Milano, 24 novembre Gli atti dei convegni e più di contenuti su

Transcript

1 Milano, 24 novembre 2016 Gli atti dei convegni e più di contenuti su

2 BUSINESS ASSURANCE DNV GL L attività di Vulnerability Assesment in accordo agli standard IEC Novembre DNV DNV GL GL SAFER, SMARTER, GREENER

3 L approccio ai Big Data DNV GL - Business Assurance, con il supporto dell'istituto di ricerca internazionale GFK Eurisko, ha analizzato come aziende di settori diversi in Europa, Nord America, Sud America e Asia si rapportino con i big data. L'indagine, realizzata nel febbraio 2016, ha preso in esame l'approccio ai big data da parte dei clienti di DNV GL Business Assurance, le iniziative intraprese e le opportunità colte. Il sondaggio su un campione di professionisti dei settori primario, secondario e terziario 2

4 Security digitale in ambito industriale Interconnessione dei processi industriali La maggior parte dei processi industriali sono interconnessi in un network Nuove soluzioni integrate e di rete proteggono il target da possibili minacce Continua evoluzione delle minacce digitali Non intenzionali: malware, accessi non sicuri internet, chiavi USB contaminate, bachi software Intenzionali: attacchi di hacker, phishing, social engineering, spionaggio industriale, furto interno di parti software Processi di controllo industriale software dependent Sistemi di automazione gestiti da software Crescente utilizzo di reti complesse Gestione e controllo del software update Corretto funzionamento sistema di controllo industriale fondamentale per sicurezza e business continuity 3

5 Cyber security un punto debole Un numero sempre crescente di incidenti è causato da problemi software System Integrity - problema legato alla sicurezza Scarsa sensibilizzazione del personale ai temi di cyber security Architettura del sistema carente procedure e linee guida Risk a Asset management Gestione degli hazard e degli incidenti Monitoraggio della security security audit Conoscenza dell architettura delle reti Patch management 4

6 Standard Internazionali ISO 27001/2: requisiti dei Sistemi di Gestione della Sicurezza delle Informazioni, aspetti relativi alla sicurezza logica, fisica ed organizzativa. ISA/IEC cyber security dei sistemi di controllo industriali IACS ENISA (European Network and Information Security Agency) redazione del ANALYSIS OF CYBER SECURITY ASPECTS IN THE MARITIME SECTOR nel 2011 La Norwegian Oil and Gas Association ha pubblicato Recommended guidelines for information security baseline requirements Standard DNV GL Integrated Software Dependent Systems (ISDS) Standard 5

7 Legislazione UE nuove misure di contrasto agli incidenti informatici e alla criminalità telematica Settore Energia elettrica, petrolio gas Settore trasporti aerei, ferroviario, vie d acqua, strada Settore bancario Settore sanitario Distribuzione acqua potabile Infrastrutture digitali Direttiva 2016/1148/UE Emanata il 6 luglio 2016 misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell Unione europea 1.Gli Stati membri provvedono affinché gli operatori di servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. adottino misure adeguate per prevenire e minimizzare l'impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi. 6

8 Cyber Security - Key factor I Applications Cyber Security non considerata nel processo di sviluppo Cyber Security non considerata nei processi di approvvigionamento Assenza di procedure di change management configuration Nessun test di sicurezza, incl. software 3a parte Security through obscurity Non corretta implementazione di algoritmi crittografici Possibilità di attacchi Authentication Utilizzo di password generica per gruppi di utenti Password in chiaro Non utilizzo di multi-factor-authentication Utilizzo di password di default o non sufficientemente robuste Engineering Workstations Utilizzo di EWS COTS Architetture di comunicazione spesso identiche per applicazioni e clienti 7

9 Cyber Security - Key factor II Remote Access & Maintenance Utilizzo di EWS COTS Utilizzo di DMZ (demilitarized zone), sottoreti LAN caratterizzate dal fatto che gli host hanno possibilità limitate di connessione verso host specifici della rete interna Utilizzo di account di gruppo Protocols Communication channels non protetti Communication Safety Layer non robusti Comunicazioni wireless non criptate Errata implementazione degli algoritmi di criptazione Errato key management procedures USB Token USB Tokens utilizzati senza procedure Assenza di controlli antivirus su USB Tokens 8

10 Cyber Security Lifecycle IACS Industrial Automation Control System Il Cyber Security Lifecycle è caratterizzato da 3 fasi principali che delineano il CyberSecurity Management Program. Assessment phase Per consentire di implementare e gestire una politica di security dell infrastruttura digitale è necessario valutare le reali condizioni tecnologiche all inizio del ciclo di vita. Implement phase Durante la fase di Assessment qualitativo e quantitativo viene allocato il Security Level dello IACS in studio Maintain phase 9

11 Security Level Definizione Livello di confidenza che lo IACS sia esente da vulnerabilità e funzioni nel modo previsto SL 0 Nessuna protezione richiesta SL 1 SL 2 SL 3 SL 4 Protezione contro violazioni casuali o non volute Protezione contro violazioni intenzionali utilizzando strumenti non evoluti e con bassa motivazione Protezione contro violazioni intenzionali utilizzando strumenti sofisticati con moderata motivazione Protezione contro violazioni intenzionali utilizzando strumenti molto sofisticati con alta motivazione Se si considera l attacco informatico come causa principale di guasto, spesso il Security Level associato è superiore al SIL del processo 10

12 Cyber Security Vulnerability Assessment Assessment High level Assessment: panoramica dello stato della Cyber Security dello IACS Focused Assessment: valutazione della Cyber Security di un sistema specifico Comprehensive, In Depth Assessment: valutazione generale del rischio legato alla Cyber Security di un intero processo industriale in conformità allo standard IEC Improvement Competenza e consapevolezza delle risorse: la maggior parte degli incidenti di Cyber Security derivano da errori umani Migliorie tecniche: nuove tecnologie che possono fornire una solida barriera contro attacchi esterni o interni Riorganizzazione aziendale: definizione e chiarificazione dei ruoli e delle responsabilità legati alla Cyber Security Verification & Validation Verifica e test degli strumenti e dei processi attinenti alla protezione dei dati e del sistema Certificazione dello Information Security Management System (ISMS) in conformità allo standard IEC

13 1 - Assessment Inizio del programma di Cyber Security Assessment High level Assessment Focused Assessment Comprehensive, In Depth Assessment Improvement 12

14 1.1 - High level Assessment I tre livelli di Assessment possono essere erogati come differenti fasi di un unico ciclo o in formula stand-alone High level Assessment: primo step processo di incremento della Cyber Security di un processo industriale 1. Identificazione dei sistemi chiave del processo 2. Valutazione dell impatto - alto, medio, basso del successo di un attacco riguardo alla riservatezza, integrità, disponibilità, autenticità del sistema o di un set di dati 3. Assegnazione della probabilità alta, media, bassa di successo di un attacco informatico ai processi chiave di sistema 4. Matrice dei rischi ricavata dai risultati degli step 2 e 3 13

15 1.2 Focus Assessment Contestualizzazione del sistema Identificazione delle minacce e delle possibili conseguenze Identificazione delle contromisure di prevenzione degli incidenti Identificazione delle contromisure di riduzione delle conseguenze Controllo dell efficacia e della robustezza delle barriere 14

16 1.2 Focus Assessment Cyber Security Bow-Tie diagram Hazard Top Event Minacce Elemento fondamentale al business che può generare danni a persone o cose Evento evitato finchè l hazard è sotto controllo Malaware, social engineering, intrusioni via accesso remoto, errori umani o sabotaggi, componenti connessi a internet, compromissione reti esterne e componenti cloud Conseguenze Risultato di evento malevolo o non desiderato: spegnimento del sistema, danni a infrastrutture, dirottamenti della produzione Contromisure Barriere preventive o proattive (lato sinistro) à autenticazione a due fattori, password a scadenza Barriere reattive o mitigative (lato destro) à verifica delle funzioni di sicurezza, termine forzato sessione remota, disaster recovery 15

17 1.3 Comprehensive, In Depth Assessment Identificazione dei sistemi critici Checklist IT/OT Determinazione Conseguenze Determinazione Probabilità Determinazione delle priorità del piano di sviluppo Determinazione dei rischi di Cyber Security Confronto tra livello di guardia corrente e desiderato 16

18 1.3 Comprehensive, In Depth Assessment Identificazione sistemi critici Insieme di attività da portare a termine Informazioni da trasmettere durante il processo Fruitori delle informazioni e dei sistemi coinvolti Determinazione dei rischi di Cyber Security Combinazione tra probabilità e conseguenze legate al successo di un attacco determinate nei passaggi precedenti Determinazione conseguenze attacco Riservatezza Autenticità Disponibilità Autenticità Confronto tra livello di guardia corrente e desiderato Comparazione della situazione osservata in rapporto ai requisiti fondamentali definiti dallo standard IEC Determinazione dell importanza attribuita a ciascuna proprietà nel singolo processo Determinazione probabilità attacco Connessioni remote Accessibilità fisica Connessioni network con altri sistemi Richiesta di update da parte del software La facilità di accesso è data dalla combinazione dei fattori elencati 17

19 2 Improvement Onion Approach Information Security Management System (ISMS) Deve soddisfare i requisiti dettati dallo standard ISO/IEC Security Policies Zonizzazione fisica Segregazione fisica di reti Segregazione digitale di reti Restrizione accessi a componenti zone e conduits Scelta dei componenti COTS Layers Operational Network Host Fail-Safe Components 18

20 3 Verifica e Validazione Monitoring e test delle contromisure tecniche Test dei componenti: verifica dei singoli componenti del sistema attraverso tecniche di HIL Test del sistema: verifica del sistema nel suo complesso Verifica del Information Security Management System (ISMS) Attività di verifica svolte in accordo allo standard ISO/IEC atte a certificare la conformità della documentazione relativa al ciclo della Cyber Security 19

21 3.1 Test dei componenti (Hardware in the loop) Valutazione della robustezza dei singoli canali di comunicazione attraverso sovraccarico di dati Controllo dei meccanismi di autenticazione e degli altri meccanismi di protezione sul singolo componente estrapolato dal complesso del sistema Test negativi di consistenza e robustezza in accordo agli standard di sicurezza 20

22 3.2 Test del sistema Generazione di traffico dati e fotografia del sistema usata come riferimento per misure future Identificazione futura di cambiamenti inaspettati o malevoli Test di penetrazione del sistema effettuati con ogni mezzo possibile, compreso il social engineering Valutazione del numero di warning e di allarmi generati e della loro corretta manipolazione 21

23 Conclusioni Cyber Security Rischio aggiuntivo per la safety SIL Functional Safety Nuova challenge per la regolamentazione e messa in sicurezza dei processi industriali Approccio sistematico risk-based e incoraggiamento alla pianificazione di assessment e audit anche di parti terze Standard internazionali IEC e IEC Vulnerability Assessment Assessment, Improvement, Verifica e Validazione come passaggi fondamentali per il raggiungimento dei requisiti dettati dalle norme cogenti 22

24 Functional Safety vs. Cyber Security IEC Part The hazards, hazardous events and hazardous situations of the EUC and the EUC control system shall be determined under all reasonably foreseeable circumstances (including fault conditions, reasonably foreseeable misuse and malevolent or unauthorised action). This shall include all relevant human factor issues, and shall give particular attention to abnormal or infrequent modes of operation of the EUC. If the hazard analysis identifies that malevolent or unauthorised action, constituting a security threat, as being reasonably foreseeable, then a security threats analysis should be carried out. NOTE 1 For reasonably foreseeable misuse see of IEC NOTE 2 For guidance on hazard identification including guidance on representation and analysis of human factor issues, see reference [11] in the bibliography. NOTE 3 For guidance on security risks analysis, see IEC series. NOTE 4 Malevolent or unauthorised action covers security threats. NOTE 5 The hazard and risk analysis should also consider whether the activation of a safety function due to a demand or spurious action will give rise to a new hazard. In such a situation it may be necessary to develop a new safety function in order to deal with this hazard. 23

25 Functional Safety vs. Cyber Security 24

26 Case Study 25

27 Case Study 26

28 @DNVGLBA_IT DNV GL Business Assurance Italia Mauro Gennaccaro SAFER, SMARTER, GREENER 27