Cyber Security für funktionale Sicherheit Sicht der ...conference.vde.com/fs/2017/Vortragsfolien/Documents/Cyber Security für funktionale... · Cyber Security für funktionale Sicherheit

Cyber Security für funktionale Sicherheit

Sicht der chemischen IndustrieErwin Kruschitz, NAMUR AK 4.18

Leiter anapur AG 22.03.2017

Kruschitz, anapur, NAMUR AK 4.18 Automation Security1

ANAPUR PERSÖNLICH

Erwin Kruschitz

Firma: anapur AG

Alter: 49

Funktion: Gründer, Inhaber

Expertise:

• Assessments & Consulting Services:IT-Security, GMP, Functional Safety

• Industrial Automation, Manufacturing Execution

Mitgliedschaften:

• NAMUR AK 4.18 Automation Security

• Allianz für Cyber Security

• ISPE / GAMP D-A-CH SIG OSS

• IEC62443/ISA99 Arbeitsgruppe

Kruschitz, anapur, NAMUR AK 4.18

Automation Security2

NAMUR Sub- AK 4.18 erarbeitet NA163

Mitglieder:

P. Baum, TÜV Nord

M. Draxelbauer, Wacker Chemie AG

Dr.-Ing. M. Floeck, anapur

Dr.-Ing. S. Fischer, BASF SE

V. Hensel, Bundesamt für Sicherheit in der Informationstechnik

Dr.-Ing. T. Kleinert, BASF SE

T. Leifeld, TU Kaiserslautern

U. Menck, DOW Chemicals

M. Messner, Wacker Chemie AG

Dr.-Ing. B. Schrörs, Bayer AG

D. Hablawetz, BASF SE

J. Wiesner, Bundesamt für Sicherheit in der Informationstechnik

D. Winkel, Bayer AG

Obmann:

E. Kruschitz, anapur

page 3 Kruschitz, anapur, NAMUR AK 4.18 Automation Security

LT

LIC

Normale Automatisierungsfunktion

Kruschitz, anapur, NAMUR AK 4.18 Automation Securitypage 4

LT

LIC

LT

Compare

Alarm

PLT-Sicherheitseinrichtung


IEC 61511 - risk assessment für SIS erforderlich


IEC 61511 Ed. 2.0

8.2.4 A security risk assessment shall be carried out to identify the security vulnerabilities of the SIS.

It shall result in:

a description of the devices covered by this risk assessment (e.g., SIS, BPCS or any other device connected to the SIS);

a description of identified threats that could exploit vulnerabilities and result in security events (including intentional attacks on the hardware, application programs and related software,

as well as unintended events resulting from human error);

a description of the potential consequences resulting from the security events and the likelihood of these events occurring;

consideration of various phases such as design, implementation, commissioning, operation, and maintenance;

the determination of requirements for additional risk reduction;

a description of, or references to information on, the measures taken to reduce or remove the threats.

Sicht der Betreiber:

keine Kompromisse bei der funktionalen Sicherheit (Safety) in

der Prozessindustrie

Maßnahmen / Aktionen notwendig

Regelwerke liefern keine einfachen Lösungen

Richtlinien und Regeln

IEC 61508, IEC 61511, IEC 62443

ISO/IEC 2700x, VDI/VDE 2180, VDI/VDE 2182

Verordnungen

IT-Sicherheitskatalog, 12.BImSchV.

BetrSichV

Gesetze

BSI-Gesetz,

IT-Sicherheitsgesetz,

Energiewirtschaftsgesetz,

KonTraG, Aktiengesetz,

GmbH-Gesetz,

BImSchG

Herausforderung der

Betreiber:

Die hohe Anzahl und

Vielfalt der verfügbaren

Regelwerke, White

Papers, Hersteller

Publikationen, usw.

erschwert den Blick auf

das Wesentliche und

Machbare

Namur Sub AK 4.18 erstellt NAMUR NA 163, das „Security for Safety“

für den Betreiber umsetzbar macht.

???wie

gehen wir

es an …


These: jede PLT-Sicherheitseinr. ist „Connected“


• direkt permanent:

Datenaustausch mit BPCS und PIMS

• direkt temporär:

Engineering Systeme für Safety

PLC, Sensoren und Panels

• indirekt:

USB Sticks

mobile Festplatten

Hersteller CDs

Backup Systeme

weitere

Fazit: Cyber Bedrohungen von PLT Sicherheitseinrichtungen sind ein

realistisches Szenario.

Prozessrisiken (was kann passieren?)

•Personenschaden,

•Umweltschaden,

•Finanzieller Schaden,

•Image-Schaden,

•Strafverfolgung


Auswirkung - Risiko

LT

LIC

LT

Compare

Alarm

1) spurious safe trip

2) passive SIS failure (undetected)


Auswirkung - Risiko

3. komplexer Angriff


PZ+

LZ-

Auffangbecken

Stoff 2

Stoff 1

Produkt

FC

FC

FC

Manipulation des SIS gefährdet Safety-

Funktion

Beschreibung Auswirkung Komplexität der

Manipulation

1PLT-Sicherheitsfunktion (Safety Instrumented Function, SIF) löst aus

ohne Anforderung.

Nicht gefährlich im Sinne der

Funktionalen Sicherheit, aber

Betriebsunterbrechung

einfach

2

SIF deaktiviert. Abschaltung findet nicht statt. Allerdings: ein nicht

akzeptables Ereignis würde erst dann eintreten, wenn der

Anforderungsfall eintritt.

gefährlich komplex

3

SIF deaktiviert und gleichzeitig vorsätzliches Herbeiführen des

Anforderungsfalles (z.B. durch Manipulation der PLT-

Sicherheitseinrichtung) führt sofort zu nicht akzeptablem Ereignis.

gefährlich sehr komplex


Integrität

Verfügbarkeit

Vertraulichkeit

SIS SecurityDie Manipulations-Sicherheit

des SIS hat höchste Priorität

NA163 Verfahren Risiko-Beurteilungnach IEC 62443 3-2, VDI/VDE 2182, ISO 27005

• Ziel

• in einem Tag pro System machbar

• ohne tiefe Cyber Security Kenntnisse

• zufriedenstellende Ergebnisse liefert

abgedeckt durch NA 1x pro SIS


Gliederung der Maßnahmen-Checkliste


Frage Nr. 1: Kennen wir das System ?

Gem. IEC 61511 eine Beschreibung der Geräte, …

Hardware

Software

Daten

Personen

Organisationen


Sicherung von Verbindungen

1. Vorliegen einer Sicherheits-/Risikobeurteilung des Kommunikationspartners

2. Plausibilisierung (z.B. Kurzschluss, Drahtbruch und logische Plausibilisierung (z.B. gegen

Betriebszustände o.ä.))

3. Authentifizierung der Kommunikationspartner und/oder Verschlüsselung der Daten bzw. Werte

4. Verbindungsaufbau nur von innen (Zonen A & B) nach außen (Zone C)

5. Steuerung der erlaubten Verbindungen (Ports, IPs, MAC-Adressen) durch z.B. Firewall

6. Passive Überwachung der Nutzdaten u. Anomalieerkennung (z.B. Deep Packet Inspection)


Kommunikation zwischen Zone(n) … und Zone(n) …

Analoge oder digitale I/Os ohne HART

Protokollbasierte Punkt-zu-Punkt-Verbindung (IP, HART, Modbus, Profibus, …)X

Netzwerk bzw. Bus (> 2 Teilnehmer)

Physisch stark gesichert

Physisch nicht gesichert

Physisch stark gesichert

Physisch nicht gesichert

Physisch stark

gesichertPhysisch nicht gesichert

(A v B) <--> (A v B)

(A v B) <--> C 1 2 3 4 5 6

O X - - - -

1 2 3 4 5 6

O X - - - -

1 2 3 4 5 6

X X O O O O

1 2 3 4 5 6

X X X X O O

1 2 3 4 5 6

X X O O X O

1 2 3 4 5 6

X X X X X X

1 2 3 4 5 6

- O - - - -

1 2 3 4 5 6

- X - - - -

1 2 3 4 5 6

- O O - N O

1 2 3 4 5 6

- X O - O O

1 2 3 4 5 6

- O O - N O

1 2 3 4 5 6

- X X - X O

Lösung für gemeinsam genutzte Komponenten

1) Die Komponente ist im Management System der Funktionalen Sicherheit

eingebettet (d.h. ist validiert UND unterliegt – auch für den nicht sicheren Teil –

dem Change Management).

2: Der NACHWEIS wird erbracht, dass innerhalb der gemeinsam genutzten

Komponente eine – unter IT-Sicherheits- Gesichtspunkten- hinreichende

Trennung und Unabhängigkeit zwischen dem „sicheren“ Teil und dem

„betrieblichen“ Teil vorliegt. (Voraussetzung ist hier, dass der Nachweis der

Konformität zu IEC 61508 oder IEC 61511 vorliegt.)

Lösung 3: In einer IT-Risikobeurteilung wird schriftlich dokumentiert, dass sich

durch die gemeinsame Nut-zung keine nicht tolerierbaren IT-Sicherheitsrisiken

für die PLT-Sicherheitseinrichtung ergeben.

Aus der Perspektive der IT-Sicherheit ist die Praxis der gemeinsamen Nutzung (betriebliche &

Sicherheitsfunktion) risikobehaftet.


NA163 wird ab Q2/2017 verfügbar sein.

Vielen Dank für Ihre Aufmerksamkeit!

Erwin Kruschitz, anapur AG, NAMUR AK 4.18

NAMUR AK 4.18 Automation Security
