Thursday, July 17, 2014

Why does Security often have a low priority?

During a conversation with a manager of a vendor of Energy Management Systems (EMS) today, I was surprised hearing that they offered a training course on Security measures in 2013 – but had to cancel the course because of too less registrations! Could that be true in 2013?

Here is some information on security measures easy to read and understand – maybe hard to implement:

Whitepaper
Anforderungen an sichere Steuerungs- und Telekommunikationssysteme

White Paper
Requirements for Secure Control and Telecommunication Systems

Click HERE for the bilingual document [pdf]

There is also a companion document (in German) available that gives further guidelines on how to apply the requirements for control center level systems, for communication infrastructure level, and for substations and RTUs:

“Anforderungen an sichere Steuerungs- und Telekommunkationssysteme
Ausführungshinweise zur Anwendung des BDEW Whitepaper”

These requirements are mandatory for vendors!!

Click HERE for the document [pdf, DE].

Every expert in the energy automation business should read, understand, and apply these requirements.

On page 58 you can read (in German):

“Entsprechend den technischen Möglichkeiten sollten in allen Bereichen standardisierte IEC-Protokolle angewendet werden. Der private Bereich dieser Kommunikationsprotokolle sollte nach Möglichkeit nicht verwendet werden.
Eine Verschlüsselung der Protokolle nach IEC 62351 sollte durch den Betreiber geprüft werden, wobei ggf. auftretende Einschränkungen bei der Fehlerdiagnose sowie die notwendige Infrastruktur und Prozesse zur Schlüsselverwaltung berücksichtigt werden sollten.
Dort, wo aktuelle Systeme und Geräte noch nicht die Möglichkeit der Verschlüsselung nach IEC 62351 bieten, sollte die Fernwirkübertragung daher auf den unterlagerten Netzwerkebenen geschützt werden, z.B. durch Nutzung von VPN-Technologie oder SSL/TLS-Tunnelung.
Insbesondere für IP-basierte Protokolle sollten entsprechend sichere Netzwerkstrukturen vorgesehen werden (siehe 2.3).”

By the way, the whitepaper can be used by English speaking experts to learn German – and vice versa ;-)

No comments: