Cybersecurity en privacy zijn hot issues TVVL, meer
advertisement
Cybersecurity en privacy zijn hot issues De recente ransomware-aanval maakt alweer duidelijk dat veel bedrijven en systemen kwetsbaar zijn. Ver van ons bed? Hoe zit dat dan bij ons in de gebouwautomatisering en domotica? En wat kunnen we eraan doen ook in het kader van nieuwe wetgeving rondom veiligheid en privacy. Jan praat u tijdens deze interactieve sessie bij over de oplossingen die we kunnen vinden in de architectuur van onze systemen en ons eigen gedrag. Jan Kerdèl Kerdèl Business Development Consultancy en Management ondersteuning voor gebouwautomatisering en energie-innovatie 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 1 TVVL, meer dan een halve eeuw bundeling van kennis • Opgericht in 1959, en op dit moment 1.000 persoonlijke leden en 500 bedrijfsleden • Kennisknooppunt voor technologische innovatie in de sector van gebouw-gebonden installaties en met aandacht voor de mens en zijn omgeving • TVVL verenigt adviseurs, installateurs, onderzoekers, architecten en fabrikanten, eigenaren en gebruikers van gebouwen, en óók studenten • Kennisdeling, kennisontwikkeling en kennisoverdracht www.tvvl.nl 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 2 Eerste groep Systeemarchitecten bestormt de markt • Eerste leergang Systeemarchitect Gebouwautomatisering oogst 9 geslaagden en 4 certificaten • Gebouwautomatisering speelt een essentiële rol in elk gebouw. De invloed op de levensduurkosten (TCO) is zeer hoog. Daarom moet gebouwautomatisering een volwaardige discipline worden • Initiatief van de Brancheorganisatie Gebouw Automatisering en TVVL • HBO+ gecertificeerd Meer info: https://www.tvvl.nl/cursussen/sa 20170613_1 TVVL (KIEN Technodag CyberSecurity) Industroyer 13 juni 2017 3 NOS 12 juni 2017 Nieuw computervirus kan stroomnetwerken platleggen. Daarvoor waarschuwt ESET, die het virus 'Industroyer' hebben gedoopt. In december legden hackers het stroomnetwerk van de stad Kiev deels plat. ESET vermoedt dat deze malware is gebruikt. Het virus is in staat industriële systemen aan te vallen zoals oliecentrales, transportnetwerken en sluizen. ESET zegt te hopen dat energieleveranciers en andere beheerders van industriële systemen maatregelen nemen om te voorkomen dat het virus zijn gang kan gaan 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 4 Nederlands bedrijfsleven leert niets van WannaCry • Weinig schade in NL • Organisaties maken het cybercriminelen vandaag de dag nog steeds makkelijk om hun systemen binnen te dringen • Toch geen leereffect • • • • WannaCry vrijdag 12 mei 2017 • Wereldwijde ransomware-aanval gestart • Volgens Europol grootste omvang ooit • Volgens Gartner ruim 150 landen getroffen door de aanval. Volgens het NCSC in NL nog geen slachtoffers bekend Laag bedrag losgeld NL niet hard getroffen Waarschuwingsvermoeidheid Gedreven door wet- en regelgeving Bron: 15 mei 2017 Computable Eric Remmelzwaal 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 5 13 juni 2017 6 Security trends 20170613_1 TVVL (KIEN Technodag CyberSecurity) Nationaal Cyber Security Center (NCSC) • NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving door • het leveren van inzicht • het bieden van handelingsperspectief 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 7 13 juni 2017 8 NCSC Afgehandelde incidenten (Responsible disclosure) 20170613_1 TVVL (KIEN Technodag CyberSecurity) Brede doelgroep voor het grijpen… • 80% van de meldingen die het NCSC in het verleden heeft ontvangen betreft ‘kwetsbare ICS/SCADA/GBS-systemen’ • Organisaties weten niet dat systemen verbonden zijn • Onvoldoende bewust van de risico’s • Zijn vaak geen ICT-experts • Risico neemt toe door het Internet of Things (IoT) • Black fora verkopen “toegang” 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 9 Architectuur IoT |Alle componenten verbonden Open platform tbv aansturing Techniek Any glass device Beheer PC HVAC Bedien PC HVAC Cloud diensten Datanet (IP) 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 10 Architectuur IoT | Smart tussenlaag noodzakelijk 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 11 Gebouwautomatisering “de stand van zaken” • Toegang • System default passwoorden blijven bestaan • Het standaard password is 12345 • Passwords hergebruiken • Zelden sterke passwords • Password wordt na oplevering zelden tot nooit gewijzigd • Password wordt doorgegeven • Zelden apart inlog-account per gebruiker 20170613_1 TVVL (KIEN Technodag CyberSecurity) • Meerdere accounts soms niet mogelijk • Categorieën gebruikers vaak niet groter dan twee • Account wordt niet geblokkeerd als iemand de organisatie verlaat, dus geen onderhoud op accounts 10 issues 13 juni 2017 12 Gebouwautomatisering “de stand van zaken” • Netwerkverbindingen van buiten • Niet versleutelde internetverbindingen (http in plaats van https) • Virtual Private Networks (VPN) weinig gebruikt • Rechtstreeks inloggen op Modbus, KNX, BACnet, M-bus ed. is mogelijk • Gebruik van standaard poorten voor toegang • Samen met office netwerk • VLAN te weinig gebruikt • Op verzoek een poortje open zetten naar een ander VLANsegment (en niet registreren) 6 Issues 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 13 Gebouwautomatisering “de stand van zaken” • Onderhoud en instandhouding • ICT-onderhoud GBS wordt vrijwel niet gedaan • Back-ups worden niet regelmatig gemaakt • PC wordt geblokkeerd voor automatische Windows-updates • Opdrachtgever/eigenaar niet of nauwelijks bewust dat GBS onderdeel wordt van zijn ICTsysteem • Drivers in een GBS-PC worden niet vernieuwd • Gemiddelde leeftijd van een GBSPC is negen jaar bij vernieuwing • Vrijwel niemand sluit een SLA af voor software onderhoud aan het GBS • bij slecht onderhoud de zwakste schakel 20170613_1 TVVL (KIEN Technodag CyberSecurity) 7 Issues 13 juni 2017 14 23 Issues Herkenbaar 90% 20170613_1 TVVL (KIEN Technodag CyberSecurity) Zelf meegemaakt 40% 13 juni 2017 15 Hulpmiddelen: SHODAN • SHODAN indexeert de bannerinformatie van systemen • Op eenvoudige wijze kwetsbare servers en routers vinden • Voor iedereen toegankelijk • Droom en tegelijk Nachtmerrie • In 2009 ontwikkeld door John Matherly om TCP poorten, waaronder 80, 21 en 23 te scannen 20170613_1 TVVL (KIEN Technodag CyberSecurity) https://www.shodan.io/ https://youtu.be/XB-vjRCwa9E 13 juni 2017 16 Hulpmiddelen: SHODAN • SHODAN vindt Open devices (o.a. camera’s) Open routers Open FTP services Open MySQL Open SCADA Open Modbus, NetBios, SNMP, KNX, BACnet • Open Modus + internet broadcast • Webservers op poort 80 met inlogscherm en naam Admin • • • • • • 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 17 Hulpmiddelen: Have I been Pwnd • Controle of een email adres bij een inbraak betrokken is geraakt. Vaak het is e-mail adres één van vele die zijn gestolen bij een grote service provider • Alert is mogelijk wanneer e-mail adressen opduiken in een gehackte database https://haveibeenpwned.com/ 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 18 Een echte structuur ISO 27001 • ISO 27001 is een standaard voor informatiebeveiliging • Beschrijft hoe informatie-beveiliging procesmatig ingericht zou kunnen worden • In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 en verplicht gesteld voor Nederlandse overheden door het College standaardisatie • De structuur komt nu overeen met de in 2015 geïntroduceerde 'High Level Structure' 20170613_1 TVVL (KIEN Technodag CyberSecurity) • Van toepassing op alle typen organisaties (bijvoorbeeld commerciële-, overheidsinstanties, non-profit). • De norm specificeert het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) • De norm specificeert eisen voor de implementatie van 13 juni 2017 19 Het is net zo goed de zorg van je klant • De eindgebruikers-organisatie moet beschikken over een securitybeleid dat ook van toepassing is op de ICS/SCADA/GBS-systemen • Ofwel rekening houden met de verschillen tussen de kantoor- en procesomgeving • Of zien als twee aparte omgevingen • Is toegang via internet noodzakelijk • Actueel overzicht van alle systemen die met internet (en het interne netwerk) verbonden zijn 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 20 Checklist technische/operationele maatregelen • Aparte netwerkinfrastructuur voor gebouwautomatisering • Koppelingen met internet en andere netwerken terughoudend • Voorzieningen om aanvallen te detecteren • Fysieke toegangsbeveiliging tot systemen en locaties • Wachtwoordbeleid • Integriteit van uw configuraties kunnen garanderen • Beleid voor gebruik van verwijderbare media • Beveiligde externe verbindingen (VPN) • Volg de principes van ‘defense in depth’ (meerdere verdedigingslagen) • Richt patchmanagement in • Onderhoud van systemen • Beleid voor het aansluiten van mobiele apparatuur 20170613_1 TVVL (KIEN Technodag CyberSecurity) 13 juni 2017 21