Upload
dansk-it
View
193
Download
0
Embed Size (px)
Citation preview
Sikring af kritisk (IT-)infrastrukturChristian Damsgaard Jensen, Ph.D., Applied Matemathics & Computer science, DTU
Indlæg på DANSK IT’s konference It-sikkerhed 2016Torsdag den 4. februar 2016
Sikkerhed i kritisk (IT)-infrastruktur
Christian Damsgaard Jensen
DTU Compute
Cyber Security Section
Danmarks Tekniske Universitet
http://www.compute.dtu.dk/~cdje
Dansk IT – IT-sikkerhed 20163 – 4 februar
3 DTU Compute Technical University of Denmark
• Tre sektioner der forsker i IT-sikkerhed
– Cyber Security sektionen
– Formal Methods sektionen
– Embedded Systems Engineering
• En studielinje i ”Computer Security” på kandidatniveau
– Udvikling af sikre programmer og systemer
– Kryptologi
• Specialprogram i ”Cybersecurity”
– Kombinerer teori og praksis i 3 kurser
• Practical Network Security
• Computer Forensics
• Incident Response
DTU Compute
Dansk IT – IT-sikkerhed 20163 – 4 februar
4 DTU Compute Technical University of Denmark
• Typisk definition:
• Hvad er egentlig nødvendigt for at et samfund kan fungere?
– Udgangspunkt i Maslows behovspyramide
• Især de 2 nederste lag
– Kompleksitet af det moderne samfund
• Mere end de basale behov må opfyldes
• Ingen er rigtigt selvforsynende
– Behov for både offentlige og private
ydelser af forskellig art
Hvad er kritisk infrastruktur?
Kritisk infrastruktur omfatter alle aktiver der er nødvendige for at et samfund og en økonomi kan fungere
“”
Dansk IT – IT-sikkerhed 20163 – 4 februar
5 DTU Compute Technical University of Denmark
• ”Jeg kan ikke tænke uden Google”
• ”Jeg kan ikke leve uden Facebook”
• Hvor meget virker uden NemID
Men hvad med …?
Dansk IT – IT-sikkerhed 20163 – 4 februar
6 DTU Compute Technical University of Denmark
• Energi produktion og distribution
– Uden elektricitet er der ikke meget der virker
• Kommunikation
• Vandforsyning (drikke-/spildevand)
• Fødevareforsyning
– Produktion og distribution
• Sundhedsvæsenet (hospitaler, klinikker og læger)
• Beredskabet (brand, politi og ambulance)
– Alarmcentral og enkelte tjenester
• Transport og logistik
– Kontrol og signalering
• Banker og betalingsmidler
– NETS, SWIFT, …
Kritisk infrastruktur
Dansk IT – IT-sikkerhed 20163 – 4 februar
7 DTU Compute Technical University of Denmark
Indbyrdes afhængigheder af infrastruktur
Dansk IT – IT-sikkerhed 20163 – 4 februar
8 DTU Compute Technical University of Denmark
• Energi produktion og distribution
• Kommunikation
• Vandforsyning (drikke-/spildevand)
• Fødevareforsyning
– Landbrug, distribution, detail, forbrug
• Sundhedsvæsenet (hospitaler, klinikker og læger)
– Sundhedssektoren, plejesektoren, netdoktor
• Beredskabet (brand, politi og ambulance)
– Stigende vigtighed af kort og navigationstjenester
• Transport og logistik
– Jernbane, veje, skibs- og flytrafikken
• Banker og betalingsmidler
– Børshandel, bogføring, betalingsoverførsel, netbanker
IT i kritisk infrastruktur
Dansk IT – IT-sikkerhed 20163 – 4 februar
9 DTU Compute Technical University of Denmark
• Kritisk IT-infrastruktur
– Systemer der er nødvendige for at andre systemer kan fungere
• Offentlig infrastruktur
– Kommunikation mellem myndigheder og private partnere
– Sundheds- og plejesektorerne (i regioner og kommuner)
– Transportsektoren (luftfart, skibsfart, vejvæsenet, bus og tog)
• Privat infrastruktur
– Nets, herunder Nem-ID
• Nem-ID lagt ned af teenagere i 2013 (pris 10$)
– Energiforsyning - el, gas, fjernvarme, brændstof (lagring og transport)
– Vand – drikke- og spildevandsforsyning
– Kommunikation – telefoni (fastnet og mobil) og internet
• Mange af disse IT-systemer er forbundet til Internettet
Kritisk IT-infrastruktur
Dansk IT – IT-sikkerhed 20163 – 4 februar
10 DTU Compute Technical University of Denmark
• Oprindeligt designet til at overleve et atomangreb på U.S.A.
– Robuste protokoller, decentral kontrol (autonome systemer)
– DNS systemet har hidtil overlevet alle angreb
• Stigende grad af centralisering
• Effektivisering Administrative IT-systemer
– Offentlige IT-systemer (stat og kommuner)
– Private IT-systemer (borgere og erhvervsliv)
• Essentielle tjenester
– Officielle tjenester (DNS, NemID, PKI, CVR, CPR, …)
• Portaler og Gateways
– Uofficielle tjenester (Google, Facebook, …)
• Civile tjenester
– Kort, GPS navigation, RKI, TrustPilot
Internetet
Dansk IT – IT-sikkerhed 20163 – 4 februar
11 DTU Compute Technical University of Denmark
• Stigende afhængighed af IT
– Sikrer effektiviseringer i både offentlige og private sektor
• Generelt få krav til sikkerheden af IT-systemer
– Både funktionelt og sikkerhedsmæssigt
• Ingen garanti og ingen erstatningsansvar
• Ingen pligt til anmeldelse af sikkerhedsbrister
• Ingen krav om vidensdeling på tværs af organisationer
• Stigende kommercialisering af kritiske IT-systemer
– Krav om effektiv drift (dimensionering efter normaltilstand)
• Ønsker om integration og effektivisering af forskellige ydelser
– Integration af forskelligartede systemer
– Stigende kompleksitet af integrerede systemer
Problemet kort
Dansk IT – IT-sikkerhed 20163 – 4 februar
12 DTU Compute Technical University of Denmark
• Supervisory Control and Data Acquisition (SCADA)
– Indgår ofte som del af en kontrolløkke
– Produceret og konfigureret til et enkelt formål
• Ofte ringe mulighed for opdatering og opgradering
• Opdatering kræver adgang til en særlig service-port
– Kommunikation benytter normalt dedikeret hardware/protokoller
– legacy-systemer med en afskrivning over 10-30 år
Kontrolsystemer til kritisk infrastruktur
Sensor AktuatorKontrol
Dansk IT – IT-sikkerhed 20163 – 4 februar
13 DTU Compute Technical University of Denmark
• SCADA systemer
– Standardkomponenter og protokoller er med til at sænke prisen
• Mange indlejrede systemer har nu en indbygget web-server
• Kommunikation benytter oftere Ethernet eller Wi-Fi
• Sårbarheder i COTS software kræver hyppigere opdateringer
– Normale computere og software afskrives på få år
• Livscyklus for Windows er omkring 7 år (Mac OS er kortere)
• Meget software opdateres løbende
COTS i kritisk infrastruktur
CVE\år 2010 2011 2012 2013 2014 2015 2016
Wordpress 24 80 108 120 305 126 0
Apache 42 50 93 104 92 60 1
PHP 225 261 160 114 148 110 3
OpenSSL 12 14 12 17 32 31 0
Dansk IT – IT-sikkerhed 20163 – 4 februar
14 DTU Compute Technical University of Denmark
Enkeltstående systemer
Dansk IT – IT-sikkerhed 20163 – 4 februar
15 DTU Compute Technical University of Denmark
Total integration af systemer og tjenester
Dansk IT – IT-sikkerhed 20163 – 4 februar
16 DTU Compute Technical University of Denmark
• Normalt syn på IT-sikkerhed
– Tre niveauer af forsvar
• Forebyg (Prevent) – sikker systemudvikling + certificering
• Opdag (Detect) – analyse af unormale hændelser i systemet
• Reager (Respond) – modangreb, misinformation, retablering
– Værdien af aktiver skal være højere end udgiften til sikkerhed
• Værdien af national suverænitet er vanskelig at beregne
• Sædvanlige risikostyrings metoder er derfor problematiske
• Aktiver som infrastruktur har indbyrdes afhængigheder
– Må kunne analysere disse afhængigheder
• Indbyrdes afhængighederne skal identificeres
• Graden af indbyrdes afhængighed skal fastsættes
• F.eks. opbygge grafer der beskriver infrastrukturer og identificere knuder der optræder i flere grafer
Opsummering