diapositiva 1 - epcc workshop 2019 11 chavero (p).pdfinstalled capacity total production 2000 2010...
TRANSCRIPT
May-2011
Miguel Chavero
CISSP #122240
2
“Security is not a product, is a process”
What is information security? ISO/IEC 27001
“Information is an asset that, like other important business assets, is essential to an organization’s business and consequently needs to be suitably protected. This is especially important in the increasingly interconnected business environment. As a result of this increasing interconnectivity, information is now exposed to a growing number and a wider variety of threats and vulnerabilities”.
3
IBERDROLA
IBERDROLA & Thermal Stations
The Sector
The Goal
AURA Project
Conclusions
Q&A
Installed Capacity Total Production
20102000
+146% 40.822
7.949
12.731
20.131
16.569
123.460
2000 2010
51.169
+141%
40.822 MW16.000 MW x 2 +
Hydraulic: 50%
Renewable: 3%
Nuclear: 20%
Power Station (coal and fuel): 27% Cogeneration: 1,5%
Combined Cycles: 31%
Power Station(coal and fuel): 15%
2010
Hydraulic: 23,5%
Renewable: 20%
Nuclear: 8%
TARRAGONA POWER
400 MW , 1FA
CASTELLÓN A
800 MW, 209FA
ESCOMBRERAS
800 MW, 209FB
SANTURCE
400 MW, 109FA
ACECA
400 MW, 109FA
ARCOS III800 MW, 209FB
ARCOS I y II800 MW, 2X109 FA
Total:
5.600 MWCASTEJÓN
400 MW, 109FA
CASTELLÓN B
800 MW, 209FB
We lead the construction of combined cycle power plants on Spain…
Hydraulic: 8839 MWNuclear: 3344 MWCoal: 1253 MWFuel Oil: 1803 MWCogen.: 380 MWRenewable: 4725 MW
• Joined EPRI Program 86 EIS (Energy Information Security) on2005.• AURA project developed on 2005 (CyberSecurity Assesmenton CCGT’s).•PERIN project (Internal Perimeter Security) developed on 2006 in España y Brasil• NELIB CyberSecurity group created on 2006.•UNE 27001 training courses. AENOR auditor certified.•CISSP (Certified Information System Security Professional).• CyberSecurity Plan developed and approved.•PowerSec EPRI project(CyberSecurity Benchmarking) on 2007.• AURA.XXXX projects started on 2007.
¡¡More than 5 years working on CyberSecurity!!
CHRONOLOGY
Escombreras 6800 MW
Nov’06
Castellón 3800 MW
Sep’02
Tarragona Power400 MW
Ene’04
Castejón 1400 MW
Abr’03
Santurce 4
400 MW
Ene ‘05
Aceca 3400 MW
Jun’05
Arcos 1 y 2800 MW
Dic’04
Arcos 3800 MW
Jun’05
Castellón 4850 MW Dic´07
EW Cartagena150 MW
Jul’10
CT Velilla400 MW
Jun’09
CT Lada400 MW
Jun’09
CT Pasajes200 MW
Jun’09
CN Cofrentes1.100 MW
Sep’10
EW Vitoria, Aranda , Valladolid
150 MW
Jul’10Monterrey III 1000 MW
Jun’02
Termopernambuco500 MW
Feb’04
Altamira III y IV
1000 MW
Nov’03
La Laguna 500 MW
Tamazunchale1000 MW
Junio’07
Altamira V1000 MW
Jun’06
CC Riga400 MW
OUR SECTOR
-After 11-S, USA “Homeland Security” raised.-Since 2006 ->“MANDATORY” standards (CIP 002-09).- Since 2008 -> Nuclear CyberSecurity Standards.- Since 2010 -> SmartGrid Standards (NISTIR 7628 Vol 1-3)- ¡¡1M USD / day penalties!!-Europe is on-hold. UK leading standar process. - Spanish “Critical Infraestructure Protection law” released April2011.- On 2-3 years, probably European standars will come
¡¡ Our sector will introduce CyberSecutiry Standards on a short period of time!!
CONTEXT
11
Inserción Código Malicioso por la CIA en
URS (1982)
Hacking en operadora telecomunicaciones
USA (1997)
Empleado Interno en planta de agua
Australia (2001)
Virus en Central Nuclear
USA (2003)
12
• NRC Order EA-02-026, Interim Safeguards and Security Compensatory Measures for Nuclear Power Plants in February 2002
• NRC Order EA-03-086, Design Basis Threat for Radiological Sabotage, was released in April 2003
• NUREG/CR-6847, Cyber Security Self-Assessment Method for U.S. Nuclear Power Plants
• NEI 04-04 Rev. 1, Cyber Security Program for Power Reactors(November 2005)
• NEI 08-09 Cyber Security Plan for Nuclear Power Reactors, Rev 6.
• Regulatory Guide (RG) 1.152 Rev. 2, Criteria for Use of Computers in Safety Systems of Nuclear Power Plants.
• Branch Technical Position (BTP) 7-14 Rev. 5, Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems.
13
Awaiting release:
• 10 CFR 73.54, “Protection of Digital Computer and Communication Systems and Networks.”
• Draft Regulatory Guide DG-5022 “Cyber Security Programs for Nuclear Facilities”
¡¡ CyberSecurity is knocking on the door !!
WAN
DCG
Otras
Redes
Gobierno
Casetas
GE
Atlanta
WAN
IBERDROLA
DNBTP0971WV
CP
DNBTP0971WV
CP
DNBTP0971WV
CP
GT
HMI HMI
AW AW
ST
PDA VIB PI
UDH/
ArcNet
PDH
NODE
BUS
PC-PLC
PC-PLC
MEDIOAMBIENTE
Contramedidas
Punto Acceso #2:
NINGUNA
Contramedidas
Punto Acceso #3:
NINGUNA
Contramedidas
Punto Acceso #4:
NINGUNA
ADH
Fabricante
OSM
PLC
CEMS
Contramedidas
Punto Acceso #1:
Firewall’s
IT-MONITOR
INTERNET
Host
Contramedidas
Punto Acceso #5:
VPN’s
Contramedidas
Punto Acceso #6:
NINGUNA
Router
RTU
16
To perform a risk assesment on CCGT’s network and control systems todevelop a Cybersecurity Improvement Plan
¡RISKS!
Impact on yourassets
Consecuences on yourprocess ¡ACTIONS!
17
ISO StandarsISO 17799 Catalogue of 133 security controlsISO 27001 ISMS – Information Security Management System (ISO27xxx)ISO 17766 Guidelines on tools and techniques for hazard identification and risk assessment
NERC: Critical Infrastructure ProtectionCIP02-09 182 security controlsPhysical and Cyber Alarm at YELLOW level since 2004 (ES-ISAC)
CEE: European Program for Critical Infrastructure ProtectionEPCIP PolicyCIWIN Critical Infrastructure Warning Information Network
EPRI:EIS Program 86: Energy Information Security.EPRI PowerSec Initiative: Cyber Security Vulnerability AssesmentSANS Training courses,SCADA Security meetings and others
18
Risk Level Action
6 Required
8 threats generating the most important risks
Amenaza Máx de Riesgo Suma de Riesgo
Introduction of Damaging or Disruptive Software 6 406
Communications Manipulation 6 157
Masquerading of User Identity by Outsiders 6 81
Terrorism 6 77
Masquerading of User Identity by Insiders 6 61
Water Damage 6 58
User Error 6 40
Wilful Damage by Outsiders 6 49
TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.PERIN
Año: 2006, 2007 y 2008. Objeto: Securización perimetral redes de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Firewall – 1 con appliances Nokia (en redundancia). Suministrador principal: SATEC. Previsión 2009: Instalación en Centrales Térmicas Carbón (CT Lada, CT Velilla y CT Pasajes). INSTALADO. Previsión 2010: Instalación en Cogeneración de Cartagena.
AURA.DETIN Año: 2008. Objeto: Detección de intrusión en redes de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: NIDS y HIDS. Suministrador principal: Industrial Defender Inc. Previsión 2009: Conexión con Consola Central Corporativa (ArcSight). REALIZADO. Previsión 2010: Ajustar y depurar sistema de reporting de eventos.
AURA.ARMIA Año: 2007. Objeto: Suministro armarios ignífugos. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: Armarios antimagnéticos e ignífugos. Suministrador principal: PROFINSA. Previsión 2009: Proyecto CERRADO.
TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.SECAR
Año: 2008. Objeto: Securización acceso remoto a redes de control y del CMDS con doble factor (RSA). Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Llaves RSA OTP (On-Time Password). Suministrador principal: SATEC. Previsión 2009: Despliegue a todas las centrales (actualmente sólo dos centros en marcha). CERRADO. Previsión 2010: Incluir a las Centrales Térmicas de Carbón (CT Lada, CT Velilla y CT Pasajes).
AURA.ENCRIPTA Año: 2007. Objeto: Encriptación comunicaciones entre ciclos combinados y el CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: IPSec con VPN Network-to-Network. Suministrador principal: SATEC Previsión 2009: Proyecto CERRADO (se incluyeron las centrales térmicas de carbón).
AURA.CABSE Año: 2007. Objeto: Protección física cableado de red en sistemas críticos de proceso. Alcance: Todos los Ciclos Combinados de España. Tecnología empleada: Capuchones con llave en cableado RJ-45. Suministrador principal: CIVERA TECNOLOGICA. Previsión 2009: Proyecto CERRADO.
TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.LABCON
Año: 2008 y 2009. Objeto: Implantación laboratorio control DCS y Control Turbina. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Cabinas DCS y Mark VI TMR. Suministrador principal: INVENSYS y GENERAL ELECTRIC. Previsión 2009: Instalación Mark VI TMR. REALIZADO. Previsión 2010: Instalación PCS-7 SIEMENS.
AURA.NETMON Año: 2008 y 2009. Objeto: Monitorización redes y sistemas de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: IT Monitor de OSI Soft Inc. Suministrador principal: CIVERA TECNOLOGICA S.L. Previsión 2009: Finalizar proyecto. CERRADO (se incluyeron las centrales térmicas).
AURA.ANVIR Año: 2008 y 2009. Objeto: Automatización ficheros distribución de firmas de antivirus en estaciones DCs y HMI’s. Alcance: Todos los Ciclos Combinados de España y Brasil. Tecnología empleada: FTP seguro. Suministrador principal: CIVERA TECNOLOGICA. Previsión 2010: Distribución fichero en HMI’s de GENERAL ELECTRIC.
TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.BACON
Año: 2008 y 2009. Objeto: Implantación sistema gestión identidades. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Cyber-Ark. Suministrador principal: E-ONE SECURITY. Previsión 2009: Implantación proyecto. IMPLANTADO (Ver RT
AURA.DIALUP Año: 2009. Objeto: Securización acceso dial-up Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: En estudio. Suministrador principal: N/A. Previsión 2010: Migrar los accesos remotos de los sistemas medioambientales a FTP + Control PERIN
TECHNOLOGICAL PROJECTS RELATED UPGRADE DCS
Año: 2008 y 2009. Objeto: Upgrade del HW/SW de las estaciones del DCS. Alcance: Todos los Ciclos Combinados de España. Tecnología empleada: -. Suministrador principal: INVENSYS. Previsión 2009: Implantación en “sites” pendientes. REALIZADO.
MANTENIMIENTO RUTINA HMI’s Año: 2008 y 2009. Objeto: Implantación herramientas mantenimiento rutina en HMI’s (backup’s, antivirus, upgrades, IDS,
etc…). Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: -. Suministrador principal: GENERAL ELECTRIC. Previsión 2009: Implantación en “sites” pendientes. REALIZADO.
GERES Año: 2007 y 2008. Objeto: Conexión High Speed securizada con General Electric para prestación “Remote Services”. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: VPN Network-to-Network. Suministrador principal: GENERAL ELECTRIC. Previsión 2009: Proyecto CERRADO.
MANAGEMENT PROJECTS FROM AURA ASSESMENT AURA.ANVUL
Año: 2007. Objeto: Análisis de vulnerabilidades (Hacking ético) Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS (análisis realizado en CICAS y
CMDS). Suministrador principal: Industrial Defender Inc.
AURA.DOCU Año: 2007. Objeto: Documentación unificada de redes de control de ciclos combinados y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: CIVERA TECNOLOGICA.
AURA.DAPLI Año: 2008. Objeto: Documentación de aplicaciones y flujos de datos. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: CIVERA TECNOLOGICA.
AURA.c-FoxSec y AURA.c-MarkSec Año: 2008. Objeto: Creación grupos de trabajo de ciberseguridad con suministradores principales del sistema de
control. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: INVENSYS y GENERAL ELECTRIC.
MANAGEMENT PROJECTS RELATED GESTIÓN PARCHES EN DCS
Año: 2007. Objeto: Procedimiento para la gestión de parches de sistema operativo en el DCS. Alcance: Todos los Ciclos Combinados de España.
GESTIÓN CLAVES EN SISTEMA DE CONTROL Año: 2007. Objeto: Procedimiento para la gestión de contraseñas en equipos críticos. Alcance: Todos los Ciclos Combinados de España.
CALCO Año: 2007 y 2008. Objeto: Automatización de la generación de los lógicos de control del DCS. Alcance: Todos los Ciclos Combinados de España. Suministrador principal: CONTROMATION.
MANAGEMENT PROJECTS RELATED GESTIÓN PARCHES EN DCS
Año: 2007. Objeto: Procedimiento para la gestión de parches de sistema operativo en el DCS. Alcance: Todos los Ciclos Combinados de España.
GESTIÓN CLAVES EN SISTEMA DE CONTROL Año: 2007. Objeto: Procedimiento para la gestión de contraseñas en equipos críticos. Alcance: Todos los Ciclos Combinados de España.
CALCO Año: 2007 y 2008. Objeto: Automatización de la generación de los lógicos de control del DCS. Alcance: Todos los Ciclos Combinados de España. Suministrador principal: CONTROMATION.
WAN
DCG
Otras
Redes
Gobierno
Casetas
GE
Atlanta
WAN
IBERDROLA
DNBTP0971WV
CP
DNBTP0971WV
CP
DNBTP0971WV
CP
GT
HMI HMI
AW AW
ST
PDA VIB PI
UDH/
ArcNet
PDH
NODE
BUS
PC-PLC
PC-PLC
MEDIOAMBIENTE
Contramedidas
Punto Acceso #2:
NINGUNA
Contramedidas
Punto Acceso #3:
NINGUNA
Contramedidas
Punto Acceso #4:
NINGUNA
ADH
Fabricante
OSM
PLC
CEMS
Contramedidas
Punto Acceso #1:
Firewall’s
IT-MONITOR
INTERNET
Host
Contramedidas
Punto Acceso #5:
VPN’s
Contramedidas
Punto Acceso #6:
NINGUNA
Router
RTU
WAN
DCG
Otras
Redes
Gobierno
Casetas
WAN
IBERDROLA
DNBTP0971WV
CP
DNBTP0971WV
CP
DNBTP0971WV
CP
GT
HMI HMI
AW AW
ST
PDA VIB PI
UDH/
ArcNet
PDH
NODE
BUS
PC-PLC
PC-PLC
MEDIOAMBIENTE
Contramedidas
Punto Acceso #2:
Migrar a conexión Red
a Red
Contramedidas
Punto Acceso #6:
A estudiar
Contramedidas
Punto Acceso #3
y #4:
RAS con CHAP
ADH
Fabricante
OSM
PLC
CEMS
Contramedidas
Punto Acceso #1:
Firewall’s +
Doble Factor +
Encriptación +
Detección Intrusión
IT-MONITOR
INTERNET
Host
Contramedidas
Punto Acceso #5:
VPN’s +
Doble Factor
RAS
Router
RTU
?
AURA.PERINAURA.DETIN
AURA.SECAR/GESURAURA.ENCRIPTA
AURA.SECAR/GESUR
AURA.ANVIRAURA.CABSE
AURA.NETMON
GERES-RT134
AURA.DIALUP
PDTE.
29
DCS MKVI de GETurbogrup
DCS I/A InvensysBOP & Boiler
PLC S7400 Siemens
RealPROCESS (Combined Cycels, Coal, Cogen, etc) LABPC with Models using Labview
Real SensorsLAB Field Points - National Instruments
30
NI models + PC LabView with Models
I/O marshallingInvensys FBM 200 Cards
PC
MARS Monitorizacion Avanzada de Redes y Sistemas
(Note: Nothing to do with Cisco MARS)
• What is MARS?– A hollistic approach to Security Monitoring and
Response
• Why MARS?– Because threats are complex, resources are scarce,
and response time is critical
• How is MARS different from standard approaches?– We use both the standard and the most advanced
Security Strategies and Technologies and highly integrate and automate them so they can work together efficiently
• MARS makes use of:
– Availability Monitoring
– NIDS - Network Based Intrusion Detection
– Advanced Network Traffic Monitoring & Analysis
– Honeypots
– SIEM: Log Aggregation, Correlation, Alerting, Reporting & Data Mining
– Incident Response & Forensic Capabilities
• MARS adds a layer of integration and automation:
– Technology Integration
– Process Coordination
– Automated Investigation of Alerts
– Advanced Detection and Response Process Automation
– Automated and Integrated Reporting (real time/daily/weekly)
• Take your time!!!.
• Holistic approach is required.
• Focus on your risks!!!. Each business is different.
• You have to assume some risks (vendor restrictions)
• Recovery Disaster procedures very important (be ready for the impact).
• Forensics tools and procedures.
• Testing facilities is a must.
• There is not a super product. Integration is required.
• Working close to your control system vendors
• Open Source helps – do not miss it!!!.