Ronca Vito

Service Manager Operations

Emerson Process Management

Italia

Emerson e Cyber Security• Nel settore industria ed energia, unodei punti critici da un punto di vista CybSec è il sistema di controllo edautomazione degli impianti

• EPM fornisce sistemi per oltre 2 miliardi di dollari all’anno in tutto ilmondo, ha specializzato unacompetenza specifica in materia diCybSec, ed ha costituito un proprioCyber Emergency Response Team

• Focus:• Centrali Elettriche, grazie al driver del Nucleare, con oltre 1 TWe in tutto ilmondo• Grandi impianti strategici: raffinerie, upstream, chimici,• Sistemi di trattamento e gestione acque

Flow

Measurement

& Analytical

Final

Control

23%

27%

25%

$8.6B

25%

System &

Solutions

Investimenti in Tecnologia e sviluppo (2013):• $808 milioni in Ingegneria e sviluppo• 9066 personale nella ricerca e sviluppo• 32% di nuovi prodotti / totale vendita• 1646 nuovi brevetti acquisiti nel 2013

Minaccia Cyber Security

Umana

Dolosa

Dall’esterno

come

crackers or

hackers

Non dolosa

Dipendenti e

personale

esterno

Dall’interno

come

personale

scontento/

insoddisfatto

Naturale

Accidentale

Esplosioni,

Guasti

Disastro

Alluvioni, Incendi

terremoti, Uragani

Aree di interesse

Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)

• Si assume che qualcun’altro (come il reparto IT) si stia occupando della sicurezzadel sistema di controllo di processo.

• Su incidenti legati alla Cyber Security non viene effettuata una analisiapprofondita delle cause.

• Mancanza di “Politiche e procedure” di gestione delle sicurezze del sistema dicontrollo.

• Si “assume” che le soluzioni di sicurezza dell’IT possono essere applicabili su un sistema di controllo di processo.

• Affrontare le soluzioni di cyber security in “maniera frammentata”.

Le 10 principali sottovalutazioni sulla Cyber Security nell’automazione

• Si dimenticano gli aspetti umani della cyber security.Una buona politica di sicurezza parte assicurandosi che tutto il personale, la direzione e le società che lavorano negli impianti comprendano e seguano sempre le appropriate pratiche24/7/365.

• Progettare la rete del sistema di controllo senza considerare architetture di difesasufficientemente approfondite.

• Una gestione “povera” degli aggiornamenti (Patching) per applicazioni sui sistemidi controllo di processo. Molte aziende hanno dei sistemi automatici per il patching dei sistemi gestionali ma dimenticano l’importanza delle applicazioni software per la gestione dei sistemi di controllo.

• Non vengono usati stumenti per individuare attività non autorizzate oppure non cisono procedure che assicurano che tali strumenti vengano utilizzati regolarmente.

Spesso ci sono molti Firewall negli impianti che registrano informazioni che non vengono maicontrollate. E’ come installare un antifurto e non attivarlo.

• Permettere un’accesso remoto al sistema di controllo senza creare ed applicare un sistema di controllo di accessi appropriato.

Le 10 principali sottovalutazioni sulla Cyber Security nell’automazione

*By Eric Byres. Originally published by ChemicalProcessing.com.

Information Exchange

• Assess • Solve

Periodic Audits

• Improve

Cyber Security Management

SecuritySolutions

Soluzioni per incremento del livello di

sicurezza• Automated Patch Management

• Disaster Recovery / Backup & Recovery

• System Health Monitoring

• Smart Firewalls w/ Intrusion Detection

• Spare Parts Management

• Smart Switches and Controller Firewalls

• Guardian Support

• Evergreen System Upgrades

• Remediation Services

Quanto è sicuro il sistema di controllo?

Dove siamo vulnerabili per un attacco informatico?

Quanto è noto cosa fare?

Quali fasi devono essere seguite per prevenire eventuali

attcchi informatici?

CyberAssessment

Analisi e valutazioni Cyber Security• Basic Cyber Assessment & Report

• Advanced Cyber Assessment & Report

• Cyber Security Remediation Analysis &

Recommendations

Required Security Features

Product

DevelopmentProject

ImplementationSolution

Maintenance

• Account Management

• Firewalls

• Anti-virus Software

• O/S Security Patching

• Backup/Restore Management

• Configuration Management

• Security Incident Handling

Required Security Features

• Trained Staff

• Security Contact

• Segmented Network Design

• Risk Assessment and Identification of Sensitive Data

• Access restrictions on external interfaces

• Hardening of Workstations, Networks, Databases, comms, etc.

• Installation of Anti-virus Software and Security Patches

• Setup of Accounts and Passwords

Product

Development Project

ImplementationSolution

Maintenance

Required Security Features• Keep current with patches, hotfixes, and Anti-virus updates

• Perform Backups and Restores

• Maintain Firewall Rules

• Maintain Account and Password Security

• Perform network scans to detect unwanted devices/workstations

• Verify that security has not degraded

• Monitor and manage security incidents

• Security Incident Handling

Product

DevelopmentProject

Implementation Solution

Maintenance

Layered Network Security

InternetMantenere una separazione tra le reti d’impianto

La sicurezza per sistemi critici è creata da:• Mantenimento dei livelli o aree di

sicurezza

• Restrizioni di accesso tra le aree

• Stretti controlli di accesso ad utenti e

applicazioni

Le soluzioni di Cyber security

Dovrebbero essere concentrate

per proteggere le

apparecchiature nell’area del

controllo di processo.

Summary

• Non è possibile rimuovere tutte le incertezze e i rischi in ogni impianto ma applicando gli strumenti corretti è possibile ridurre i rischi rimanenti.

• Bisogna mitigare i rischi e quindi assicurarsi che tutto ilpersonale operante segua al meglio le indicazioni e procedure definite per proteggere al meglio gliinvestimenti e la produttività del sistema di controllo.

• Verificare costantemente tutto il processo per assicurarsiche ogniuno stia facendo la propria parte anche nellepiccole azioni necessarie.

Domande?