Akademija Nauka i Umjetnosti BiH Sarajevo, 13.6.2019.g....2/21. NIS UREDBA HOPS (Hrvatski operator...
Transcript of Akademija Nauka i Umjetnosti BiH Sarajevo, 13.6.2019.g....2/21. NIS UREDBA HOPS (Hrvatski operator...
RJEŠENJA I NAČIN UPRAVLJANJA SISTEMA EE MREŽOM SA ASPEKTA CYBER SIGURNOSTI U HRVATSKOJ - postojeće i planirano stanje
Akademija Nauka i Umjetnosti BiH
Sarajevo, 13.6.2019.g.
Marijan Škoda, dipl.ing.el
Bernard Ivančević, mag.ing.el.
2/16
• NIS UREDBA• UPRAVLJANJE RIZICIMA• VANJSKE KOMUNIKACIJSKE MREŽE• VATROZID• POVJESNI RAZVOJ PRISTUPA EE OBJEKTU• SERVISI PROCESNE MREŽE• SIGURNOSNE SMJERNICE• ŠTO NOSI BUDUĆNOST
SADRŽAJ
2/21
NIS UREDBA
➢HOPS (Hrvatski operator prijenosnog sustava d.o.o. ) je subjekt koji pruža ključnu uslugu prijenosa električne energije i dužan je uspostaviti sustav upravljanja rizicima kojima je izložena sigurnost njegovih mrežnih i informacijskih sustava
➢ Temeljne obveze prema NIS uredbi:
➢ Uspostava i dokumentiranje politike upravljanja
➢ Organizacijska struktura
➢ Interni nadzor
➢ Upravljanje rizicima
➢Mjere zaštite ključnih sustava
➢ Upravljanje incidentima
UPRAVLJANJE RIZICIMA
➢ Definira se za ključni SCADA sustav Nacionalnog dispečerskog centra (NDC-a) i Mrežnih centara (MC-ova)
➢ Bazira se na:
ISO 31000 Risk Management-Guidelines
ISA/IEC 62443 Standards
ISO/IEC 27005 Information Security Risk Management
ISO/IEC 27001 Information Security Management Systems Requirements
Generic SCADA Risk Management Framework For Australian Critical Infrastructure
NIS uredba
NADZOR I PREGLED RIZIKA
Sustavno praćenje, ponovna procjena i revizija postojećih
rizika
Ažuriranje rizika
Implementacija tehničkih i
organizacijskih mjera za upravljanje rizicima
Provjera učinkovitosti primijenjenih
kontrola/mjera
Identifikacija novih rizika
➢ Kontinuirana komunikacija i konzultiranje
➢ Procjenu rizika potrebno provoditi kontinuirano,najmanje 1 godišnje ili ukoliko je došlo do većihpromjena u organizaciji ili informacijskim sustavima.
VANJSKE KOMUNIKACIJSKE MREŽE
Procesna mreža
(ICS)
Vanjska
procesna
mreža
Suradnici
Partneri
Proizvođači
Poslovna mreža
Udaljeni
korisnici
Data
Procesna okruženja u početku su bila komunikacijski zatvorena i ograničena
Današnja procesna okruženja elektroenergetskih (EE) operatora izložena su prema van na različite načine i to prema Internetu, udaljenim VPN korisnicima i udaljenim VPN mrežama
VATROZIDI NAMIJENJENI ZAŠTITI PROCESNIH OKRUŽENJA
Vatrozidi namijenjeni zaštiti procesnih okruženja predstavljaju dedicirane sigurnosne uređaje.
Funkcionalnosti vatrozida :
• Identity Aware vatrozid
• Intrusion Prevention System (IPS)
• Kontrola aplikacijskog prometa
• Antibot
• Virtual Patching
IMPLEMENTACIJA SCADA VATROZIDA
SCADA računalo EE objekata smješta se u zasebnu, privatnumrežu i povezuje na SCADA vatrozid
IMPLEMENTACIJA VATROZIDNE ZAŠTITE U EE OBJEKTIMA
Na tehničkoj je razini sigurnosne zahtjeve danas moguće ostvariti pomoću vatrozida nove generacije ciljano namijenjenih zaštiti procesnih okruženja
Takva rješenja pružaju raznoliki skup primarnih i proširenih sigurnosnih mehanizama kojima se u visokoj mjeri može osloviti i tretirati opisane ranjivosti i rizike
SCADA
IN
OUT
NUC
Vanjski sustavi
Sve multihomed veze
moraju se terminirati
na vatrozidu
EE objekti
POVJESNI RAZVOJ PRISTUPA EE OBJEKTU
• Upravljanje EE objektom iz NUC korištenjem V.34 veza i IEC 60870-5-101 protokola
• Prijelaz na ethernet komunikacijski protokol i IEC 60870-5-104
• Uvođenje L3 segmentacije i Vatrozida centra
• Uvođenje zaštite mikro-segmentacijom mreže – instalacija vatrozida u EE objektima
SERVISI PROCESNE MREŽE
• Upravljanje EE sustavom
• Estimator stanja
• Sekundarna regulacija
• Nadzor raspoloživosti i sigurnosti procesne mreže
• Servisni pristupi specijalističkih odjela (relejna zaštita, procesna informatika, telekomunikacije, pomoćna napajanja, nadzor transformatora...)
• Sustavi poslovne inteligencije (Smart Grid Managment)
• Servisni pristup partnera
• Međuračunalna komunikacija s kupcima naše usluge
SIGURNOSNE SMJERNICE
• Uvođenje vatrozida u sve ‘pore’ procesne mreže, uključujući i L2 procesne prstene (komunikacija lokalnih SCADA sustava sa terminalnom opremom)
• Integracija logova u sustav kibernetičke forenzike
• Stroga zabrana Multi-homed računala i zaobilaska vatrozidne zaštite
• Uvođenje zaštite pristupa i spajanja na L2 i L3 uređajima –smjernice NIS
ŠTO NOSI BUDUĆNOST
• Kontinuirano usavršavanje radnika zaduženih za rad na mrežnoj infrastrukturi
• Modernizacija mrežno – sigurnosne infrastrukture u brzim kružnim ciklusima
• Spuštanje procesne mreže ‘nisko’ u upravljanje unutar EE objekata (Process Bus) – direktna komunikacija sa visokonaponskim elementima (prekidačima, rastavljačima, mjernim transformatorima...)
• Konstantno vaganje između sigurnosti (što zatvoreniji sustav) i upotrebljivosti (kolanje što više informacija)