Mark Krebs fra Bjerg Arkitektur
Henning Mortensen Produkt- og produktionssikkerhed Produkt og produktionssikkerhed - for forretningens skyld 31. okt 12 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed • Virksomhederne • Borgerne • Offentlig sektor Privacy 2 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Internet of Things 3 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Flere huller i ICS 4 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Huller i kritisk infrastruktur 5 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Stigende tendens 6 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Google for scada-sårbarheder 7 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Hacktivisme, internationale giganter 8 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Hacktivisme, regeringer 9 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Hacktivisme - Sverige 10 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Hacktivisme, Anonymous 11 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Gammeldags terror - lidet sandsynligt …fortsat alvorlig terrortrussel mod Danmark… - PET 12 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 ”Cyberwar” - Estland 13 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Stuxnet mod Iran 14 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Stuxnet andre steder 15 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Stuxnet familien: Duqu, Flame, Gauss 16 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Modangreb: Shamoon, (Wiper) 17 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Digitalt Pearl Harbour 18 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Offensiv ”Cyberwar” i USA 19 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Offensiv ”Cyberwar” i Danmark 20 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Angreb på ICS 21 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Cyberwar – total begrebsforvirring • Cyberwar • Cyberspionage • Cyberterror • Cyberaktivisme • Cybervandalisme 22 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Spionage – Kina vs. NYT 23 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Spionage – Kina vs. Verden??? 24 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Pacemakere kan hackes… 25 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 … og dræbe 26 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Insulinpumper kan hackes 27 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Forbrugerprodukter: Bil 28 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Forbrugerprodukter: Sony playstation 29 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Forbrugerprodukter: Samsung TV 30 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Opsummering - tendenser Teknologisk udvikling: IoT Flere sårbarheder, med ICS som nyt fokusområde Cyberaktivisme, hacktivisme Oldschool terror Cyberwar Meget avanceret kode Cyberspionage Sårbare produkter + alt det gamle fra kontormiljøet: spearphishing, BOTs, osv Ekstrem professionalisering Motiver: Penge, idealisme, nationalisme (politik og konkurrence) 31 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 KF - USA 32 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 KF - Tyskland 33 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 KF – Danmark 34 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 KF – EU 35 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V1 - få det på ledelsens dagsorden Udpeg sikkerhedsansvarlige for kontor, produktion, fysiske rammer og produkter Sikkerhedsorganisation med funktionsadskillelse Sikkerhedspolitik med uddybende retningslinjer med kontroller det hele baseret på en risikoanalyse Overholdelse af regulering Klarhed over egne produkters sikkerhed 36 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V2 - Produktionschefen Tekniske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø • Netværkssegmentering • Kortlægning af alle forbindelser og implementering af firewalls • Anvendelse af DMZ (produktionsmiljøet må ikke være direkte på internettet) • Envejskommunikation, logning, IDS/IPS • Penetrationstests • Klassifikation og kryptering af trafik • Sikkerhedskopiering (data og systemer) • Opsamling af hændelser • Redundans af kritiske komponenter • Mulighed for sikkerhedspakker • Driftsafviklingsprocedurer (hvem må hvad) og kapacitetsplanlægning • Aktuelt vidensniveau 37 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V2 - Produktionschefen Krav til (interne og eksterne) leverandører af udstyr til produktionsmiljøet • Procedurer for indkøb og krav • Krav i form af certificeringer • Leverandører skal overholde sikkerhedspolitikken • Forudgående sårbarhedsanalyse • SLA (med bl.a. disse krav) • Opdateringer og tests • Vurdering af åbne bagdøre 38 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V2 - Produktionschefen Organisatoriske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø • Samarbejde på tværs blandt sikkerhedsansvarlige • Holistisk sikkerhedspolitik med retningslinjer • Identifikation, dokumentation og klassifikation af alle aktiver • Udpegelse af ejere • Risikoanalyse for aktiver • Procedurer for genanvendelse og afskaffelse 39 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V2 - Produktionschefen Overordnede holistiske sikkerhedskrav • Sikkerhedsarbejdet skal skabe værdi • Holisme • Samarbejde • Faglige kvalifikationer • Autoriseret med de rette privilegier • Procedurer for adgang • Fysisk sikringsplan • Fysisk adgangskontrol • Funktionsadskillelse • Beskyttelse af elektronisk perimeter • Procedurer for hændelser • Beredskabsplan • Overholdelse af lovgivning 40 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 V4 - Produktchefen Produktsikkerhed • Common Criteria certificering • Udveksling af nøgler mellem produktets elementer • Penetrations- og sårbarhedstest • Firewalls på lokale enheder • Følg trusselsbilledet og isoler produkter 41 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Vi bør ikke sidde det overhørig 42 Henning Mortensen Produkt- og produktionssikkerhed 31. okt 12 Kontakt Henning Mortensen [email protected] 43
© Copyright 2024