Teollisuusautomaatiota ja tietoturvaa sivuavia ohjelmia ja hankkeita 24. marraskuuta 2005, Senior Research Scientist Pasi Ahonen, VTT
Sisältö Kansallinen innovaatiojärjestelmä (VTT:n asema) Yleistä taustaa TEKES VETO-ohjelma, Trendejä verkottuneen tuotannon ohjausjärjestelmissä VTT ja tietoturvatutkimus Teollisuusautomaatiota & tietoturvaa sivuavia hankkeita Mm.: Tampereen Teknillinen Yliopisto: Hajautettujen automaatiojärjestelmien sovellukset VTT: SHOPS, IRRIIS Eurooppalaisten rahoittajien tutkimusnäkymiä: EC PASR 24.11.2005 2
Kansallinen Innovaatiojärjestelmä 24.11.2005 3
Innovaatioympäristön toimijoiden resurssit (Lähde: TEKES) Yksityinen Julkinen Suomen Akatemia 185 Yliopistot 976 (443) Ulkomailta 158 VTT 213 (63) Yritysten tutkimus- ja kehitystoiminta 3 528 Ministeriöt, TE-keskukset, sektoritutkimus 302 (229) Tekes 395 Perustutkimus Soveltava tutkimus Tuotekehitys Pääomasijoittajat: Yksityiset 294 Teollisuussijoitus 40 (valtion lisäsijoitus 42) Sitra 32 Keksintösäätiö 5 (4) Finpro 31 (19) Businessenkelit 387 Finnvera 364 (41) Yrityskehitys Markkinointi Kansainvälistyminen Luvut kuvaavat kunkin organisaation toiminnan kokonaislaajuutta miljoonina euroina vuonna 2003. Suluissa on esitetty, paljonko rahoituksesta tulee suoraan valtion budjetista. Tekesin, Suomen Akatemian ja 24.11.2005 4 DM 25736 Keksintösäätiön rahoitus tulee kokonaisuudessaan valtion budjetista. 02-2005 Copyright Tekes
Kansallisen innovaatiojärjestelmän keskeiset toimijat (TEKES) EU:n rakennerahastovarat innovaatiotoimintaan Finnvera Maakuntien liitot TE-keskukset Ammattikorkeakoulut Osaamiskeskukset Teknologiakeskukset Finpro Invest in Finland Sitra Kansallisen innovaatiojärjestelmän keskeiset toimijat Tekes Teollisuussijoitus Pääomasijoittajat Yritykset Businessenkelit Tutkimuslaitokset Yliopistot Suomen Akatemia Opetusministeriö Yritysten panostus innovaatiotoimintaan Järjestöt Keksintötoiminta Patentti- ja rekisterihallitus Muut ministeriöt Panostukset toiminnan kehittämiseen eri sektoreilla, kuten ympäristö, terveys ja liikenne Kauppa- ja teollisuusministeriö Kansallinen julkinen panostus innovaatiotoimintaan ja osaamiseen DM 25736 03-2005 Copyright Tekes 24.11.2005 5 Valtion tiede- ja teknologianeuvosto
Yleistä taustaa 24.11.2005 6
Yleinen järjestelmäevoluutio Monista suljetuista järjestelmistä avataan yhteys julkisiin verkkoihin Vanhoja järjestelmiä pidetään pitkäänkin yllä Uudet, IP-pohjaiset ja yleiskäyttöiset arkkitehtuurit tulevat edelleen valtaamaan alaa Tietoturvalle tulee uusia erityiskysymyksiä!!! 24.11.2005 7
TEKES VETO-ohjelma, Trendejä verkottuneen tuotannon ohjausjärjestelmissä Moderni verkottunut tuotanto: Uusi kriittinen toiminnan pohja ja infrastruktuuri Avoimet rajapinnat Dynaaminen järjestelmä Osittain avointa lähdekoodia hyödyntävä Korvaa erilliset ICT-, web- ja automaatiosaarekkeet Lisäarvopalvelut ja/tai low cost -palvelut Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 8
TEKES VETO-ohjelma, Trendejä verkottuneen tuotannon ohjausjärjestelmissä Esimerkki: Prosessiteollisuuden automaatiojärjestelmien toimittajien tila Palvelin Järjestelmäalustan kehittäminen ja ylläpito korostuu. Mm. Linux:n käyttö kasvanee Ylläpidon apuvälineet: PDA, älypuhelin Ohjelmistoalustat, kuten Symbian, MS, Linux? Low cost trendi Yleistä ICT-teknologiaa ja komponentteja Uusia toimijoita tulee myös automaatiokentälle Voivat olla keskenään eritasoisia Tietoturvauhka Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 9
TEKES VETO-ohjelman painopistealueet Pakettikytkentäisen IP:n (Internet Protocol) laaja-alainen käyttö teollisuusautomaatiossa IETF standardoi IP-protokollia: RFC:t Internet Draft:ien kautta koetellaan uutta ehdotusta käytännössä TCP/UDP TCP/IP suunniteltiin alunperin luotettujen tahojen hallinnointiin. Siksi nykyään saatetaan tarvita (etäkäyttö) NAT, VPN (IPsec/IKE), palomuuri, PKI, SSH, jne. Tulossa myös IPv6, Mobile IP, jotka voivat helpottaa hajautettujen ja mobiililaitteita sisältävien sovellusten kehittämistä ja ylläpitoa Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 10
TEKES VETO-ohjelman painopistealueet Pakettikytkentäisen IP:n (Internet Protocol) laaja-alainen käyttö teollisuusautomaatiossa (jatkuu) UDP on nopeampi kuin TCP, mutta ei uudelleenlähetä kadonneita paketteja Mm. RTPS (Real-Time Publish Subscribe) UDP:n päälle IP kenttäväylätasolle Industrial Ethernet -ratkaisut; >10 erilaista Kenttäväylä sovellustasolle, aikasiivutus, tms. Mahdollisuus integroida kenttälaitteet tehdas ja toimistoympäristön kanssa? Kenttälaitteiden konffaus, monitorointi, valvonta Tietoturva oltava sisäänrakennettuna ratkaisuissa Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 11
TEKES VETO-ohjelman painopistealueet Avoimeen lähdekoodiin perustuva kehitys Toiminta-ajatuksena Veloituksetta laadukas ja luotettava perusohjelmisto. Resurssien oikein kohdennettu käyttö parantaa tietoturvaa. Käyttöjärjestelmät: Mm. BSD, Linux Linux reaaliaikalaajennus olemassa, Mm. Metso Automation DNA-järjestelmässä WWW-palvelimet: Apache, WWW-selaimet: Firefox Tietokannat: MySQL Toimisto: OpenOffice Automaatiojärjestelmien valmistajille yhteinen alusta? Mm. SUN ja IBM tukevat ja käyttävät avointa lähdekoodia omien ratkaisujensa pohjana Yhtiöt ovat vapauttaneet myös ohjelmistopatentteja Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 12
TEKES VETO-ohjelman painopistealueet Avoimet rajapinnat ja standardit Hyödyt: Integrointi, riippumattomuus toimittajasta, O&M Suomessa syntynyt ProEngineering allianssi Tehdas- ja automaatiosuunnittelun ja O&M:n tiedonvaihdon standardisointi Paljon kansainvälisiä standardeja OPC, MIMOSA, ISA, ISO, IEC Tuotantolaitoksen koko elinkaaren hallinta (ISO15926) Tietoturvan haasteena monien standardien tuoman tiedon ja toiminnallisuuden kompleksisuuden hallinta Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 13
TEKES VETO-ohjelman painopistealueet Semanttinen web Informaatiolle annetaan hyvin määritelty merkitys Mm. OPC XML DA (Data Access): Esim. käyttöjärjestelmäriippumaton prosessitiedon välitys esim. automaatiojärjestelmästä toiminnanohjausjärjestelmään (hajautettu) Luvaton puuttuminen toiminnan tai prosessin ohjaukseen? Tietoturvan oltava todella kunnossa kaikilla tasoilla (myös org. taso) Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 14
TEKES VETO-ohjelman painopistealueet O&M Optimoidaan operatiivinen toiminta ja käynnissäpito parhaaseen taloudelliseen tulokseen MIMOSA (Machinery Information Management Open Systems Alliance) Avoimia rajapintoja ja standardeja Tavoitteena mm. tuotantolaitteiston tilasta ja suorituskyvystä saataville tarkka (mittaukset) ja reaaliaikainen informaatio Tietoturvahaasteena ohjaus- ja informaatiojärjestelmien integroiminen Automaatio-, prosessi-, kunnonvalvonta-, kunnossapito- ja toiminnanohjausjärjestelmät Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 15
TEKES VETO-ohjelman painopistealueet Sekä Suunnittelun verkottuminen Turvallisuus Monimutkaiset järjestelmät ja niiden ohjaus Erityisteknologioita RFID Konenäkö Langaton tiedonsiirto Lähde: VETO, Verkottuneen tuotannon ohjausjärjestelmät, TEKES teknologiaohjelmasuunnitelma, 2006-2010 24.11.2005 16
VTT ja tietoturvatutkimus 24.11.2005 17
vertikaaliteknologiat Taustaa: Tietoturvan hallinnan horisontaalisuus Tietoturvan hallinta ja siihen liittyvät tekniset ratkaisut Pohjimmainen syy horisontaalisuuteen: tarve teknisiin tietoturvaratkaisuihin esiintyy lähes kaikkialla missä käsitellään tietoa teknisesti ja/tai ollaan yhteydessä avoimeen tietoverkkoon kuten Internet. 24.11.2005 18
Some important trends from information security point of view (VTT s starting points) 1. DIGITAL CONVERGENCE convergence of services, devices and networks convergence of open and closed systems there is a need for more aggregated security solutions 2. USABILITY usability of security solutions is very important context, semantics, use of metadata in the past, security solutions have suffered from poor usability 3. DEPLOYMENT OF TELECOM SOLUTIONS IN CONVENTIONAL INDUSTRY Security in industry automation especially remote control solutions construction automation, telematics, home automation 4. DEPENDENCIES BETWEEN PUBLIC SECURITY AND INFOSECURITY ARE INCREASING Security of critical infrastructures (energy distribution, critical logistics) information warfare and terrorism 24.11.2005 19
VTT OULU Security team s view to service development Secure (SW) development for all phases in the product development (1) Example of Generation of product idea/concept -phase: Do the threat analysis, define the service and it s usage/users: Solve which interfaces or functions could become a treat and how. Do Threat analysis (root causes), threat tree definitions. Use of experts to estimate threats and solutions. Investigate which threats can realize in practice. Give Risk analysis support. Help to plan/define the secure processes in advance for all the development phases. Find the best applicable communication and security standards. 24.11.2005 20
VTT OULU Security team s view to service development Secure (SW) development for all phases in the product development (2) Example of Service design -phase: Studies to find the suitable and secure technology enablers. Help to educate the tools usage needed to utilize the selected technologies. To carry out pre-studies (using for example reports from earlier pilots). To plan the usability requirements (if applicable). How these can be implemented securely. Help to assure the quality of requirements, implementation plans, test plans, and deployment plans. Audit the proposed development environments and documentation. 24.11.2005 21
VTT OULU Security team s view to service development Secure (SW) development for all phases in the product development (3) Example of Service implementation -phase: Help to study the implementation alternatives. Help to evaluate of the Implementation process (also subcontractor process). Investigate whether the design is modular enough. Estimate the quality of the used cryptolibraries, protocol stacks, other SDKs. 24.11.2005 22
VTT OULU Security team s view to service development Secure (SW) development for all phases in the product development (4) Example of Product testing -phase: Help in robustness testing Help in protocol testing Help in security testing methods development Help in application testing 24.11.2005 23
VTT OULU Security team s view to service development Secure (SW) development for all phases in the product development (5) Example of Enhancing a product -phase: Help to evaluate the design assumptions of the existing product. Help to plan the needed changes to the existing architecture and security services. Help to unify the common functionality. Help to plan for the gradual changes (iterative development). Help to plan log functions etc. for security related data. 24.11.2005 24
Projekteja 24.11.2005 25
HAS Hajautettujen Automaatiojärjestelmien Sovellukset -Katso erilliset kalvot- 24.11.2005 26
VAN Virtual Automation Networks - project Coordinator SIEMENS AG Automation and Drives Wittelsbacherplatz 2 80333 MUENCHEN GERMANY The leading trend in industrial automation is its penetration by IT technologies. IT technologies and concepts do not reach the industrial standards in areas as security, wireless, safety, and real-time. The objective of VAN is to adopt, modify and extend common office/it solutions according to the standards, aiming at real knowledge-based, intelligent, agile manufacturing enterprises. This implies new dimensions in the horizontal and vertical integration between office and industrial automation domains. 24.11.2005 27
Käynnissä olevia VTT:n projekteja, joista voi olla hyötyä teollisuusautomaatiolle 24.11.2005 28
Some project references, on-going joint projects Example projects funded by TEKES and EC presented in the following slides: MAGNET (My Personal Adaptive Global Net), EC IST 6FP, security solutions in wireless technologies SHOPS (Smart Home Payment Services), Eureka ITEA, 7/2004-6/2006 payment services, identity management, value networks, SSO SONET (Secure Self-Organised Mobile Networks), TEKES NETS, 1/2004-12/2005, AAA solutions, security in mobile ad hoc networks EU-deep (EUropean Distributed EnErgy Partnership), EC FP6, Will help the large-scale implementation of distributed energy resources in Europe) 24.11.2005 29
SONET (Secure Self-Organised Mobile Networks) 2004-2005 CN Security Internet Routing Self-Organization AP Mobility Ad Hoc Domain Office Home Session Continuity BAN/PAN Special enviroments e.g. mil Vechicle 24.11.2005 30
Valmisteilla olevia VTT projekteja 24.11.2005 31
Some VTT projects under preparation Example projects under preparation: IRRIIS (Integrated Risk Reduction of Information-based Infrastructure Systems), 1/2006-12/2008, security and cross-dependencies in critical infrastructures (electricity distribution) -Confidential, 7/2006-6/2008, platform security, AAA MOBICOME, mobile security TNT, 1/2006-12/2007, security testing and monitoring SmartTouch, RFID security (a task in the project concentrating to RFID in general) Lawful Interception, lawful interception technologies and legal aspects ETÄMOTTI, Etäohjauksen ja monitoroinnin tietoturva Various other projects under preparation too (both joint and customer projects) 24.11.2005 32
Outcome of the Evaluation of the Second Call (PASR-2005) of the Preparatory Action for Security Research Jan Sjoerd, DE VRIES European Commission DG ENTR-H4 24.11.2005 33
PASR Project characteristics (1-2 years) Mission-oriented Tangible results, providing basis for the future European security research Multidisciplinary, collaborative projects, multi stakeholders Involving final users In one priority or across several priorities 24.11.2005 34
PASR Projects priority missions Protection of networked systems Protection against terrorism (including bio-terrorism and incidents with biological, chemical and other substances) Enhancing crisis management Interoperability and integrated systems Improving situation awareness 24.11.2005 35
PASR Supporting Activities Co-operation and networking and dissemination activities Investigating procedures, management of IPR and legal arrangements for the exchange of classified information Studies in support of security solutions with a particular emphasis on human behaviour, perception of security and privacy Standardisation activities Feasibility of joint use of large-scale research, testing and evaluation infrastructures (no proposal received) 24.11.2005 36
PASR Evaluation Outcome (1) 8 projects covering the 5 priorities: SOBCAH: surveillance of borders, coastlines and harbours ROBIN: vulnerability of information/comm infrastructure PATIN: protection against terrorist attacks (inclcbrn) (air) TRIPS: terrorist threat detection (rail) MARIUS: monitoring crisis management operation PALMA: protection against attack by MANPADS HITS/ISAC: interoperability of police information services PROBANT: crisis management, tracking of people 24.11.2005 37
PASR Evaluation Outcome (2) 5 supporting activities covering 4 of the 5 priorities: PETRA-NET: network linking security research community with public authority users SECCOND: standardisation interface container-data reader BSUAV: contribution of UAVsto security on borders PRISE: public acceptance of security measures USE-IT: exchange of sensitive information 24.11.2005 38
PASR Objective for the Project Portfolio Analysis Identify specific security topics that are not yet (sufficiently) addressed in funded proposals Objectives of the Preparatory Action for Security Research Prepare a fully fledged Security Programme in FP7 Provide tangible Security Solutions ready for take up by the Users Increase Competitiveness of the Industry 24.11.2005 39