2/6/2019

Fundamentals of Cyber‐Secure SCADA Systems 

NYWEA 91st Annual Meeting – Session 26 – 3:30 PM 

Matthew J. Lick, 

PE, CERP‐A

Today’s Goals

• Gain an understanding of recent trends in cybersecurity and how it relates to SCADA systems

• Explore some of the standards available to help guide decision making on cybersecurity

• Learn about different approaches used to evaluate and implement cybersecurity elements

• Understand that cybersecurity isn’t a one stop shop.– Cybersecurity is a mindset, not a one size fits all solution.

2

Why Is SCADA Cybersecurity Needed?

What Has Changed?

• Connections to other networks– Enterprise systems for information sharing and analytics

– Desire for remote site information (e.g. pump stations)

– Desire for plant operation from outside

• Threats have evolved– Cyber criminals have become more successful

– Nation‐State level focus on utilities

– Software updating more critical (patch updating)

• Devices are not the same– Smart devices are being connected to Industrial Control System 

Networks

• Our habits have changed– Use of smart devices in our personal lives

4

SCADA System Trends

5

Plant Equipment Evolves

6

• Equipment traditionally connected to PLC I/O cards can now be monitored over an Ethernet network– Smart MCC’s

– VFD’s

– Valve actuators

– Process Analyzers

– Smart Sensors

Example Cyber Breach

8

Bowman Ave Dam SCADA Attack

• Gained access to the SCADA system for a small dam in Rye, New York via an unsecured cellular modem 

• Once in, the attackers had the ability to manipulate the sluice gate, responsible for water flow and level 

• Fortunately, dam was offline at the time for maintenance

• Hackers sponsored by the Iranian government as indicted by the Southern District of NY, United States District Court

9

Courtesy of the Wall Street Journal

Bowman Ave Dam, New York

10

Bowman Dam, Oregon

Cybersecurity Standards,Overview, and Applicability

Cybersecurity – General Goals

• Cybersecurity – protecting computers, networks, programs and data from unauthorized access or use

• Security control ‐ A safe measure or countermeasure used to minimize a risk

• Information security goals are to ensure “CIA” are preserved

12

Notable Standards and Regulations• Presidential Executive Order 13636, Improving Critical Infrastructure Cybersecurity

• NIST 800‐53, Security and Privacy Controls for Information Systems and Organizations

• NIST 800‐82, Guide to Industrial Control Systems Security

• ANSI ISA‐62443(ISA‐99), Security for Industrial Automation and Control Systems

• AWWA G430, Security Practices for Operation and Management

• AWWA J100‐10, Risk and Resilience Management of Water and Wastewater Systems

Honorable Mentions:

• NIST Critical Infrastructure Cybersecurity Framework, guidance on standards applicability by industry

• AWWA Cybersecurity Evaluation Tool (CSET), provides guidance on implementing the standards above.

13

New York State Regulations• Implemented in June 2017

• Public Health Law § 1125 ‐ Water supply emergency plans

“All water suppliers shall prepare a water supply emergency plan…” [which] “shall include, but not be limited to, the following…

“a vulnerability analysis assessment, including an analysis of vulnerability to terrorist attack and cyber attack, which shall be made after consultation with local and state law enforcement agencies.”

14

Control System Cybersecurity Approach

15

NIST Critical Infrastructure Framework v1.1NIST Risk Management Framework (RMF) – NIST SP 800‐37

Phase 1 – Categorize

1. Risk Assessment & System Classification– Review the system with stakeholders

– Identify critical success factors

– Classify system based on consequences of security breach

• Probability vs Impact

– Perform a risk assessment

2. Document the System– Create a basic system profile

3. Register the System– Provide system documentation to business unit responsible for system

– Understand any security implications from any interfacing systems

16

Phase 2 – Select

1. Identify Common Controls– Document existing controls, including security gaps, and practices– Review effectiveness of existing controls– Create plan to mitigate ineffective controls

2. Select Security Controls– Determine the scope of new controls– Select controls from industry standards– Describe constraints from parent or subsystem security controls

3. Develop Monitoring Strategy– Develop a methodology for change management– Create metrics for assessing security control effectiveness– Create security status reports– Create a response and recovery plan

4. Approve Security Plan– End user and system administrator review the security plan– Develop Quality Assurance procedures to ensure that the system polices are 

adequate

17

Phase 3 – Implement

1. Implement Security Controls– Deploy security controls with QA/QC procedures

– Implement common controls

– Conduct security awareness training

2. Document Implementation– Utilize existing documentation and software tools to efficiently and 

accurately document system

– Ensure unique system attributes and parameters are documented

– Formalize expectations by documenting functional descriptions  

– and anticipated behaviors

18

Phase 4 – Assess1. Create Security Assessment Plan

– Determine how and when to perform assessments

– Review plan with system administrators

– Determine minimum qualifications for individuals performing assessment

2. Assess the Security Controls– Perform evaluation and penetration tests to expose system non‐conformances

– Provide recommendations on how to correct weaknesses or deficiencies in security controls 

3. Develop Assessment Report– Formalize recommendations from assessment

– Create an executive summary to provide abbreviated report of key findings

4. Conduct Remediation– Update risk assessment using security control assessment findings

– Reevaluate security controls to address weaknesses

– Update security plan

– Implement new security controls

19

Phase 5 – Authorize

1. Create Plan of Action & Milestones– Determine persistent and unaddressed risks

– Prioritize Risks

– Develop plan to mitigate risk and set milestones

2. Security Authorization Package– Coordinate with external parties involved with security system

– Compile the package consisting of the security plan, security assessment, and plan of action and milestones

3. Risk Determination– Review documentation to determine current state of system and any residual risks

– Reference Risk Assessment in order to update the risk management strategy

4. Risk Acceptance– Issue authorization decision outlining security considerations and operational 

needs

– Implement the Terms and Conditions of the Authorization Decision

20

Phase 6 – Monitor

21

1. Determine Impacts of System Modifications

– Follow a structured change policy to record system changes

– Perform impact analysis to determine how changes affect security states and perform any necessary corrective actions

2. Assess & Remediate Security Controls

– Finalize continuous monitoring requirements

– Develop a disposal strategy for systems or components

– Define testing and evaluation criteria of on‐going assessment

– Remediate controls as necessary

3. Update the Security Documentation

– Update documentation included in previous steps, including the security assessment and plan of actions and milestones

4. Report Findings

– Report findings to system administrators and authorized officials on frequent intervals

– Authorizing agent reviews risk to determine if acceptable

Selecting Security Measures

NIST 800‐53 Security Controls

• There are a total of 854 security controls over 18 security “families” or categories:

• AC ‐ Access Control

• AU ‐ Audit and Accountability

• AT ‐ Awareness and Training

• CM ‐ Configuration Management

• CP ‐ Contingency Planning

• IA ‐ Identification and Authentication

• IR ‐ Incident Response

• MA ‐ Maintenance

• MP ‐ Media Protection

• PS ‐ Personnel Security

• PE ‐ Physical and Environmental Protection

• PL ‐ Planning

• PM ‐ Program Management

• RA ‐ Risk Assessment

• CA ‐ Security Assessment and Authorization

• SC ‐ System and Communications Protection

• SI ‐ System and Information Integrity

• SA ‐ System and Services Acquisition

23

Design Philosophy

• 800‐53 is comprehensive, but expensive, time consuming, and unlikely to be fully implemented

• Need to rely on risk assessment findings to prioritize vulnerabilities resulting in the greatest consequences are properly mitigated.

• Cybersecurity and Risk Management is a balancing act between risk and cost.

24

Security Cost

• ISA 62443‐3‐3 provides “foundational requirements” similar to the 800‐53 “families” concept.• Shorter standard, more manageable, and more 

focused on control equipment

ISA 62443 Functional Requirements

• Functional Requirement Groups• Identification and Authentication Control

• Use Control

• System Integrity

• Data Confidentiality

• Restricted Data Flow

• Timely Response to Events

• Resource Availability

• ISA standard provides guidance on security level• Basic level (low cost, more risk) 

• Sophisticated (high cost, low risk)

25

When Designing, Be Prepared!

26

• Timely Response to Events• Have an Incident Response plan 

• Understand that events aren’t necessarily malicious (e.g. natural disaster)

• Have mechanisms to determine root cause (audit log)

• Resource Availability (reduce downtime)• Continuously install patches and updates

• Backups (Redundancy)

• Include emergency power incase of utility failure

• Have a Disaster Recovery Plan in case all else fails

Questions?