Grupa Lotos S.A. Ochrona przed zagrożeniami cybernetycznymi istotnym warunkiem zapewnienia bezpieczeństwa i ciągłości działania w przemyśle petrochemicznym Dr Roman Marzec Dyrektor ds. Bezpieczeństwa i Kontroli Wewnętrznej 1
USTAWA z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U.2016.904 z dnia 2016.06.24) Art. 2. [Definicje] Ilekroć w ustawie jest mowa o: ( ) 4) infrastrukturze krytycznej - należy przez to rozumieć infrastrukturę krytyczną, o której mowa w art. 3 pkt 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. z 2013 r. poz. 1166, z 2015 r. poz. 1485 oraz z 2016 r. poz. 266); 2
Infrastruktura krytyczna - należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę, g) ochrony zdrowia, h) transportowe, i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych; 3
INFSTRAKTURA KRYTYCZNA NA PODSTAWIE NARODOWEGO PROGRAMU OCHRONY INFRASTRUKTURY KRYTYCZNEJ Wpisz Nazwę Spółki 4
Narodowy Program ochrony infrastruktury krytycznej Uchwała nr 210/2015 Rady Ministrów z dnia 2 listopada 2015 r. w sprawie przyjęcia Narodowego Programu Ochrony Infrastruktury Krytycznej z uwzględnieniem Uchwały nr 61/2016 Rady Ministrów z dnia 1 czerwca 2016 r. zmieniającej uchwałę w sprawie przyjęcia Narodowego Programu Ochrony Infrastruktury Krytycznej. 5
6
W Polsce, podobnie jak i w innych krajach, działająca sprawnie i w sposób niezakłócony infrastruktura krytyczna ma coraz większy wpływ na obywateli, struktury administracji i gospodarkę. Administracja i przedsiębiorcy stają się współzależni. Powstaje wspólna infrastruktura realizująca procesy na rzecz obydwu stron. Prowadzi to do uzależnienia się w takim stopniu, że dysfunkcja tej infrastruktury może prowadzić do skutków wykraczających poza granice władającej nią organizacji. 7
Tym samym konieczne staje się uznanie ochrony IK jako procesu ukierunkowanego na ochronę ciągłości świadczenia określonej usługi oraz odtworzenia jej w razie potrzeby. Dlatego, identyfikując te wyzwania, w należy określić zadania mające pomóc w ustaleniu skali współzależności i podjęciu skutecznych działań celem zredukowania ryzyka zakłócenia funkcjonowania IK. 8
ochrona IK zgodnie z art. 3 pkt 3 ustawy o zarządzaniu kryzysowym wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie, ochrona obowiązkowa ochrona obszarów, obiektów, urządzeń i transportów ważnych dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa prowadzona przez specjalistyczne uzbrojone formacje ochronne lub odpowiednie zabezpieczenie techniczne, zgodnie z przepisami ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2014 r. poz. 1099 oraz z 2015 r. poz. 1505), 9
str. 28/48 Narodowy Program Ochrony Infrastruktury Krytycznej Rys. 4. Proces ochrony IK w cyklu Deminga. Proces ochrony IK w cyklu Deminga.
Model współpracy w zakresie OIK Współpraca w ochronie infrastruktury krytycznej Poziom strategiczny Krajowe forum OIK wspierane przez Systemowe fora OIK, Regionalne fora OIK Poziom operacyjny Mechanizm ochrony OIK Poziom zarządczy Szkolenia konferencje, doradztwo i ćwiczenia
Potencjalne źródła ataków w obszarze cyber Ataki przypadkowe niekierunkowe: - każdy może stać się celem ataku, poprzez wykorzystanie luki lub błędów obsługi oprogramowania uniwersalnego, lecz relatywnie krótki czas rozpoznania celu Ataki kierunkowe: - wykorzystują złożoność całości systemu oraz różnorodność interakcji między elementami, poprzedzone zwykle długim rozpoznaniem obiektu ataku oraz zastosowanych rozwiązań informatycznych 12
Przyczyny Skala, w jakiej działają rozwiązania OT sprzyja napastnikom Niedokładna lub brak separacji stacji roboczych IT/OT Rozproszenie geograficzne obiektów OT bezpieczeństwo fizyczne rozpoczyna łańcuch zaufania, a połączenie obiektów siecią teleinformatyczną sprzyja kompromitacji zdalnej 13
Propozycje rozwiązań budowa kultury bezpieczeństwa Wpisz Nazwę Spółki Potwierdzenie, że środki bezpieczeństwa mają wspólny cel, jakim jest ochrona ludzkiego życia i zdrowia oraz środowiska. Wprowadzenie kultury bezpieczeństwa chemicznego ułatwi spójny i synergiczny rozwój, wdrożenie i zarządzanie wymogami bezpieczeństwa i ochrony, w tym współpracy dwustronnej i wielostronnej. Kultura bezpieczeństwa jest integralną częścią powstawania technologii i zaangażowania, podczas gdy kultura bezpieczeństwa jest opóźnionym rozwojem, opracowanym niedawno w odpowiedzi na nowe zagrożenia zewnętrzne i wewnętrzne. W tym sensie kultura bezpieczeństwa podąża śladami kultury bezpieczeństwa. Kulturę bezpieczeństwa chemicznego można uznać za zbiór przekonań, postaw i wzorców zachowań, które wzmocnią i / lub uzupełnią narzędzia twarde (wyposażenie) i miękkie (zasady i przepisy) w ich misji zmierzającej do osiągnięcia zamierzonych celów bezpieczeństwa. 14
Bezpieczeństwo zakorzenione w kulturze organizacji Kultura bezpieczeństwa chemicznego mogłaby czerpać mocne i słabe strony z ogólnej kultury organizacyjnej na poziomie poszczególnych zakładów chemicznych. Związek między kulturą bezpieczeństwa a ogólną kulturą organizacyjną jest dwukierunkowy, gdzie kultura bezpieczeństwa może znacząco wzmocnić lub osłabić tę organizacyjną. Kompleksowe podejście do lepszego bezpieczeństwa wykracza poza granice tej tezy i wymaga wysiłków w celu rozszerzenia zakresu promocji kultury bezpieczeństwa na wszystkich odpowiednich zewnętrznych interesariuszy. Zagrożenie w fabrykach / obiektach chemicznych jest podobnym wyzwaniem dla cyberbezpieczeństwa, ale konkretne narzędzia potrzebne do radzenia sobie z nim różnią się w każdym z obszarów tychże zagrożeń. 15
Propozycje rozwiązań Inspekcja ruchu sieciowego w punkcie styku z siecią Internet rozwiązania Firewall, relatywnie mało rozwiązań poddających analizie protokoły OT - najczęściej analiza jedynie ruchu w relacji pionowej Rozwiązania ochrony przed zagrożeniami DoS ochrona konkretnego punktu, usługi dedykowane dla popularnych usług sieciowych Rozwiązania gromadzenia i korelacji zdarzeń bezpieczeństwa SIEM - wartością jest prawidłowe wdrożenie przewidywanie znanych zagrożeń 16
Propozycje rozwiązań c.d. Utwardzanie systemów często niedostępne dla rozwiązań OT, w szczególności systemów wbudowanych Rozwiązania Anti-APT - detekcja ukierunkowana na oprogramowanie uniwersalne, Rozwiązania gromadzenia śladu w ruchu sieciowym - problem ograniczonego horyzontu czasowego 17
Punkty sytku Punkty styku przenoszą różnorodne protokoły sieciowe Rozwiązania bezpieczeństwa trudne w zarządzaniu, w szczególności pomiędzy podmiotami, wzajemne uwierzytelnianie stron, uwierzytelnianie wieloskładnikowe oraz uprawnienia nadawane przyrostowo Wykorzystywanie ruchu szyfrowanego utrudnia, co inspekcję oraz detekcję anomalii 18
Trudności z zabezpieczeniem styku Większość systemów bezpieczeństwa opartych o rozwiązania sygnaturowe - zasadnicza trudność detekcji zagrożeń o charakterze APT(ang. Advanced Persistent Threats) Duża zróżnicowanie uprawnień Problem zasilenia systemów wartościowymi informacjami Problem fałszywych alarmów Problem dzielenia się wiedzą/doświadczeniami 19
Nowe rozwiązania Istniejące rozwiązania bezpieczeństwa posiadają ograniczone wsparcie dla protokołów OT W wielu przypadkach stosowane są jedynie mechanizmy sygnaturowe do detekcji zagrożeń Standardy komunikacyjne dla systemów OT zakładają wdrożenie mechanizmów bezpieczeństwa zróżnicowane zależnie od obszaru Rodzina standardów IEC 62351 w przypadku rozwiązań SCADA Szereg mechanizmów bezpieczeństwa jest wdrażanych z dużym opóźnieniem ze względu na charakter funkcjonowania (24/7/365) oraz skalę rozwiązań wybudowanie infrastruktury laboratoryjnej Symulowanie sieci technologicznej Symulowanie punktu styku z sieciami IT Możliwość analizy współczesnych zagrożeń związanych z systemami IT 20
Rozwiązania realizowane przez GL LOTOS S.A. bieżące i perspektywiczne Budowa Soc perspektywa CERT Współpraca z NASK Współpraca z www.cert.gov.pl Współpraca z RCB Współpraca z ICCSS audyt stanu bezpieczeństwa w obszarze cyber 21
Ustawa o krajowym systemie cyberbezpieczeństwa 28 sierpnia br. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa, wdrażająca wymagania europejskiej dyrektywy NIS. Do 09.11.2018 powstanie rejestr operatorów usług kluczowych. Ustawa narzucać będzie pewne obowiązki na tego typu podmioty w określonych ramach czasowych. 22
W terminie trzech miesięcy operatorzy usług kluczowych będą musieli: powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (ew. wsparte usługami zewnętrznymi na podstawie podpisanych umów outsourcingowych), W Grupie LOTOS S.A. powołano zespół ds. bezpieczeństwa informatycznego, wspierany przez firmę zewnętrzną, uruchomiono program poprawy Cyberbezpieczeństwa w ramach, którego wypracowana zostanie koncepcja Centrum Monitorowania Bezpieczeństwa pracującego w trybie 24/7/365, wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem, (mamy na poziomie Grupy) 23
uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia, wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa, wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa Termin 24 godzin na zgłoszenie incydentu wymaga bardzo sprawnie działającego procesu zarządzania incydentami. W celu odpowiednio szybkiej klasyfikacji takiego incydentu, konieczny jest uporządkowany i dobrze zorganizowany proces jego analizy. Warto pamiętać, że każdorazowy brak terminowej notyfikacji może wiązać się z karami finansowymi (do 20 tys. zł). 24
W terminie do sześciu miesięcy operatorzy usług kluczowych muszą: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej. (w rozporządzeniach wykonawczych, które nie weszły jeszcze w życie jest nawiązanie do dokumentacji wymaganej przez ISO 27001) Po uporządkowaniu wszystkiego trzeba będzie przeprowadzić w terminie jednego roku zewnętrzny audyt bezpieczeństwa. Później audyty będą musiały być realizowane co dwa lata. Brak wywiązania się z tego obowiązku może kosztować operatora usługi kluczowej 200 tys. zł. 25
Dziękuję za uwagę