Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Cyber Security für funktionale Sicherheit
Sicht der chemischen IndustrieErwin Kruschitz, NAMUR AK 4.18
Leiter anapur AG 22.03.2017
Kruschitz, anapur, NAMUR AK 4.18 Automation Security1
ANAPUR PERSÖNLICH
Erwin Kruschitz
Firma: anapur AG
Alter: 49
Funktion: Gründer, Inhaber
Expertise:
• Assessments & Consulting Services:IT-Security, GMP, Functional Safety
• Industrial Automation, Manufacturing Execution
Mitgliedschaften:
• NAMUR AK 4.18 Automation Security
• Allianz für Cyber Security
• ISPE / GAMP D-A-CH SIG OSS
• IEC62443/ISA99 Arbeitsgruppe
Kruschitz, anapur, NAMUR AK 4.18
Automation Security2
NAMUR Sub- AK 4.18 erarbeitet NA163
Mitglieder:
P. Baum, TÜV Nord
M. Draxelbauer, Wacker Chemie AG
Dr.-Ing. M. Floeck, anapur
Dr.-Ing. S. Fischer, BASF SE
V. Hensel, Bundesamt für Sicherheit in der Informationstechnik
Dr.-Ing. T. Kleinert, BASF SE
T. Leifeld, TU Kaiserslautern
U. Menck, DOW Chemicals
M. Messner, Wacker Chemie AG
Dr.-Ing. B. Schrörs, Bayer AG
D. Hablawetz, BASF SE
J. Wiesner, Bundesamt für Sicherheit in der Informationstechnik
D. Winkel, Bayer AG
Obmann:
E. Kruschitz, anapur
page 3 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
LT
LIC
LT
Compare
Alarm
PLT-Sicherheitseinrichtung
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 5
IEC 61511 - risk assessment für SIS erforderlich
page 6 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
IEC 61511 Ed. 2.0
8.2.4 A security risk assessment shall be carried out to identify the security vulnerabilities of the SIS.
It shall result in:
a description of the devices covered by this risk assessment (e.g., SIS, BPCS or any other device connected to the SIS);
a description of identified threats that could exploit vulnerabilities and result in security events (including intentional attacks on the hardware, application programs and related software,
as well as unintended events resulting from human error);
a description of the potential consequences resulting from the security events and the likelihood of these events occurring;
consideration of various phases such as design, implementation, commissioning, operation, and maintenance;
the determination of requirements for additional risk reduction;
a description of, or references to information on, the measures taken to reduce or remove the threats.
Sicht der Betreiber:
keine Kompromisse bei der funktionalen Sicherheit (Safety) in
der Prozessindustrie
Maßnahmen / Aktionen notwendig
Regelwerke liefern keine einfachen Lösungen
Richtlinien und Regeln
IEC 61508, IEC 61511, IEC 62443
ISO/IEC 2700x, VDI/VDE 2180, VDI/VDE 2182
Verordnungen
IT-Sicherheitskatalog, 12.BImSchV.
BetrSichV
Gesetze
BSI-Gesetz,
IT-Sicherheitsgesetz,
Energiewirtschaftsgesetz,
KonTraG, Aktiengesetz,
GmbH-Gesetz,
BImSchG
Herausforderung der
Betreiber:
Die hohe Anzahl und
Vielfalt der verfügbaren
Regelwerke, White
Papers, Hersteller
Publikationen, usw.
erschwert den Blick auf
das Wesentliche und
Machbare
Namur Sub AK 4.18 erstellt NAMUR NA 163, das „Security for Safety“
für den Betreiber umsetzbar macht.
???wie
gehen wir
es an …
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 7
These: jede PLT-Sicherheitseinr. ist „Connected“
page 8 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
• direkt permanent:
Datenaustausch mit BPCS und PIMS
• direkt temporär:
Engineering Systeme für Safety
PLC, Sensoren und Panels
• indirekt:
USB Sticks
mobile Festplatten
Hersteller CDs
Backup Systeme
weitere
Fazit: Cyber Bedrohungen von PLT Sicherheitseinrichtungen sind ein
realistisches Szenario.
Prozessrisiken (was kann passieren?)
•Personenschaden,
•Umweltschaden,
•Finanzieller Schaden,
•Image-Schaden,
•Strafverfolgung
page 9 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
Auswirkung - Risiko
LT
LIC
LT
Compare
Alarm
1) spurious safe trip
2) passive SIS failure (undetected)
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 10
Auswirkung - Risiko
3. komplexer Angriff
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 11
PZ+
LZ-
Auffangbecken
Stoff 2
Stoff 1
Produkt
FC
FC
FC
Manipulation des SIS gefährdet Safety-
Funktion
Beschreibung Auswirkung Komplexität der
Manipulation
1PLT-Sicherheitsfunktion (Safety Instrumented Function, SIF) löst aus
ohne Anforderung.
Nicht gefährlich im Sinne der
Funktionalen Sicherheit, aber
Betriebsunterbrechung
einfach
2
SIF deaktiviert. Abschaltung findet nicht statt. Allerdings: ein nicht
akzeptables Ereignis würde erst dann eintreten, wenn der
Anforderungsfall eintritt.
gefährlich komplex
3
SIF deaktiviert und gleichzeitig vorsätzliches Herbeiführen des
Anforderungsfalles (z.B. durch Manipulation der PLT-
Sicherheitseinrichtung) führt sofort zu nicht akzeptablem Ereignis.
gefährlich sehr komplex
page 12 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
Integrität
Verfügbarkeit
Vertraulichkeit
SIS SecurityDie Manipulations-Sicherheit
des SIS hat höchste Priorität
NA163 Verfahren Risiko-Beurteilungnach IEC 62443 3-2, VDI/VDE 2182, ISO 27005
• Ziel
• in einem Tag pro System machbar
• ohne tiefe Cyber Security Kenntnisse
• zufriedenstellende Ergebnisse liefert
abgedeckt durch NA 1x pro SIS
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 13
Frage Nr. 1: Kennen wir das System ?
Gem. IEC 61511 eine Beschreibung der Geräte, …
Hardware
Software
Daten
Personen
Organisationen
Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 15
Sicherung von Verbindungen
1. Vorliegen einer Sicherheits-/Risikobeurteilung des Kommunikationspartners
2. Plausibilisierung (z.B. Kurzschluss, Drahtbruch und logische Plausibilisierung (z.B. gegen
Betriebszustände o.ä.))
3. Authentifizierung der Kommunikationspartner und/oder Verschlüsselung der Daten bzw. Werte
4. Verbindungsaufbau nur von innen (Zonen A & B) nach außen (Zone C)
5. Steuerung der erlaubten Verbindungen (Ports, IPs, MAC-Adressen) durch z.B. Firewall
6. Passive Überwachung der Nutzdaten u. Anomalieerkennung (z.B. Deep Packet Inspection)
page 16 Kruschitz, anapur, NAMUR AK 4.18 Automation Security
Kommunikation zwischen Zone(n) … und Zone(n) …
Analoge oder digitale I/Os ohne HART
Protokollbasierte Punkt-zu-Punkt-Verbindung (IP, HART, Modbus, Profibus, …)X
Netzwerk bzw. Bus (> 2 Teilnehmer)
Physisch stark gesichert
Physisch nicht gesichert
Physisch stark gesichert
Physisch nicht gesichert
Physisch stark
gesichertPhysisch nicht gesichert
(A v B) <--> (A v B)
(A v B) <--> C 1 2 3 4 5 6
O X - - - -
1 2 3 4 5 6
O X - - - -
1 2 3 4 5 6
X X O O O O
1 2 3 4 5 6
X X X X O O
1 2 3 4 5 6
X X O O X O
1 2 3 4 5 6
X X X X X X
1 2 3 4 5 6
- O - - - -
1 2 3 4 5 6
- X - - - -
1 2 3 4 5 6
- O O - N O
1 2 3 4 5 6
- X O - O O
1 2 3 4 5 6
- O O - N O
1 2 3 4 5 6
- X X - X O
Lösung für gemeinsam genutzte Komponenten
1) Die Komponente ist im Management System der Funktionalen Sicherheit
eingebettet (d.h. ist validiert UND unterliegt – auch für den nicht sicheren Teil –
dem Change Management).
2: Der NACHWEIS wird erbracht, dass innerhalb der gemeinsam genutzten
Komponente eine – unter IT-Sicherheits- Gesichtspunkten- hinreichende
Trennung und Unabhängigkeit zwischen dem „sicheren“ Teil und dem
„betrieblichen“ Teil vorliegt. (Voraussetzung ist hier, dass der Nachweis der
Konformität zu IEC 61508 oder IEC 61511 vorliegt.)
Lösung 3: In einer IT-Risikobeurteilung wird schriftlich dokumentiert, dass sich
durch die gemeinsame Nut-zung keine nicht tolerierbaren IT-Sicherheitsrisiken
für die PLT-Sicherheitseinrichtung ergeben.
Aus der Perspektive der IT-Sicherheit ist die Praxis der gemeinsamen Nutzung (betriebliche &
Sicherheitsfunktion) risikobehaftet.
page 17 Kruschitz, anapur, NAMUR AK 4.18 Automation Security