Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

Transkrypt

1 Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych Monika Adamczyk III FBST

2 Narodowe Centrum Badań Jądrowych Największy polski instytut badawczy (1100 pracowników, 70 profesorów, 120 doktorantów, Hirsch index = 115, Kategoria A+) Reaktor badawczy MARIA o mocy 30MW Park Naukowo-Technologiczny zaplecze szybkiego wdrażania wyników badań w gospodarce PLC Cyber Laboratorium Projekt na temat Badania Podatności PLCs Używanych w Instalacjach Nuklearnych na Cyberataki Metodami Bug Fuzzing 2

3 Przemysłowa Sieć Komputerowa 3

4 Rola IT w Obiektach Nuklearnych Wykorzystywane do typowych funkcji biznesowych i komunikowania się z zewnętrznymi sieciami i systemami Używane w systemach kontroli dostępu, ochrony obiektu, ewidencji materiałów jądrowych, zarządzania dokumentacją itp. Relatywnie łatwa aktualizacja lub wymiana poszczególnych elementów Eksploatacja 2-5 lat lub krócej Standardowe zabezpieczenia przeciw cyber atakami 4

5 Rola ICS w Obiektach Nuklearnych Używane do sterowania procesami reaktora i systemów bezpieczeństwa Budowane z niestandardowych komponentów i protokołów komunikacyjnych Ściśle kontrolowany proces testowania, aktualizacji lubwymianykomponentów Eksploatowane lat a często i znacznie dłużej Priorytetem jest dostępność w realnym czasie, niezawodność i ciągłość operacji, a nie ich bezpieczeństwo 5

6 Cyberataki na Obiekty Przemysłowe Stuxnet zniszczenie wirówek wzbogacających uran w Iranie Ingerencje w sieci komputerowe koncernów Areva (Francja), Armaco (Arabia Saudyjska), The Korea Hydro & Nuclear Power Plant Night Dragon ataki na firmy petrochemiczne BlackEnergy wstrzymanie dostaw prądu na Ukrainie 6

7 Zagrożenia w Obiektach Nuklearnych Kradzież Materiału Nuklearnego Sabotaż Reaktora lub Operacji Bezpieczeństwa Kradzież Wrażliwych Informacji Cyberataki mogą doprowadzić do naruszenia bezpieczeństwa obiektu i ludzi 7

8 Bezpieczeństwo Obiektu Nuklearnego GATES GUARDS GUNS GEEKS Bezpieczeństwo nuklearne wymaga też adekwatnej ochrony przed cyber atakami 8

9 Zintegrowana Strategia Zabezpieczenia Techniczne Zabezpieczenia Fizyczne Bezpieczeństwo Obiektu Nuklearnego Zabezpieczenia Organizacyjne Zabezpieczenia Personalne 9

10 Podstawowe Reguły System kontroli dostępu do wszystkich systemów, i pomieszczeń oraz monitorowanie ruchu materiałowoosobowego Ścisły nadzór nad używaniem przenośnych komputerów, zewnętrznych dysków i urządzeń mobilnych Uregulowany przepływ danych elektronicznych przez wykorzystanie klasyfikacji zasobów cyfrowych, stref komputerowych i zróżnicowanych poziomów bezpieczeństwa (np. luk powietrznych dla najbardziej krytycznych systemów) Dogłębna analiza cyber zagrożeń, ich wpływ na procesy operacyjne i bezpieczeństwo obiektu oraz ludzi Ochrona przed zagrożeniami wewnętrznymi weryfikacja pracowników, regularne szkolenia z cyberbezpieczeństwa, behawioralny monitoring Cykliczna analiza i ulepszane programu bezpieczeństwa (przy bardzo ścisłej kontroli wprowadzanych zmian) 10

11 Kontrola Dostępu Kilka poziomów i metod zabezpieczeń, które muszą być złamane przez atakującego aby osiągnąć swój cel 11

12 Klasyfikacja Systemów Komputerowych Systemy Komputerowe Obiektu Nuklearnego Systemy Krytyczne dla Zapewnienia Bezpieczeństwa Systemy Nie Używane w Funkcjach Bezpieczeństwa Systemy Bezpieczeństwa Systemy Wspierające Bezpieczeństwo Systemy Automatycznego Reagowania na Zagrożenia Systemy Operacyjne Systemy Uruchamiane jako Konsekwencja Automatycznego Reagowania Alarmy Ochrona Przeciwpożarowa Dostęp do Pomieszczeń 12

13 Poziomy Bezpieczeństwa Ogólne Środki Bezpieczeństwa Poziom 1 Systemy, które są krytyczne dla bezpieczeństwa obiektu Poziom 2 Systemy sterowania wymagające wysokiego poziomu bezpieczeństwa Poziom 3 Systemy czasu rzeczywistego niezbędne dla wykonywanych operacji Poziom 4 Systemy zarządzania w zakresie utrzymania i eksploatacji obiektu Poziom 5 Systemy nie mające bezpośredniego wpływu na kontrolę techniczną lub funkcje operacyjne, np. systemy biurowe 13

14 Strefy Komputerowe Każda strefa zawiera systemy, które maja takie same lub porównywalne znaczenie dla bezpieczeństwa obiektu Systemy w jednej strefie maja podobne wymagania w zakresie użytych środków bezpieczeństwa Systemy zgrupowane w jednej strefie pozwalają na wewnętrzną komunikację bez dodatkowych środków bezpieczeństwa Komunikacja miedzy poszczególnymi strefami zależy od zdefiniowanych reguł i zasad (brak komunikacji, jedno lub dwu-kierunkowa) 14

15 Strefy i Poziomy Bezpieczeństwa Strefa A: systemy odpowiedzialne za bezpieczeństwo, np. automatyczne wyłączenie aparatury; system gaszenia pożaru (brak komunikacji poza strefę A) Strefa B: systemy sterowania i monitorowania operacji produkcyjnych (jednokierunkowa komunikacja tylko do strefy C) Strefa C: administracyjne i zarzadzania, np. pozwolenia na pracę; ewidencja paliwa nuklearnego (dwukierunkowa komunikacja ze strefą C) Strefa D: dostępu do internetu i wymiana informacji, np. ; aplikacje WWW Strefa A1 Poziom 1 Strefa B1 Poziom 2 Strefa C1 Poziom 4 Strefa D1 Poziom 5 Strefa A Strefa B Strefa C Strefa D Internet Strefa A2 Poziom 1 Strefa B2 Poziom 2 Strefa C2 Poziom 4 Strefa D2 Poziom 5 15

16 Analiza Cyber Zagrożeń (DBT) Zagrożenie Źródło Ataku Cel Ataku Możliwości Atakującego Podatność na Atak Wewnętrzne Zewnętrzne Sabotaż Zdalny Dostęp Ludzki Błąd Haker Zysk Finansowy Dostępne Technologie Niezadowolony Pracownik Zorganizowana Przestępczość Szpiegostwo Przemysłowe Tajny Agent Terroryści Naruszenie Reputacji Zagrożenie = Źródło + Cel + Możliwości + Podatność 16

17 Zagrożenia Wewnętrzne Bezpieczeństwo to też sprawa ludzi, a nie tylko środki ochrony fizycznej, technicznej i organizacyjnej Na bezpieczeństwo obiektu nuklearnego majawpływ: Osobiste Przekonania Postawy Wiedza Wyuczone Zachowania Profesjonalne Kompetencje Edukacja z Zakresu Bezpieczeństwa Ludzie mogą być najsłabszym ogniwem w bezpieczeństwie nuklearnym, ale też jego najsilniejszym atutem 17

18 Program Ciągłego Doskonalenia OPEX Aktualizowanie Analiza Zagrożeń Normy i Standardy Organizacyjne Praktyki Rozwiązywanie Problemów Poprawianie Planowanie Act Check Plan Do Instalacja Reagowanie na Incydenty Sprawdzanie Wdrożenie Monitorowanie Operacyjnego Bezpieczeństwa Zarządzanie Konfiguracją Testowanie 18

19 Podsumowanie Uwzględnienie konsekwencji zagrożeń w obiekcie nuklearnym Dostosowanie się do przepisów prawa i wymagańregulatora Korzystanie z międzynarodowychstandardów i sektorowych kodeksów postepowania Uwzględnienie specyfiki przemysłowych systemów sterowania (ICS) i ich funkcji Kompleksowe podejście do bezpieczeństwa z użyciem wszystkich środków ochrony (organizacyjnych fizycznych, cyber, i personalnych) Rozwijane kultury bezpieczeństwa i budowanie świadomości wśród wszystkich pracowników Aktywne monitorowanie, modyfikacja i ulepszanie programu bezpieczeństwa 19

20 Dziękuję za uwagę Monika Adamczyk Narodowe Centrum Badań Jądrowych