer har nu en indbygget web-server

• Kommunikation benytter oftere Ethernet eller Wi-Fi

• Sårbarheder i COTS software kræver hyppigere opdateringer

– Normale computere og software afskrives på få år

• Livscyklus for Windows er omkring 7 år (Mac OS er kortere)

• Meget software opdateres løbende

COTS i kritisk infrastruktur

CVE\år 2010 2011 2012 2013 2014 2015 2016

Wordpress 24 80 108 120 305 126 0

Apache 42 50 93 104 92 60 1

PHP 225 261 160 114 148 110 3

OpenSSL 12 14 12 17 32 31 0



Enkeltstående systemer



Total integration af systemer og tjenester



• Normalt syn på IT-sikkerhed

– Tre niveauer af forsvar

• Forebyg (Prevent) – sikker systemudvikling + certificering

• Opdag (Detect) – analyse af unormale hændelser i systemet

• Reager (Respond) – modangreb, misinformation, retablering

– Værdien af aktiver skal være højere end udgiften til sikkerhed

• Værdien af national suverænitet er vanskelig at beregne

• Sædvanlige risikostyrings metoder er derfor problematiske

• Aktiver som infrastruktur har indbyrdes afhængigheder

– Må kunne analysere disse afhængigheder

• Indbyrdes afhængighederne skal identificeres

• Graden af indbyrdes afhængighed skal fastsættes

• F.eks. opbygge grafer der beskriver infrastrukturer og identificere knuder der optræder i flere grafer

Opsummering

Technology

Christian damsgaard jensen