Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

Podobne dokumenty
PLC Cyber Laboratorium

Ochrona biznesu w cyfrowej transformacji

Bezpieczeństwo systemów SCADA oraz AMI

Reforma ochrony danych osobowych RODO/GDPR

System Zarządzania Procesami Bezpieczeństwa - CRIMSON. Warszawa, luty 2017

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce.

Bezpieczeństwo danych w sieciach elektroenergetycznych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Promotor: dr inż. Krzysztof Różanowski

Marek Damaszek. TAURON Polska Energia S.A.

SIŁA PROSTOTY. Business Suite

Systemy bezpieczeństwa i ochrony zaprojektowane dla obiektów logistycznych.

REKOMENDACJA D Rok PO Rok PRZED

epolska XX lat później Daniel Grabski Paweł Walczak

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Czy zarządzać bezpieczeństwem IT w urzędzie?

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Bezpieczna transmisja danych w układach automatyki zdalna diagnostyka układów

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Cyberbezpieczeństwo. Spojrzenie z perspektywy zarządu organizacji

Inteligentne bezpieczeństwo. Praktyczne aspekty bezpieczeństwa AMI

Normalizacja dla bezpieczeństwa informacyjnego

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

CYBERBEZPIECZEŃSTWO krytycznej infrastruktury elektroenergetycznej

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

Oferta handlowa. System monitoringu i kontroli dostępu

Jak uchronić Twój biznes przed cyberprzestępczością

Informacja o produkcie. E-RMA Aplikacja Endress do zdalnej kontroli

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy?

Bezpieczeństwo IT w środowisku uczelni

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

ISO w Banku Spółdzielczym - od decyzji do realizacji

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Aspekty cyberbezpieczeństwa w jednostkach samorządu terytorialnego

pilotażowe staże dla nauczycieli i instruktorów kształcenia zawodowego w przedsiębiorstwach

Proaktywny i automatyczny monitoring infrastruktury IT w świetle Rekomendacji D

O NASZYM DATA CENTER

FORUM ROZWOJU INWESTYCJI SAMORZĄDOWYCH

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Utrzymanie epuap. Raportt Q1 2014

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Wdrażanie rozwiązań Internetu Rzeczy na potrzeby cyfryzacji państwa czy stać nas na rezygnację z bezpieczeństwa?

Wsparcie dla działań na rzecz poprawy efektywności energetycznej ze strony systemów informatycznych

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

DLA SEKTORA INFORMATYCZNEGO W POLSCE

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH

Marcin Soczko. Agenda

Największe zagrożenia dla biznesu w roku 2015

Kompleksowe Przygotowanie do Egzaminu CISMP

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Audytowane obszary IT

Smart City. Nowoczesność. Przyszłość. Innowacyjność

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Pojazdy autonomiczne a ciągłości dostaw energii. Marek Wąsowski Politechnika Wrocławska

Metody ochrony przed zaawansowanymi cyberatakami

ISO nowy standard bezpieczeństwa. CryptoCon,

z dnia 29 stycznia 2016 r. zmieniające zarządzenie Rektora nr 61 z dnia 23 października 2013 r. w sprawie wprowadzenia Regulaminu organizacyjnego SGH

OTWARTE DRZWI BADANIA POKAZUJĄ, ŻE DRUKARKI POZOSTAJĄ NARAŻONE NA CYBERATAKI

Zdobywanie fortecy bez wyważania drzwi.

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

Audyt energetyczny jako wsparcie Systemów Zarządzania Energią (ISO 50001)

Kierunki rozwoju usług monitorowania. Outsourcing stacji monitorowania. Optymalizacja kosztów

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

System Kontroli Dostępu. Zarządzanie kontrolą dostępu do budynków biurowych i zakładów produkcyjnych

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Systemy Monitorowania Produkcji EDOCS

Nie o narzędziach a o rezultatach. czyli skuteczny sposób dokonywania uzgodnień pomiędzy biznesem i IT. Władysławowo, 6 października 2011 r.

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

wykonawca instalacji elektrycznych i teletechnicznych

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

ISO bezpieczeństwo informacji w organizacji

Program ochrony cyberprzestrzeni RP założenia

Opis systemu CitectFacilities. (nadrzędny system sterowania i kontroli procesu technologicznego)

Partnerstwa pomiędzy nauką i biznesem, udział dużych przedsiębiorstw ZIPH.PL

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

Oferta CyberTrick CarSharing

Transkrypt:

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych Monika Adamczyk III FBST

Narodowe Centrum Badań Jądrowych Największy polski instytut badawczy (1100 pracowników, 70 profesorów, 120 doktorantów, Hirsch index = 115, Kategoria A+) Reaktor badawczy MARIA o mocy 30MW Park Naukowo-Technologiczny zaplecze szybkiego wdrażania wyników badań w gospodarce PLC Cyber Laboratorium Projekt na temat Badania Podatności PLCs Używanych w Instalacjach Nuklearnych na Cyberataki Metodami Bug Fuzzing 2

Przemysłowa Sieć Komputerowa 3

Rola IT w Obiektach Nuklearnych Wykorzystywane do typowych funkcji biznesowych i komunikowania się z zewnętrznymi sieciami i systemami Używane w systemach kontroli dostępu, ochrony obiektu, ewidencji materiałów jądrowych, zarządzania dokumentacją itp. Relatywnie łatwa aktualizacja lub wymiana poszczególnych elementów Eksploatacja 2-5 lat lub krócej Standardowe zabezpieczenia przeciw cyber atakami 4

Rola ICS w Obiektach Nuklearnych Używane do sterowania procesami reaktora i systemów bezpieczeństwa Budowane z niestandardowych komponentów i protokołów komunikacyjnych Ściśle kontrolowany proces testowania, aktualizacji lubwymianykomponentów Eksploatowane 10-15 lat a często i znacznie dłużej Priorytetem jest dostępność w realnym czasie, niezawodność i ciągłość operacji, a nie ich bezpieczeństwo 5

Cyberataki na Obiekty Przemysłowe Stuxnet zniszczenie wirówek wzbogacających uran w Iranie Ingerencje w sieci komputerowe koncernów Areva (Francja), Armaco (Arabia Saudyjska), The Korea Hydro & Nuclear Power Plant Night Dragon ataki na firmy petrochemiczne BlackEnergy wstrzymanie dostaw prądu na Ukrainie 6

Zagrożenia w Obiektach Nuklearnych Kradzież Materiału Nuklearnego Sabotaż Reaktora lub Operacji Bezpieczeństwa Kradzież Wrażliwych Informacji Cyberataki mogą doprowadzić do naruszenia bezpieczeństwa obiektu i ludzi 7

Bezpieczeństwo Obiektu Nuklearnego GATES GUARDS GUNS GEEKS Bezpieczeństwo nuklearne wymaga też adekwatnej ochrony przed cyber atakami 8

Zintegrowana Strategia Zabezpieczenia Techniczne Zabezpieczenia Fizyczne Bezpieczeństwo Obiektu Nuklearnego Zabezpieczenia Organizacyjne Zabezpieczenia Personalne 9

Podstawowe Reguły System kontroli dostępu do wszystkich systemów, i pomieszczeń oraz monitorowanie ruchu materiałowoosobowego Ścisły nadzór nad używaniem przenośnych komputerów, zewnętrznych dysków i urządzeń mobilnych Uregulowany przepływ danych elektronicznych przez wykorzystanie klasyfikacji zasobów cyfrowych, stref komputerowych i zróżnicowanych poziomów bezpieczeństwa (np. luk powietrznych dla najbardziej krytycznych systemów) Dogłębna analiza cyber zagrożeń, ich wpływ na procesy operacyjne i bezpieczeństwo obiektu oraz ludzi Ochrona przed zagrożeniami wewnętrznymi weryfikacja pracowników, regularne szkolenia z cyberbezpieczeństwa, behawioralny monitoring Cykliczna analiza i ulepszane programu bezpieczeństwa (przy bardzo ścisłej kontroli wprowadzanych zmian) 10

Kontrola Dostępu Kilka poziomów i metod zabezpieczeń, które muszą być złamane przez atakującego aby osiągnąć swój cel 11

Klasyfikacja Systemów Komputerowych Systemy Komputerowe Obiektu Nuklearnego Systemy Krytyczne dla Zapewnienia Bezpieczeństwa Systemy Nie Używane w Funkcjach Bezpieczeństwa Systemy Bezpieczeństwa Systemy Wspierające Bezpieczeństwo Systemy Automatycznego Reagowania na Zagrożenia Systemy Operacyjne Systemy Uruchamiane jako Konsekwencja Automatycznego Reagowania Alarmy Ochrona Przeciwpożarowa Dostęp do Pomieszczeń 12

Poziomy Bezpieczeństwa Ogólne Środki Bezpieczeństwa Poziom 1 Systemy, które są krytyczne dla bezpieczeństwa obiektu Poziom 2 Systemy sterowania wymagające wysokiego poziomu bezpieczeństwa Poziom 3 Systemy czasu rzeczywistego niezbędne dla wykonywanych operacji Poziom 4 Systemy zarządzania w zakresie utrzymania i eksploatacji obiektu Poziom 5 Systemy nie mające bezpośredniego wpływu na kontrolę techniczną lub funkcje operacyjne, np. systemy biurowe 13

Strefy Komputerowe Każda strefa zawiera systemy, które maja takie same lub porównywalne znaczenie dla bezpieczeństwa obiektu Systemy w jednej strefie maja podobne wymagania w zakresie użytych środków bezpieczeństwa Systemy zgrupowane w jednej strefie pozwalają na wewnętrzną komunikację bez dodatkowych środków bezpieczeństwa Komunikacja miedzy poszczególnymi strefami zależy od zdefiniowanych reguł i zasad (brak komunikacji, jedno lub dwu-kierunkowa) 14

Strefy i Poziomy Bezpieczeństwa Strefa A: systemy odpowiedzialne za bezpieczeństwo, np. automatyczne wyłączenie aparatury; system gaszenia pożaru (brak komunikacji poza strefę A) Strefa B: systemy sterowania i monitorowania operacji produkcyjnych (jednokierunkowa komunikacja tylko do strefy C) Strefa C: administracyjne i zarzadzania, np. pozwolenia na pracę; ewidencja paliwa nuklearnego (dwukierunkowa komunikacja ze strefą C) Strefa D: dostępu do internetu i wymiana informacji, np. email; aplikacje WWW Strefa A1 Poziom 1 Strefa B1 Poziom 2 Strefa C1 Poziom 4 Strefa D1 Poziom 5 Strefa A Strefa B Strefa C Strefa D Internet Strefa A2 Poziom 1 Strefa B2 Poziom 2 Strefa C2 Poziom 4 Strefa D2 Poziom 5 15

Analiza Cyber Zagrożeń (DBT) Zagrożenie Źródło Ataku Cel Ataku Możliwości Atakującego Podatność na Atak Wewnętrzne Zewnętrzne Sabotaż Zdalny Dostęp Ludzki Błąd Haker Zysk Finansowy Dostępne Technologie Niezadowolony Pracownik Zorganizowana Przestępczość Szpiegostwo Przemysłowe Tajny Agent Terroryści Naruszenie Reputacji Zagrożenie = Źródło + Cel + Możliwości + Podatność 16

Zagrożenia Wewnętrzne Bezpieczeństwo to też sprawa ludzi, a nie tylko środki ochrony fizycznej, technicznej i organizacyjnej Na bezpieczeństwo obiektu nuklearnego majawpływ: Osobiste Przekonania Postawy Wiedza Wyuczone Zachowania Profesjonalne Kompetencje Edukacja z Zakresu Bezpieczeństwa Ludzie mogą być najsłabszym ogniwem w bezpieczeństwie nuklearnym, ale też jego najsilniejszym atutem 17

Program Ciągłego Doskonalenia OPEX Aktualizowanie Analiza Zagrożeń Normy i Standardy Organizacyjne Praktyki Rozwiązywanie Problemów Poprawianie Planowanie Act Check Plan Do Instalacja Reagowanie na Incydenty Sprawdzanie Wdrożenie Monitorowanie Operacyjnego Bezpieczeństwa Zarządzanie Konfiguracją Testowanie 18

Podsumowanie Uwzględnienie konsekwencji zagrożeń w obiekcie nuklearnym Dostosowanie się do przepisów prawa i wymagańregulatora Korzystanie z międzynarodowychstandardów i sektorowych kodeksów postepowania Uwzględnienie specyfiki przemysłowych systemów sterowania (ICS) i ich funkcji Kompleksowe podejście do bezpieczeństwa z użyciem wszystkich środków ochrony (organizacyjnych fizycznych, cyber, i personalnych) Rozwijane kultury bezpieczeństwa i budowanie świadomości wśród wszystkich pracowników Aktywne monitorowanie, modyfikacja i ulepszanie programu bezpieczeństwa 19

Dziękuję za uwagę Monika Adamczyk Narodowe Centrum Badań Jądrowych monika.adamczyk@ncbj.gov.pl +48 22 273 2225

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres