A kritikus infrastruktúra biztonsági aspektusai a MOL-nál Zólyomi Zsolt MOL-csoport Biztonsági Igazgató 2012. szeptember 18.
A MOL-csoport tevékenysége Kőolajtermékek finomítása, szállítása Fenntartható Fejlődés CSR tevékenység Kőolajtermékek tárolása országban van jelen dolgozó hordó olaj - egyenértéknek megfelelő szénhidrogén termelés éves szinten stratégiai finomító petrolkémiai üzem töltőállomás üzemanyag vásárló minden nap +40 ~32.000 ~50millió 5 2 +1600 ~1 millió Elektromos áram és hőenergia előállítás gáz- és megújuló erőforrásokból Kőolajtermékek kis- és nagykereskedelmi értékesítése Földgázszállítás, gáztárolás Kőolaj- és földgázkutatás és kitermelés Olefin- és polimergyártás és -kereskedelem
Az CH termékek útja az olajkúttól a benzinkútig Bázistelepek Töltőállomások Kőolaj finomítók Finomítói tárolóterek Vásárlók Speciális vevők Elsődleges szállítás Másodlagos szállítás 3
Feladatunk: Védelem Anyagi értékek (termékek, üzemegységek, csővezetékek, töltőállomások, irodaépületek, stb.) Humán értékek (munkavállalók, beszállítók, vásárlók, látogatók) Szellemi értékek (tudásvagyon, technológiák, bizalmas üzleti információk) 4
Biztonsági Szervezet FELADATUNK A VÉDELEM BIZTONSÁGI IGAZGATÓ CSOPORT SZINT OPERÁCIÓ INFORMÁCIÓ- BIZTONSÁG VIZSGÁLATOK VÁLSÁGKEZELÉS SZABÁLYZATOK FELÜLVIZSGÁLATOK FELADATUNK A VÉDELEM ORSZÁGOS SZINT Bosznia- Hercegovina Horvátország Irak/Kurdisztán Magyarország Olaszország Oroszország Pakisztán Románia Szerbia Szlovákia
Biztonsági Operáció Kockázatelemzés Személy és gépjármű Külső / belső biztonság Postabontó biztonság Zárak és kulcsok ellenőrzése Beléptető rendszer Biztonsági központok Ellenőr csoportok Személy és gépjármű átvizsgálás Szállítás biztonság Töltőállomások biztonsága
Krízis események kezelése Kríziskezelés Kríziskezelő központ Krízishelyzeti tervezés Krízishelyzeti reagálási folyamatok Evakuációs folyamatok Készenléti csoportok (tűz, természeti katasztrófa, fenyegetés, terrorcselekmény, vegyi szennyezés elhárítás, környezetvédelem)
Belső Vizsgálatok Belső hírszerzés és biztonsági területet érintő információk kezelése Belső vizsgálatok lefolytatása Szállítási és telekommunikációs költségfigyelés Hatóságokkal történő együttműködés
Információbiztonság A Rendszer Ipari rendszerek (termelésirányítási, logisztikai rendszerek stb.) Irodai rendszerek Töltőállomások Manapság a számítógépes hálózatok rendkívül összetettek, a finomítói ipari rendszerektől (termelésirányítási, logisztikai stb.) kezdve, az irodai rendszereken át, a töltőállomásokon található pénztárgépekig és kártyaelfogadó terminálokig rengeteg eszköz csatlakozik hozzájuk.
Információbiztonság Az irodai hálózatra védelmére sokféle jól bevált megoldás létezik. Az ipari rendszerekre ezek a megoldások hiányoznak, emiatt a kritikus infrastruktúra sebezhetősége nagyrészt az ipari rendszerek sérülékenységéből adódik.
Miért sérülékenyek az ipari rendszerek? Információbiztonság Miért sérülékenyek az ipari rendszerek? Nagyon régen telepítették Biztonsági szempontból elhanyagolták Nem lehet frissíteni Egyre bonyolultabbá váltak Eltűntek a fizikai hálózat határai Jellemzően standard kommunikációs protokollt használnak Hiányzó kontrollok (SoD, felhasználó menedzsment) Miért sérülékenyek az ipari rendszerek? A rendszerek többségét nagyon régen telepítették. Az üzemeltetés során az elsődleges szempont a működés biztosítása volt, a biztonsági szempontokkal kevésbé foglalkoztak. Ha ügyeltek rá, akkor is előfordulhat, hogy biztonsági szempontból nem megfelelőek, mert a régi alkalmazások olyan számítógépeken futnak, amelyeken az operációs rendszer támogatása már megszűnt és nincsenek rájuk új biztonsági frissítések. Az operációs rendszert nem merik lecserélni, mert nem tudják, hogy az új környezetben hogyan viselkedne az alkalmazás. A rendszerek elemeinek száma az évek során egyre nőtt, a rendszerek egyre bonyolultabbá váltak. Míg az első generációs rendszerek még saját protokollt használva, szigetekként működtek, a harmadik generációs rendszerek már általában standard protokollt használnak, és gyakran az internetről is elérhetőek, potenciálisan sérülékenyek a távoli támadásokkal szemben. Az idők során sok helyen a menedzsment részéről megjelent az igény, hogy az ipari hálózaton keletkezett adatokat a saját, irodai hálózaton működő számítógépükön is látni szeretnék. Az ipari hálózaton használt alkalmazások felhasználóinak száma viszonylag alacsony, ezért a fejlesztők sokszor nem foglalkoztak azokkal a kontrollokkal, amelyek az irodai hálózat alkalmazásaiban régóta jelen vannak, pl. nincs megfelelő felhasználó menedzsment, hiányzik a SoD (segregation of duty).
Információbiztonság Mit tehetünk? Irodai és ipari hálózat szétválasztása Sérülékenység menedzsment Patch menedzsment IDS/IPS Hálózat monitorozása Kontrollok felülvizsgálata, újak bevezetése Log menedzsment Incidens menedzsment Biztonság tudatossági oktatás! Mit tehetünk, amivel csökkenthetjük a kitettségünket? Vizsgáljuk meg a rendszereinket sebezhetőség szempontjából! Ha találunk sebezhetőséget, azt (lehetőség szerint) javítsuk, de a gyártók által kiadott patcheket , különösen a biztonsági frissítéseket – tesztelés után - mindenképpen alkalmazzuk. A hálózat védelme érdekében telepítsünk IDS/IPS-eket (intrusion detection/protection system), amelyek képesek a hálózati forgalomban megjelenő támadási minták felismerésére. Monitorozzuk a hálózat belső és kifelé irányuló forgalmát is, mert a telepített támadó eszközöknek és a támadók által esetleg belül összegyűjtött adatok előbb-utóbb szüksége lehet egy kifelé irányuló kapcsolatra. Válasszuk szét az ipari és irodai hálózatot. Ez nem teljes szeparációt jelent, hanem azt, hogy a két hálózat között adatforgalom csak az előre meghatározott csatornákon, kontrollált módon folyhat. Vizsgáljuk meg az alkalmazott kontrollokat, illetve amennyiben szükségünk és lehetőségünk van rá, vezessünk be újabbakat. Gyűjtsük össze egy SIEM rendszerbe a kritikus rendszerek naplóállományait. Ezeket rendszeresen ellenőrizzük, a rendszerből érkező riasztásokat kezeljük, ha pedig mégis valami megtörténik a baj, akkor a megfelelő szakértők bevonásával keressük meg a nyomokat és elemezzük az események nyomait. Ha már megvannak az elvárt biztonsági szintet garantálni tudó technikai eszközeink, akkor se feledkezzünk el a biztonságtudatossági oktatásról, mert hiába vannak tökéletesen működő rendszereink, ha a felhasználók nem értik a biztonság fontosságát és nemcsak a szabályzatokat sértik meg, de a józan ész által diktált szabályokat sem tartják be. Általában egyszerűbb személyre szabott emailben megkeresni a vállalat dolgozóit, amelyben a támadó egy linket vagy egy fertőzött fájlt küld, mint kívülről megkeresni a rendszer sebezhető pontjait. Az emailek testre szabásához nagy segítséget jelentenek a közösségi oldalakra önként felrakott adatok.
KÉRDÉSEK 13 13