Dr.-Ing. Marc ANTONI, Directeur système de l’UIC11h30+MA[0].pdf · Connexion des éléments...

Sécurité des Systèmes Industriels Interconnectés – Approche ferroviaire (20/10/2016)

Sécurité des Systèmes Industriels Interconnectés - Approche ferroviaire (20/10/2016)

Dr.-Ing. Marc ANTONI, Directeur système de l’UIC

Sécurité des Systèmes Industriels Interconnectés - Approche ferroviaire (20/10/2016)

1


Problématique sécurité en général

Problématique sécurité dans le ferroviaire

Des points communs

Le projet « ARGUS » - un guide cyber pour les ch.de fer ?

Les principales propositions : les «quatre piliers» - L’organisation / management S&S : Atelier 1 - Les systèmes informatiques / formel : Atelier 2 - Les réseaux télécoms / contremesures : Atelier 3 - Les aspects fonctionnel / expertise métier Atelier 4

2

2




Des points communs


Les principales propositions : les «quatre piliers» - L’organisation / management S&S : Atelier 1 - Les systèmes informatique / formel : Atelier 2 - Les réseaux télécoms / contremesures : Atelier 3 - Les aspects fonctionnel / expertise métier Atelier 4

3

3


4

Source : LMU20 - Florian STOSSE – Jean-Christophe TOUVET

4

Avec ~100millions de lignes de codes Avec 6% de lignes ouvrant des failles… Ca fait peur…


5


5


6


6


7

Selon le rapport du “NSS Labs' Vulnerability threat Report” la vulnérabilité des infrastructures commandant les centrales d’énergie, d’eau, de télécommunications et de transport public depuis 2010 a augmenté de 600%

• Le nombre des vulnérabilités découvertes dans les SCADA a augmenté d’un facteur par 6 entre 2010 et 2012. • Plus de 90% des vulnérabilités identifiées ont des conséquences de significatives à fortes

7




Des points communs


Les principales propositions : les «quatre piliers» - L’organisation / management S&S : Atelier 1 - Les systèmes informatique / formel : Atelier 2 - Les réseaux télécoms / contremesures : Atelier 3 - Les aspects fonctionnel / expertise métier : Atelier 4

8

8


En Europe:

Connexion des commandes centralisées aux postes d’aiguillages et de ceux-ci aux systèmes ETCS : - usage poussé par l’industrie de “IP Networks”, généralement avec MPLS et VPN, ouverts à Internet via des “firewalls”...

Connexion des éléments terrains avec les postes d’aiguillages, via des réseaux IP, voire des « Cloud »…

Connexion des systèmes de télésurveillance et autres applications de services: usage de réseau virtuel distinct, usage d’un autre réseau physique…

UIC – Rail System Department – Dr. Marc ANTONI 9


Hors Europe:

Certains pays sont plus sensibles aux risques sureté, notamment quant aux risques spécifiques des réseaux ouverts (challenges cyber sécurité, modes communs, gestion des modes

dégradés...) et promeuvent et imposent des solutions strictes: - réseaux signalisation « internes et clos » (IP, type national) - redondance avec des réseaux non IP, spécialement pour la voix et le management en mode dégradé - modules signalisation obligatoirement en « white box »...



Communication du train vers ETCS (RBC) : - GSM-R, évolution de la commutation de circuit vers celle de paquets – bande proches du GSM public… - Alors que certains pays terminent leur équipement, d’autre le régénère, avec une prévision de mort annoncée en 2030 - Problèmes d’interférences, de « jammage »...

Le projet FRMCS (UIC&ETSI) a défini les fonctionnalités du futur support de transmission radio pour l’Europe – le tout sur un réseau IP radio (yc liaison train à train)



Dans les deux cas, le challenge c’est la grande disponibilité opérationnelle du « système ferroviaire » :

L’indisponibilité impacte directement la sécurité système: - modes communs, management des modes dégradés ... - les architectures télécoms et signalisation peuvent donner une « garantie acceptable » mais est-ce suffisant?

Aujourd’hui en Europe et contre certains lobbys, nous devons prendre conscience que la « CYBER SECURITY » est une réalité et qu’elle se traite au niveau « SYSTÈME »



COMMUNICATIONS sans fil

Transmissions fixes INFRASTRUCTURE

Spécialement pour les systèmes de

signalisation modernes

Pourquoi ? Un changement de paradigme « du mon clos au monde ouvert »




Rappelez vous : des attaques cyber dans le ferroviaire


Network Rail Station Status AUG 2012

Station status report application affected by Distributed

Denial of Service attack causing a 6 hour outage

And a lots of non official events, behaviours, intrusions tests and results… and nobody accept to communicate on the facts... Leading to think that some improvements have to be done quickly on existing and forecasted modern signalling and traffic control systems! Et depuis ces dates éloignées...




Point operation through unauthorized usage of a high level command

Normal system operation (routing)

Information displayed on the dispatcher's

workstation

Etat réel du terrain vs; Etat visualisé au centre de contrôle




Des points communs


Les principales propositions : les «quatre piliers» - L’organisation / management S&S : Atelier 1 - Les systèmes informatique / formel : Atelier 2 - Les réseaux télécoms / mesures : Atelier 3 - Les aspects métiers / fonctionnel : Atelier 4

17

17


Specification

Formalisatio

n

Testing

Validation

Formalized SPECS

Application SW

Supplier integrat

ion

Supplier Compile

r HW

dependent

Embedded

application

SW+HW

Testing

Application

External elements

Operation

Maintenance

Adjacent systems

1

2

3

4

8

7

5

9

6

10

Application

Developer Supplier

Operator UIC – Rail System Department – Dr. Marc ANTONI 18

Suppliers

Railways


SAFETY

PHYSICAL SECURITY

CYBER SECURITY

Convergence

RESILIENCE Nécessite d’être considéré

au niveau SYSTEME





Des points communs



20

20


Un projet collaboratif entre ~10 membres de l’UIC (ADIF, RFI,

CFR, DB Netz, INFRABEL, OBB, RZD, SBB, SNCF Réseau ...)

Il repose sur un retour d’expérience partagé entre les membres et vise à produire : un guide de bonnes pratiques pour les chemins de fer (standard professionnel sous forme de IRS

– International Railways Solutions) de l’application des normes

En guise de résultat, une démarche générique pour faire face au problème / les chemins de fer : 1 – Système ferroviaire – Définir les priorités stratégiques 2 – Définir par sous réseau ou système fer, les niveaux de sureté requis et les implications architecturales induites 3 – Retenir pour chacun l’ensemble des dispositions devant être mises en œuvre : organisation, architecture, télécoms et systèmes UIC – Rail System Department – Dr. Marc ANTONI 21


Il ressort des échanges que Sûreté et Sécurité sont dépendants:

- La conception d’un système critique de signalisation doit prendre en compte le plus en amont des contraintes de sureté: - pour introduire les “axiomes” pour la démonstration finale, - en considérant les règles d’exploitation et le SMS, - en tenant compte des règles de gestion des modes dégradés

Sûreté et sécurité sont interdépendantes : la démonstration de l’une demande des postulats de l’autre. La sûreté est maintenant considérée comme un facteur rédhibitoire de la « Digitalisation »

Sûreté et Sécurité doivent être considérées au même niveau, au niveau SYSTEME considérant les choix en exploitation et AM



Les fonctions

SIL4 sont

dépendantes du

type de réseaux

(délais…)

Les fonctions de

signalisation sont

indépendantes du

type de réseau ?

SAFETY Système de

signalisation

SAFETY Système de

signalisation

SAFETY Système de

signalisation SAFETY Système de

signalisation

SIL0 Closed

Network

SLx Open

Network

with security

function

(e.g. VLAN)

23

Les fonctions de

signalisation sont

indépendantes

des supports Tel.

SAFETY système de

signalisation SAFETY système de

signalisation

SIL0

Monde

« Clos »

Hier

Et/Ou Demain


Il ressort des échanges, un nouveau paradigme « transmission »



Les conséquences “acceptables” et “inacceptables” doivent être considérées différemment : les secondes doivent être éradiquée par conception !!

Quelle est la frontière ?

L’approche “Risque = Fréquence x Conséquences” n’est pas toujours acceptable pour les Chemins de fer

Comment estimer ici un « Fréquence ou exposition » ?

Une attaque unique peut être de trop! Acceptable avec

des risques acceptés, assumés

NON Acceptable area

Fréquence ou exposition au risque

(3) Evénements

rares et inacceptables à éradiquer par la

conception ou le formel

Conséquences (Severity)

(2) Risques à réduire par mesures de prévention et/ou de réduction

(1)IFrontière de inacceptable

selon le type de sous réseau...

Il ressort des échanges, un nouveau paradigme « risque »


UIC – Rail System Department – Dr. Marc ANTONI

Low risk, no disposition necessary

Medium risk, to verify the necessity to reduce them

High risk, necessary dispositions to reduce them

Non acceptable risk, priority action to be launched

1 2 3 4

Impact (Severity)

Very High High Medium Low

1

2

3

4

Low

Medium

High

Very High

Frequency

Can a scenario reducing the railway safety be identified ?

The regularity / availability of the railway traffic can be significantly reduced by any scenarios ?

« INACCEPTABLE »

25

For each identified category of systems, networks, sub-networks, functions (security level 1 to 4) Leads to different packages of coherent solutions on different axles on the Supplier and railway sides The battle of the safety is won or lost in the first stage of design

Il ressort des échanges, un nouveau paradigme « risque »



Il ressort des échanges, une architecture unique et à risques

Commandes centralisées

Accès GI maintenance

Accès EF et fournisseurs

SIL0, SIL2, SIL4

Intrusion physiques ?



Il ressort des échanges, un recours aux « firewalls »…

- Télésurveillance de la maintenance signalisation - Accès à distance pour les fournisseurs Infranet - Transfert d’informations aux EF (sous Infranet)


«Surveillance des échanges informatiques sur les réseaux» entre modules critiques – gestion de l’exploitation et de la maintenance des réseaux

«Surveillance des échanges fonctionnels entre unités» de signalisation (messages correctement formatés…) : – surveillance automatique au sein des machines cibles – surveillance centralisé des échanges sur les réseaux (PCTF+)

« Indépendance physique entre réseaux critiques et non critiques » - entre réseaux «signalisation», «télésurveillance», «communications vocales entre les acteurs»…


Il ressort des échanges, des actions de réduction risques et/ou de préventions (1/4)


Réseaux signalisation “physiquement clos” (EN50159)

Indépendance physique des réseaux de signalisation de différents niveaux (architectures militaires classiques) : - commandes centralisées (N0) postes d’aiguillage (N1) - postes d’aiguillage (N1) centres terrain (N2) - centres terrain ou postes d’aiguillage éléments (N3) Principe: le poste d’aiguillage réalise une barrière physique et fonctionnelle avec les éléments terrains (confinement + distinction entre «messages courts & faibles temps de réaction» et «messages longs & temps de réaction plus élevés»)




Protection des échanges entre modules de signalisation par « Cryptographie » et « Datation/validation » : - ralentissement des échanges - temps réel vs. immédiat - reprise du fonctionnel signalisation pour en tenir compte

Développement des modules de signalisation en « Boite Blanche » pour démonstrations formelles ou réalisations d’essais d’intrusion en boite blanche

Mise en place d’une système de management de la sécurité et de la sûreté – compétences, habilitations, essais d’intrusion, surveillance continue « multi acteurs », gestion des modes

dégradés. … UIC – Rail System Department – Dr. Marc ANTONI 30



Réduire autant que possible pour les système critiques de signalisation l’usage de la « Radio » (notamment sur IP) vs. prendre les mesures conservatoires ad hoc…

Idem quant à l’usage de la «localisations satellite» (cf. SATLOC)...

...

Les mesures de 4 natures : les organisations et le management de la sécurité, les solutions télécoms, les solutions informatiques, la prise en compte des aspects métiers (spécificités du métiers) les 4 piliers à venir




1. Réflexions au niveau système : Safety & Security: Quels sont les comportements non « assumables » ? Quels sous-réseaux (systèmes) peuvent être distingués Quels scénarii & événements redoutés assumables ou non

2. Affectation des niveau de sûreté vs. niveau de sécurité : Quels niveaux de sureté pour sous réseau / sous système ? De l’usage de la matrice des risques sûreté

3. Choix d’ensembles cohérents de solutions de nature à démontrer l’atteinte d’un niveau de sûreté donné : De l’usage d’un catalogue à 4 niveaux & 4 dimensions


Il ressort une démarche en trois temps:




Des points communs



33

33


1. L’organisation, le système management de la sécurité ET de la sûreté, au niveau du sous système en cause, sur tout le cycle de vie des produits, procédures…

2. Les moyens de télécommunications mis en œuvre et leurs meures cyber associées : protocoles, crypto, VPN, firewall…

3. Les moyens informatiques mis en œuvre et leurs mesures cyber associées (en plus de celles sécurité) : OS ou MTR, boite blanche vs. boite noire, langages formels ou non formels…

4. Les protections «métiers» hors champs de compétence des attaquants : subsidiarité, observateurs silencieux, architecture…


Pour définir un niveau de sûreté système visé, il convient de conjuguer des mesures de quatre natures différentes :


Télécoms IP et mesures de Mitigation (3) (firewall, Privacy des datas collectées, Intégrité des données collectées, VPN, surveillance des événements, détection des intrusions (IDS), DMZ, segmentation des réseaux…)

Systèmes informatiques

T.Réel ou T.Immédiat (2) (système déterministe ou non, choix d’un OS ou d’un MTR, distinction entre machine cible et modèle fonctionnel interprétable...)

Fonctionnel métier (4) (cohérence entre the contexte courant et les ordres reçus, architecture et subsidiarité, … graphes de détection anomalies système, détection et résilience automatique, validation formelle / propriétés de sécurité système…)

Organisation and architecture système (1)

(système de management de la sécurité et de la sûreté, compétences, autorisations, confinement des accès, protection physique des accès aux réseaux et installations…)

CONVERGENCE: réduit la possibilité de d’une intrusion

efficace

Chemin de fer Fournisseurs



SL4 – Les plus haut systèmes critiques de sécurité / modules d’enclenchements, postes d’aiguillage, actionneurs et capteurs terrains, radio bloc centre pour ETCS… Toutes les mesures au maximum!

… SL1 – Le niveau des systèmes de contrôle-commande sans implications

sécuritaires, programmation des itinéraires…


Pour un niveau de sûreté donné et un contexte industriel donné définir des choix sur les quatre types de mesures dans les respect des lois dites « de programmation militaires » - les systèmes de signalisation sont quasiment tous dans le niveau le plus élevé de ces lois !


Merci de votre attention Des Questions avant les ateliers de cet après midi ?

Dr.-Ing. Marc Antoni UIC Rail System Director [email protected]


mailto:[email protected]

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&docid=AigmiGg5nPTRbM&tbnid=PPPNrViKvwMX1M:&ved=0CAUQjRw&url=http://dungeonsanddrawings.blogspot.com/2010/08/beholder.html&ei=S2rHU5D2FMTsO4LQgeAB&bvm=bv.71198958,d.bGQ&psig=AFQjCNHSZnqxDjnRWSGJUNbIViddamybhA&ust=1405664183314905

Dr.-Ing. Marc ANTONI, Directeur système de l’UIC11h30+MA[0].pdf · Connexion des éléments...

Documents

Transcript of Dr.-Ing. Marc ANTONI, Directeur système de l’UIC11h30+MA[0].pdf · Connexion des éléments...