Assessing security of industrial control system environments

No Thumbnail Available
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Date
2014-12-01
Department
Major/Subject
Tietoliikenneohjelmistot
Mcode
T008Z
Degree programme
Tietotekniikan koulutusohjelma
Language
en
Pages
62
Series
Abstract
The security of industrial control systems (ICS) is vital for modern infrastructure. Unfortunately the security of contemporary installations is often insufficient for the challenges posed by the current, networked and hostile environment. There are on-going initiatives tasked with designing and creating new, secure ICS systems and standards. Unfortunately these initiatives often fail to secure existing, legacy environments. New methods are needed to evaluate and address the security needs of these existing environments to ensure their security in the modern operating environment. This thesis presents a framework for assessing the security of existing industrial control system environments. The framework consists of security goals, a risk model and assessment methods as well as guidance on applying these methods. These tools are then used for evaluating the results of two industrial control system security assessments performed by the Nixu corporation. The methodology presented in the thesis proved capable of covering and describing the security issues found in the studied environments. This provides valuable information of the issues affecting the current legacy environments and is a useful starting point for future development on addressing and mitigating the security issues in existing environments.

Teollisuuden automaatiojärjestelmät ovat tärkeä osa modernia infrastruktuuria ja niiden turvaaminen on myös yhteiskunnallisesti merkittävä asia. Tietoturvan osalta tätä tehtävää vaikeuttaa se, että monet näistä järjestelmistä ovat tietoturvaltaan puutteellisia nykyisen verkottuneen ja vihamielisen toimintaympäristön vaatimuksiin nähden. Automaatiojärjestelmien tietoturvan parantamiseksi on aloitettu useita hankkeita, jotka pyrkivät luomaan sekä uusia, turvallisia standardeja, että näitä toteuttavia järjestelmiä. Nämä hankkeet eivät kuitenkaan pysty suoraan korjaamaan olemassa olevien järjestelmien puutteita, jotka ovat lähtöisin laitosten suunnittelu vaiheista ja teknologiavalinnoista. Tämä diplomityö tarjoaa käsitteistön ja mallin olemassa olevien automaatiojärjestelmien tietoturvan arvioimiseksi ja soveltaa näitä työkaluja kahteen Nixu Oy:n suorittamista automaatioympäristöjen tietoturva-arvioinneista. Työssä esitelty toimintatapa ja menetelmät osoittautuivat soveliaiksi kuvaamaan ja kattamaan kohdeympäristöissä havaitut tietoturvaongelmat ja tarjoaa hyvän lähtökohdan näiden ongelmien korjaamiseen tähtäävään jatkokehitykseen.
Description
Supervisor
Aura, Tuomas
Thesis advisor
Sinnelä, Harri
Keywords
industrial control system, security, security assessment, ICS, security audit, SCADA
Other note
Citation