Cyber security in het operationele domein

Cyber security in het operationele domein

Rietis Parotie (Simple4Result) & Auke Huistra (Applied Risk)

Nut en noodzaak van Cybersecurity

• Frequent in media.

• Al jaren op nr. 1 als belangrijkste risico (risk in focus)

• Geschatte schade is 6 trillion USD in 2021. Jaarlijkse toename geschat

van 15% per jaar. (bon: Cybercrime Magazine)

Wat is Operationele Technologie?

Wat is Operationele Technologie?

• De hard- en software die fysieke processen monitoren, aansturen, reguleren en veilig houden in bijvoorbeeld een elektriciteitscentrale, fabriek, schip, boorplatform, tunnel, waterzuiveringsinstallatie,

gebouw, raffinaderij, distributiecentrum, operatiekamer etc.

• Deze operationele processen zijn het hart van een bedrijf. Juiste

aansturing is cruciaal voor de kwaliteit, gezondheid, veiligheid en het

milieu. Kan leiden tot maatschappelijke impact.

Wat is Operationele Technologie?

Maar ook:

- Netwerk (firewalls, routers, switches)

- Servers (windows, switches)

- Virtualisatie (VMware, Esxi)

- IT en OT protocollen - Wireless (regulier en

industrieel)

- Etc.

Wat maakt OT anders?

IT OT

Vertrouwelijkheid Hoog Laag

Integriteit Laag-Medium Hoog

Beschikbaarheid Laag-Medium Erg hoog

Tijdsafhankelijk Vertragingen vaak toegestaan Kritiek

Downtime Toegestaan Niet acceptabel

Levenscyclus systemen 3-5 jaar 15-30 jaar

Patch cyclus Frequent Afhankelijk van onderhouds-

schema. Vaak alleen bij groot onderhoud (1-2 X per jaar) Worst case impact Verlies van data en geld Destructie van het operationele

proces, slachtoffers

Trends in OT

• Mergers & Acquisitions

• Investering in OT security

• Focus op core operations

• Cyber security verzekeringen

Markt

• COTS veelvuldig toegepast

• Nieuwe technologieën (IIoT, Mobile, Big Data, AI)

• IT/OT Convergentie

• Cloud Adoptie

• Remote Access

• Schaduw OT

• Tekort aan OT security skills op alle niveaus

• Compliance wordt belangrijker:

wet- en regelgeving

• Meer afhankelijkheid van derde partijen

Technologie Generiek

Threat modelling in OT

Aanvalsoppervlak

9

Level 5

Internet DMZ

Level 1

Controller LAN

Level 0

Instrumentation Bus Network

Level 2

Supervisory HMI LAN

Level 3

Operations DMZ

Level 4

Enterprise LAN

Internet

Web Server Email Server

Business Server Authentication Servers

Misconfigured or missing firewalls

Dual-homed host bypassing firewall

Vulnerable &

outdated software

Known weaknesses in deployment

Improper segmentation of safety equipment Historian

Dual-homed gateway

Domain Controller

Local HMIs

WirelessHART Gateway PLCs

Actuators Actuators

Industrial IoT Sensors

PLCs SIS Environment

Local HMIs AV Server

SCADA, DCS or EMS System #1 SCADA, DCS or EMS System #2

Web Servers & 3rd Party Apps VPN Endpoint Wireless AP Modem

Legend

Hard-Wired Connection Vendor Specific Bus

Ethernet TCP/IP User Workstations

Zero day vulnerabilities Malware infection from dropped USB Vendor VPN

compromised

Insecure Modem

Insecure wireless access point Vulnerable

VPN endpoint

Remote Connection Remote Vendors

Remote Operations

& Facilities

10

Incidenten in het OT domein

Bedrijfsrisico’s

Bedrijfsrisico - Impact

Financieel:

• Productieverlies

• Boetes (contractueel of wettelijk)

• Losgeld

• Gevolgschade

Reputatieschade:

• In het nieuws

• Verlies vertrouwen aandeelhouders / klanten / (potentiële) werknemers

Negatieve Business Impact:

• Productieverlies

• Safety incidenten

• Product kwaliteit

• Bedrijfsspionage License to operate:

• Wettelijke of contractuele verplichtingen

• Maatschappelijke veiligheid (MVO)

• Rood (zeer hoog) is een risico dat onacceptabel is en moet worden geëlimineerd.

• Oranje (Hoog) is een risico dat niet acceptabel is. Risico beperkende

maatregelen of strikte risk controls moet worden geëvalueerd en

geïmplementeerd.

• Geel (Medium) is een aanvaardbaar risico, maar verlaging tot ALARP moet indien gerechtvaardigd worden overwogen.

Bedrijfsrisico

Wet- en regelgeving

Wet- en regelgeving

European Union EU NIS Directive legislation since 2018

Canada

National Strategy for Critical Infrastructure

USA

Sector specific regulations and programs, e.g. NERC for Energy, Executive Order 13636 (Improving Critical Infrastructure Cybersecurity).

Presidential Policy Directive/PPD-21 Critical Infrastrucutre Secutiry and Resilience)

Switzerland Federal Information Security Act - 2018

Qatar

National ICS security Standard

Norway

OLF 104 – regulation for Oil and Gas;

“Emergency Regulations” – Regulation on Preventive Security and Preparedness in the Energy Supplies, 2012

China

Cybersecurity Law (Article 38), 2017 Taiwan

Information and Communication Security Management Act (“ICSM”) - 2018

Australia

Critical Infrastructure Act 2018

Malaysia

Sector Specific standards and guidelines

Singapore Cyber Security Act for CII (2018) India

National Strategy

United Kingdom

NIS Regulations, NCSC CAF OG86 IACS (HSE, accident hazards)

Wet- en regelgeving

• In Nederland Wet Beveiliging Netwerk en Informatiesystemen als implementatie van de NIS EU Directive in 2018

• Gericht op Aanbieders van Essentiële Diensten

• Verplichting tot implementeren van gepaste maatregelen en het melden van incidenten

• Nu wordt gewerkt aan een uitbreiding - EU NIS Directive 2.0

• Meer sectoren, o.a. Electricity (electricity markets, production, aggregation, demand response and energy storage), District heating and cooling, Hydrogen, Drinking

water, Waste water, Waste management, Manufacture, production and distribution of chemicals, Food production, processing and distribution, Manufacturing of

computer, electronic and optical products, electrical equipment, machinery and equipment n.e.c., motor vehicles, trailers and semi-trailers

• Meer verplichte maatregelen

Casus

internationaal energiebedrijf

Verplichting om aan wet- en regelgeving te voldoen – al ISO 27001 gecertificeerd

voor het IT domein

Scope bepaling

Beschrijving van de

scope

Vastleggen van de rationale

Wat is de essentiële

dienst? Wat zijn de kritieke operationele processen die nodig zijn om de dienst te

leveren?

(incl.

ondersteunde processen

Welke systemen ondersteunen deze business processen?

Direct dan wel indirect?

Welke netwerk infrastructuur is nodig voor deze systemen?

Bijv. connectie tussen systemen

Wie zijn de derde partijen die deze systemen

managen, onderhouden of zelfs opereren?

Assess

Remediate

Certify

Gap Analysis / Risk Assessment

Security Baseline Assessment

Asset Discovery

Risk Treatment Plan

Scoping Statement &

Statement of Applicability ISMS Development

Develop Policies &

Procedures

OT Security Training

& Awareness

OT Security Incident Management Plan

Business Continuity / Disaster Recovery Plan

Retest technical

findings Health Check Assessment

Execute internal audit

Management Review

Audit preparation,

Assistance for Audit)

Stage 1 Stage 2 Yearly retest July

Risk Assessment Methodology

Risk Assessment

Report

Asset Management

Follow up audit findings

Support improvement Capabilities and

Maturity Implementation of Risk Remediations Activities (on-going)

Internal Audit

Management Review

Lessons learned

• Zorg voor management aandacht – praat in bedrijfsrisico’s, niet in technische risico’s

• Betrek alle stakeholders (business, landen vertegenwoordigers, fysieke security, facility management, HR, legal, IT and OT)

• Richt een duidelijk governance model in (centraal vs decentraal, hoofdkantoor vs. business units, RASCI matrix)

• Dynamisch risico management (geen eenmalige activiteit)

• Training en awareness voor de diverse doelgroepen (management, engineers en operators)

• Audit cyclus (test and verify) – Extern en intern

• Implementeer als eerste basale Security Controls first. Start niet met “Shiny Objects”

• Asset inventory (weet wat je hebt)

• Network segmentatie

• (Remote) Access Control

• Technische controls (hardening, patching, AV etc.)

• Logging & monitoring

• Vulnerability Management

• Incident respons plan / organisatie

• Business Continuity Plan

• 3^rdParty management

Zorg voor een Duurzame

OT Security organisatie!

Casus elektriciteitsbedrijf

Risco-gerichte benadering approach OT

• Samen met Applied Risk brainstormen over de mogelijke aanval scenario’s

• Belangrijkste aspecten: Governance, Logische toegangsbeveiliging en fysieke toegangsbeveiliging

Servers

IT - KA

Werk stations

BVC Leveranciers

OT netwerk

Fabrieken /

stations Data center

SolarWinds hack was ‘largest and most sophisticated attack’ ever

Lessons learned

• Goede voorbereiding met de relevante stakeholders (security afdeling, asset management en externe service providers)

• Kritieke bevindingen in een vroege stadium communiceren naar de

stakeholders om de organisatie in staat te stellen om direct maatregelen te nemen indien benodigd.

• Vertaal de risico-classificatie vanuit een PEN-test rapport naar de risico- classificatie van de organisatie.

• Het vereist specifieke deskundigheid om te beoordelen om de mitigerende maatregelen afdoende zijn.

• Internal Audit heeft een samenvatting gemaakt van de PEN-test rapport

richting haar stakeholders (RvB en RvC)

Vragen?

Rietis Parotie – rietis.parotie@simple4result.nl

Auke Huistra – ahuistra@applied-risk.com