340 likes | 507 Views
Millised küberohud ähvardavad tootmisettevõtet ja kuidas neid maandada?. Toomas Viira Elutähtsate teenuste kaitse talituse juhataja Riigi Infosüsteemi Amet. Millest räägime?. Muutused keskkonnas Sõltuvus IT-st Küberohud Automaatjuhtimissüsteemid (SCADA/ICS) Mis võrgus toimub?
E N D
Millised küberohud ähvardavad tootmisettevõtet ja kuidas neid maandada? Toomas Viira Elutähtsate teenuste kaitse talituse juhataja Riigi Infosüsteemi Amet
Millest räägime? • Muutused keskkonnas • Sõltuvus IT-st • Küberohud • Automaatjuhtimissüsteemid (SCADA/ICS) • Mis võrgus toimub? • Kuidas kaitsta?
Muutusedtootmisettevõtetes • Suurenenud paindlikkus • Enam koostööpartnereid • Aina vähem inimesi ja aina enam tehnoloogiat • Väliseksperdid • Surve efektiivsuse tõstmiseks • Uued tehnoloogiad • …
IT-st sõltuvus ja selle mõjud • Mis juhtub kui meil ei ole toimivat IT–d (kaasa arvatud ICS/SCADA + side)? • 10 minutit • 1 tund • 10 tundi • 1 päev • 10 päeva
Enim rünnatud sektorid 2012 aastal (suunatud ründed) Allikas: Symantec Internet Security Threat Report, Volume 18 http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_v18_2012_21291018.en-us.pdf
Stuxnet • computer worm discovered in June 2010. • It targets Siemens industrial software and equipment running Microsoft Windows. • While it is not the first time that hackers have targeted industrial systems, it is the first discovered malware that spies on and subverts industrial systems, and the first to include a programmable logic controller (PLC) rootkit. Allikas: http://en.wikipedia.org/wiki/Stuxnet
Allikas: http://gizmodo.com/did-a-usb-stick-infect-a-russian-nuclear-plant-with-stu-1462369236
Allikas: http://arstechnica.com/security/2014/02/password-leak-in-wemo-devices-makes-home-appliances-susceptible-to-hijacks/
Allikas: http://www.ft.com/cms/s/0/59ccfbbe-90b9-11e2-a456-00144feabdc0.html#axzz2tlWU5NaQ
Homeland Security: Hack Attempts On Energy, Manufacturing Way Up in 2013 Allikas: https://securityledger.com/2013/06/homeland-security-hack-attempts-on-energy-manufacturing-way-up-in-2013/
Kas uus trend? - külmkapid ründavad • Vahemikus 23.12.2013 – 6.01.2014 • Umbes 3 kampaaniat päevas • Umbes 100k e-kirja kampaania kohta • Üle 450k unikaalse IP, neist kuskil 100k IoT seadmetest • Multimeedia keskused, televiisorid ja vähemalt 1 külmkapp Allikas: www.proofpoint.com/products/targeted-attack-protection/internet-of-things.php
Kes võivad rünnata? • Palgatud häkkerid • Script kiddies • Häktivistid • Insaiderid • Valitsused • Konkurendid
Mõned müüdid • Siiani ei ole midagi juhtunud • Kes meid ikka ründab? • Me oleme nii väiksed • Meid ei leita üles • Me ei ole internetti ühendatud • Meie võrgud on lahus • …
Tööstusspionaaž ...hõlmab omandiõiguste (informatsioon, tehnoloogia) ebaseaduslikku hankimist. Lihtsalt väljendudes: uue tehnoloogia väljatöötamiseks ei hakata ressursse kulutama, vaid see varastatakse konkurentide käest. Tööstusspionaaži alla käib ka korporatiiv- ehk äriluure kus üritatakse varastada ideid, ärisaladusi jne. https://www.kapo.ee/est/hea-teada/toostusspionaaz
Võrkude skaneerimine • Eesmärk: leida internetti ühendatud elutähtsa teenuse osutajate seadmeid, mis ei peaks sinna olema ühendatud • Tööriist(ad) on olemas • RIA teatud perioodi tagant skaneerib
Midaolemeleidnud? • Hooneautomaatika • Külmaletid • Katlamajad (väikseid) • Koduruuterid • Videosillad • Veebikaamerad • Kassasüsteemid • Päikesepaneelid • …
Teiste skaneerimised • keskmiselt 223 päringut päevas, • 118 riigist • 9996 ip aadressilt, mis on suunatud 516 erinevale pordile
Advanced persistent threat (APT) 1 They use highly customized tools and intrusion techniques. 2 They use stealthy, patient, persistent methods to reduce the risk of detection. 3 They aim to gather high-value, national objectives such as military, political or economic intelligence. 4 They are well-funded and well-staffed, perhaps operating with the support of military or state intelligence organizations. 5 They are more likely to target organizations of strategic importance, such as government agencies, defense contractors, high profile manufacturers, critical infrastructure operators and their partner ecosystem. Allikas: Symantec Internet Security Threat Report, Volume 17
Mõnedasjad • Tee selgeks sõltuvused • Katkestuste mõjud/kahjud • Esmased turvameetmed • Võrkude disain • Kaugligipääsud • Töötajad • Hooldusinsenerid • …
Groups 1(2) A.5: Information security policies A.6: How information security is organised A.7: Human resources security - controls that are applied before, during, or after employment. A.8: Asset management A.9: Access controls and managing user access A.10: Cryptographic technology A.11: Physical security of the organisation's sites and equipment A.12: Operational security http://en.wikipedia.org/wiki/ISO/IEC_27001:2013
Groups 2(2) A.13: Secure communications and data transfer A.14: Secure acquisition, development, and support of information systems A.15: Security for suppliers and third parties A.16: Incident management A.17: Business continuity/disaster recovery (to the extent that it affects information security) A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws. http://en.wikipedia.org/wiki/ISO/IEC_27001:2013
Leide SCADA võrkudest 1(2)/Austraalia näitel/ • Operator station logged on all the time even when the operator is not present at the work station, • Physical access to the SCADA equipment was relatively easy; • Unprotected SCADA network access from remote locations via Digital Subscriber Lines (DSL) and/ or dial up modem lines; • Insecure wireless access points on the network; Source: Proceedings of the 9th Australian Information Warfare and Security Conference
Leide SCADA võrkudest 2(2)/Austraalia näitel/ • Most of the SCADA networks directly or indirectly connected to the Internet; • No Firewall installed or the firewall configuration or weak or unverified; • System event logs not monitored; • Intrusion Detection Systems not used; • Operating and SCADA system software patches not routinely applied; • Network and router configuration insecure; passwords not changed from manufacturer’s default. Source: Proceedings of the 9th Australian Information Warfare and Security Conference
Kokkuvõtteks • Sõltuvus IT-st ja katkestustest tingitud kahjud • Mõelge küberturvalisuse peale enne kui võtate kasutusele uusi lahendusi/tehnoloogiaid • Kaitske oma saladusi ja oma süsteeme • IT peaks “imelikud seadmed” enda hoole alla võtma, samuti võiksid need auditite skoobis olla • Väline perimeeter on oluline, seda tuleb kaitsta ja seda skännitakse pidevalt
Tänan kuulamast! toomas.viira@ria.ee ee.linkedin.com/in/toomasviira