OT integracja i rozwój czy bezpieczeństwo?

Transkrypt

1 OT integracja i rozwój czy bezpieczeństwo?

2 Po co zajmować się bezpieczeństwem? Koniunktura? Moda? 2

3 Po co zajmować się bezpieczeństwem? Koniunktura? Moda? Czy rzeczywiście jest tak groźnie? 3

4 Po co zajmować się bezpieczeństwem? Koniunktura? Moda? Czy rzeczywiście jest tak groźnie? 4

5 Po co zajmować się bezpieczeństwem? 5

6 Integracja Integracja jest elementem rozwoju Powody rozwoju: wygoda, nowe możliwości technologiczne (komunikacja), wymagania regulacyjne / biznesowe. 6

7 Integracja Integracja jest elementem rozwoju Powody rozwoju: wygoda, nowe możliwości technologiczne (komunikacja), wymagania regulacyjne / biznesowe. Integracja i rozwój czy bezpieczeństwo? 7

8 Po co zajmować się bezpieczeństwem? 8

9 Po co zajmować się bezpieczeństwem? 9

10 W którą stronę zmierza świat? 10

11 W którą stronę zmierza świat? Normy i standardy w zakresie bezpieczeństwa Rodzina norm ISO wymagania, rekomendacje, zarządzanie ryzykiem itd. IEC IEC NIST SP , NIST SP IEEE P1686 BDEW White Paper Requirement for Secure Control and Telecommunication Systems" ENISA 11

12 Bezpieczna SCADA model Założenia: wygodny w użytkowaniu, w zarządzaniu, we wsparciu biznesu racjonalny właściwe rozłożenie priorytetów, oparty o zarządzanie ryzykiem potrzeby, podatności, zagrożenia, zabezpieczenia. wykonalny, możliwy do adaptacji (zastosowanie, skala, uwarunkowania technologiczne, finansowe, inne), wykorzystujący aktualnie dostępne mechanizmy bezpieczeństwa, dający się utrzymać w najbliższej przyszłości (perspektywa czasu pracy urządzeń / systemów) 12

13 Bezpieczna SCADA model systemów zewnętrznych Inne systemy korporacyjne Internet prezentacji i zarządzania Syndis RV z modułami DB komunikacji Sieć prywatna Sieć publiczna (VPN, APN, ) automatyki pomiarowosterującej 13

14 Bezpieczna SCADA model obiekty systemów zewnętrznych Inne systemy korporacyjne Internet prezentacji i zarządzania Syndis RV z modułami DB komunikacji Sieć prywatna Sieć publiczna (VPN, APN, ) automatyki pomiarowosterującej 14

15 Bezpieczna SCADA model obiekty Defence in Depth Wielowarstwowa struktura bezpieczeństwa 15

16 Bezpieczna SCADA model obiekty Schemat komunikacji SO-5X IEC NTP/SNTP serwer OCSP serwer SCADA Zarządzanie konfiguracją i oprogramowaniem RADIUS/TACACS serwer Szyfrowanie TLS (opcja) Szyfrowanie TLS Autentykacja (opcja) Autentykacja IEC IEC DNP 3.0 IPSec VPN (opcja) Zarządzanie lokalne PConfig, WWW Eth0 PPP, Eth autentykacja Szyfrowanie TLS Autentykacja SO-5X RBAC Eth1 OPTO/RS232/485 IEC IEC DNP 3.0 MODBUS TCP Urządz 0 Urządz n Urządz 0 Urządz n MODBUS IEC DNP 3.0 SPA 16

17 Bezpieczna SCADA model obiekty Zarządzanie konfiguracją i oprogramowaniem Syndis RV-DM TLS OMA DM TLS Interfejs użytkowy serwera konfiguracji Serwer danych Serwer DM Urządzenia końcowe z zainstalowanym klientem DM 17

18 Bezpieczna SCADA model sieć techniczna systemów zewnętrznych Inne systemy korporacyjne Internet prezentacji i zarządzania Syndis RV z modułami DB komunikacji Sieć prywatna Sieć publiczna (VPN, APN, ) automatyki pomiarowosterującej 18

19 Bezpieczna SCADA model komunikacja Wydzielona sieć techniczna TSR, TAN Czym się różni sieć techniczna od zwykłej sieci? separacja redundancja bezpieczeństwo 19

20 Bezpieczna SCADA model komunikacja TSR współdziałanie różnych mediów transmisji Jeden protokół wymiany danych - IP Stworzony dla sieci rozległych Skalowalność Wydajność Odporność na awarię - dynamiczny routing Niezawodna transmisja danych Uniwersalny 20

21 Bezpieczna SCADA model komunikacja Protokół IP zagrożenia i zabezpieczenia Powszechnie używany do różnych celów Możliwość przenikania problemów ze świata zewnętrznego Zakłócenia spowodowane dynamicznymi protokołami routingu Przeciążenie współdzielonej architektury Wykorzystanie dzierżawionej infrastruktury Zarządzanie ryzykiem Separacja sieci i systemów Zarządzanie dostępem Systemy bezpieczeństwa teleinformatycznego Nadzór nad bezpieczeństwem OT Zarządzanie incydentami i ciągłością działania 21

22 Bezpieczna SCADA model Syndis RV systemów zewnętrznych Inne systemy korporacyjne Internet prezentacji i zarządzania Syndis RV z modułami DB komunikacji Sieć prywatna Sieć publiczna (VPN, APN, ) automatyki pomiarowosterującej 22

23 Bezpieczna SCADA model Syndis RV Klasyczny system OT Strefa Obiekty sieć techniczna Warstwa sterowania Strefa Obiekty sieć publiczna Strefa SCADA Oddział Wymiana danych z PSE PSE stacja Syndis stacja Strefa SCADA zapasowa CDM TSR Strefa SCADA CDM Wydzielona sieć IT Wydzielona infrastruktura Syndis RV, EMS Dedykowane łącza Syndis RV OMS, EMS, DM DM OMS Oracle Oracle Strefa dyspozytorska zapasowa CDM Strefa dyspozytorska CDM Terminale dyspozytorskie Terminale dyspozytorskie Kierunek strzałek oznacza sposób inicjowania komunikacji 23

24 Bezpieczna SCADA model Syndis RV System OT/IT Strefa Obiekty sieć techniczna Warstwa sterowania Strefa Obiekty sieć publiczna Strefa SCADA Oddział Wymiana danych z PSE PSE Wymiana z systemami wewn. stacja Syndis Warstwa pośrednicząca stacja Strefa DMZ integracja GIS IVR ERP Serwer pośredniczący Warstwa użytkownika Zdalny dostęp Mikronika Strefa SCADA zapasowa CDM TSR Strefa SCADA CDM Strefa DMZ serwis Serwer dostępowy Strefa pracowników telemechaniki (administratorzy Syndis) Strefa DMZ usługi dostępowe Strefa planistów Syndis RV, EMS Syndis RV OMS, EMS, DM FW 0 1 Proxy OMS Syndis Lite Usługi terminalowe FW 1 2 DM OMS Oracle Oracle Strefa DMZ operacje mobilne Strefa urządzeń mobilnych Strefa dyspozytorska zapasowa CDM Strefa dyspozytorska CDM Moduł MOS RW APN Tablety Strefa sieci biurowej Strefa DMZ OMS raportowanie Terminale dyspozytorskie Terminale dyspozytorskie Oracle OMS R Kierunek strzałek oznacza sposób inicjowania komunikacji 24

25 Bezpieczna SCADA model Syndis RV Warstwa sterowania - model pracy Strefa Obiekty sieć techniczna Strefa Obiekty sieć publiczna Strefa SCADA Oddział Wymiana danych z PSE PSE stacja stacja TSR Syndis Środowisko edycyjno-testowe W całości odseparowany system edycji projektu z możliwością testowania telemechaniki Strefa SCADA zapasowa CDM Syndis RV OMS, EMS, DM Syndis RV, EMS DM Strefa SCADA CDM OMS Strefa SCADA testowa Syndis RV OMS, EMS Serwer testowy do sprawdzania nowych funkcjonalności, spójności modelu i interfejsów System produkcyjny Oracle Oracle Środowisko edycyjne Oracle Strefa dyspozytorska zapasowa CDM Strefa dyspozytorska CDM Terminale dyspozytorskie Terminale dyspozytorskie 25

26 Bezpieczna SCADA model Syndis RV Redundancja Strefa Obiekty sieć techniczna Strefa SCADA zapasowa CDM Syndis RV OMS, EMS, DM Oracle Strefa dyspozytorska zapasowa CDM Terminale dyspozytorskie Strefa Obiekty sieć publiczna stacja TSR stacja Syndis RV, EMS DM Oracle Terminale dyspozytorskie Strefa SCADA Oddział Strefa SCADA CDM OMS Syndis Strefa dyspozytorska CDM Środowisko edycyjne Wymiana danych z PSE Strefa SCADA testowa Syndis RV OMS, EMS Oracle PSE Redundancja sprzętowa i programowa Serwer rezerwowy i serwery wyspowe Platformy wirtualizacyjne Serwery klastrowe Redundancje na poziomie baz danych Pełne wsparcie dla Oracle Data Guard Pełne wsparcie dla Oracle Real Application Cluster Wsparcie dla Oracle Advanced Replication / Oracle Golden Gate Zaawansowany mechanizm synchronizacji baz czasu rzeczywistego replikacja dwukierunkowa 26

27 Bezpieczna SCADA model Syndis RV Komunikacja z obiektami Strefa Obiekty sieć techniczna Strefa Obiekty sieć publiczna Strefa SCADA Oddział Wymiana danych z PSE stacja stacja Syndis PSE Uwierzytelnianie 802.1x IPSec VPN ( tryb tunelowy ) TLS ( ver 1.2 ) TSR Uwierzytelnianie w protokołach DNP3.0 i IEC101/104 Strefa SCADA zapasowa CDM Syndis RV, EMS Strefa SCADA CDM Strefa SCADA testowa Centralna autoryzacja RADIUS/TACACS+ Syndis RV OMS, EMS, DM DM OMS Syndis RV OMS, EMS SNMPv3 Oracle Oracle Środowisko edycyjne Oracle OCSP Strefa dyspozytorska zapasowa CDM Strefa dyspozytorska CDM Serwer konfiguracji DM Terminale dyspozytorskie Terminale dyspozytorskie 27

28 Podsumowanie systemów zewnętrznych Inne systemy korporacyjne Internet prezentacji i zarządzania Syndis RV z modułami DB komunikacji Sieć prywatna Sieć publiczna (VPN, APN, ) automatyki pomiarowosterującej 28

29 Dziękuję za uwagę