RISKHANTERING FÖR SCADA

Transkript

1 RISKHANTERING FÖR SCADA Informationsklassificering - Publik VÅR MÅLSÄTTNING Lämna goda råd Förslag på ett första nästa steg 1

2 VAD KOMMER VI ATT GÅ IGENOM? FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder CHRISTOFFER STRÖMBLAD SVEN-OLOF WIKLUND Copyright 2011 SAFESIDE SOLUTIONS AB 2

3 GRUNDER FÖR INFORMATIONS- OCH IT- SÄKERHET GRUNDERNA KORT OM GRUNDERNA Policy Informationsklassificering Riskhantering Säkerhetsarkitektur IT-revision 3

4 INFORMATIONSKLASSIFICERING Klassificeringen av system och information är grunden till riskhanteringen, det är här verksamhetens krav identifieras. Systemen klassificeras utifrån betydelsen för verksamheten Klassificeringen skapar samsyn mellan verksamheten och tekniken Ingen samsyn leder till godtyckliga uppskattningar och felaktiga prioriteringar INFORMATIONSKLASSIFICERING Etc. etc Sekretess Riktighet Tillgänglighet Syfte att identifiera och klassificera skyddsvärd information i det specifika objektet (system) Mål att få en dokumenterad säkerhetsprofil på den skyddsvärda informationen i objektet Resultat efter genomförd klassificering så kommer systemet att ha en viss säkerhetsprofil/kravbild 4

5 RISKANALYSER & SÄKERHETSARKITEKTUR Copyright 2011 SAFESIDE SOLUTIONS AB RISKANALYSER Tillgången Vad och vem Sårbarheter Skydd 5

6 RISKANALYSER VISUALISERAT TILLGÅNG HOT SÅRBARHET SKYDD KONSEKVENS SANNOLIKHET RISK SÄKERHETSARKITEKTUR Visualiserar säkerheten Funktioner Mekanismer Komponenter 6

7 FRÅN INFORMATIONSSÄKERHETENS GRUNDER TILL FYRA FASER FÖR SCADA-SYSTEM Copyright 2011 SAFESIDE SOLUTIONS AB FÖRBEREDELSER Skapa en bild över hur verkligen ser ut Inventera, ta reda på vilka system som finns och vad som de består av och hur de stödjer verksamhetsprocesserna Vem är leverantören av IT till SCADA systemet När inventeringen är gjord, identifiera kopplingen mellan verksamheten, systemen och IT. Rättsanalys 7

8 EXEMPEL ARKITEKTUR Företagsnätet Kontroll och styrrum Fjärrnätverket (WAN) Geografiska platser FYRA FASER FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 8

9 FAS 1 IDENTIFIERA RISKER OCH FÖRÄNDRINGAR Copyright 2011 SAFESIDE SOLUTIONS AB KLASSIFICERING Vad är unikt och utmanande för ett SCADA system Ägarskapet - kravställare Storleken på system Vilka skall delta SKADAN Tillgängligheten Något mer? 9

10 Exempel genomförande Första steget beskrivning Identifiera processer och tillgångar Verksamhetspersonal, systemägare, systemförvaltare, systemansvarig Klassificera tillgångarna Informationsflödet i verksamhetsprocesserna Systemsamband Fastställ ansvarsgränserna Icke kritiska Kritiska tillgångar och processer Exempel SCADA System Planering Produktion Styrning Mätning IT-system Kraven ärvs från verksamhet via system till IT Plan Saturnus Pluto Infrastruktursystem Access Lagring Backup 10

11 RISKANALYS SCADA UNIKA UTMANINGAR Gammal teknik möter ny Säkerhetsåtgärder konflikt med verksamhetens krav Traditionell riskekvation inte alltid lämplig EXEMPELANALYS Fältadministratör ska uppdatera PLC Ansluter USB-enhet för uppdatering USB-enheter infekterar dator 11

12 RISKANALYS SCADA HOTBESKRIVNING Tillgången - Styrsystemen (PLC i detta fall) Hotet (vem/vad) - PLC infekteras med skadlig kod genom USB - Fältoperatör Sårbarheter - Skydd mot skadlig kod saknas - Brister i rutinerna för uppdatering av PLC Nuvarande skydd - Saknas! RISKANALYS SCADA - FOKUSERA PÅ Lågt hängande frukt - Default inställningar - Fjärrstyrning och Inbyggda bakdörrar Nätverket - Segmentering av företagsnätet och SCADA -nätverken - Gränsytorna 12

13 FAS 1 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder FAS 2 SKAPA BESLUTSSTÖD Copyright 2011 SAFESIDE SOLUTIONS AB 13

14 BESLUTSSTÖD Skapa medvetenhet. Validera, motivera Besluta. Helhet och samband. Uppföljning NULÄGE Riktighet Sekretess Tillgängl. Spårbarhet Företagsnät Styrrum Fjärrnät Acceptabel Pågående/kontrollerad Oacceptabel 14

15 BESLUTSSTÖD Vad gör SCADA unikt? Ansvar och organisation förvaltning, drift Gränsytor verksamhet, IT Förändringstakt kontra tillgänglighet Komplexa aktivtetsplaner EXEMPEL SÄKERHETSARKITEKTUR Copyright 2011 SAFESIDE SOLUTIONS AB 15

16 EXEMPEL 1: REVIDERAD SÄKERHETSARKITEKTUR Företagsnätet Hot: Manipulering av trafik Åtgärd: Krypterad förbindelse EXEMPEL 2: REVIDERAD SÄKERHETSARKITEKTUR Geografiska platser 1 Hot: Skadlig kod infekterar PLC Åtgärd 1: Rutin för uppdatering Åtgärd 2: Skydd mot skadlig kod 16

17 FAS 2 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder PAUSE - FIKA 17

18 FAS 3 GENOMFÖR/INFÖRA ÅTGÄRDER Copyright 2011 SAFESIDE SOLUTIONS AB INFÖRA Traditionell projektledning eller tekniska förvaltningsplaner Risker och åtgärder måste fram Finansiering Upphandling Människor/kompetens Resurser Utveckling Realism, ta små steg Gå Långt 18

19 INFÖRA Vad är unikt för SCADA? Stora förändringar i stora system Många enheter som kan behöva bytas/ändras Tar lång tid Toppstyrt? Finansiering (var är medlen) Upphandlingar Hårdvaran SCADA System IT Organisationsförändringar Kundkrav - Avtal FAS 3 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 19

20 FAS 4 MÄT FRAMGÅNG OCH EFFEKTER Copyright 2011 SAFESIDE SOLUTIONS AB MÄT FRAMGÅNG OCH EFFEKTER I Syfte att mäta och följa upp de åtgärder som implementeras. identifiera de aktiviteter som leder fram till en realistisk förändringsplan För att en gemensam bild över hur förändringsarbetet sker och dess status Ger avvikelse identifiering, bekräftelser på progress Styrkort Mätbarhet Uppföljning Enkelhet 20

21 HAR VI GJORT DET SOM VI TÄNKT Nuläge Roller och ansvar Säkerhetsarkitektur Riskanalys - > Projekt/aktivitetslista Införande Kontroll -> IT Revision NYLÄGE Riktighet Sekretess Tillgängl. Spårbarhet Företagsnät Styrrum Fjärrnät Acceptabel Pågående/kontrollerad Oacceptabel 21

22 ÅTERMATNING Detta är den viktigaste delen ut ur fas 4 Uppföljningsresultat Underlag för förvaltningsplaner Underlag för budget Uppföljning Information till nästa cykel Plan / Budget Nya ingångsvärden FAS 4 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 22

23 ETT FÖRSTA, NÄSTA STEG Träffa verksamheten, påbörja dialogen - Vad gör dom? - Vilka system finns? - Pågående eller närstående förändringar Målsättningen - Förståelse och samsyn kring SCADA - Skapa förutsättningar för god säkerhet Diskussionsforum - Etablera ett forum för SCADA TACK FÖR OSS Copyright 2011 SAFESIDE SOLUTIONS AB 23