Cyber security in het operationele domein
Rietis Parotie (Simple4Result) & Auke Huistra (Applied Risk)
Nut en noodzaak van Cybersecurity
• Frequent in media.
• Al jaren op nr. 1 als belangrijkste risico (risk in focus)
• Geschatte schade is 6 trillion USD in 2021. Jaarlijkse toename geschat
van 15% per jaar. (bon: Cybercrime Magazine)
Wat is Operationele Technologie?
Wat is Operationele Technologie?
• De hard- en software die fysieke processen monitoren, aansturen, reguleren en veilig houden in bijvoorbeeld een elektriciteitscentrale, fabriek, schip, boorplatform, tunnel, waterzuiveringsinstallatie,
gebouw, raffinaderij, distributiecentrum, operatiekamer etc.
• Deze operationele processen zijn het hart van een bedrijf. Juiste
aansturing is cruciaal voor de kwaliteit, gezondheid, veiligheid en het
milieu. Kan leiden tot maatschappelijke impact.
Wat is Operationele Technologie?
Maar ook:
- Netwerk (firewalls, routers, switches)
- Servers (windows, switches)
- Virtualisatie (VMware, Esxi)
- IT en OT protocollen - Wireless (regulier en
industrieel)
- Etc.
Wat maakt OT anders?
IT OT
Vertrouwelijkheid Hoog Laag
Integriteit Laag-Medium Hoog
Beschikbaarheid Laag-Medium Erg hoog
Tijdsafhankelijk Vertragingen vaak toegestaan Kritiek
Downtime Toegestaan Niet acceptabel
Levenscyclus systemen 3-5 jaar 15-30 jaar
Patch cyclus Frequent Afhankelijk van onderhouds-
schema. Vaak alleen bij groot onderhoud (1-2 X per jaar) Worst case impact Verlies van data en geld Destructie van het operationele
proces, slachtoffers
Trends in OT
• Mergers & Acquisitions
• Investering in OT security
• Focus op core operations
• Cyber security verzekeringen
Markt
• COTS veelvuldig toegepast
• Nieuwe technologieën (IIoT, Mobile, Big Data, AI)
• IT/OT Convergentie
• Cloud Adoptie
• Remote Access
• Schaduw OT
• Tekort aan OT security skills op alle niveaus
• Compliance wordt belangrijker:
wet- en regelgeving
• Meer afhankelijkheid van derde partijen
Technologie Generiek
Threat modelling in OT
Aanvalsoppervlak
9
Level 5
Internet DMZ
Level 1
Controller LAN
Level 0
Instrumentation Bus Network
Level 2
Supervisory HMI LAN
Level 3
Operations DMZ
Level 4
Enterprise LAN
Internet
Web Server Email Server
Business Server Authentication Servers
Misconfigured or missing firewalls
Dual-homed host bypassing firewall
Vulnerable &
outdated software
Known weaknesses in deployment
Improper segmentation of safety equipment Historian
Dual-homed gateway
Domain Controller
Local HMIs
WirelessHART Gateway PLCs
Actuators Actuators
Industrial IoT Sensors
PLCs SIS Environment
Local HMIs AV Server
SCADA, DCS or EMS System #1 SCADA, DCS or EMS System #2
Web Servers & 3rd Party Apps VPN Endpoint Wireless AP Modem
Legend
Hard-Wired Connection Vendor Specific Bus
Ethernet TCP/IP User Workstations
Zero day vulnerabilities Malware infection from dropped USB Vendor VPN
compromised
Insecure Modem
Insecure wireless access point Vulnerable
VPN endpoint
Remote Connection Remote Vendors
Remote Operations
& Facilities
10
Incidenten in het OT domein
Bedrijfsrisico’s
Bedrijfsrisico - Impact
Financieel:
• Productieverlies
• Boetes (contractueel of wettelijk)
• Losgeld
• Gevolgschade
Reputatieschade:
• In het nieuws
• Verlies vertrouwen aandeelhouders / klanten / (potentiële) werknemers
Negatieve Business Impact:
• Productieverlies
• Safety incidenten
• Product kwaliteit
• Bedrijfsspionage License to operate:
• Wettelijke of contractuele verplichtingen
• Maatschappelijke veiligheid (MVO)
• Rood (zeer hoog) is een risico dat onacceptabel is en moet worden geëlimineerd.
• Oranje (Hoog) is een risico dat niet acceptabel is. Risico beperkende
maatregelen of strikte risk controls moet worden geëvalueerd en
geïmplementeerd.
• Geel (Medium) is een aanvaardbaar risico, maar verlaging tot ALARP moet indien gerechtvaardigd worden overwogen.
Bedrijfsrisico
Wet- en regelgeving
Wet- en regelgeving
European Union EU NIS Directive legislation since 2018
Canada
National Strategy for Critical Infrastructure
USA
Sector specific regulations and programs, e.g. NERC for Energy, Executive Order 13636 (Improving Critical Infrastructure Cybersecurity).
Presidential Policy Directive/PPD-21 Critical Infrastrucutre Secutiry and Resilience)
Switzerland Federal Information Security Act - 2018
Qatar
National ICS security Standard
Norway
OLF 104 – regulation for Oil and Gas;
“Emergency Regulations” – Regulation on Preventive Security and Preparedness in the Energy Supplies, 2012
China
Cybersecurity Law (Article 38), 2017 Taiwan
Information and Communication Security Management Act (“ICSM”) - 2018
Australia
Critical Infrastructure Act 2018
Malaysia
Sector Specific standards and guidelines
Singapore Cyber Security Act for CII (2018) India
National Strategy
United Kingdom
NIS Regulations, NCSC CAF OG86 IACS (HSE, accident hazards)
Wet- en regelgeving
• In Nederland Wet Beveiliging Netwerk en Informatiesystemen als implementatie van de NIS EU Directive in 2018
• Gericht op Aanbieders van Essentiële Diensten
• Verplichting tot implementeren van gepaste maatregelen en het melden van incidenten
• Nu wordt gewerkt aan een uitbreiding - EU NIS Directive 2.0
• Meer sectoren, o.a. Electricity (electricity markets, production, aggregation, demand response and energy storage), District heating and cooling, Hydrogen, Drinking
water, Waste water, Waste management, Manufacture, production and distribution of chemicals, Food production, processing and distribution, Manufacturing of
computer, electronic and optical products, electrical equipment, machinery and equipment n.e.c., motor vehicles, trailers and semi-trailers
• Meer verplichte maatregelen
Casus
internationaal energiebedrijf
Verplichting om aan wet- en regelgeving te voldoen – al ISO 27001 gecertificeerd
voor het IT domein
Scope bepaling
Beschrijving van de
scope
Vastleggen van de rationale
Wat is de essentiële
dienst? Wat zijn de kritieke operationele processen die nodig zijn om de dienst te
leveren?
(incl.
ondersteunde processen
Welke systemen ondersteunen deze business processen?
Direct dan wel indirect?
Welke netwerk infrastructuur is nodig voor deze systemen?
Bijv. connectie tussen systemen
Wie zijn de derde partijen die deze systemen
managen, onderhouden of zelfs opereren?
Assess
Remediate
Certify
Gap Analysis / Risk Assessment
Security Baseline Assessment
Asset Discovery
Risk Treatment Plan
Scoping Statement &
Statement of Applicability ISMS Development
Develop Policies &
Procedures
OT Security Training
& Awareness
OT Security Incident Management Plan
Business Continuity / Disaster Recovery Plan
Retest technical
findings Health Check Assessment
Execute internal audit
Management Review
Audit preparation,
Assistance for Audit)
Stage 1 Stage 2 Yearly retest July
Risk Assessment Methodology
Risk Assessment
Report
Asset Management
Follow up audit findings
Support improvement Capabilities and
Maturity Implementation of Risk Remediations Activities (on-going)
Internal Audit
Management Review
Lessons learned
• Zorg voor management aandacht – praat in bedrijfsrisico’s, niet in technische risico’s
• Betrek alle stakeholders (business, landen vertegenwoordigers, fysieke security, facility management, HR, legal, IT and OT)
• Richt een duidelijk governance model in (centraal vs decentraal, hoofdkantoor vs. business units, RASCI matrix)
• Dynamisch risico management (geen eenmalige activiteit)
• Training en awareness voor de diverse doelgroepen (management, engineers en operators)
• Audit cyclus (test and verify) – Extern en intern
• Implementeer als eerste basale Security Controls first. Start niet met “Shiny Objects”
• Asset inventory (weet wat je hebt)
• Network segmentatie
• (Remote) Access Control
• Technische controls (hardening, patching, AV etc.)
• Logging & monitoring
• Vulnerability Management
• Incident respons plan / organisatie
• Business Continuity Plan
• 3rdParty management
Zorg voor een Duurzame
OT Security organisatie!
Casus elektriciteitsbedrijf
Risco-gerichte benadering approach OT
• Samen met Applied Risk brainstormen over de mogelijke aanval scenario’s
• Belangrijkste aspecten: Governance, Logische toegangsbeveiliging en fysieke toegangsbeveiliging
Servers
IT - KA
Werk stations
BVC Leveranciers
OT netwerk
Fabrieken /
stations Data center
SolarWinds hack was ‘largest and most sophisticated attack’ ever