System Zarządzania Procesami Bezpieczeństwa - CRIMSON Warszawa, luty 2017
To dopiero początek RODO Dyrektywa NIS eprivacy Swobodny przepływ danych Dostępność stron i aplikacji mobilnych Ochrona własności intelektualnej Zatwierdzone Zatwierdzone Propozycja Propozycja Zatwierdzone Od 25.05.2018 Od 09.05.2018 01.2017 01.2017 Od 23.09.2018 Wszyscy Infrastruktura Krytyczna Wszyscy Wszyscy Sektor Publiczny Współpraca przy tworzeniu kodeksów postępowania Współpraca z partnerami Firmami konsultingowymi Firmami prawnymi Twórcami rozwiązań IT 2 Warszawa, listopad 2017
Zarządzanie bezpieczeństwem 3 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania 4 Warszawa, listopad 2017
Podstawowe podejście do bezpieczeństwa 5 Warszawa, listopad 2017
Metodyka 6 Warszawa, listopad 2017
Obszar kompetencji Atende. 7 Warszawa, listopad 2017
Security GAP 8 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania 1 2 Dedykowane rozwiązania Nowe podejście Wyjście ze schematu Brak kompleksowości Łatwa integracja Brak monitoringu Gaz Uniwersalne podejście Doświadczenie klienta Dynamiczny rynek 9 Warszawa, listopad 2017
Zabezpieczenie systemów IT 10 Warszawa, listopad 2017
Podatność systemów IT/OT na włamania 11 Warszawa, listopad 2017
Podatność systemów IT/OT na włamania Techniki ataków są adoptowane ze świata IT Podatność systemów OT w każdej warstwie jest większa niż systemów IT. Skutki ataku są potencjalnie bardzo groźne. Dodatkowe zagrożenia Niska świadomość na zagrożenia u personelu Szkolenie operatorów w reakcji na inne zagrożenie niż cybernetyczne. Logistycznie skomplikowany proces aktualizacji w systemach OT. Naturalne dążenie do dostępności systemów sterowania procesów z każdego miejsca i dla każdego uprawnionego Internet rzeczy, chmurny, zdalne centra eksperckie 12 Warszawa, listopad 2017
Wektory Ataku Warstwa I Systemy IT Sieci. Systemy operacyjne. Aplikacje Warstwa II Systemy ICS Systemy DCS Systemy SCADA Sterowniki PAC/PLC Systemy bezpieczeństwa SIS, Awaryjne zatrzymanie instalacji ESD Panele sterownicze HMI. Itp.. Warstwa III Urządzenia Obiektowe Zawory regulacyjne Napędy elektryczne Pomiary wielkości fizycznych itp. 13 Warszawa, listopad 2017
Zabezpieczenia Zagrożenie pochodzi z IT? Obrona także technikami IT? Fire-Wall Kryptografia / Szyfrowanie VPN Separacja i Segmentacja sieci Skanery i analizatory ruchu (IDS/IPS) Rozwiązania są znane i dostępne na rynku Są znane atakującym. Zostały przynajmniej raz złamane Zabezpieczenia tworzono o specyfikę rynku IT. 14 Warszawa, listopad 2017
Organizacja i Nadzór Priorytety dla IT i OT 15 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania TECHNOLOGIA SIEĆ I TELEKOMUNIKACJA WIRTUALIZACJA 16 Warszawa, listopad 2017
Punkty styku 17 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania Sieci innych podmiotów gazowniczych Połączenia z innymi systemami zarządzania Internet CPD Sieć biurowa Sieć CPD Sieć TAN rezerwowa Sieć Technologiczna TAN Sieć TAN podstawowa Dyspozycja Połączenia z siecią biurową i CPD Sieć Dyspozytorska Obiekty gazownicze 18 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania 1 Zdefiniuj zdefiniuj luki, określ wymagania Testowanie krytycznych procesów produkcyjnych 2 Wymyśl zrozum wektory zagrożeń, wymyśl mechanizm zabezpieczeń Testowanie rozległych instalacji 3 Zaprojektuj Zaprojektuj nowoczesną architekturę 4 Testuj Przetestuj funkcjonalność, potwierdź założenia 19 Warszawa, listopad 2017
Zabezpieczenie systemów sterowania PoC Budowa poprzez Proof of Concepts Doskonalenie poprawa istniejących mechanizmów bezpieczeństwa i wprowadzanie innowacji Korzyści Skalowanie wdrażanie sprawdzonych rozwiązań cybernetycznych Cyber odporność Niezawodność Bezpieczeństwo Procesowe Efektywność operacyjna Implementacja skalowalne koncepcje architektury bezpieczeństwa następnej generacji 20 Warszawa, listopad 2017
Opis rozwiązania (2/4) - architektura 21 Warszawa, listopad 2017
Kontekst System powstał jako produkt projektu realizowanego dla MON przez konsorcjum: Atende, Atende Software i NASK. Projekt trwał 24 miesiące i był finansowany przez NCBIR Produktem jest prototyp IX stopnia gotowości. System kompletny funkcjonalnie, przetestowany i gotowy do wdrożenia Wymagania zdefiniowane przez MON, pokrywające się w większości z dyrektywą NIS Zespół Atende nabył kompetencje w zakresie rozwiązań związanych z bezpieczeństwem IT 22 Warszawa, listopad 2017
Opis rozwiązania (3/4) - funkcjonalności Obsługa cyklu życia elementu infrastruktury: projektowanie, wdrożenie, monitorowanie działania, wycofanie Ewidencja infrastruktury i oprogramowania Monitorowanie infrastruktury pod kątem zgodności z przyjętymi politykami bezpieczeństwa i obecnością podatności; wskazanie oceny ryzyka Import bazy o podatnościach/politykach bezpieczeństwa z systemów zewnętrznych oraz możliwość wprowadzania przez użytkownika 23 Warszawa, listopad 2017
Opis rozwiązania (4/4) funkcjonalności cd Obsługa incydentów Alarmy wynikające z działania agenta Integracja z systemami zewnętrznymi przy użyciu protokołu syslog Integracja z systemem n6 Import/eksport z pomiędzy zewnętrznymi zespołami typu CERT Możliwość wprowadzania przez operatora Podział ze względu na priorytet/wagę; obsługa potencjalnie przez różne zespoły Raportowanie Wizualizacja danych na mapie (integracja OpenStreetMaps) 24 Warszawa, listopad 2017
Zgodność z uznanymi standardami (1/2) System oparty jest o grupę standardów Security Content Automation Protocol (SCAP) rozwijanych przez NIST (USA) Języki: OVAL (Open Vulnerability and Assessment Language) 5.x standard określający format danych bazujący na XML i służący opisywaniu podatności oraz błędów w oprogramowaniu, testów ich występowania i sposobów zapobiegania, oraz raportowaniu o nich XCCDF (Extensible Configuration Checklist Description Format) 1.2 standard określający sposób wyrażania wymagań co do systemu i raportowania wyników oceny zgodności w języku XML OCIL (Open Checklist Interactive Language) 2.0 standard opisu kwestionariuszy, pozwalających na dostosowanie do polityki bezpieczeństwa IODEF (Incident Object Description and Exchange Format) standard przeznaczony do opisu i wymiany informacji o incydentach pomiędzy zespołami CERT/CSIRT nie wchodzi w skład SCAP, ale uzupełnia go 25 Warszawa, listopad 2017
Korzyści Dobrze określony i sprawdzony model danych Możliwość automatycznej wymiany danych o incydentach z zewnętrznymi zespołami CSIRT Możliwość wymiany danych o podatnościach (automatyczny import z zewnętrznych baz podatności) Jednoznaczna identyfikacja podatności i zmiennych konfiguracyjnych (słowniki) Możliwość półautomatycznej weryfikacji podatności spoza obszaru IT, np. bezpieczeństwo fizycznie Agregacja danych z wielu źródeł - raportowanie w jednym miejscu Wykorzystanie powszechnie rozpoznawanej skali ważności dla podatności Możliwość szybkiego rekonfigurowania procesów biznesowych Niski koszt środowiska (wykorzystanie narzędzi opartych o wolne licencje) 26 Warszawa, listopad 2017
Dziękuję za uwagę. 27 Warszawa, listopad 2017