Milano, 27 novembre 2014! Gli atti dei convegni e più di 4.000 contenuti su www.verticale.net
Cyber Security negli impianti di processo. Crowne Plaza Hotel - S. Donato Mil., 27 Novembre 2014 Plant Security: come mettere in sicurezza le realtà produttive Luca Zappaterra Head of HMI and IPCs Dept. Siemens SpA, Industry Sector, Industrial Automation
Industrial Security La corporate security è una catena forte come il suo più debole anello La sicurezza può essere violata a qualsiasi livello e con qualsiasi mezzo Leggerezza/incuria/volontarietà del personale Procedure interne (Policies & guidelines) inefficaci Smartphones Laptops PC workstations Infrastruttura di rete Memorie di massa removibili Tablets Computer center Page 2
Industrial Security La password di qualità Ø Utilizzare password di almeno 8 caratteri, includendo lettere minuscole e maiuscole, numeri e simboli Federica2001. Ø La password non deve contenere elementi facilmente ricollegabili all organizzazione o alla persona del suo utilizzatore I m f h p 7 n i d g Impossibile da ricordare? Ieri mia figlia ha preso 7 nell interrogazione di geometria Page 3
Industrial Security La Top 10 delle più insidiose minacce per gli Industrial Control Systems (ICS) Principali trends che impattano sulla vulnerabilità dei sistemi di automazione industriale 1 Accessi remoti non adeguatamente protetti 2 Attacchi online 3 Attacchi a dispositivi IT standard (COTS) presenti nelle reti degli ICS 4 (Distributed) Denial of Service Attacks ((D)DoS Attacks) 5 Sabotaggi e/o errori umani 6 Introduzione di codice dannoso a mezzo di memorie di massa removibili (es. USB sticks) o altri media 7 Intercettazione e manipolazione di codici di comando in formato testo e non criptati nella rete degli ICS (hacking di tipo man-in-the-middle ) 8 Accessi senza autentificazione alle risorse di sistema 9 Attacchi ai componenti di rete 10 Guasti e casualità Source: BSI analysis about cyber security 2012 Page 4
Industrial Security L approccio olistico di Siemens Industry L approccio olistico di Siemens Industry Implementazione Security Management Interfacce soggette a regole e monitorate di conseguenza. Protezione sistemi PC-based Protezione del livello di controllo & comando di macchine e impianti. Monitoring e segmentazione della Comunicazione. L approccio Siemens si basa su 5 punti chiave Page 5
Industrial Security Il concetto DiD (Defense in Depth) Industrial Security levels according to current standards and regulations Plant security Controllo di accesso per il personale Inibizione fisica di accesso alle aree critiche Network security Controllo comunicazione tra infrastruttura di rete di stabilimento e ufficio, ad esempio via firewalls Segmentazione dell infrastruttura di rete di stabilimento: creazione di celle di automazione sicure. System integrity Antivirus e software whitelisting Utilizzo di componenti intrinsecamente sicuri Manutenzione e processi di aggiornamento Autentificazione utente per accesso a impianti e/o operatori macchina Meccanismi di protezione accesso integrati nei componenti di automazione Le soluzioni di sicurezza in ambiente industriale devono tenere in considerazione tutti i livelli di protezione Page 6
Industrial Security The Defense in Depth Concept in Detail Plant Security Physical Security Physical access to facilities and equipment Potential Attack Policies & procedures Security management processes Operational Guidelines Business Continuity Management & Disaster Recovery DCS/ SCADA* Network Security Security cells & DMZ Secure architecture based on network segmentation Firewalls and VPN Implementation of Firewalls as the only access point to a security cell *DCS: Distributed Control System SCADA: Supervisory Control and Data Acquisition System Integrity System hardening Adapting system to be secure by default User Account Management Access control based on user rights and privileges Patch Management Regular implementation of patches and updates Malware detection and prevention Anti Virus and Whitelisting Page 7
Industrial Security Siemens collabora con gli organismi normatori standard Security Network Partners esterni IEC TC 65 ISA SP99 ISCI DKE ZVEI VDE International Electrotechnical Commission International Standard for Automation ISA Security Compliance Institute DKE German Commission for Electrical, Electronic & Information Technologies of DIN and VDE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik im DIN und VDE) ZVEI - Zentralverband Elektrotechnikund Elektronikindustrie e.v. Verband der Elektrotechnik Elektronik Informationstechnik e.v. Page 8
Un caso reale: il virus Stuxnet Scoperto nel giugno 2010, datazione probabile: giugno 2009 Categoria: Worm Diffusione: tramite chiavetta usb / rete Vulnerabilita software: sistema operativo Software infettati: SCADA, programma PLC Difese violate: plant security, network security, system integrity Page 9
Un caso reale: il virus Stuxnet PC infettati per nazione: source: Symantec W32.Stuxnet Dossier - Version 1.4 (February 2011) Page 10
Un caso reale: il virus Stuxnet Come poteva essere evitato? Accesso ai computer di programmazione solo a personale autorizzato Utilizzo di chiavette usb certificate / disabilitazione porte usb Whitelist programmi autorizzati Page 11
Un caso reale: il virus Stuxnet Page 12
Grazie per la vostra cortese attenzione! Luca Zappaterra Head of HMI and IPCs Dept. Siemens SpA, Industry Sector, Industrial Automation e-mail: luca.zappaterra@siemens.com Page 13