Hot mot (och risker med) SCADA-system* - Svensk Energi

Hot mot (och risker med) SCADA-system* - Svensk Energi Hot mot (och risker med) SCADA-system* - Svensk Energi

from svenskenergi.episerverhotell.net More from this publisher

29.09.2013 Views

Hot mot (och risker med) SCADA-system* Henrik Christiansson Totalförsvarets forskningsinstitut (FOI)/ Krisberedskapsmyndigheten (KBM) Presentation • Bakgrund • Vad vet vi har hänt? Hur vet vi det? • Vad skulle kunna bidra till att allvarliga SCADA-incidenter inträffar i framtiden? Hur tar man reda på det och vem gör det? • Vad betyder detta för oss i Sverige? *SCADA och system i en vid bemärkelse 06-04-26 Henrik Christiansson 1

Hot mot (och risker med) SCADA-system*

Henrik Christiansson

Totalförsvarets forskningsinstitut (FOI)/

Krisberedskapsmyndigheten (KBM)

Presentation

• Bakgrund

• Vad vet vi har hänt?

Hur vet vi det?

• Vad skulle kunna bidra till att allvarliga

SCADA-incidenter inträffar i framtiden?

Hur tar man reda på det och vem gör det?

• Vad betyder detta för oss i Sverige?

*SCADA och system i en vid bemärkelse

06-04-26 Henrik Christiansson 1

Presentation av Henrik

• Examensjobb 1991 på Joint European Torus, EU:s

fusionsplasmaanläggning utanför Oxford.

• Tekn. Dr. i teoretisk fysik 1997 vid KTH

• Forskare vid Avd. för Försvarsanalys vid

Totalförsvarets forskningsinstitut sedan 1997. Fokus

på arbetet har legat på IT-säkerhet inom kritiska

infrastrukturer med avseende på kvalificerade hot*

(på en teknisk systemnivå)

• Bevaka och värdera pågående forskning inom

SCADA-säkerhetsområdet och etablera kontakt med

de som är ”världsledande” inom området**

* Statens ansvarsområde

**För Krisberedskapsmyndighetens

räkning

06-04-26 Henrik Christiansson 2

Händelser*

• About 3:28 p.m. on June 10, 1999, a pipeline ruptured and

released about 237,000 gallons of gasoline into a creek

• About 1 1/2 hours after the rupture, the gasoline ignited

and burned approximately 1 1/2 miles along the creek.

• Two 10-yearold boys and an 18-year-old young man died

as a result of the accident. Eight additional injuries were

documented.

• A single-family residence and the city water

treatment plant were severely damaged. The estimated cost

for the total property damages were at least $45 million.

Orsaker*

• Damage done to the pipe during the 1994

modification project

• …

• The Company’s practice of performing database

development work on the supervisory control and

data acquisition (SCADA) system while the system

was being used to operate the pipeline, which led

to the system’s becoming non-responsive at a

critical time during pipeline operations.

*National Transportation Safety Board, Pipeline Accident Report,

Pipeline Rupture and Subsequent Fire

in Bellingham, Washington, June 10, 1999, (October 2002)

06-04-26 Henrik Christiansson 3

Varför SCADA-säkerhet?

Kontor

SCADA

Elsystem

Olja/Gassystem

• Standardteknologier

med kända sårbarheter

• Ihopkoppling med

andra system

• Osäkra accesspunkter

• Teknisk information

om SCADA tillgänglig

• Högre beroende av

automation

06-04-26 Henrik Christiansson 4

Dokument som handlar om SCADA-säkerhet*

*Ad-hoc insamling

av 128 dokument

Från kommande

FOI-KTH-KBM

studie

???

Totalt

Hög kvalité

HEMLIGT

Hög kvalité

Mer eller

mindre öppet

Observerat

06-04-26 Henrik Christiansson 5

Dokument som handlar om SCADA-säkerhet*

-

Varifrån kommer de?

Kommersiell

24%

Industri

13%

Akademisk

17%

Nationell

46%

*Ad-hoc insamling

Från kommande FOI-KTH-KBM studie

Australien

7%

Asien

1%

Sverige

06-04-26 Henrik Christiansson 6

EU

9%

2%

Nordamerika

81%

Vad vet vi har hänt när det gäller SCADAincidenter?

06-04-26 Henrik Christiansson 7

Generiska hot mot SCADA-system*

• Främmande stater

Dessa kan ha avsikter av fientliga eller underrättelse karaktär

• Terrorister

Dessa kan ha som avsikt att lägga elektronisk attack till sin arsenal

• Aktivister

Dessa kan ha som avsikt att genomföra publicitetsskapande attacker

• Hackers (crackers) och virusskapare

Motiveras framförallt av utmaning och fascination av ”high-tech”

• Insider

Det vanligaste kända motivet för insiders är hämnd

• ”Mer eller mindre begåvade ‘script kiddies’ ”

Är oftast ”fientligt” inställda mot allt på Internet eller

spänningssökande i allmänhet.

* The electronic Attack (eA) Threat to

Supervisory Control and Data Acquisition (SCADA)

Control & Automation Systems,

NISCC Briefing 02/04, Issued 15 July 2004

06-04-26 Henrik Christiansson 8

Utförs verkligen attacker mot SCADA-system?*

Mars 2000: En missnöjd tidigare konsult

tog kontroll över kontrollsystemet för ett

vattenreningssystem i Australien.

Konsekvensen av attacken blev att

miljoner liter obehandlat

vatten översvämmade ett område.

Januari 2003: Säkerhetsövervakningssystemet vid

kärnkraftverket Davis-Besse i USA, som vid tillfället

var avställd, infekterades med SLAMMER-masken.

Systemet var ur funktion i nära fem timmar. Orsaken

var dels en felimplementerad förbindelse in i

kärnkraftverkets datornät och dels en dator utan

virusskydd som betraktades som fristående och

därmed inte i behov av sådant. Det fanns redundanta,

analoga reservsystem som var opåverkade av masken

men operatörerna vid verket fick en avsevärt ökad

arbetsbelastning.

Maj 2004: SASSER-masken infekterade ett signal- och kontrollsystem vid

det australiensiska lokaltågsoperatören Railcorp. 300 000 pendlare i och

runt Sydney saknade transportmedel för en dag.

December 2000: En grupp ”hackers” angriper ett

datornätverk i en kraftanläggning (power utility) i

USA genom att utnyttja svagheter i ett använt

protokoll. Sedan användes det ”övertagna”

nätverksresurserna för att spela datorspel. Detta

utnyttjande av dator- och nätverksresurser

hindrade påtagligt möjligheten för anläggningen

att bedriva affärer med sin elektricitet (electricity

trading).

Augusti 2003: En amerikansk tågoperatörs

datornätverk för signalering infekteras av en

mask vilket leder till att alla tåg står stilla i

en halv dag

*Martin Naedele, Dacfey Dzung, IT

security in industrial

plants – an introduction, Industrial

information system security, ABB Review

2/2005

06-04-26 Henrik Christiansson 9

Förövare i dessa fall

• Angreppet mot avloppssystemet genomfördes av en insider

• Angreppet mot kraftanläggningen genomfördes av hackers

• Kärnkraftsverkets och de två tågoperatörernas system

infekterades av maskar som inte var speciellt avsedda för att

slå mot dessa system. Maskarna var troligen konstruerade av

“vanliga” virusskapare.

Vad är känt om de andra typerna av angripare?

• Främmande stater?

• Terrorister? Inga kända fall!

06-04-26 Henrik Christiansson 10

Stat som ”attackerar” SCADA-system – enda ex.!

• Siberian Gas Pipeline Explosion (USSR, 1982)

–BCIT ISID No. 32

While the following cannot be fully confirmed, it has been reported

that during the Cold War the CIA inserted malicious code into control

system software leaked to the Soviet Union. The software, which

controlled pumps, turbines, and valves on a Soviet gas pipeline, was

programmed to malfunction after a set interval. The malfunction

caused the control system to reset pump speeds and valve settings

to produce pressures beyond the failure ratings of pipeline joints and

welds, eventually causing an enormous explosion. Kom ihåg detta!!!

● Detta har mer eller mindre verifierats av V. Cherkashin, G.

Feifer, Spy Handler, Memoir of a KGB officer. The true story

of the man that who recruited Robert Hanssen and Aldrich

Ames, Basic Books, 2005.

06-04-26 Henrik Christiansson 11

Källor om SCADA-säkerhetsincidenter (attacker)?

• Inte helt lätt eftersom

Det inte finns någon specifik entitet som tar emot rapporter

Det inte finns någon rapportstandard

Flera sektorer kan potentiellt sett lämna underlag

Informationen som berörs är känslig t o m rikets säkerhet kan beröras

• Nyligen kom en rapport från Idaho National Laboratory, som hanterar US-

CERT Control Systems Security Center, med titeln Cyber Incidents

Involving Control Systems (October 2005)

• Syftet var bland annat att

Etablera ”business cases” för SCADA-säkerhet

Metodutveckling för rapportering och analys av SCADA-säkerhetsincidenter

• Detta resulterade i att 120 incidenter valdes ut för att de ansågs viktiga ur

perspektivet att de gav underlag om ”cyberterroristhotet” mot SCADAsystem

06-04-26 Henrik Christiansson 12

Källor som studerades och sedan användes:

• US-CERT Coordination Center (CERT®/CC)

• Industrial Security Incident Database (ISID; British Columbia Institute of

Technology [BCIT] proprietary)

• Energy Incident Database (proprietary)

• National Memorial Institute for the Prevention of Terrorism (MIPT)

• Process Control Cyber Security Forum

• National Counterintelligence Center

• Embedded systems failures

• Supervisory Control and Data Acquisition (SCADA) discussion list

• SysAdmin, Audit, Network (SANS) Institute

• 2003 CSI/FBI Computer Crime and Security Survey

• Kema Inc.:s Informal Process Control System Cyber Impact Database

• Lawrence Livermore National Laboratory (LLNL)

• Idaho National Laboratory (INL) Cyber Incident Database.

06-04-26 Henrik Christiansson 13

Analysen av de studerade 120 SCADA-cyberattackerna

[användarfel]

Typ av incident

[Riktad attack]

[Penetrationstester]

[Virus eller mask]

”Angriparen”

06-04-26 Henrik Christiansson 14

Analysen av de studerade 120 SCADA-cyberattackerna

”Angriparens” bakgrund

[1%]

[4% ???]

06-04-26 Henrik Christiansson 15

Analysen av de studerade 120 SCADA-cyberattackerna

”Angriparens” motiv

[1%]

06-04-26 Henrik Christiansson 16

BCIT ISID – Analys av attacker för 2002 - 2004

Attacker från utsidan Konsekvenser

Internet Direct

25%

Other

24%

Wireless System

10%

Corprate WAN

17%

Via Business

Network

12%

Dial-Up Modem

12%

Loss of Staff Time

14%

Loss of Equipment

Control

12%

Loss of View

25%

Equipment Damage

or Loss

7%

All Other

Categories

14%

Loss of Production

28%

06-04-26 Henrik Christiansson 17

Sammanfattning av studien

• De studerade incidenterna indikerar att

Risken för nationell infrastruktur är reell men mycket låg för tillfället dock med

reservation för det otillräckliga historiska underlaget

Trenden är ökande och industriexperter anser att antalet incidenter är

10-faldigt det som kan ses i ”öppna” källor

De ekonomiska förlusterna från incidenterna är låga och överstiger sällan

1 miljon dollar (dock görs sällan monetära uppskattningar )

• Diskrepansen i antal mellan attacker mot ”IT” respektive ”SCADA” anses

bero på att terrorister och illasinnade stater inte har uppfattat SCADAsystem

som attraktiva mål (än!?!). Detta kan bero på att

Värdet av data i IT-världen är ofta lättbegripligt (bankkonton etc) medan värdet

av data i SCADA-världen är svårbegripligt om man inte förstår processerna

För att fullt ut nyttja riktade attacker mot SCADA krävs det detaljerad teknisk

kunskap om processerna för att åstadkomma avsevärd skada. Högrisk

processer skyddas fortfarande av redundanta icke-elektroniska skyddssystem

Lättare att angripa kritisk infrastruktur med fysiska medel

06-04-26 Henrik Christiansson 18

Sammanfattning av studien (forts)

• Det finns en framtida potential för att riskerna är avsevärt högre för

SCADA-incidenter med allvarliga konsekvenser

Det blir lättare för ”terrorister” när attackverktygen blir bättre samtidigt som

tillgängligheten till SCADA-systemen och kunskapen om dem blir bättre (om

trenden fortsätter). Fysiska attacker blir kanske svårtillgängligare.

Terroristen kan slå mot flera olika infrastrukturer på en gång. Det kan krävas

lång planering men genomförandet behöver inte kräva speciellt mycket!

Relativt sett låg kostnad för material för att genomföra cyberattacker mot

SCADA-system

Upptäcktsrisken för attackeraren är mycket liten. Att spåra attacker mot

SCADA-system är ännu svårare än attacker mot vanliga IT-system eftersom

- SCADA-systemen inte har funktionalitet för spårning (än!)

- Systemen används skarpt och kan inte tas ur drift (om de har återfått funktionalitet)

Kan samordnas med fysiska attacker vilket kan skapa mycket stor utväxling

för hela attacken

• DOCK KRÄVS DET ATT ”TERRORISTERNA” KOMPETENSUTVECKLAR

SIG INOM FLERA FÖR DEM OKÄNDA (?) OMRÅDEN!!!

06-04-26 Henrik Christiansson 19

J. Städje, Klart Krylbo för Banverkets spår,

Nätverk&Kommunikation 8, 2001.

J. Städje, Atomernas dans

styrs med fiberoptik, Nätverk&Kommunikation 14, 2001.

06-04-26 Henrik Christiansson 20

Vad skulle kunna bidra till att allvarliga

SCADA-incidenter inträffar i framtiden?

06-04-26 Henrik Christiansson 21

Stora svårigheter att värdera hotet från

kvalificerade angripare

• Få kända, helt säkra, incidenter av denna karaktär

• Ett trovärdigt antagande är att dessa angripare har relativt

stora resurser

• Innan angrepp kommer dessa angripare att ägna mycket tid åt

underrättelseinhämtning, tester och utveckling

• Både angriparen och försvararen måste förstå komplexa

system, som har såväl informationstekniska som fysiska

aspekter, för att uppnå sina mål

• Vilka har mycket kvalificerad kompetens inom området?

• De amerikanska nationella säkerhetslaboratorierna!

06-04-26 Henrik Christiansson 22

Security

Presentation av Hank Kenchington, DoE,

Securing Control Systems in the Energy Sector,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 23

Security

National SCADA Red teaming National SCADA CERT

Presentation av Hank Kenchington, DoE,

Securing Control Systems in the Energy Sector,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 24

• På den cirka 2500 kvadratkilometer stora ytan

finns

kärnreaktorer,

transmissions- och distributionsnät för el,

vägar och järnvägssystem,

vattensystem,

olika typer av elektroniska kommunikationssystem

styr- och reglersystem för ovanstående enheter.

• INL SCADA Test

Bed förmågor

Idaho National Laboratory Critical Infrastructure Test Range

Sårbarhetsanalyser

Avancerad

träning

Verktygsutveckling

Experiment

med andra

SCADA test

anläggningar

• INL Power Grid

Ca 100 km 138

kV transmissions

loop

13.8 kV

distributionsnät

“SCADAcontrolled,

dual

fed grid loop”

7 substationer,

som kan isolers

var och en

“3000 plus

monitoring and

control points in

the system.”

06-04-26 Henrik Christiansson 25

Beskrivning av INL

“These are the elements – housed in our comprehensive test range,

designed to be full-scale in nature, representative of real world infrastructures

and capable of being isolated – that uniquely position the federal government,

national laboratories, and industry to be successful in identifying and managing

risk to our nation’s critical infrastructure. To the best of our knowledge, there is

no similar facility in the world. And, the cache of over 100 experienced scientists,

engineers, and technicians working in INL’s SCADA/Cyber Security groups

are aware of the great responsibility that comes with managing these resources

and the significance of our mission to assist in securing the control systems of

our nation’s critical infrastructure.”

House Committee on Homeland Security, Infrastructure Protection and Cyber Security Hearing on

“SCADA and the Terrorist Threat: Protecting theNational’s Critical Control Systems”

October 18, 2005, Testimony of Dr. K. P. Ananth, Associate Laboratory Director,

National & Homeland Security, Idaho National Laboratory

06-04-26 Henrik Christiansson 26

National SCADA red team vid SNL*

Resultat

*Från olika SNL dokument

Metodik

Red Team 9903

20%

30%

Adversary Time Expenditure (%)

06-04-26 Henrik Christiansson 27

5%

40%

Intelligence/Logistics

Live/System Discovery

Detailed Preparations

Testing & Practice

Attack Execution

Security

Presentation av Hank Kenchington, DoE,

Securing Control Systems in the Energy Sector,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 28

4

1’

2’ 3

1

06-04-26 Henrik Christiansson 29

2

Rita Wells, INL

Technology Panel 1: Testing

the Security of Industrial

Control Systems: Reducing

the Risk for the Asset Owners,

SANS SCADA Security Summit,

mars 2006, Orlando

Vad granskar INL och hur bedömer man?

06-04-26 Henrik Christiansson 30

Control Center Systems

Substation Automation

Systems

Protective relays

Security

Paul Skare, Siemens, SCADA Security Innovations, SANS SCADA

Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 31

Tester gjorda vid BCIT

Eric Byres, BCIT, Security Testing of Industrial Control Systems

(Finding the Holes Before the Hackers Do), SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 32

Tester gjorda vid CERN

Stefan Lüders, CERN,

A Teststand On Control

System Security at CERN

ICALEPCS 2005 ─ October

14th, 2005

• Programmable Logic

Controllers (PLCs),

field devices, power supplies

• 20 devices from 6 different

manufacturers (35 tests

in total)

• All devices fully configured

but running idle

Vulnerability

Tester

Target Device(s)

Switch 1Gbps

Hub 100Mbps

Configurator Traffic

Analyzer

06-04-26 Henrik Christiansson 33

http://www.inl.gov/nationalsecurity/d/inl_ss1_4h_nerc_training.pdf (7.6 MB)

06-04-26 Henrik Christiansson 34

06-04-26 Henrik Christiansson

Differentierade goda råd från NERC

06-04-26 Henrik Christiansson 36

National Institute of Standards and Technology (NIST)

En grov uppskattning av kostnaden för

testanläggningen: 50 000-100 000 €

06-04-26 Henrik Christiansson 37

Sammanfattningsvis, hur arbetar INL och SNL?

• Arbetar i laboratoriemiljö

PLC:er

Demonstratorer

Stora system

• Arbetar i skarpa miljöer

• Arbetar tillsammans med leverantörer och användare av

SCADA-system när det gäller att analysera SCADAsystemen

ur ett säkerhetsperspektiv. Detta fungerar

eftersom de nationella laboratorierna anses som neutrala

och (antar jag) har mycket gott rykte

• Analyserar hotet och sprider kunskap om det

Bevakar hackerkonferenser

Tar fram ”vapen”

06-04-26 Henrik Christiansson 38

SCADA-säkerhetsdokument med bra ny information

• INEEL National Security Division, ABB SCADA/EMS System

INEEL Baseline Summary Test Report, November 2004,

INEEL/EXT-04-02423

• US-CERT Control Systems Security Center, Cyber Incidents

Involving Control Systems, October 12, 2005, INL/EXT-05-00671

• US-CERT Control Systems Security Center, Attack Methodology

Analysis: Emerging Trends in Computer-Based Attack

Methodologies and Their Applicability to Control System Networks,

June 2005, INL/EXT-05-00477

• Sandia National Laboratories’ Center for SCADA Security, Network

Security Infrastructure Testing, October 12, 2005

• Sandia National Laboratories’ Center for SCADA Security,

Penetration Testing of Industrial Control Systems, March 7, 2005

• Även DoE:s 21 steps to secure your SCADA-system och några

kommande NISCC dokument är bra

06-04-26 Henrik Christiansson 39

De nationella säkerhetslaboratoriernas (NSL)

hotbedömning mot SCADA-system 2006

• Vad kan man “se” av hotet?

Presentationer vid hackerkonferenser

- Blackhat USA 2005 – Shmoo Group presentation on 802.11 wireless networking

within a nuclear power plant

- ToorCon 2005 – SCADA Exposed

- Blackhat Federal 2006 – SCADA Security andTerrorism: We’re Not Crying Wolf!

• Det “normala” hackersamhället är allt mer medvetet om att SCADAsystem

kan vara värdefulla mål

• De presentationer som har gjorts hittills har varit av grundläggande

karaktär och inte imponerat på INL. Dock imponerade de kommentarer

som gjordes av åhörarna vid t ex ToorCon 2005

• Historiskt ligger hackerkonferenser 12-18 månader efter det som

”profesionella hackers” kan och gör

Mike Assante, Rob Hoffman, Jason Larsen, INL , What is the Real Threat to SCADA Systems? SANS

Webcast Presentation, February 22, 2006 samt Jason Larsen, INL, Understanding the Threat, SANS

SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 40

De nationella säkerhetslaboratoriernas

hotbedömning mot SCADA-system 2006

• Hur kommer man in i SCADA-systemen?

Dial-Up modems

ICCP Links

Mirrored database links

Bad firewall rules

Vendor VPNs

Corporate VPNs

Weather and external data

•…..

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 41

NSL hotbedömning mot SCADA-system 2006

The recreational hacker (script kiddie)

• Typically have a library of published overflows

• Know how to use them well

• If a worm can get there so can a kiddie

A worm is a dumb piece of code

A kiddie isn’t much smarter but seems to have a better track record than a

worm

● Your IDS will go nuts while he’s attacking you

● If a kiddie can get into your SCADA network, he has a tough time

controlling it

The best he can do is export the screen and click around

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 42

NSL hotbedömning mot SCADA-system 2006

The professional attacker

• Professional hackers have a goal when doing anything - they also have a

plan. They’re in it for long-term access, not a quick fix

• Professionals have a copy of every commercial IDS

They refine their exploits until they aren’t detected

• They only hack in through your front door as a last resort

Dial-up Modems, VPNs, Wirless Access Points

• Log files will be doctored to make it appear as if it’s a normal failure. If

you see an attacker talking to a vendor-specific port, he’s a professional

• Seem to prefer supply-chain management to hacking in

Modify the vendor’s software

Modify patches in-route

• Analyze SCADA systems for the least-changing components and attack

those first

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 43

NSL hotbedömning mot SCADA-system 2006

Exploits of today and tomorrow

• Man-in-the-Middle

• Database Hijacking

• Anti-Virus

Clam AntiVirus Archive Scanning Memory Corruption Vulnerability

Clam AntiVirus E-mail Address Logging Format String Vulnerability

Symantec Norton AntiVirus ActiveX Control Remote Code Execution

Vulnerability

• Vector Analysis

• Vendor Code Modification

• New Architectures

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 44

NSL hotbedömning mot SCADA-system 2006

What's happening now?

• Hackers are learning hardware

Usb keys and firewire devices directly using DMA channels to directly modify

kernel memory

Hacking into cell phones and PDAs is becoming commonplace

More hackers know embedded OSs

• Corporate users are leaving the network

Toorcon was run on a single EVDO wireless card

If I have high-speed wireless broadband wherever I go, why will I connect to

the corporate LAN?

Increased security is a pain

Google is already exporting corporate documents via Google Desktop

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 45

NSL hotbedömning mot SCADA-system 2006

What does this mean?

• Your field equipment will start sharing hardware and software with PDAs

Hackers will have off-the-shelf exploits for your field equipment

I expect two years from now we'll be discussing how to protect the SCADA

network from the field equipment

• The business LAN will stop being an effective first line of defense

• After much kicking and screaming, corporate VPNs will turn into mobile

laptop VPNs

• Vendors will push wireless HMIs and low-cost wireless runs over lowcost,

“reliable” broadband

Jason Larsen, INL, Understanding the Threat,

SANS SCADA Security Summit, mars 2006, Orlando

06-04-26 Henrik Christiansson 46

Slutsatser

• Vad vet vi har hänt?

Det finns relativt lite och ”dålig” information om SCADA

incidenter vilket skapar problem med att etablera business cases

Det går dock att ta fram syntetiska business cases som t ex NSL

gör

• Vad skulle kunna bidra till att allvarliga SCADAincidenter

inträffar i framtiden?

Viktigt att kartlägga alla möjliga sårbarheter (IT och SCADA)

- Vilka sysslar med kvalificerade SCADA-sårbarheter?

◦ Nationella laboratorier i USA

◦ Ryska FAPSI (motsvarigheten till svenska FRA och amerikanska NSA)

har ca 50 000 anställda…

Viktigt att kartlägga alla möjliga utvecklingstendenser inom IToch

SCADA-området och analysera dessa ur ett

säkerhetsperspektiv

06-04-26 Henrik Christiansson 47

Vad betyder detta för oss?

• Hur allvarligt betraktar ”vi” hotet och vilken typ av information

behövs om hotet?

• Vilken typ av information behövs i säkerhetsarbetet:

Ta reda på sårbarheter i SCADA (EMS), PLC?

Etablera riktlinjer för säkra arkitekturer?

Etablera goda råd för att hantera säkerhet i samband med

användandet av SCADA-system?

● Skall man låta leverantörerna sköta säkerheten och då

kanske man i bästa fall (?) får förlita sig delvis till den

säkerhet som NSL tillhandahåller?

● Vad skall staten göra? Hur skall man hantera uppdelningen

mellan högnivå hot (terrorism och stater) och lågnivå hot

(script kiddies)?

06-04-26 Henrik Christiansson 48

Slut !

Har du frågor kontakta gärna Henrik på

henrik.christiansson@foi.se

06-04-26 Henrik Christiansson 49

Totalförsvarets forskningsinstitut, FOI

• En oberoende myndighet under försvarsdepartementet

• 1320 anställda, av vilka 960 är forskare

SCADA

säkerhet

06-04-26 Henrik Christiansson 50

Några FOI aktiviteter kopplade till SCADA säkerhet

• Genomföra studier relaterade till SCADA-säkerhet; exempel

IT-relaterade sårbarheter i vattenförsörjningssystem

- Översikt och ”enkla” tekniska värderingar

- Försöka att karakterisera en kvalificerad angripare och dennes resurser

- Försöka att beskriva konsekvenser av olika angrepp

• Följa och värdera internationella aktiviteter och forskning inom

SCADA-säkerhetsområdet :

Process Control Security Requirements Forum (PCSRF)

Forskning vid nationella laboratorier i USA och universitet

• Deltagande i EU:s säkerhetsforskningsprojekt:

Pågående Vital Infrastructure Threats and Assurance (VITA)

Ansökan Feasibility Study on a Secure Test centre for Reliable ICTcontrolled

Critical Infrastructures (FS-STRICT)

06-04-26 Henrik Christiansson 51

Man räknar med att en fusionsreaktor kan vara operativ någon gång 2040-

2045

Person

Brinnande plasma 200-300 miljoner ºC

06-04-26 Henrik Christiansson 52

”Min”

spektrometer

50 000 ggr mer data på 17 år!

06-04-26 Henrik Christiansson 53

Egna erfarenhet som ex-jobbare EU-forskningsanläggning

• Jag var fysiker men jobbade med SCADA (många kompetenser blandas.

Får IT-säkerhet plats? )

• ”Lågstatus” att programmera motorn vilket gjorde att jag fick göra det….!

• Jag tänkte aldrig på var signalerna kom från (triggers) eller de signaler

som producerades vad de skulle användas till. (Vaddå hot?).

• Delsystemen var så komplexa att man har fullt upp med sin egen del

(integration mellan fysiska processer och IT, vem tar ansvar för helheten

och särskilt med avseende på säkerhet? )

• Intressant att jämföra med EU:s kärnfysikforskningsanläggning CERN

som är en av de mesta aktiva aktörerna inom SCADA-säkerhetsområdet i

Europa….

06-04-26 Henrik Christiansson 54

Vad gör ett SCADA-system och vad kan därmed

vara målet för ett angrepp?

• Samlar in mätdata från fältet

• Sänder ut styrdata till fältet

• Processar insamlad mätdata och larmar vid otillåtna tillstånd

• Presenterar data för operatörerna

• Validerar att operatörerna har tillstånd och utför sina aktiviteter

• Sparar data för systemhistorik

• Exporterar data till och importerar data från andra parter

• Skapar möjligheter för att leverantörer skall kunna underhålla

systemet och upprätthålla systemens funktionalitet

• Konverterar mellan standard kommunikationsprotokoll och

fältsystemsprotokoll

• Grafiskt representerar systemet ur olika perspektiv för

operatörerna

06-04-26 Henrik Christiansson 55

Hot mot (och risker med) SCADA-system* - Svensk Energi

Hot mot (och risker med) SCADA-system* - Svensk Energi ... View more Hot mot (och risker med) SCADA-system* - Svensk Energi

Delete template?

Save as template ?

Hot mot (och risker med) SCADA-system* - Svensk Energi Hot mot (och risker med) SCADA-system* - Svensk Energi