際際滷

際際滷Share a Scribd company logo
Stuxnet:
Beveiliging en audit van proces-IT
Jurgen van der Vlugt
Noordbeek B.V.
JvdVlugt@xs4all.nl
25 november 2010, Regio Rotterdam / Afdeling IT-Auditing
Stuxnet: Beveiliging en audit van proces-IT 2
Intro; ik =
Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC
 Bedrijfseconomie (Rotterdam)
 Technische Informatica (Delft)
 Post-grad IT-auditing (VU)
 KPMG EDP Auditors / IRM (WinNT, Y2K)
 Sogeti
 ABN AMRO (Group Audit, Group Security)
 Noordbeek (Tot 1 december 2010)
 NGI, NOREA (VC, CBr, ), ISACA, ISSA, PvIB
Stuxnet: Beveiliging en audit van proces-IT 3
Agenda
 Maeslant en 鎬鎬鎬)1 )
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
(1) Wat heb ik nou aan me fiets hangen?
Stuxnet: Beveiliging en audit van proces-IT 4
Neerlands Trots
Stuxnet: Beveiliging en audit van proces-IT 5
Stuxnet: Beveiliging en audit van proces-IT 6
Stuxnet
 Sinds juni (?) in omloop / in beeld
(Note: Eerste variant vd worm: juni 2009)1
 Zeer veel kennis erin
 Team effort
 Niet uit op creditcard-info. Huh?
 September:
 Vooral anti-Iran
 Opstart kerncentrale uitgesteld
 Round up the usual suspects
 Verspreiding: 65k Iran, 12k India,  180 NL; 155 landen)
 Sporen van politieke boodschappen (?)
 Isra谷l ..? Wie?
1 Bron: Eric Luijff (TNO/NICC)
Stuxnet: Beveiliging en audit van proces-IT 7
Analyse
 Siemens S7-300 CPU + CP-342-5 Profibus communications
modules
which monitor and control frequency converter drives
build by two companies (one in Iran, one in Finland)
 motors must run between 807 Hz and 1210 Hz
THEN during short intervals/ month to 1402 Hz, 2 Hz, 1064 Hz
Stuxnet: Beveiliging en audit van proces-IT 8
It giet oan
 Probleem: Slechte beheersing proces-IT
 Al lang bekend
 NICC, Govcert.nl, et al.
 Genoegzaam gewaarschuwd?
 Na bragging rights over virussen
 En na financieel gewin via banking trojans
 Nu third wave
 Cyberwarfare
Stuxnet: Beveiliging en audit van proces-IT 9
Agenda
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 10
Proces-IT
 Vanuit de elektrotechniek
 Specialistisch
 Kritieke systemen!
Stuxnet: Beveiliging en audit van proces-IT 11
Levels
Stuxnet: Beveiliging en audit van proces-IT 12
Elementen
 HMI: Human-Machine Interface
 Monitoring
 Control
 Supervisory (computer) system
 Data-acquisitie
 Control commands sturen
 RTUs: Remote Terminal Units
 Connect sensors in het proces
 Converteren sensorsignalen naar digitaal
 Zenden digitale signalen naar supervisory system
 PLCs: Programmable Logic Controllers
 Field devices: goedkoper en flexibeler dan special-purpose RTUs
 Communicatie-devices/kabels
Stuxnet: Beveiliging en audit van proces-IT 13
Meer
Stuxnet: Beveiliging en audit van proces-IT 14
Control
Stuxnet: Beveiliging en audit van proces-IT 15
SCADA
 Nota bene:
 PLCs controllen standaardproces
 RTUs pakken afwijkingen op
 Mensen pakken afwijkingen op hoger niveau op
(iff)
 Tag db:
 Tags/points = gemonitorde I/O waarde
 Hard (1) / soft (combi)
 + Timestamp, + Metadata
Stuxnet: Beveiliging en audit van proces-IT 16
Plaatje
(Historian)
Stuxnet: Beveiliging en audit van proces-IT 17
Stuxnet: Beveiliging en audit van proces-IT 18
Stuxnet: Beveiliging en audit van proces-IT 19
Stuxnet: Beveiliging en audit van proces-IT 20
Stuxnet: Beveiliging en audit van proces-IT 21
P-roblemen
 Geen aandacht voor beveiliging en
autenticatie in ontwerp, uitrol, operations
in huidige generaties SCADA-netwerken
 (Geen) security through obscurity (meer)
 Vertrouwen op speciale protocollen,
proprietary interfaces (nog!)
 Fysieke beveiliging is voldoende
 Hangen niet aan het Internet
Stuxnet: Beveiliging en audit van proces-IT 22
Wat als het misgaat
 Zichtbaar ?
 Positieve feedforward ?
 Te laat ?
 Ingrijpen mogelijk ?
Stuxnet: Beveiliging en audit van proces-IT 23
Ook
Shattered Shield
'I Had A Funny Feeling in My Gut' By David Hoffman
Washington Post Foreign Service
Wednesday, February 10, 1999; Page A19
 It was just past midnight as Stanislav Petrov settled into the commander's chair inside the secret bunker at Serpukhov-
15, the installation where the Soviet Union monitored its early-warning satellites over the United States.
 Then the alarms went off. On the panel in front him was a red pulsating button. One word flashed: "Start."
 It was Sept. 26, 1983, and Petrov was playing a principal role in one of the most harrowing incidents of the nuclear age,
a false alarm signaling a U.S. missile attack. Although virtually unknown to the West at the time, the false alarm at the
closed military facility south of Moscow came during one of the most tense periods of the Cold War. And the episode
resonates today because Russia's early-warning system has fewer than half the satellites it did back then, raising the
specter of more such dangerous incidents.
 As Petrov described it in an interview, one of the Soviet satellites sent a signal to the bunker that a nuclear missile
attack was underway. The warning system's computer, weighing the signal against static, concluded that a missile had
been launched from a base in the United States.
 The responsibility fell to Petrov, then a 44-year-old lieutenant colonel, to make a decision: Was it for real? Petrov was
situated at a critical point in the chain of command, overseeing a staff that monitored incoming signals from the
satellites. He reported to superiors at warning-system headquarters; they, in turn, reported to the general staff, which
would consult with Soviet leader Yuri Andropov on the possibility of launching a retaliatory attack.
 Petrov's role was to evaluate the incoming data. At first, the satellite reported that one missile had been launched 
then another, and another. Soon, the system was "roaring," he recalled  five Minuteman intercontinental ballistic
missiles had been launched, it reported.
 Despite the electronic evidence, Petrov decided  and advised the others  that the satellite alert was a false alarm, a
call that may have averted a nuclear holocaust. But he was relentlessly interrogated afterward, was never rewarded for
his decision and today is a long-forgotten pensioner
Stuxnet: Beveiliging en audit van proces-IT 24
Wat gaat goed (pIT)
 Focus op control loops
 Wat goed gaat, laten doorlopen
 Triggers / melding van afwijking
 Monitoren om bij te sturen
Stuxnet: Beveiliging en audit van proces-IT 25
Wat gaat niet goed (pIT)
 Onvoldoende overall systems view
 Als het werkt, dan blijft het werken
 Software  analoge signaalverwerking
 Data-integriteit, beschikbaarheid
 Voor control: OK
 Voor mgt.info: Who cares?
 Beveiliging op derde (?) plaats
Stuxnet: Beveiliging en audit van proces-IT 26
Agenda
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 27
SecurityFrequentie
Schade
Opera
tionele
ver
liezen
Beveiligings-
incidenten
Continu誰teitsbedreigingen
Veel kleine foutjes; gemakkelijk herstelbaar of insignificant
Materi谷le (significante) schade; komt met enige regelmaat
voor (maar is geen routine)
Break-the-business incidenten; organisatie
overleeft klap niet
Ontploffende
Kerncentrales ..?
Stuxnet: Beveiliging en audit van proces-IT 28
ORM
Evaluate design & set-
up
Analysis Monitor & react
Incident
Mgt
CLD
Insu-
rance
Mgt
KRI
(Mgt)
(K)ORC
(Mgt)
R(S)A
(+Audit)
Operational Risk
Management
ORAP
Designed,
Selected for
efficiency
Tuning,
Mandatory
Near
misses
KRI
values
Corrective
actions
Incidents Indemnities
Controls Risk indicators
Incidents
for analysis
(Problems)
Inherent
risks
Process
Problem
Mgt
Breach
Stuxnet: Beveiliging en audit van proces-IT 29
Analyse: Bedreigingen
 Acts of Man
 Actief / Passief (blijven)
 Im sorry-attacks
 Domheid
 Operational risks..!
 Sorry!
Overstroming
Windhoos
Aardbeving
Grieppandemie
Zonder opzet
Crackers
Fraudeurs
Actiegroepen
Tegenzin / Geen tijd
?Met opzet
Acts of Man
Acts of nature
(Acts of God)
Stuxnet: Beveiliging en audit van proces-IT 30
(Agenda)
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 31
Focus: gegevensintegriteit?
 Alles is een (transactieverwerkend) proces
 On-menselijk (?)
 Afbeelding van de werkelijkheid!
 Geen oordeel over re谷le betekenis transactie
Re: Transactie gedaan, vastlegging key
Re: Integriteit? 1=1, 0=0
 Papieren werkelijkheid
 Risico-analytisch !
Wet op de Jaarrekeningcontrole ...!?
Stuxnet: Beveiliging en audit van proces-IT 32
En dan: Controls
= Maatregelen, bijsturingsmiddelen
 Organisatorisch (functiescheiding)
 Procedureel (afvinken rapporten)
 Fysiek (toegang)
 IT ()
 Geld (verzekering)
 In combinatie (Er is geen silver bullet!)
Stuxnet: Beveiliging en audit van proces-IT 33
Controls (bescherming?)
 Afschrikkende
 Preventieve,
 Detectieve,
 Repressieve,
 Beperkende en opvangende,
 Corrigerende en terugwinnende
 Hoe eerder hoe beter
 Net beter dan de buren
Stuxnet: Beveiliging en audit van proces-IT 34
Controls (vervolg)
 Traditioneel: Accountantshobby
Maar niet langer alleen t.b.v. jaarrekeningcontrole
 Taalprobleem:
Operationeel doen 
Op managementniveau uitleggen
 Modes
 RBAC
 Classificatie
 Architectuur
Stuxnet: Beveiliging en audit van proces-IT 35
Controls: kosten, baten
 Schade  kosten van controls
(direct, indirect, reputatie?)
 Vantevoren cijfers nodig!
 Frequentie / kans
 Impact, schade (2x)
 Kosten  continu  rapporteren (niks merkbaar?)
 Effectiviteit
 FUD werkt misschien toch beter
Stuxnet: Beveiliging en audit van proces-IT 36
Waar is de control loop-gedachte?
 Nergens.
Administratievelingen kennen die niet
 Nou ja,  maar dan
 PDCA  Deming
 Focus komt op uitzonderingen
afvangen of herstellen
 Beperkte visie op alle inputs
Stuxnet: Beveiliging en audit van proces-IT 37
ControlControl
Control
ControlControl
Control
ControlControl
Control
ThreatThreatThreat
ThreatThreatThreat
Threat
ThreatThreat
VulnerVulner
Vulner
VulnerVulner
Vulner
Vulner
VulnerVulner
?
Realiteit
Stuxnet: Beveiliging en audit van proces-IT 38
Effect
Stuxnet: Beveiliging en audit van proces-IT 39
Ook op andere gebieden, niveaus
 Pino, Nepino
 Watervalontwikkelmethode
 Testen, testen, testen. !?
 Projectrisicos > Deliverable-risicos
 Auditability > control
 We hebben een certificaat
Stuxnet: Beveiliging en audit van proces-IT 40
Traditioneel
Business Information Mgt IT
Strat
Tact
Oper
Stuxnet: Beveiliging en audit van proces-IT 41
Wat breder en dieper
Business Information Mgt ITOverheid?Burger
Stuxnet: Beveiliging en audit van proces-IT 42
Wat gaat goed (aIT)
 Controls-gerichtheid
(uitgaan van foutgaan)
 Enige keten-gerichtheid (?)
 Cultuur van controlesystemen
Stuxnet: Beveiliging en audit van proces-IT 43
Wat gaat niet goed (aIT)
 De abstractie van de werkelijkheid
 Te beperkt, analytisch, te hoog niveau
 Te simpel! Event  1 Oorzaak  1 Gevolg
 Focus op transparantie = auditability
 2e
afgeleide van primaire info
 Tbv gemakkelijk leventje auditors
 (Management) controls-discussie weer
losgeraakt van software
 Beveiliging = C; I en A hobbelen erachter
Stuxnet: Beveiliging en audit van proces-IT 44
Agenda
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 45
Wat nu ..?
 Proces-IT
 Is nieuw
 Moet nog veel leren
 Ondoorzichtig (voor kantoortijgers)
 Administratieve (IT) beveiliging
 Heeft modellen (een oogje voor een heel land ..?)
 Veroorlooft zich foutmarges
 (Relatief) incidentele, discrete
transacties, missers
Stuxnet: Beveiliging en audit van proces-IT 46
Wat hebben wij te leren?
 C, I en A in balans (geen mono-focus)
 Bescheidenheid
 Urgentie (Hoewel geen Cassandras, Boy Cried Wolf)
 Onze diensteneconomie draait op fysieke wereld
 Decennia te gaan`?
 Verbetering (consistentie, volledigheid) van
engineering van control
 Modellen (waterval/andere(!), testen, control)
Stuxnet: Beveiliging en audit van proces-IT 47
Wat hebben wij te leren (II)
 Terug naar software
 Administratief  Bottom-up incident mgt
 Proces  Top-down keten incl externalities
 Software-testen
 Doen!
 Uitbreiden methodologie谷n
 Full-scope what-if
 Ook op requirements-niveau etc.
 Beter horizontaal en verticaal ge誰ntegreerd totaal
Stuxnet: Beveiliging en audit van proces-IT 48
Kan dat ..?
 Kan niet, kan niet
 Kritieke infra
 Geen Plan B / herstel
 Vergt v辿辿l verdieping en verbreding kennis,
kunde, vaardigheden
 Spanning diepgang/specialisme vs. overzicht
 Inhoudelijk en qua vaardigheden
 Wie gaat dat betalen ..?
 Agency vs externalities
Stuxnet: Beveiliging en audit van proces-IT 49
Agenda
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 50
Ubicomp / Ubiinfo
Stuxnet: Beveiliging en audit van proces-IT 51
Ubi-problemen
 Wheres your data ? (Cloud2
)
 Wie zit er aan de gegevens, wie is in control ?
 Privacy
 Trawling for patterns
 Herstelbaarheid fouten
 Overschatting eenvoud
Stuxnet: Beveiliging en audit van proces-IT 52
Agenda
 Maeslant en 鎬鎬鎬
 Proces-IT
 Security
 Administratieve systemen en zo
 Wat nu ..?
 Uitsmijter
Stuxnet: Beveiliging en audit van proces-IT 53
Vragen ?
Stuxnet: Beveiliging en audit van proces-IT 54
The End
Stuxnet: Beveiliging en audit van proces-IT 55
Further Reading
 TNO/KEMA
 http://www.samentegencybercrime.nl/

More Related Content

More from Jurgen van der Vlugt (12)

Risk Managers Of The Universe
Risk Managers Of The UniverseRisk Managers Of The Universe
Risk Managers Of The Universe
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep   Reglementering Deel I 21 mei 2010VU Organisatie van het beroep   Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009
Jurgen van der Vlugt
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010
Jurgen van der Vlugt
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012ACAM-VDA NOREA Adviesdiensten 21 juni 2012
ACAM-VDA NOREA Adviesdiensten 21 juni 2012
Jurgen van der Vlugt
Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10Adviesdiensten Norea Regio Noord 2012 05 10
Adviesdiensten Norea Regio Noord 2012 05 10
Jurgen van der Vlugt
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3Van Plank Misslaan Naar Spijker Op De Kop V0.3
Van Plank Misslaan Naar Spijker Op De Kop V0.3
Jurgen van der Vlugt
Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97Advies Assurance September 2011 V0.97
Advies Assurance September 2011 V0.97
Jurgen van der Vlugt
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep   Reglementering Deel I 21 mei 2010VU Organisatie van het beroep   Reglementering Deel I 21 mei 2010
VU Organisatie van het beroep Reglementering Deel I 21 mei 2010
Jurgen van der Vlugt
VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010VU Uitvoering van de audit 28 mei 2010
VU Uitvoering van de audit 28 mei 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009Saxion Ensched辿 College Security 2009
Saxion Ensched辿 College Security 2009
Jurgen van der Vlugt
NOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notesNOREA Update congres 2007 incl notes
NOREA Update congres 2007 incl notes
Jurgen van der Vlugt
NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010NOREA ALV Symposium Advies 2010
NOREA ALV Symposium Advies 2010
Jurgen van der Vlugt
NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010NOREA Regiosessie Reglementen 2010
NOREA Regiosessie Reglementen 2010
Jurgen van der Vlugt
Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010Saxion Ensched辿 College Security 2010
Saxion Ensched辿 College Security 2010
Jurgen van der Vlugt

NGI Regio Rdam / Afd IT-A: Stuxnet - Beveiliging en Audit van Proces IT

  • 1. Stuxnet: Beveiliging en audit van proces-IT Jurgen van der Vlugt Noordbeek B.V. JvdVlugt@xs4all.nl 25 november 2010, Regio Rotterdam / Afdeling IT-Auditing
  • 2. Stuxnet: Beveiliging en audit van proces-IT 2 Intro; ik = Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC Bedrijfseconomie (Rotterdam) Technische Informatica (Delft) Post-grad IT-auditing (VU) KPMG EDP Auditors / IRM (WinNT, Y2K) Sogeti ABN AMRO (Group Audit, Group Security) Noordbeek (Tot 1 december 2010) NGI, NOREA (VC, CBr, ), ISACA, ISSA, PvIB
  • 3. Stuxnet: Beveiliging en audit van proces-IT 3 Agenda Maeslant en 鎬鎬鎬)1 ) Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter (1) Wat heb ik nou aan me fiets hangen?
  • 4. Stuxnet: Beveiliging en audit van proces-IT 4 Neerlands Trots
  • 5. Stuxnet: Beveiliging en audit van proces-IT 5
  • 6. Stuxnet: Beveiliging en audit van proces-IT 6 Stuxnet Sinds juni (?) in omloop / in beeld (Note: Eerste variant vd worm: juni 2009)1 Zeer veel kennis erin Team effort Niet uit op creditcard-info. Huh? September: Vooral anti-Iran Opstart kerncentrale uitgesteld Round up the usual suspects Verspreiding: 65k Iran, 12k India, 180 NL; 155 landen) Sporen van politieke boodschappen (?) Isra谷l ..? Wie? 1 Bron: Eric Luijff (TNO/NICC)
  • 7. Stuxnet: Beveiliging en audit van proces-IT 7 Analyse Siemens S7-300 CPU + CP-342-5 Profibus communications modules which monitor and control frequency converter drives build by two companies (one in Iran, one in Finland) motors must run between 807 Hz and 1210 Hz THEN during short intervals/ month to 1402 Hz, 2 Hz, 1064 Hz
  • 8. Stuxnet: Beveiliging en audit van proces-IT 8 It giet oan Probleem: Slechte beheersing proces-IT Al lang bekend NICC, Govcert.nl, et al. Genoegzaam gewaarschuwd? Na bragging rights over virussen En na financieel gewin via banking trojans Nu third wave Cyberwarfare
  • 9. Stuxnet: Beveiliging en audit van proces-IT 9 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 10. Stuxnet: Beveiliging en audit van proces-IT 10 Proces-IT Vanuit de elektrotechniek Specialistisch Kritieke systemen!
  • 11. Stuxnet: Beveiliging en audit van proces-IT 11 Levels
  • 12. Stuxnet: Beveiliging en audit van proces-IT 12 Elementen HMI: Human-Machine Interface Monitoring Control Supervisory (computer) system Data-acquisitie Control commands sturen RTUs: Remote Terminal Units Connect sensors in het proces Converteren sensorsignalen naar digitaal Zenden digitale signalen naar supervisory system PLCs: Programmable Logic Controllers Field devices: goedkoper en flexibeler dan special-purpose RTUs Communicatie-devices/kabels
  • 13. Stuxnet: Beveiliging en audit van proces-IT 13 Meer
  • 14. Stuxnet: Beveiliging en audit van proces-IT 14 Control
  • 15. Stuxnet: Beveiliging en audit van proces-IT 15 SCADA Nota bene: PLCs controllen standaardproces RTUs pakken afwijkingen op Mensen pakken afwijkingen op hoger niveau op (iff) Tag db: Tags/points = gemonitorde I/O waarde Hard (1) / soft (combi) + Timestamp, + Metadata
  • 16. Stuxnet: Beveiliging en audit van proces-IT 16 Plaatje (Historian)
  • 17. Stuxnet: Beveiliging en audit van proces-IT 17
  • 18. Stuxnet: Beveiliging en audit van proces-IT 18
  • 19. Stuxnet: Beveiliging en audit van proces-IT 19
  • 20. Stuxnet: Beveiliging en audit van proces-IT 20
  • 21. Stuxnet: Beveiliging en audit van proces-IT 21 P-roblemen Geen aandacht voor beveiliging en autenticatie in ontwerp, uitrol, operations in huidige generaties SCADA-netwerken (Geen) security through obscurity (meer) Vertrouwen op speciale protocollen, proprietary interfaces (nog!) Fysieke beveiliging is voldoende Hangen niet aan het Internet
  • 22. Stuxnet: Beveiliging en audit van proces-IT 22 Wat als het misgaat Zichtbaar ? Positieve feedforward ? Te laat ? Ingrijpen mogelijk ?
  • 23. Stuxnet: Beveiliging en audit van proces-IT 23 Ook Shattered Shield 'I Had A Funny Feeling in My Gut' By David Hoffman Washington Post Foreign Service Wednesday, February 10, 1999; Page A19 It was just past midnight as Stanislav Petrov settled into the commander's chair inside the secret bunker at Serpukhov- 15, the installation where the Soviet Union monitored its early-warning satellites over the United States. Then the alarms went off. On the panel in front him was a red pulsating button. One word flashed: "Start." It was Sept. 26, 1983, and Petrov was playing a principal role in one of the most harrowing incidents of the nuclear age, a false alarm signaling a U.S. missile attack. Although virtually unknown to the West at the time, the false alarm at the closed military facility south of Moscow came during one of the most tense periods of the Cold War. And the episode resonates today because Russia's early-warning system has fewer than half the satellites it did back then, raising the specter of more such dangerous incidents. As Petrov described it in an interview, one of the Soviet satellites sent a signal to the bunker that a nuclear missile attack was underway. The warning system's computer, weighing the signal against static, concluded that a missile had been launched from a base in the United States. The responsibility fell to Petrov, then a 44-year-old lieutenant colonel, to make a decision: Was it for real? Petrov was situated at a critical point in the chain of command, overseeing a staff that monitored incoming signals from the satellites. He reported to superiors at warning-system headquarters; they, in turn, reported to the general staff, which would consult with Soviet leader Yuri Andropov on the possibility of launching a retaliatory attack. Petrov's role was to evaluate the incoming data. At first, the satellite reported that one missile had been launched then another, and another. Soon, the system was "roaring," he recalled five Minuteman intercontinental ballistic missiles had been launched, it reported. Despite the electronic evidence, Petrov decided and advised the others that the satellite alert was a false alarm, a call that may have averted a nuclear holocaust. But he was relentlessly interrogated afterward, was never rewarded for his decision and today is a long-forgotten pensioner
  • 24. Stuxnet: Beveiliging en audit van proces-IT 24 Wat gaat goed (pIT) Focus op control loops Wat goed gaat, laten doorlopen Triggers / melding van afwijking Monitoren om bij te sturen
  • 25. Stuxnet: Beveiliging en audit van proces-IT 25 Wat gaat niet goed (pIT) Onvoldoende overall systems view Als het werkt, dan blijft het werken Software analoge signaalverwerking Data-integriteit, beschikbaarheid Voor control: OK Voor mgt.info: Who cares? Beveiliging op derde (?) plaats
  • 26. Stuxnet: Beveiliging en audit van proces-IT 26 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 27. Stuxnet: Beveiliging en audit van proces-IT 27 SecurityFrequentie Schade Opera tionele ver liezen Beveiligings- incidenten Continu誰teitsbedreigingen Veel kleine foutjes; gemakkelijk herstelbaar of insignificant Materi谷le (significante) schade; komt met enige regelmaat voor (maar is geen routine) Break-the-business incidenten; organisatie overleeft klap niet Ontploffende Kerncentrales ..?
  • 28. Stuxnet: Beveiliging en audit van proces-IT 28 ORM Evaluate design & set- up Analysis Monitor & react Incident Mgt CLD Insu- rance Mgt KRI (Mgt) (K)ORC (Mgt) R(S)A (+Audit) Operational Risk Management ORAP Designed, Selected for efficiency Tuning, Mandatory Near misses KRI values Corrective actions Incidents Indemnities Controls Risk indicators Incidents for analysis (Problems) Inherent risks Process Problem Mgt Breach
  • 29. Stuxnet: Beveiliging en audit van proces-IT 29 Analyse: Bedreigingen Acts of Man Actief / Passief (blijven) Im sorry-attacks Domheid Operational risks..! Sorry! Overstroming Windhoos Aardbeving Grieppandemie Zonder opzet Crackers Fraudeurs Actiegroepen Tegenzin / Geen tijd ?Met opzet Acts of Man Acts of nature (Acts of God)
  • 30. Stuxnet: Beveiliging en audit van proces-IT 30 (Agenda) Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 31. Stuxnet: Beveiliging en audit van proces-IT 31 Focus: gegevensintegriteit? Alles is een (transactieverwerkend) proces On-menselijk (?) Afbeelding van de werkelijkheid! Geen oordeel over re谷le betekenis transactie Re: Transactie gedaan, vastlegging key Re: Integriteit? 1=1, 0=0 Papieren werkelijkheid Risico-analytisch ! Wet op de Jaarrekeningcontrole ...!?
  • 32. Stuxnet: Beveiliging en audit van proces-IT 32 En dan: Controls = Maatregelen, bijsturingsmiddelen Organisatorisch (functiescheiding) Procedureel (afvinken rapporten) Fysiek (toegang) IT () Geld (verzekering) In combinatie (Er is geen silver bullet!)
  • 33. Stuxnet: Beveiliging en audit van proces-IT 33 Controls (bescherming?) Afschrikkende Preventieve, Detectieve, Repressieve, Beperkende en opvangende, Corrigerende en terugwinnende Hoe eerder hoe beter Net beter dan de buren
  • 34. Stuxnet: Beveiliging en audit van proces-IT 34 Controls (vervolg) Traditioneel: Accountantshobby Maar niet langer alleen t.b.v. jaarrekeningcontrole Taalprobleem: Operationeel doen Op managementniveau uitleggen Modes RBAC Classificatie Architectuur
  • 35. Stuxnet: Beveiliging en audit van proces-IT 35 Controls: kosten, baten Schade kosten van controls (direct, indirect, reputatie?) Vantevoren cijfers nodig! Frequentie / kans Impact, schade (2x) Kosten continu rapporteren (niks merkbaar?) Effectiviteit FUD werkt misschien toch beter
  • 36. Stuxnet: Beveiliging en audit van proces-IT 36 Waar is de control loop-gedachte? Nergens. Administratievelingen kennen die niet Nou ja, maar dan PDCA Deming Focus komt op uitzonderingen afvangen of herstellen Beperkte visie op alle inputs
  • 37. Stuxnet: Beveiliging en audit van proces-IT 37 ControlControl Control ControlControl Control ControlControl Control ThreatThreatThreat ThreatThreatThreat Threat ThreatThreat VulnerVulner Vulner VulnerVulner Vulner Vulner VulnerVulner ? Realiteit
  • 38. Stuxnet: Beveiliging en audit van proces-IT 38 Effect
  • 39. Stuxnet: Beveiliging en audit van proces-IT 39 Ook op andere gebieden, niveaus Pino, Nepino Watervalontwikkelmethode Testen, testen, testen. !? Projectrisicos > Deliverable-risicos Auditability > control We hebben een certificaat
  • 40. Stuxnet: Beveiliging en audit van proces-IT 40 Traditioneel Business Information Mgt IT Strat Tact Oper
  • 41. Stuxnet: Beveiliging en audit van proces-IT 41 Wat breder en dieper Business Information Mgt ITOverheid?Burger
  • 42. Stuxnet: Beveiliging en audit van proces-IT 42 Wat gaat goed (aIT) Controls-gerichtheid (uitgaan van foutgaan) Enige keten-gerichtheid (?) Cultuur van controlesystemen
  • 43. Stuxnet: Beveiliging en audit van proces-IT 43 Wat gaat niet goed (aIT) De abstractie van de werkelijkheid Te beperkt, analytisch, te hoog niveau Te simpel! Event 1 Oorzaak 1 Gevolg Focus op transparantie = auditability 2e afgeleide van primaire info Tbv gemakkelijk leventje auditors (Management) controls-discussie weer losgeraakt van software Beveiliging = C; I en A hobbelen erachter
  • 44. Stuxnet: Beveiliging en audit van proces-IT 44 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 45. Stuxnet: Beveiliging en audit van proces-IT 45 Wat nu ..? Proces-IT Is nieuw Moet nog veel leren Ondoorzichtig (voor kantoortijgers) Administratieve (IT) beveiliging Heeft modellen (een oogje voor een heel land ..?) Veroorlooft zich foutmarges (Relatief) incidentele, discrete transacties, missers
  • 46. Stuxnet: Beveiliging en audit van proces-IT 46 Wat hebben wij te leren? C, I en A in balans (geen mono-focus) Bescheidenheid Urgentie (Hoewel geen Cassandras, Boy Cried Wolf) Onze diensteneconomie draait op fysieke wereld Decennia te gaan`? Verbetering (consistentie, volledigheid) van engineering van control Modellen (waterval/andere(!), testen, control)
  • 47. Stuxnet: Beveiliging en audit van proces-IT 47 Wat hebben wij te leren (II) Terug naar software Administratief Bottom-up incident mgt Proces Top-down keten incl externalities Software-testen Doen! Uitbreiden methodologie谷n Full-scope what-if Ook op requirements-niveau etc. Beter horizontaal en verticaal ge誰ntegreerd totaal
  • 48. Stuxnet: Beveiliging en audit van proces-IT 48 Kan dat ..? Kan niet, kan niet Kritieke infra Geen Plan B / herstel Vergt v辿辿l verdieping en verbreding kennis, kunde, vaardigheden Spanning diepgang/specialisme vs. overzicht Inhoudelijk en qua vaardigheden Wie gaat dat betalen ..? Agency vs externalities
  • 49. Stuxnet: Beveiliging en audit van proces-IT 49 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 50. Stuxnet: Beveiliging en audit van proces-IT 50 Ubicomp / Ubiinfo
  • 51. Stuxnet: Beveiliging en audit van proces-IT 51 Ubi-problemen Wheres your data ? (Cloud2 ) Wie zit er aan de gegevens, wie is in control ? Privacy Trawling for patterns Herstelbaarheid fouten Overschatting eenvoud
  • 52. Stuxnet: Beveiliging en audit van proces-IT 52 Agenda Maeslant en 鎬鎬鎬 Proces-IT Security Administratieve systemen en zo Wat nu ..? Uitsmijter
  • 53. Stuxnet: Beveiliging en audit van proces-IT 53 Vragen ?
  • 54. Stuxnet: Beveiliging en audit van proces-IT 54 The End
  • 55. Stuxnet: Beveiliging en audit van proces-IT 55 Further Reading TNO/KEMA http://www.samentegencybercrime.nl/