Tieturvapalvelut osana automaation palveluliiketoimintaa

Samankaltaiset tiedostot
Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

7.4 Variability management

HITSAUKSEN TUOTTAVUUSRATKAISUT

Teollisuusautomaation tietoturvaseminaari

Ylläpitäjät, järjestelmäarkkitehdit ja muut, jotka huolehtivat VMwareinfrastruktuurin

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Making diversity manageable. Miradore. Käytännön kokemuksia rahoituksen hakemisesta. Tiistai Technopolis Vapaudenaukio / Lappeenranta

AFCEA PVTO2010 Taistelija / S4

Innovative and responsible public procurement Urban Agenda kumppanuusryhmä. public-procurement

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

Ubicom tulosseminaari

Internet of Things. Ideasta palveluksi IoT:n hyödyntäminen teollisuudessa. Palvelujen digitalisoinnista 4. teolliseen vallankumoukseen

Maailman ensimmäinen Plug & Go etäyhteyslaite

7. Product-line architectures

ISEB/ISTQB FOUNDATION CERTIFICATE IN SOFTWARE TESTING III

Security server v6 installation requirements

Tärkeimpien ICS- tietoturvastandardien soveltaminen Fortumissa. Tietoturvaa teollisuusautomaatioon (TITAN) Seminaari,

The necessary product key can be found in the hand out given to you.

Improving advisory services through technology. Challenges for agricultural advisory after 2020 Jussi Juhola Warsaw,

Atostek. KanTa-konseptin tuotteistaminen ja vienti ulkomaille

Aalto-yliopiston laatujärjestelmä ja auditointi. Aalto-yliopisto Inkeri Ruuska, Head of Planning & Management Support

LIIKETOIMINNAN JATKUVUUDEN VARMISTAVAT PALVELURATKAISUT Simo Leisti Myyntijohtaja, IBM teknologiapalvelut

TOSIBOX RATKAISU. »TOSIBOX:n avulla yhteys muodostuu automaattisesti internettiä hyödyntäen eri toimilaitteiden välille

Helsinki Metropolitan Area Council

SMART BUSINESS ARCHITECTURE

WAMS 2010,Ylivieska Monitoring service of energy efficiency in housing Jan Nyman,

Visualisoi tapahtumat ja selvitä niiden kulku

Security server v6 installation requirements

ProAgria. Opportunities For Success

Tietoturvallinen liikkuva työ. Juha Tschokkinen

Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj IBM Corporation

DIGITAL MARKETING LANDSCAPE. Maatalous-metsätieteellinen tiedekunta

SOA SIG SOA Tuotetoimittajan näkökulma

Perinteisesti käytettävät tiedon (datan) tyypit

Venttiilit ja Automaatio

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

VALTAKUNNALLINEN YLIOPISTOKESKUSSEMINAARI Tulevaisuuden innovaatioiden, oppimisen ja osaamisen ekosysteemejä

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

LUONNOS RT EN AGREEMENT ON BUILDING WORKS 1 THE PARTIES. May (10)

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

Toimisto (5) HUOM. Komiteoiden ja seurantaryhmien kokoonpanot on esitetty SESKOn komitealuettelossa

Collaborative & Co-Creative Design in the Semogen -projects

Wärtsilä Corporation. Interim Report January-June 2003 Ole Johansson President & CEO. 31 July Wärtsilä

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

FPGA-piirien käyttökohteet nyt ja tulevaisuudessa Tomi Norolampi

Verkottunut suunnittelu

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

TÄYTTÖAUTOMAATIT TÄYTTÖAUTOMAATIT COMPUTER INFLATORS

Tietojärjestelmä uusiksi? Toimijaverkostot, niiden haasteet ja ratkaisut

Case: Ydinvoimalan käyttöautomaation allianssi

IoT-platformien vertailu ja valinta erilaisiin sovelluksiin / Jarkko Paavola

Risto Kauppi, CEO. Rugged Tooling Subject to change

Technische Daten Technical data Tekniset tiedot Hawker perfect plus

Windows Phone. Module Descriptions. Opiframe Oy puh Espoo

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Reliable sensors for industrial internet

Toimitusketjun vastuullisuus ja riskien hallinta

Organisaation kokonaissuorituskyvyn arviointi

Meriliikenteen digitalisaatio MERIT. smart maritime industry

Capacity Utilization

Hankkeen toiminnot työsuunnitelman laatiminen

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

BLOCKCHAINS AND ODR: SMART CONTRACTS AS AN ALTERNATIVE TO ENFORCEMENT

LYTH-CONS CONSISTENCY TRANSMITTER

Sähkönjakeluverkon hallinnan arkkitehtuuri. Sami Repo

Käytännön kokemuksia osallistumisesta EU projekteihin. 7. puiteohjelman uusien hakujen infopäivät 2011

Teknologiateollisuus ry Ympäristöosaaminen arvoketjussa -seminaari Työkaluja arvoketjun ympäristöosaamisen kehittämiseen

Lausuntopyyntöluettelo HUOM. Komiteoiden ja seurantaryhmien kokoonpanot on esitetty SESKOn komitealuettelossa

National Building Code of Finland, Part D1, Building Water Supply and Sewerage Systems, Regulations and guidelines 2007

Scanfil Kannattavaa kasvua

Contracts in Finnair. Ville Halonen

Tiedon salaaminen tallennusverkossa Luottokorttinumeroiden tokenisointi

Efficiency change over time

Salasanan vaihto uuteen / How to change password

Sulautettu tietotekniikka Kimmo Ahola

Liikenteen hankeaihioita

Jussi Klemola 3D- KEITTIÖSUUNNITTELUOHJELMAN KÄYTTÖÖNOTTO

Skene. Games Refueled. Muokkaa perustyyl. for Health, Kuopio

Rakentamisen 3D-mallit hyötykäyttöön

Yrityksen hankkimat ohjelmistot ovat muistitikulla ja niiden hallinnointiin tarvittavat aktivointikoodit ovat Taitaja_xx.txt tiedostossa.

A Plan vs a Roadmap. This is a PLAN. This is a ROADMAP. PRODUCT A Version 1 PRODUCT A Version 2. PRODUCT B Version 1.1. Product concept I.

AYYE 9/ HOUSING POLICY

Agora Center - Monitieteiset projektit

BOARD PROGRAM Hallitusohjelma

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Office 2013 ja SQL Server 2012 SP1 uudet BI toiminnallisuudet Marko Somppi/Invenco Oy

Use of spatial data in the new production environment and in a data warehouse

Yrityksen tarvitsemat ohjelmistot saat ladattua netistä ja niiden hallinnointiin tarvittavat aktivointikoodit ovat erillisessä paperissa.

Miehittämätön meriliikenne

FIS IMATRAN KYLPYLÄHIIHDOT Team captains meeting

SCM Tuloskortti. Toimitusketjun hallinnan itsearviointi. Pekka Aaltonen Logistiikan Koulutuskeskus ECL Oy Ab alkaen LOGY Competence Oy

KOMPETENSSIT. Koulutus Opiskelija Tuuttori. Business Information Technologies. NQF, Taso 6 - edellyttävä osaaminen

EUROOPAN PARLAMENTTI

BDD (behavior-driven development) suunnittelumenetelmän käyttö open source projektissa, case: SpecFlow/.NET.

CIO muutosjohtajana yli organisaatiorajojen

Ohjelmistoarkkitehtuurit Kevät 2016 Johdantoa

TW-LTE 4G/3G. USB-modeemi (USB 2.0)

Tietohallinnon liiketoimintalähtöinen toiminnanohjaus IT-ERP

PAINEILMALETKUKELA-AUTOMAATTI AUTOMATIC AIR HOSE REEL

Transkriptio:

Tieturvapalvelut osana automaation palveluliiketoimintaa Automaation tietoturvallisuuden teemapäivä 16.10.2013 Teemu Kiviniemi Tuotepäällikkö Metso Automation

Esityksen agenda Metso Automation Metso DNA automaatiojärjestelmän arkkitehtuuri Toimisto- ja automaatioverkon erot Tietoturvan huomioiminen osana automaatiojärjestelmätoimitusta Tietoturvapalvelut osan laitoksen elinkaaripalveluja Tulevia haasteita automaation tietoturvan suhteen

Laaja automaation ja informaatioteknologian tarjonta Kunnon ja ajettavuuden valvonta Automaatiojärjestelmät (prosessin, koneen ja käyttöjen ohjaus) Tiedonhallinta Edistynyt prosessinohjaus Radanvalvonta ja vianilmaisinjärjestelmät Hätäsulkuventtiilit Liiketoimintaja palveluratkaisut Laadunvalvontajärjestelmät Säätöventtiilit Profilointilaitteet Automaattiset on/off venttiilit Analysaattorit ja erityismittalaitteet Älykkäät asennoittimet 3

Metso DNA Prosessiautomaatiojärjestelmä Cygate 21.5.2013 / MaTy

Upgradeability with innovative evolution Connectability Upgradeability Openness Same platform for all applications User friendly Flexible Reliable Long experience of developing control systems 5 Date Author Title

Automation system technology over decades VME CIO 1988 1990 NT ACN 2012 EIO 2017 2017 2020 ACN I/O W2000 XP Win 7 2020 W2003 2015 W2008 R2 2020 2000 2014 2020 Compatible Technologies in five decades Note: This roadmap may change due to availability of the components, technologies or other reasons. Windows operating system Life Cycle is based on Microsoft Life Cycle Policy Production Spares Phase-out

Metso DNA MS Windows OS Support 2011 2012 2013 2014 2015 2016 Client Nodes Windows XP 32 Bit 14.1.2020 Windows 7 Extended Support Ends Windows XP 8.4.2014 Extended Support End Date Windows 7 32/64 Bit Estimation : Windows 8.x support Server Nodes Windows 2003 Server 32 Bit Windows Server 2003 14.7.2015 Extended Support Ends 14.1.2020 Extended Support Ends Windows 2008 Server 64 Bit Estimation: Windows 2012 Server Support C2011 C2013 7

Metso DNA General architecture 8

Metso DNA Smart Phone App Looks and feels as any other app in your phone INTERNAL Youtube ( => Metso DNA Windows Phone) https://www.youtube.com/watch?v=cgvnksb7ido 9 Date Author Title

Uhkien ja haavoittuvuuksien hallinta Mikä erottaa tuotantoympäristön toimistoympäristöstä?

Uhkien ja haavoittuvuuksien hallinta Mikä on teollisuusautomaatiojärjestelmä (ICS)? Industrial control system (ICS) is a general term that encompasses several types of control systems, including supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and other smaller control system configurations such as skid-mounted Programmable Logic Controllers (PLC) often found in the industrial sectors and critical infrastructures. http://en.wikipedia.org/wiki/industrial_control_systems Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Tietoturvan optimointi Tietoturva 100 % Hyväksyttävä tietoturvataso Käytettävyys 100 % 100 % Kustannukset Tietoturvan optimointi on osa riskienhallintaa Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Tuotantoympäristö vs. toimistoympäristö Office: Security > Availability Office users No (rigorous) real time demands No redundancy COTS components (hw & sw) Continuous, automatic updates Booting of PCs is not a problem Standard workstations, servers and network solutions 100 1000 10000 Short life cycles Responsibility: IT organization Production: Availability > Security Process control system Dangerous environments (life danger) Production targets ($) Quality, production, environmental Rigorous real-time controls Malfunction not to stop production Redundancy required Proprietary systems Static, automatic updates not possible Fault not allowed to stop production Proprietary hw&sw, embedded systems, industrial, field buses, field devices, Various generations Several automation vendors 1 10 100 Long life cycles Responsibility: Production, automation maintenance organization, control system vendor Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Tuotantoympäristö vs. toimistoympäristö Integration Architecture Tuotantoympäristön tulee olla asianmukaisesti erotettu ja suojattu verkko, jolla pystytään varmistetaan tuotannon jatkuminen, vaikka toimistoverkossa ilmenisi vakavia tietoturvaongelmia Metso Automation has a deep expertise and products inside Automation LAN Partner network Customer FireWall Corporate EAI ERP FINANCE Office LAN CRM HR MES CMMS Selkeä liityntä ylätason järjestelmiin Järjestelmän integraatio Partnereiden liityntä Integration Point Automation System Automation or Production LAN Info Solution Lab Solution Asset Management Condition Monitoring Cygate 21.5.2013 / MaTy

Automaatio ja kriittinen infrastruktuuri

Uhkien ja haavoittuvuuksien hallinta Kriittinen infrastruktuuri uhkien kohteena http://www.bbc.co.uk/news/technology-19293797 http://bakerinstitute.org/publications/itp-pub-workingpaper-shamooncyberconflict-020113.pdf Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Automaatioympäristön haavoittuvuuksia seurataan Control Systems Advisories and Reports by the Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) http://ics-cert.us-cert.gov/ Cygate 21.5.2013 / MaTy

Case Study Automaation tietoverkkojen hallinta

Case study:automaation tietoverkkojen hallinta Lähtötilanne Iso verkko Verkko-ongelmia, jotka pahimmillaan aiheuttaneet tehtaan alasajon L3 kytkinten ylläpito asiakkaalla L3 Switch Switch L3 Switch Switch Tehdasverkko Automaatioverkko Switch Switch Switch Switch Switch Switch Switch Switch Switch Switch Switch Switch Alijärjestelmä 1 Alijärjestelmä 2 Alijärjestelmä 3 Alijärjestelmä 4 Alijärjestelmä 5 Alijärjestelmä 6 Cygate 21.5.2013 / MaTy

Case study:automaation tietoverkkojen hallinta Analyysi Automaatioverkon eristämistä ei tehty asianmukaisesti Rajoittamaton liikenne automaatiojärjestelmän ja tehdasverkon välillä Automaatiotoimittajan suositukset korvattu tehtaan IT osaston suosituksilla (L3 tason kytkimen konfiguraatio ristiriidassa DCS-verkon konfiguraation kanssa) Verkkomyrskyjä Tietoturva ja käytettävyysriski Cygate 21.5.2013 / MaTy

Case study:automaation tietoverkkojen hallinta Korjaavat toimenpiteet Verkkojen eristäminen määritelty ja verkon konfigurointi tehty asianmukaisesti Reititinpalomuuri otettu käyttöön Luotu erillinen DMZ (demilitarisoitu) alue automaatiojärjestelmän ja tehdasverkon välille Liitynnät muihin järjestelmiin DMZ Cygate 21.5.2013 / MaTy

Case study:automaation tietoverkkojen hallinta Opetukset Automaatiojärjestelmän liittäminen tehdasverkkoon tehtävä asianmukaisesti Mahdolliset erilliset tietoturvaa parantavat ratkaisut myös mietittynä (IDS/IPS, DMZ alueen käyttöönotto, jne.) Tehtaan IT mukana jo projektin alkuvaiheesta lähtien, jotta mahdolliset ristiriidat saadaan ratkaistua siten, että järjestelmän käytettävyys ja tietoturva ovat riittävällä tasolla Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Korkean käytettävyyden varmistaminen toimitusprojektissa

Uhkien ja haavoittuvuuksien hallinta Automaatiotoimituksen eteneminen Cygate 21.5.2013 / MaTy

Myynti Toimitus Luovutus Uhkien ja haavoittuvuuksien hallinta Vastuut Järjestelmätoimittajan tietoturvaprosessi Asiakkaan tietoturvaprosessi Tuotekehitys prosessi Järjestelmän toimitusprosessi Integrointi Yhteiset periaatteet Ylläpito Pitkä elinkaari Järjestelmätoimittajan vastuu Tuotekehitys Projektointi Käyttöönotto Tuotanto Asiakkaan vastuu Cygate 21.5.2013 / MaTy

Hardening Windows operating systems INTERNAL It is quite detailed 27 Metso DNA Security

Antivirus Software Symantec Endpoint Protection (SEP) v12 One year antivirus software licence included in all new Metso DNA system installations -> To keep the system security up-todate throughout the delivery project -> Good basis to continue Security Follow-Up after the delivery project 28 Date Author Title

Uhkien ja haavoittuvuuksien hallinta Korkean käytettävyyden varmistaminen Tietoturva varmistamassa korkeaa käytettävyyttä - Verkkoarkkitehtuuri (verkkojen erotus, verkkolaitteiden konfigurointi, DMZratkaisun käyttö) - Etäyhteydet - Käyttäjien hallinta (Active Directoryn käyttö?) - Endpoint security (tietoturvapäivitykset, virustorjunta, koventaminen) - Monitorointi ja ilmoitukset (Monitoring and messaging) - Tietoturvan hallinta - Palautusten suunnittelu ja hallinta (Recovery planning) - Tietoturvaprosessit - jne. Cygate 21.5.2013 / MaTy

Uhkien ja haavoittuvuuksien hallinta Automaatiojärjestelmien tietoturvatestaus Metso Automaation tuotekehitys ja tuotekehityksen järjestelmätestaus suunnittelee, kehittää, testaa ja ylläpitää tietoturvaa: dedikoitu Security Team ; koottu henkilöistä automaation järjestelmäkehityksen eri osa-alueilta - Seuraa yleisesti tilannetta eri kanavista (CERT-FI, ICS-CERT, Microsoft, ) - Tarkastaa ja testaa/testauttaa päivitykset (laitefirmwaret, käyttöjärjestelmät, ) - Tiedottaa suosituksista ja toimittaa päivitykset jakeluun - Tutkii ja kehittää ratkaisuita tietoturvan kehittämiseksi DMZ ratkaisut, etäkäyttöratkaisut, palomuurien aukaisulistat, laitekovennukset, IDS/IPS, ohjeistukset menetelmiin, parametrointiin ja testaukseen, Projektointi ja Asiakaspalvelu toteuttavat annettuja suosituksia Cygate 21.5.2013 / MaTy

Security Services Keep Metso DNA system security up-to-date

Metso DNA Security Services Security Audit OS patch updates Improvement Actions Anti-Virus Software Network Protection Environment Hardening Follow Up Services - continuous follow up and actions Follow Up, Testing, Bulletin Distribution, Anti-Virus Updates, Common Security Policy, OS Patch Updates, Training, Annual Security Review

Metso Secure Connection Solution (SCS) Antivirus description files distributed via metso SCS connection Customer site Customer site Server Server 6) Accessing target server Customer site Server Server 5) Traffic can be filtered on customer firewall (including virus scan) VPN router VPN router Customer A WAN 4) VPN tunnel is terminated to a VPN device at custome site Customer B WAN 3) SCS VPN Internet tunnel to customer site is always active. 2) User is authenticated and authorized. Traffic is filtered and logged. ehub Metsonet Encrypted VPN tunnel Decrypted traffic Metso site A End users Metso site B 1) End user opens connection with VPN Client to Business HUB. End user 34 Date Author Title

Security throughout the System Life Cycle Security Follow-Up as part of holistic solution NEW INSTALLATION Network architecture Remote connections Hardening DISASTER MANAGEMENT Continuous backups Fast recovery plan SECURITY TRAINING SECURITY FOLLOW-UP Up-to-date and tested... antivirus software antivirus descriptions security patches ANNUAL SECURITY AUDIT Checking status of... OS support for Win-nodes antivirus software & security updates Proactive planning of... OS upgrades to PCs, servers and switches replacement of switches NETWORK STUDY *) Analysis of network... security availability performance scalability Installation of Network Monitoring tool Proactive planning of... improvements/upgrades in network structure 38 *) Recommended every 2-3 years. Always before expanding the existing system with a new subsystem or annual audit reveals possible bottlenecks/risks or there are symptoms of network problems.

Security Follow-Up Continuous battle against new worms and viruses Antivirus Server Metso Metso DNA system test environment Metso SCS Secure connection Internet Customer side Automatic distribution of antivirus description files to Metso DNA nodes in customer system Manual installation of critical security patches Customer N Metso side Continuous follow-up of the new information on security risks Fetching of antivirus definition files from Symantec internet site automatically Testing of updates in Metso DNA system test environment (antivirus description files and critical security patches) Automatic distribution of tested antivirus description files to customers (Antivirus Client) everyday at 7pm (Mon-Fri) Antivirus description files Antivirus Client 39

Security Patches Rapid response to potential critical risks Way of implementation Customers are informed about critical security patches by security bulletins Installation of security patches done as manual work at customer site agreed and invoiced separately based on the valid service price list requires shut down because station needs to be reset 40 Date Author Title

Security Follow-Up Scope of supply Item Included Responsible Antivirus Server HW & SW Yes Metso Installation and maintenance of Antivirus Server HW & SW in customer site Yes Metso AV software licenses and updates Yes Metso Continuous follow-up of the new information on security risks Functional testing of antivirus definition files in Metso DNA test environment Automatic distribution of antivirus definition files to customer Metso DNA nodes (Mon Fri 7 pm) Selecting appropriate security patch updates for functional testing in Metso DNA test environment Yes Yes Yes Yes Metso Metso Metso Metso Informing the customer about critical security patches Yes Metso Installing the critical security patches in customer site No Metso *) 41 *) Agreed and invoiced separately, according to the valid price list

Cygate 21.5.2013 / MaTy Coming next in ICS Security

Metso DNA Security Increased need for security INTERNAL Security awareness increasing - Standards development NERC-CIP IEC 62443 [ANSI/ISA-99] WIB Process control Domain: security requirements for vendors - Recommendations NIST Special Publications SCADA and Control Systems Procurement Language, DHS and ICS-CERT - Customer in Finland participating in security development and research projects (COREQ-VE, COREQ-ACT, Industrial Security Workshops,...) - Increasing security requirements from many customer corporations Security audits by external companies Customers security awareness increasing 43 14.10.2013 / MaTy

Metso DNA Security Ongoing new actions INTERNAL Intrusion Detection and Protection Systems to strengthen DMZ White listing instead of antivirus scanners - Proactive monitoring and protection for physical and virtual server environments Solving virtualization, mobile (3G) and cloud security concerns together with customer IT Partnering with IT security technology companies (and other research partners) to be able to supply bigger security scopes. 44 14.10.2013 / MaTy

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute