Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013

CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år

Danish Crown Danish Crown er en internationalt orienteret fødevarevirksomhed med produktion og salg over hele verden. Danish Crown producerer og sælger svine- og oksekød i moderselskabet. Danish Crowns datterselskaber producerer og sælger forædlede fødevarer og en række andre produkter til fremstilling af fødevarer

Danish Crown i internationalt perspektiv - 1 Danish Crown er: Europas største og verdens andenstørste svineslagteri Europas største kødforædlingsvirksomhed Danmarks største kreaturslagteri Blandt verdens 2-3 største kødseksportører og verdens største svinekødseksportør

Nøgletal 2011/12 Danish Crown koncernen Koncern Omsætning Slagtninger pr. år Nøgletal 56,5 mia. kr. 21,8 mio. svin og søer Heraf ca. 6,3 mio. i udlandet Ca. 0,6 mio. kreaturer og lam Heraf 0,3 mio. i udlandet Andelshavere 9.031 Medarbejdere 23.500

OG IT SIKKERHED

Tilbage blik.. Efter opbygningen af storslagteriet i Horsens i 2005, kom der for alvor gang i emnet : IT sikkerhed - Stabilt server og terminal miljø - Forretningen skal med i risiko vurdering. - Standardiser systemer - Bedre overvågning - Stabilt backup system - Robust netværk - Bedre opdateringsmuligheder - Stille større krav til leverandører - Styr på svagheder i IT sikkerhed 7

Tilbage blik.. Kunne industrien bliver angrebet af hackere i 2005? Måske, men egentlig ikke noget vi bekymrede os så meget om? Kunne vi blive ramt af et virus angreb? Ja, helt sikkert. det skal vi forhindre. Har vi en køreplan og hvad gør andre? Stort set intet. Vi må opfinde noget selv og skelne til den administrative verden som har arbejdet med sikkerhed i mange år. 8

Tilbage blik.. Udfordringer var der nok af Automationssystemer kan ikke opdateres. Der findes ingen dokumentation. Der er en ingen lokal ansvarlige for installationen. Viden om systemerne findes hos leverandørerne. Systemerne skal holde i 10-15 år og gerne mere. OS og SQL er sjældent installeret efter standard og med korrekt licenstype. Dyrt at ændre i systemerne. Berøringsangst for udstyret. Kommunikere ofte med mange forskellige IP adresser og none standard port numre. Netværksstrukturen er rodet og backup findes sjældent. Leverandørerne ændre i systemerne uden Change Mangement systemer. 9

Tilbage blik.. Ikke underligt at hverken IT branchen eller administrative IT folk vil rører Fabriks IT med en ildtang. Danish Crown opretter derfor en afdeling i 2005 på 4 mand som skal sikre Fabriks IT på storslagteriet i Horsens. I 2007 udvides afdelingen til 9 personer og i 2013 har afdelingen 22 mand som har ansvaret for 36 fabrikker. 10

IT Organisation

Factory IT Ansvarsområder ( Drift, projektering og support) : 640 produktionsservere (heraf ca. 370 på VMWARE) 170 MS Sql servere 80 Scada servere 1400 industri terminaler 18 VMWARE installationer (Fuldt redundant miljø). Ca. 140 forskellige IT systemer 12

Udfordringer sådan kom vi i gang. Step 1 : Igangsatte ekstern analyse, som definerede svagheder i IT systemer. (Oppetider, adgangskrav, dokumentation, organisation, ansvarlige m.v.) Step 2 : Lod forretningen sætte krav til oppetid. Step 3 : Informere om hvad den reale nedetid, ville være ved nedbrud. Step 4 : Forretningen er skræmt, af god grund. Forretningens forventninger stemte ikke overens med daværende opbygning. 13

Finansieringsgrundlaget er skabt... IT Sikkerhed 1. Adgang til fabrikker 2. Sikkerhedspolitiker 3. Styring af netværk 4. Sikre stabil servere drift 14

Opbygning DC Net Tegning fjernet Internet Service VLAN RAN Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk Remote service Pr fabrik: 15-50 switche Admin Firewall 37-40 VLAN FDB PVLAN 1 PVLAN 2 PVLAN 3 Service VLAN Jump Station 15

Adgang til systemer Tegning fjernet Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk Adgang via - VPN / Citrix - Mobil - Wireless - Admin netværk - Prod netværk 16

Adgang til systemer (VPN / Mobil) Tegning fjernet Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk - VPN juridisk kontrakt og overvågning af trafik*. - Sikkerhedsdokument - Jumpstation (arbejdsstation) via Citrix eller VPN. 17

IPS (Intrusion Prevention Systems) Tegning fjernet Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk - VPN juridisk kontrakt og overvågning af trafik. IPS sikre at pakker droppes hvis de ser suspekte ud. 18

Adgang til systemer (Wireless) Tegning fjernet Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk - Kun DC godkendte access point må anvendes. - Interne DC folk komme på DC netværk. - Fremmed kommer på internet forbindelse og skal anvende Citrix/VPN. 19

Adgang til systemer (Internt) Tegning fjernet Kontakt evt. Thomas Page Pedersen for evt. uddybning. tpp@danishcrown.dk - IT sikkerhedsdokument 20

2. Sikkerhedspolitiker Brugerkategorier Internt ansatte har ansættelseskontrakt Krav Intern IT sikkerhedspolitik Konsulenter/serviceteknikere med egen ITudstyr der kommer på DC netværk (VPN eller direkte LAN) Konsulenter/serviceteknikere der anvender DC IT-udstyr (Citrix, Jumpstation, DC PC) IT sikkerhed (ekstern)* VPN kontrakt Fortrolighedserklæring (Eventuelt) IT sikkerhed (ekstern)* Fortrolighedserklæring Konsulenter uden IT adgang Fortrolighedserklæring Gæster i gæstelokaler Kun internet (gæstenet) Sikres teknisk 21

IT sikkerhed - ekstern 22

IT sikkerhed - ekstern 23

IT Sikkerhedsdokument - ekstern 2 sider som alle kan forstå. Indhold / Kendskab : - Hvad sker der ved overtrædelse af sikkerhedsregler? - Muligheder for adgang. - Jumpstation - Change Mangement - Overvågning - Licensregler - Adgang til systemer - Håndtering af login og password - Opbevaring af data - Internet anvendelse - Adfærd på netværket. 24

3. Styring af netværk. - Adskil Fabriks IT fra Administrativt IT (kan være en meget stor opgave), via VLAN. Eks. Vejle - Firewall imellem Admin og fabriks netværk. - Ingen adgang til internet fra fabriks netværk. - Kun åbne for lovlige porte og DC styret remote værktøjer. - Placere units som ikke kan kontrolleres, på lukket VLAN. - Luk alle porte som ikke anvendes i switche. - Informere leverandører omkring netværksstruktur. - Regler for placering af udstyr. - Dokumentation på alt udstyr. - Sikre redundant udstyr. FDB Tegning fjernet Service VLAN RAN Admin DC Net Internet Kontakt evt. Thomas Page Pedersen for evt. uddybning. Firewall tpp@danishcrown.dk Remote service PVLAN 1 PVLAN 2 PVLAN 3 Service VLAN129 Jump Station 25

4. Sikre stabilt server drift - Placere alle servere på VMWARE. - Redundant VMWARE løsning. - CommVault Backup / restore test. - Alt skal være standardiseret. - Overvågning af hardware og software (kun brugbare alarmer). - Opdateringsstrategi for OS, SQL og antivirus. - Nedluk services som ikke anvendes. - Fjern anonyme fileshares. - Dokumentere løsninger. 26

Opdatering af systemer udfordringer. Mange systemer tåler ikke Windows opdatering. Opdatering via positiv liste tager mange ressourcer og tid. Leverandører ved ofte ikke hvad opdateringer betyder for deres systemer. Systemerne skal placeres på lukket VLAN. 27

Sikre stabilt server drift - opdatering af systemer Strategi : Manuel opdatering af Antivirus program og Windows : (Antivirus opdateret løbende med signatur filer) Udvalgte servere testes inden udrulning til øvrige servere. På VMWARE : Shapshot opdatering. På fysiske servere : Spejlet disk tages ud - opdatering VMWARE, Bios,overvågningsprogrammer Ca. 1 gang om året 28

IT sikkerhed Er det spild af tid? historier fra det virkelige liv, hvis man ikke tager hånd om sikkerheden : Leverandør sætter PC på netværk som er virus inficeret > ligger fabrik ned. Leverandør bruger IP adresse som allerede er anvendt i forvejen > ligger fabrik ned. Leverandør sender spam mail fra PC > Firma mailkonto lukkes. Ulovligt materiale downloades via netværk -> Politi anmeldelse Virus tvinger risikabelt windows opdatering i produktionstid > nedetid mange steder. Login og password videregives til andre leverandører > ændring af login / password. Systemet opdateres uden change mangement -> Ingen ved hvad der er ændret. Virus angreb mod Scada systemer -> hurtig opdatering af systemer, som ikke må opdateres??... Dvs. installere efter positivliste. Osv. 29

Erfaringer sov rolig med nedenstående tjekliste. - Backup / Restore strategi - Organisation - Krav til netværksudstyr - VLAN opbygning - Firewall - Placering af udstyr - Jumpstation (arbejdsstationer) - Adgangsmuligheder - Sikkerhedsdokumenter - Hvilket services skal være aktive? - Retningslinier for anvendelse af fabriks IT - Servere politiker - Licens styring - OS patchning. - Antivirus - Krav til Unit maskiner - SQL sikkerhed - SLA (service level agreement) - Forretningsanalyse (risiko vurdering) - Change Management system 30

Dansk Industri vejledning. http://di.dk/virksomhed/produktion/it/pages/it.aspx 31

Afslutning - Spørgsmål tpp@danishcrown.dk