May-2011

Miguel Chavero

CISSP #122240

2

“Security is not a product, is a process”

What is information security? ISO/IEC 27001

“Information is an asset that, like other important business assets, is essential to an organization’s business and consequently needs to be suitably protected. This is especially important in the increasingly interconnected business environment. As a result of this increasing interconnectivity, information is now exposed to a growing number and a wider variety of threats and vulnerabilities”.

3

IBERDROLA

IBERDROLA & Thermal Stations

The Sector

The Goal

AURA Project

Conclusions

Q&A

Installed Capacity Total Production

20102000

+146% 40.822

7.949

12.731

20.131

16.569

123.460

2000 2010

51.169

+141%

40.822 MW16.000 MW x 2 +

Hydraulic: 50%

Renewable: 3%

Nuclear: 20%

Power Station (coal and fuel): 27% Cogeneration: 1,5%

Combined Cycles: 31%

Power Station(coal and fuel): 15%

2010

Hydraulic: 23,5%

Renewable: 20%

Nuclear: 8%

TARRAGONA POWER

400 MW , 1FA

CASTELLÓN A

800 MW, 209FA

ESCOMBRERAS

800 MW, 209FB

SANTURCE

400 MW, 109FA

ACECA

400 MW, 109FA

ARCOS III800 MW, 209FB

ARCOS I y II800 MW, 2X109 FA

Total:

5.600 MWCASTEJÓN

400 MW, 109FA

CASTELLÓN B

800 MW, 209FB

We lead the construction of combined cycle power plants on Spain…

Hydraulic: 8839 MWNuclear: 3344 MWCoal: 1253 MWFuel Oil: 1803 MWCogen.: 380 MWRenewable: 4725 MW

• Joined EPRI Program 86 EIS (Energy Information Security) on2005.• AURA project developed on 2005 (CyberSecurity Assesmenton CCGT’s).•PERIN project (Internal Perimeter Security) developed on 2006 in España y Brasil• NELIB CyberSecurity group created on 2006.•UNE 27001 training courses. AENOR auditor certified.•CISSP (Certified Information System Security Professional).• CyberSecurity Plan developed and approved.•PowerSec EPRI project(CyberSecurity Benchmarking) on 2007.• AURA.XXXX projects started on 2007.

¡¡More than 5 years working on CyberSecurity!!

CHRONOLOGY

Escombreras 6800 MW

Nov’06

Castellón 3800 MW

Sep’02

Tarragona Power400 MW

Ene’04

Castejón 1400 MW

Abr’03

Santurce 4

400 MW

Ene ‘05

Aceca 3400 MW

Jun’05

Arcos 1 y 2800 MW

Dic’04

Arcos 3800 MW

Jun’05

Castellón 4850 MW Dic´07

EW Cartagena150 MW

Jul’10

CT Velilla400 MW

Jun’09

CT Lada400 MW

Jun’09

CT Pasajes200 MW

Jun’09

CN Cofrentes1.100 MW

Sep’10

EW Vitoria, Aranda , Valladolid

150 MW

Jul’10Monterrey III 1000 MW

Jun’02

Termopernambuco500 MW

Feb’04

Altamira III y IV

1000 MW

Nov’03

La Laguna 500 MW

Tamazunchale1000 MW

Junio’07

Altamira V1000 MW

Jun’06

CC Riga400 MW

OUR SECTOR

-After 11-S, USA “Homeland Security” raised.-Since 2006 ->“MANDATORY” standards (CIP 002-09).- Since 2008 -> Nuclear CyberSecurity Standards.- Since 2010 -> SmartGrid Standards (NISTIR 7628 Vol 1-3)- ¡¡1M USD / day penalties!!-Europe is on-hold. UK leading standar process. - Spanish “Critical Infraestructure Protection law” released April2011.- On 2-3 years, probably European standars will come

¡¡ Our sector will introduce CyberSecutiry Standards on a short period of time!!

CONTEXT

11

Inserción Código Malicioso por la CIA en

URS (1982)

Hacking en operadora telecomunicaciones

USA (1997)

Empleado Interno en planta de agua

Australia (2001)

Virus en Central Nuclear

USA (2003)

12

• NRC Order EA-02-026, Interim Safeguards and Security Compensatory Measures for Nuclear Power Plants in February 2002

• NRC Order EA-03-086, Design Basis Threat for Radiological Sabotage, was released in April 2003

• NUREG/CR-6847, Cyber Security Self-Assessment Method for U.S. Nuclear Power Plants

• NEI 04-04 Rev. 1, Cyber Security Program for Power Reactors(November 2005)

• NEI 08-09 Cyber Security Plan for Nuclear Power Reactors, Rev 6.

• Regulatory Guide (RG) 1.152 Rev. 2, Criteria for Use of Computers in Safety Systems of Nuclear Power Plants.

• Branch Technical Position (BTP) 7-14 Rev. 5, Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems.

13

Awaiting release:

• 10 CFR 73.54, “Protection of Digital Computer and Communication Systems and Networks.”

• Draft Regulatory Guide DG-5022 “Cyber Security Programs for Nuclear Facilities”

¡¡ CyberSecurity is knocking on the door !!

WAN

DCG

Otras

Redes

Gobierno

Casetas

GE

Atlanta

WAN

IBERDROLA

DNBTP0971WV

CP

DNBTP0971WV

CP

DNBTP0971WV

CP

GT

HMI HMI

AW AW

ST

PDA VIB PI

UDH/

ArcNet

PDH

NODE

BUS

PC-PLC

PC-PLC

MEDIOAMBIENTE

Contramedidas

Punto Acceso #2:

NINGUNA

Contramedidas

Punto Acceso #3:

NINGUNA

Contramedidas

Punto Acceso #4:

NINGUNA

ADH

Fabricante

OSM

PLC

CEMS

Contramedidas

Punto Acceso #1:

Firewall’s

IT-MONITOR

INTERNET

Host

Contramedidas

Punto Acceso #5:

VPN’s

Contramedidas

Punto Acceso #6:

NINGUNA

Router

RTU

16

To perform a risk assesment on CCGT’s network and control systems todevelop a Cybersecurity Improvement Plan

¡RISKS!

Impact on yourassets

Consecuences on yourprocess ¡ACTIONS!

17

ISO StandarsISO 17799 Catalogue of 133 security controlsISO 27001 ISMS – Information Security Management System (ISO27xxx)ISO 17766 Guidelines on tools and techniques for hazard identification and risk assessment

NERC: Critical Infrastructure ProtectionCIP02-09 182 security controlsPhysical and Cyber Alarm at YELLOW level since 2004 (ES-ISAC)

CEE: European Program for Critical Infrastructure ProtectionEPCIP PolicyCIWIN Critical Infrastructure Warning Information Network

EPRI:EIS Program 86: Energy Information Security.EPRI PowerSec Initiative: Cyber Security Vulnerability AssesmentSANS Training courses,SCADA Security meetings and others

18

Risk Level Action

6 Required

8 threats generating the most important risks

Amenaza Máx de Riesgo Suma de Riesgo

Introduction of Damaging or Disruptive Software 6 406

Communications Manipulation 6 157

Masquerading of User Identity by Outsiders 6 81

Terrorism 6 77

Masquerading of User Identity by Insiders 6 61

Water Damage 6 58

User Error 6 40

Wilful Damage by Outsiders 6 49

TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.PERIN

Año: 2006, 2007 y 2008. Objeto: Securización perimetral redes de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Firewall – 1 con appliances Nokia (en redundancia). Suministrador principal: SATEC. Previsión 2009: Instalación en Centrales Térmicas Carbón (CT Lada, CT Velilla y CT Pasajes). INSTALADO. Previsión 2010: Instalación en Cogeneración de Cartagena.

AURA.DETIN Año: 2008. Objeto: Detección de intrusión en redes de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: NIDS y HIDS. Suministrador principal: Industrial Defender Inc. Previsión 2009: Conexión con Consola Central Corporativa (ArcSight). REALIZADO. Previsión 2010: Ajustar y depurar sistema de reporting de eventos.

AURA.ARMIA Año: 2007. Objeto: Suministro armarios ignífugos. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: Armarios antimagnéticos e ignífugos. Suministrador principal: PROFINSA. Previsión 2009: Proyecto CERRADO.

TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.SECAR

Año: 2008. Objeto: Securización acceso remoto a redes de control y del CMDS con doble factor (RSA). Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Llaves RSA OTP (On-Time Password). Suministrador principal: SATEC. Previsión 2009: Despliegue a todas las centrales (actualmente sólo dos centros en marcha). CERRADO. Previsión 2010: Incluir a las Centrales Térmicas de Carbón (CT Lada, CT Velilla y CT Pasajes).

AURA.ENCRIPTA Año: 2007. Objeto: Encriptación comunicaciones entre ciclos combinados y el CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Tecnología empleada: IPSec con VPN Network-to-Network. Suministrador principal: SATEC Previsión 2009: Proyecto CERRADO (se incluyeron las centrales térmicas de carbón).

AURA.CABSE Año: 2007. Objeto: Protección física cableado de red en sistemas críticos de proceso. Alcance: Todos los Ciclos Combinados de España. Tecnología empleada: Capuchones con llave en cableado RJ-45. Suministrador principal: CIVERA TECNOLOGICA. Previsión 2009: Proyecto CERRADO.

TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.LABCON

Año: 2008 y 2009. Objeto: Implantación laboratorio control DCS y Control Turbina. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Cabinas DCS y Mark VI TMR. Suministrador principal: INVENSYS y GENERAL ELECTRIC. Previsión 2009: Instalación Mark VI TMR. REALIZADO. Previsión 2010: Instalación PCS-7 SIEMENS.

AURA.NETMON Año: 2008 y 2009. Objeto: Monitorización redes y sistemas de control y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: IT Monitor de OSI Soft Inc. Suministrador principal: CIVERA TECNOLOGICA S.L. Previsión 2009: Finalizar proyecto. CERRADO (se incluyeron las centrales térmicas).

AURA.ANVIR Año: 2008 y 2009. Objeto: Automatización ficheros distribución de firmas de antivirus en estaciones DCs y HMI’s. Alcance: Todos los Ciclos Combinados de España y Brasil. Tecnología empleada: FTP seguro. Suministrador principal: CIVERA TECNOLOGICA. Previsión 2010: Distribución fichero en HMI’s de GENERAL ELECTRIC.

TECHNOLOGICAL PROJECTS FROM AURA ASSESMENT AURA.BACON

Año: 2008 y 2009. Objeto: Implantación sistema gestión identidades. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: Cyber-Ark. Suministrador principal: E-ONE SECURITY. Previsión 2009: Implantación proyecto. IMPLANTADO (Ver RT

AURA.DIALUP Año: 2009. Objeto: Securización acceso dial-up Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: En estudio. Suministrador principal: N/A. Previsión 2010: Migrar los accesos remotos de los sistemas medioambientales a FTP + Control PERIN

TECHNOLOGICAL PROJECTS RELATED UPGRADE DCS

Año: 2008 y 2009. Objeto: Upgrade del HW/SW de las estaciones del DCS. Alcance: Todos los Ciclos Combinados de España. Tecnología empleada: -. Suministrador principal: INVENSYS. Previsión 2009: Implantación en “sites” pendientes. REALIZADO.

MANTENIMIENTO RUTINA HMI’s Año: 2008 y 2009. Objeto: Implantación herramientas mantenimiento rutina en HMI’s (backup’s, antivirus, upgrades, IDS,

etc…). Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: -. Suministrador principal: GENERAL ELECTRIC. Previsión 2009: Implantación en “sites” pendientes. REALIZADO.

GERES Año: 2007 y 2008. Objeto: Conexión High Speed securizada con General Electric para prestación “Remote Services”. Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS. Tecnología empleada: VPN Network-to-Network. Suministrador principal: GENERAL ELECTRIC. Previsión 2009: Proyecto CERRADO.

MANAGEMENT PROJECTS FROM AURA ASSESMENT AURA.ANVUL

Año: 2007. Objeto: Análisis de vulnerabilidades (Hacking ético) Alcance: Todos los Ciclos Combinados de España, Brasil, Letonia y el CMDS (análisis realizado en CICAS y

CMDS). Suministrador principal: Industrial Defender Inc.

AURA.DOCU Año: 2007. Objeto: Documentación unificada de redes de control de ciclos combinados y del CMDS. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: CIVERA TECNOLOGICA.

AURA.DAPLI Año: 2008. Objeto: Documentación de aplicaciones y flujos de datos. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: CIVERA TECNOLOGICA.

AURA.c-FoxSec y AURA.c-MarkSec Año: 2008. Objeto: Creación grupos de trabajo de ciberseguridad con suministradores principales del sistema de

control. Alcance: Todos los Ciclos Combinados de España, Brasil y el CMDS. Suministrador principal: INVENSYS y GENERAL ELECTRIC.

MANAGEMENT PROJECTS RELATED GESTIÓN PARCHES EN DCS

Año: 2007. Objeto: Procedimiento para la gestión de parches de sistema operativo en el DCS. Alcance: Todos los Ciclos Combinados de España.

GESTIÓN CLAVES EN SISTEMA DE CONTROL Año: 2007. Objeto: Procedimiento para la gestión de contraseñas en equipos críticos. Alcance: Todos los Ciclos Combinados de España.

CALCO Año: 2007 y 2008. Objeto: Automatización de la generación de los lógicos de control del DCS. Alcance: Todos los Ciclos Combinados de España. Suministrador principal: CONTROMATION.

MANAGEMENT PROJECTS RELATED GESTIÓN PARCHES EN DCS

Año: 2007. Objeto: Procedimiento para la gestión de parches de sistema operativo en el DCS. Alcance: Todos los Ciclos Combinados de España.

GESTIÓN CLAVES EN SISTEMA DE CONTROL Año: 2007. Objeto: Procedimiento para la gestión de contraseñas en equipos críticos. Alcance: Todos los Ciclos Combinados de España.

CALCO Año: 2007 y 2008. Objeto: Automatización de la generación de los lógicos de control del DCS. Alcance: Todos los Ciclos Combinados de España. Suministrador principal: CONTROMATION.

WAN

DCG

Otras

Redes

Gobierno

Casetas

GE

Atlanta

WAN

IBERDROLA

DNBTP0971WV

CP

DNBTP0971WV

CP

DNBTP0971WV

CP

GT

HMI HMI

AW AW

ST

PDA VIB PI

UDH/

ArcNet

PDH

NODE

BUS

PC-PLC

PC-PLC

MEDIOAMBIENTE

Contramedidas

Punto Acceso #2:

NINGUNA

Contramedidas

Punto Acceso #3:

NINGUNA

Contramedidas

Punto Acceso #4:

NINGUNA

ADH

Fabricante

OSM

PLC

CEMS

Contramedidas

Punto Acceso #1:

Firewall’s

IT-MONITOR

INTERNET

Host

Contramedidas

Punto Acceso #5:

VPN’s

Contramedidas

Punto Acceso #6:

NINGUNA

Router

RTU

WAN

DCG

Otras

Redes

Gobierno

Casetas

WAN

IBERDROLA

DNBTP0971WV

CP

DNBTP0971WV

CP

DNBTP0971WV

CP

GT

HMI HMI

AW AW

ST

PDA VIB PI

UDH/

ArcNet

PDH

NODE

BUS

PC-PLC

PC-PLC

MEDIOAMBIENTE

Contramedidas

Punto Acceso #2:

Migrar a conexión Red

a Red

Contramedidas

Punto Acceso #6:

A estudiar

Contramedidas

Punto Acceso #3

y #4:

RAS con CHAP

ADH

Fabricante

OSM

PLC

CEMS

Contramedidas

Punto Acceso #1:

Firewall’s +

Doble Factor +

Encriptación +

Detección Intrusión

IT-MONITOR

INTERNET

Host

Contramedidas

Punto Acceso #5:

VPN’s +

Doble Factor

RAS

Router

RTU

?

AURA.PERINAURA.DETIN

AURA.SECAR/GESURAURA.ENCRIPTA

AURA.SECAR/GESUR

AURA.ANVIRAURA.CABSE

AURA.NETMON

GERES-RT134

AURA.DIALUP

PDTE.

29

DCS MKVI de GETurbogrup

DCS I/A InvensysBOP & Boiler

PLC S7400 Siemens

RealPROCESS (Combined Cycels, Coal, Cogen, etc) LABPC with Models using Labview

Real SensorsLAB Field Points - National Instruments

30

NI models + PC LabView with Models

I/O marshallingInvensys FBM 200 Cards

PC

MARS Monitorizacion Avanzada de Redes y Sistemas

(Note: Nothing to do with Cisco MARS)

• What is MARS?– A hollistic approach to Security Monitoring and

Response

• Why MARS?– Because threats are complex, resources are scarce,

and response time is critical

• How is MARS different from standard approaches?– We use both the standard and the most advanced

Security Strategies and Technologies and highly integrate and automate them so they can work together efficiently

• MARS makes use of:

– Availability Monitoring

– NIDS - Network Based Intrusion Detection

– Advanced Network Traffic Monitoring & Analysis

– Honeypots

– SIEM: Log Aggregation, Correlation, Alerting, Reporting & Data Mining

– Incident Response & Forensic Capabilities

• MARS adds a layer of integration and automation:

– Technology Integration

– Process Coordination

– Automated Investigation of Alerts

– Advanced Detection and Response Process Automation

– Automated and Integrated Reporting (real time/daily/weekly)

• Take your time!!!.

• Holistic approach is required.

• Focus on your risks!!!. Each business is different.

• You have to assume some risks (vendor restrictions)

• Recovery Disaster procedures very important (be ready for the impact).

• Forensics tools and procedures.

• Testing facilities is a must.

• There is not a super product. Integration is required.

• Working close to your control system vendors

• Open Source helps – do not miss it!!!.

Thank you!!

Miguel Chavero

mchavero@iberdrola.es

CISSP #122240