This presentation is for Oracle Security Comunity, presented in Feb. 2011 at Oracle meeting in Milano.
I speak about AIIC (Associazione Italiana Esperti in Infrastrutture Critiche), About CIP and ECI (Critical Infrastruture Protection) and European Critical Infrastructure. SCADA Protection and related strategies
ServiTecno Tieghi Aggiungere Video Al Telecontrollo Per Telecontrollo2009 R2
2011 aiic + scada security x oracle security comunity
1. AIIC: Associazione Italiana Esperti in Infrastrutture Critiche, le IC e le ICEe la Protezione da rischi informatici di Reti e Sistemi di Telecontrollo e Controllo di impianti ed infrastrutture Enzo M. Tieghi – Consigliere di AIIC etieghi@servitecno.it 1 Febbraio 2011 - Oracle Security Comunity
2. Chi siamo: Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it
3. IC: Infrastrutture Critiche, cosa sono? «per infrastrutture critiche (IC) si intendono tutte le strutture essenziali per il mantenimento delle funzioni vitali della società, della governance, della salute, della sicurezza e del benessereeconomico e sociale di un Paese, il cui danneggiamento o distruzione avrebbero un impatto significativo, anche a causa della stretta interdipendenza creatasi (“effetto domino”). Esempi tipici di IC sono le reti di trasmissione e distribuzione dell’energia (elettricità, petrolio, gas), le reti dei trasporti (strada, ferrovia, aereo, navigazione interna e marittima), le reti di telecomunicazione».
7. Consapevolezzain grado di gestire correttamente le infrastrutture con una particolare attenzione alle situazioni di crisi
8. Il primo risultato dello “sforzo congiunto” :GdL alla Presidenza del Consiglio dei Ministri È il primo testo italiano ad avere avuto come obiettivo quello di delineare l’argomento, evidenziando gli aspetti di maggiore interesse e criticità per il sistema Paese
10. Associazione Italiana esperti in Infrastrutture Critiche Via del Politecnico,1 - 00133 Roma http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it
11. La rivista: Safety & Security Organo ufficiale dell’AIIC Contiene articoli tecnici e divulgativi sul tema delle Infrastrutture Critiche trattati da esperti dei vari settori industriali Tirato in 8.000 copie è diffuso tra i principali operatori del settore […] uno scenario aggiornato del contesto competitivo del settore della sicurezza fisica e della sicurezza logica in Italia […]
26. Cosa ha fatto e cosa sta facendo AIIC Analisi dell’impatto della proposta di direttiva Consultazione sui possibili effetti dell’implementazione della direttiva Cross-analysis sulle esperienze globali (analisi comparata dei sistemi CIP) Consultazione con Istituzioni per uk recepimento/Attuazione in Italia della direttiva 2008/114/CE La AIIC è stata coinvolta nel processo di approvazione della Direttiva Europea sulla Protezione delle Infrastrutture Critiche ed è presente, direttamente o con i suoi soci, nei principali tavoli nazionali e internazionali che si occupano della tematica
28. AIIC – Consiglio Direttivo (2011-13) : Presidente: Sandro Bologna (ricercatore) Vicepresidenti: Bruno Carbone (Enav), Silvio Fantin (GSE), Segretario: Roberto Setola (Univ. Roma Campus Biomedico) Tesoriere Guido Pagani (Banca d’Italia) Consiglieri: Emiliano Casalicchio (Univ. Roma Tor Vergata), Gregorio D’Agostino (Enea), Dario de Marchi (Acquirente Unico), Luisa Franchina (Pres.Cons.deiMinistri Dip. Protez. Civile), Stefano Panzieri (Università Roma Tre), Andrea Rigoni (Poste ItGC-SEC Global Cyber Security Center) Enzo Maria Tieghi (ServiTecno)
29. AIIC Associazione Italiana esperti in Infrastrutture Critiche Per Associarsi: http://www.infrastrutturecritiche.it info@infrastrutturecritiche.it
30. Enzo Maria Tieghi, socio AIIC, Socio CLUSIT Gestire e proteggere da rischi informatici reti e sistemi di Supervisione, Controllo, Monitoraggio e Telecontrollo di impianti nelle infrastrutture e nelle utility
31. Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 19
32. Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 20
33. Security e sistemi (secondo ISA95) Level 4 Business Logistics Plant Production Scheduling, Shipping, Receiving, Inventory, etc IT Security Policies and Practices (ISO 27000- 20000 Level 3 Common technologies, policies and practices Manufacturing Operations Management Dispatching, Detailed Production Scheduling, Production Tracking, ... Mfg Security Policies and Practices (ISA 99) Level 2 Batch Production Control Discrete Production Control Continuous Production Control Process Safety (ISA 84, IEC 61508, IEC 61511) Level 1 The production processes Level 0
35. Incidenti del passato (+ altri recenti… ) Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni ‘80 sino a casi decisamente recenti.
36. Whatcom Falls Park “About 3:28 p.m., Pacific daylight time, on June 10, 1999, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that flowed through Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18-year-old young man died as a result of the accident. Eight additional injuries were documented. A single-family residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million.”
37.
38. Technical details “The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package.”