Confidence - (23-24.05 2012 Krakow)
Język: polski | english

Piotr Ciepiela

Bio: Piotr Ciepiela specializes in topics related to ICT and DCS/SCADA security as well as project management and PKI. He has knowledge and experience in designing information security architecture concepts based on SABSA (Sharewood applied network security architecture). Took an active part in and lectured at several conferences related to IT security, SCADA and Smart Grid security. Author of the article regarding the critical infrastructure protection published in Harvard Business Review. He lectured at major Polish universities and has authored numerous publications. Titles hold and certificates obtained: CSSA – Certified SCADA Security Architect by IACRB, CISM – Certified Information Security Manager, SCF – SABSA Chartered Security Architect , CISSP Certified, Information Systems Security Professional, CISA, PRINCE2 Practitioner, PRINCE2 Foundation, GCFW – GIAC Certified Firewall Analyst, CCNA – Cisco Certified Network Associate , CEH – Certified Ethical Hacker (Chicago, IL, USA) , ITIL Service Manager , ITIL Expert, TOGAF 8 Practitioner, CompTIA Security+ (2008 edition), ISO/IEC 27001:2005 – Information Security Management Systems Lead Auditor. As one of the few in Poland he participated in Control Systems Cyber Security Advanced Training conducted by U.S. Department of Homeland Security.

Temat prezentacji: Architektura Bezpieczeństwa systemów kontroli przemysłowej

Język prezentacji: Angielski

Prelegenci: Piotr Ciepiela, Artur Sidorko

Skrót:
Ochrona infrastruktury krytycznej stała się w ostatnich latach jedną z najważniejszych kwestii na świecie związanych z szeroko pojętym bezpieczeństwem. Systemy kontroli przemysłowej SCADA stanowią newralgiczny punkt infrastruktury krytycznej ze względu na swoją wagę dla funkcjonowania krytycznych instalacji przy jednoczesnym wysokim poziomie ryzyka wynikającym z podatności systemów przemysłowych i zagrożeń cyberprzestępczością.

Kolejne doniesienia o atakach na systemy SCADA, w tym o najbardziej znanym robaku Stuxnet, który został uznany za jeden z najbardziej zaawansowanych szkodliwych kodów, dowodzą realności zagrożenia dla bezpieczeństwa infrastruktury krytycznej, której elementy są w czasie rzeczywistym monitorowane i kontrolowane właśnie przez systemy SCADA.

Źródłami podatności środowisk SCADA są np.: wymuszenie przez użytkowników biznesowych stałego dostępu do danych przetwarzanych w systemach SCADA; przejście ze stosowania dedykowanych rozwiązań technologicznych (np. zamkniętych protokołów) do technologii standardowych (Windows, TCP/IP); centralizacja systemów nadzoru i sterowania wiążąca się z wymianą krytycznych informacji na duże odległości, z wykorzystaniem infrastruktur sieciowych znajdujących się poza fizyczną kontrolą operatorów.

Systemy kontroli przemysłowej i sterowane przez nie urządzenia automatyki przemysłowej nie były projektowane z myślą o zapewnieniu im bezpieczeństwa w środowiskach nie będących fizycznie odseparowane od sieci zewnętrznych, przez co możliwe stało się wykorzystywanie ich licznych podatności do zaburzenia ciągłości procesu przemysłowego.

O metodach ataków, podatnościach poszczególnych komponentów systemów SCADA oraz sposobach minimalizacji wynikającego z nich ryzyka opowiedzą eksperci Ernst & Young, bazując na doświadczeniach zdobytych w trakcie realizacji projektów dla operatorów systemów kontroli przemysłowej w Europie i Ameryce Północnej.