Transcript Click to add title - toostusuudised.ee

Millised küberohud ähvardavad
tootmisettevõtet ja kuidas neid
maandada?
Toomas Viira
Elutähtsate teenuste kaitse talituse juhataja
Riigi Infosüsteemi Amet
Millest räägime?
•
•
•
•
•
•
Muutused keskkonnas
Sõltuvus IT-st
Küberohud
Automaatjuhtimissüsteemid (SCADA/ICS)
Mis võrgus toimub?
Kuidas kaitsta?
Muutused keskkonnas
Muutused tootmisettevõtetes
•
•
•
•
•
•
•
Suurenenud paindlikkus
Enam koostööpartnereid
Aina vähem inimesi ja aina enam tehnoloogiat
Väliseksperdid
Surve efektiivsuse tõstmiseks
Uued tehnoloogiad
…
Sõltuvus IT-st
Sõltuvused
IT-st sõltuvus ja selle mõjud
• Mis juhtub kui meil ei ole toimivat IT–d (kaasa
arvatud ICS/SCADA + side)?
• 10 minutit
• 1 tund
• 10 tundi
• 1 päev
• 10 päeva
Küberohud
Enim rünnatud sektorid 2012 aastal
(suunatud ründed)
Allikas: Symantec Internet Security Threat Report, Volume 18
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf
Stuxnet
• computer worm discovered in June 2010.
• It targets Siemens industrial software and equipment
running Microsoft Windows.
• While it is not the first time that hackers have
targeted industrial systems, it is the first discovered
malware that spies on and subverts industrial
systems, and the first to include a programmable
logic controller (PLC) rootkit.
Allikas: http://en.wikipedia.org/wiki/Stuxnet
Allikas: http://gizmodo.com/did-a-usb-stick-infect-a-russian-nuclear-plant-with-stu-1462369236
Allikas: http://arstechnica.com/security/2014/02/password-leak-in-wemo-devices-makes-home-appliances-susceptible-to-hijacks/
Allikas: http://www.ft.com/cms/s/0/59ccfbbe-90b9-11e2-a456-00144feabdc0.html#axzz2tlWU5NaQ
Homeland Security: Hack Attempts On Energy,
Manufacturing Way Up in 2013
Allikas: https://securityledger.com/2013/06/homeland-security-hack-attempts-on-energy-manufacturing-way-up-in-2013/
Kas uus trend? - külmkapid ründavad
•
•
•
•
Vahemikus 23.12.2013 – 6.01.2014
Umbes 3 kampaaniat päevas
Umbes 100k e-kirja kampaania kohta
Üle 450k unikaalse IP, neist kuskil 100k IoT
seadmetest
• Multimeedia keskused, televiisorid ja vähemalt 1
külmkapp
Allikas: www.proofpoint.com/products/targeted-attack-protection/internet-of-things.php
Kes võivad rünnata?
•
•
•
•
•
•
Palgatud häkkerid
Script kiddies
Häktivistid
Insaiderid
Valitsused
Konkurendid
Mõned müüdid
•
•
•
•
•
•
•
Siiani ei ole midagi juhtunud
Kes meid ikka ründab?
Me oleme nii väiksed
Meid ei leita üles
Me ei ole internetti ühendatud
Meie võrgud on lahus
…
Tööstusspionaaž
...hõlmab omandiõiguste (informatsioon,
tehnoloogia) ebaseaduslikku hankimist. Lihtsalt
väljendudes: uue tehnoloogia väljatöötamiseks ei
hakata ressursse kulutama, vaid see varastatakse
konkurentide käest. Tööstusspionaaži alla käib ka
korporatiiv- ehk äriluure kus üritatakse varastada
ideid, ärisaladusi jne.
https://www.kapo.ee/est/hea-teada/toostusspionaaz
Mis võrgus toimub?
Võrkude skaneerimine
• Eesmärk: leida internetti ühendatud elutähtsa teenuse
osutajate seadmeid, mis ei peaks sinna olema
ühendatud
• Tööriist(ad) on olemas
• RIA teatud perioodi tagant skaneerib
Mida oleme leidnud?
•
•
•
•
•
•
•
•
•
Hooneautomaatika
Külmaletid
Katlamajad (väikseid)
Koduruuterid
Videosillad
Veebikaamerad
Kassasüsteemid
Päikesepaneelid
…
Teiste skaneerimised
• keskmiselt 223 päringut päevas,
• 118 riigist
• 9996 ip aadressilt, mis on suunatud 516 erinevale
pordile
Advanced persistent threat (APT)
1 They use highly customized tools and intrusion techniques.
2 They use stealthy, patient, persistent methods to reduce the risk of
detection.
3 They aim to gather high-value, national objectives such as military,
political or economic intelligence.
4 They are well-funded and well-staffed, perhaps operating with the
support of military or state intelligence organizations.
5 They are more likely to target organizations of strategic importance,
such as government agencies, defense contractors, high profile
manufacturers, critical infrastructure operators and their partner
ecosystem.
Allikas: Symantec Internet Security Threat Report, Volume 17
Kuidas kaitsta?
Mõned asjad
•
•
•
•
•
•
•
•
Tee selgeks sõltuvused
Katkestuste mõjud/kahjud
Esmased turvameetmed
Võrkude disain
Kaugligipääsud
Töötajad
Hooldusinsenerid
…
ISO 27001: 2013
Groups 1(2)
A.5: Information security policies
A.6: How information security is organised
A.7: Human resources security - controls that are
applied before, during, or after employment.
A.8: Asset management
A.9: Access controls and managing user access
A.10: Cryptographic technology
A.11: Physical security of the organisation's sites
and equipment
A.12: Operational security
http://en.wikipedia.org/wiki/ISO/IEC_27001:2013
Groups 2(2)
A.13: Secure communications and data transfer
A.14: Secure acquisition, development, and support
of information systems
A.15: Security for suppliers and third parties
A.16: Incident management
A.17: Business continuity/disaster recovery (to the
extent that it affects information security)
A.18: Compliance - with internal requirements,
such as policies, and with external requirements,
such as laws.
http://en.wikipedia.org/wiki/ISO/IEC_27001:2013
Leide SCADA võrkudest 1(2)
/Austraalia näitel/
• Operator station logged on all the time even when
the operator is not present at the work station,
• Physical access to the SCADA equipment was
relatively easy;
• Unprotected SCADA network access from remote
locations via Digital Subscriber Lines (DSL) and/ or dial
up modem lines;
• Insecure wireless access points on the network;
Source: Proceedings of the 9th Australian Information Warfare and Security Conference
Leide SCADA võrkudest 2(2)
/Austraalia näitel/
• Most of the SCADA networks directly or indirectly connected
to the Internet;
• No Firewall installed or the firewall configuration or weak or
unverified;
• System event logs not monitored;
• Intrusion Detection Systems not used;
• Operating and SCADA system software patches not routinely
applied;
• Network and router configuration insecure; passwords not
changed from manufacturer’s default.
Source: Proceedings of the 9th Australian Information Warfare and Security Conference
Kokkuvõtteks
• Sõltuvus IT-st ja katkestustest tingitud kahjud
• Mõelge küberturvalisuse peale enne kui võtate
kasutusele uusi lahendusi/tehnoloogiaid
• Kaitske oma saladusi ja oma süsteeme
• IT peaks “imelikud seadmed” enda hoole alla
võtma, samuti võiksid need auditite skoobis olla
• Väline perimeeter on oluline, seda tuleb kaitsta ja
seda skännitakse pidevalt
Tänan kuulamast!
[email protected]
ee.linkedin.com/in/toomasviira