1 / 31

Informacijska sigurnost u energetskim sustavima

Predrag Pale. Informacijska sigurnost u energetskim sustavima. Zašto ?. Zakoni Zakon o zaštiti osobnih podataka Zakon o tajnosti podataka Zakon o informacijskoj sigurnosti Standardi ISO 27000 IEC 62351 Pogledi kritična nacionalna infrastruktura Promjene u energetskom sustavu.

zandra
Download Presentation

Informacijska sigurnost u energetskim sustavima

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Predrag Pale Informacijska sigurnost u energetskim sustavima

  2. Zašto ? • Zakoni • Zakon o zaštiti osobnih podataka • Zakon o tajnosti podataka • Zakon o informacijskoj sigurnosti • Standardi • ISO 27000 • IEC 62351 • Pogledi • kritična nacionalna infrastruktura • Promjene u energetskom sustavu

  3. Mitovi, legende i predrasude • Energetski sustav nije zanimljiv hakerima • ES su neobični pa ih hakeri ne poznaju • Tehničari su savjesni i dobro podučeni • Informacijska sigurnost je važna samo bankama i obavještajnoj zajednici • Informacijska sigurnost je stvar informatičara

  4. Što je informacijska sigurnost ? • skup mjera • pravila, postupaka, resursa, opreme, sustava • koji osigurava da su • informacije • i infrastruktura • u svakome trenutku • raspoloživi • cjeloviti • dostupni samo ovlaštenima

  5. Što čini informacijski sustav • računala • mreže • procesna oprema • pravila • postupci • ljudi

  6. Koje informacije treba štititi • primarne • koje su dio poslovanja ili se odnose na njegov sadržaj • meta informacije • podaci o primarnim podacima • adrese, vlasništvo, vremena, pristup, zaštite, količina • sekundarne • informacije o sustavu i organizaciji koje nisu u izravnoj vezi sa sadržajem poslovanja • zaposlenici, sustavi potpore, ....

  7. informacijski sustavi • prijetnje • ranjivosti • metode napada • SCADA sustavi • elementi • prijetnje • posebnosti • tehnike zaštite

  8. IS - Prijetnje • Napadači • Žrtve • Svrha napada • Cilj napada • Meta napada

  9. IS - Prijetnje - Napadači • profesionalci • najamnici, stručnjaci za sigurnost IS • lopovi • stručnjaci za krađu ili područje rada • teroristi • vandali • istraživači • stručnjaci za IS ili područje rada • umjetnici • stručnajci za IS ili bilo koje područje, umjetnici “općeg tipa” • posrednici

  10. IS - Prijetnje - Žrtve • poznate • točno određena organizacija ili pojeidnac • izvedene • žrtva ima određeno svojstvo • slučajne • nasumice izabrana žtva • postranične (collateral) • usputna žrtva pri napadu na pravi cilj

  11. IS - Prijetnje - Svrha napada • osobna korist • financijska • korištenje resursa • image i status • znanje • uzbuđenje • nauditi drugome • financijski • oduzeti resurs • image i status • narušiti znanje • bez osobita razloga

  12. IS - Prijetnje - Cilj napada • pribaviti informaciju • izvorna informacija ostaje vlasniku neoštećena • često se ne zna da je kopirana • oštetiti informaciju • vlasnik više nema izvornu informaciju • vlasnik ili nije svjestan promjene • ili je promjena javno poznata • kontrola sustava • napadač može upravljati sustavom po volji • vlasnik najčešće toga nije svjestan

  13. računala hardver poslužitelji korisnička oprema stolna i prijenosna računala telefoni osobna oprema softver operacijski sustavi aplikacije komunikacije oprema telefonske centrale računalni usmjerivači, ... tijek podataka fizički medij eter IS - Prijetnje - Meta napada • procesi • ljudi

  14. IS - Ranjivosti • hardver • kvar, greške, loš dizajn, zastarjelost, loše održavanje • softver • greške, loš dizajn, zastarjelost, loše održavanje • komunikacije • greške, loš dizajn, zastarjelost, loše održavanje • dokumenti / podaci • nisu zaštićeni • okolina • fizički pristup, pristup energetskom ili komunikacijskom priključku • postupci (procedure) • ne postoje, loše, ne provode se • osoblje • pomanjkanje svijesti, obrazovanja, motiva • osobna korist, zla namjera, osveta

  15. IS - Metode napada • krađa • opreme, dokumenata • provala • prostorije, oprema, dijelovi • zlouporaba • ovlasti, povjerenja • prisluškivanje • žica, etera, ekrana • prijevara • “otključavanje” • dekriptiranje, pogađanje • korištenje “rupa” • slabe lozinke, greške u dizajnu ili izvedbi

  16. Elementi SCADA sustava • mjerni instrumenti • oprema – izvršni članovi • računala • lokalna • prikupljanje lokalnih podataka • autonomno upravljanje • središnja • prikupljanje globalnih podataka • daljinski nadzor • središnje upravljanje • komunikacije • kratkog dometa - u perimetru objekta • dalekog dometa - za povezivanje udaljenih lokacija

  17. Prijetnje SCADA sustavima • zlonamjerni programi • neusmjereni napad • sami se šire • osoblje • osveta, dosada, neupućenost • hakeri • znatiželja i smodokazivanje • teroristi • kritična nacionalna infrastruktura

  18. Posebnosti SCADA sustava • (ne)iskustvo osoblja • sigurnost vs. raspoloživost • operacijski sustavi • standardizacija, rijetki update • autentikacija • naglasak na jednostavnost i brzinu rada • problem biometrije • udaljeni pristup • javni sustavi • umreženost • imperativ • nepostojanje zaštite • nije uobičajeno • SCADA softver • slaba zaštita • javnost informacija • javni sustavi, znanstveni i stručni radovi • fizička zaštita • stari koncepti i ugroze

  19. Metode zaštite • prevencija • održavanje aplikacija i sistemskog SW • kvalitetan sustav lozinki, biometrija • vatrozidi, antivirusna zaštita • otkrivanje • IDS, IPS • dobra administracija (monitoring) svih sustava • kvalitetno i trajno obrazovani specijalizirani stručnjaci • rješavanje incidenta • timovi i sustavi za rješavanje incidenata • pričuvni sustavi • oporavak • backup podataka • disaster recovery plan (DRP) • business continuity plan (BCP)

  20. Prevencija • administrativne mjere • strategija, politike, pravila, procedure • potrebne službe i potpora • svjesnost i obrazovanje • svi zaposlenici • specijalizirani profesionalci • trajno obrazovanje • tehničke mjere • sustavi, procedure • posebni sustavi • posebni IDS, IPS sustavi

  21. Organizacijske pretpostavke • strategija • outsource-ati IS ili ne ? • popustiti ucjeni ili ne ? • politike • nadležnosti i odgovornosti • financiranje • pravila • provedba politike • postupci • usklađivanje poslovanja s IS • procesi (sigurnosni) • operacionalizacija zaštite • odvraćanje • smanjiti interes, preplašiti, zavesti na krivi trag

  22. Ljudski faktor • Samozaštita • svijest, znanje i vještine • odgovornost za vlastitu sigurnost • Briga za kolektiv • odgovornost za zajedničku sigurnost • komunikacija, dobri odnosi, kultura • Službena uloga • jasne uloge • naglasak na rukovoditeljima • odnos IS i proizvodnosti, učinkovitosti, troškova

  23. ISO 27000 • 27001 • BS 7799-2 • 27002 • ISO 17799 • 27004 • information security management measurement and metrics • 27005 • information security risk management

  24. ISO 27002 aka ISO 17799 • Security Policy  • System Access • Control • Computer & Operations Management • System Development and Maintenance • Physical and Environmental Security • Compliance • Personnel Security • Security Organization • Asset Classification • and Control • Business Continuity Management (BCM)

  25. ISO 27001 • Introduction • Scope • Normative References • Terms and Definitions • Information Security Management System • Management Responsibility • Management review of the ISMS • ISMS improvement

  26. ISO 27001 – šest koraka • Define an information security policy • Define scope of the information security management system • Perform a security risk assessment • Manage the identified risk • Select controls to be implemented and applied • Prepare an SoA ("statement of applicability")

  27. ISO 27001 – PIPD (PDCA) pristup Planiraj uspostavi ISMS Izvrši primjeni i upravljaj ISMS Djeluj održavaj, poboljšavaj ISMS Provjeri nadziri i provejravaj ISMS

  28. IEC 62351 • 62351-1: Introduction • 62351-2: Glossary of Terms • 62351-3: Profiles Including TCP/IP • 62351-4: Profiles Including MMS • 62351-5: Security for IEC 60870-5 and Derivatives (i.e. DNP 3.0) • 62351-6: Security for IEC 61850 Profiles • 62351-7: Security Through Network and System Management

  29. Veza IEC TC57 standarda i 62351

  30. Predrag.Pale@FER.hr www.FER.hr/Predrag.Pale

More Related