Vägledning till ökad säkerhet i industriella informations och styrsystem

Vägledning till ökad säkerhet i industriella informations- och styrsystem



Myndigheten för samhällsskydd och beredskap (MSB)

Kontaktperson: Martin Eriksson, [email protected]

Layout: Advant Produktionsbyrå ABTryckeri: DanagårdLiTHO

Publ.nr: MSB718 - juli 2014ISBN: 978-91-7383-462-9

Innehåll

Förord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Sammanfattning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Vägledning till ökad säkerhet i industriella informations- och styrsystem . . . . . . . . . .11

Del A – En sammanfattande översikt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Industriella informations- och styrsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Utveckling och trender inom industriella informations- och styrsystem . . . . . . . . . . . . 19

Säkerhet i industriella informations- och styrsystem är viktigt! . . . . . . . . . . . . . . . . . . . . . .23

God säkerhetskultur – en grundförutsättning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Del B – Rekommendationer och riktmärken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Rekommendationer för ökad säkerhet i industriella informations- och styrsystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Del C – Referenslista med kommentarer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

NERC CIP-002-4 till 009-4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

NIST SP 800-82 – Guide to Industrial Control Systems (ICS) Security . . . . . . . . . . . . . . 69

CPNI Good Practice Guide Process Control and SCADA Security . . . . . . . . . . . . . . . . . . . . . . 71

21 Steps to Improve Cyber Security of SCADA Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Information security baseline requirements for process control, safety and support ICT systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Cyber Security Procurement Language for Control Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

IAEA Nuclear security series #17 (Computer Security at Nuclear Facilities) . . . . . . . . 77

SS-ISO/IEC 27000-serien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

IEC 62264 (ANSI/ISA-95) – Manufacturing Enterprise Systems Standards and User Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

ISO/IEC 62443 (ISA-99) – Industrial Communication Networks – Network and system security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Ordlista . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Checklistor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

Informationsresurser (urval) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Förord 5

Förord

Elförsörjning, vattenförsörjning och transporter är exempel på samhällsviktiga verksamheter. För att styra och övervaka den infrastruktur och de processer som behövs för att dessa verksamheter ska fungera används industriella informations- och styrsystem. Avbrott i dessa styrsystem kan leda till störningar i samhällsviktiga funktioner, vilket kan leda till allvarliga konsekvenser för samhället.

Syftet med denna vägledning är att öka medvetenheten om behovet av en hög säkerhet i industriella informations- och styrsystem. Vägledningen ska också vara ett konkret stöd för de som arbetar inom samhällsviktiga verksamheter.

Den första utgåvan av vägledningen kom ut 2008 och har fått stor spridning både nationellt och internationellt. Den har också blivit praxis i många sektorer. I och med denna tredje utgåva byter dokumentet namn till Vägledning till ökad säkerhet i industriella informations- och styrsystem. Vi vill genom namnbytet betona det ökande beroendet mellan process- och administrations-it.

I och med denna revision har vi också kompletterat rekommendationerna med ett antal fördjupningsfrågor för att göra det lättare för läsaren att koppla rekommen -dationerna till den egna verksamheten.

De rekommendationer som ges i vägledningen stöds av medlemmarna i det forum för informationsdelning1 som finns för industriella informations- och styrsystem och arbetet med dokumentet har underlättats väsentligt av den generösa hjälp vi erhållit från såväl forumets representanter som de myndigheter som varit involverade i arbetet.

Stockholm i april 2014

Richard OehmeChef, Verksamheten för samhällets Informations- och cybersäkerhetMyndigheten för samhällsskydd och beredskap

1. MSB driver sedan 2005 forumet FIDI-SC för att öka säkerheten i industriella informations- och styrsystem, där gruppens arbete bygger på en modell för förtroendebaserad informationsdelning som utvecklas i Storbritannien av CPNI (Centre for the Protection of National Infrastructure). Representanter för flera branscher som använder industriella informations- och styrsystem träffas regelbundet för att dela information och utbyta erfarenheter.

6 VäGLEDNING TILL ökAD SäkERhET I INDUSTRIELLA INFORMATIONS- OCh STyRSySTEM

Sammanfattning

Sammanfattning 7

Sammanfattning

Datoriseringen av de system som förser samhället med bränsle, el, värme, vatten och transporter, sker i snabb takt. Flera moderniseringsprojekt startas upp i syfte att byta ut äldre teknik till nyare IP-baserad teknik och olika it-system integreras så att verksamheter kan göras effektivare.

Industriella informations- och styrsystem, även kallade Supervisory, Control, and Data Acquisition (SCADA), har traditionellt sett varit fysiskt isolerade och byggt på specialutvecklad teknik. Gränserna mellan traditionella/administrativa IT-system och industriella informations- och styrsystem håller på att suddas ut i och med en ökad integrering mellan dessa olika system. För att uppnå hög flexi-bilitet och effektivitet görs industriella informations- och styrsystem även i allt högre grad tillgängliga via Internet och andra publika nätverk. Dagens industri-ella informations- och styrsystem bygger dessutom allt mer på samma teknik som vanliga IT-system och drabbas därmed av samma säkerhetsproblem.

Resultatet av denna utveckling är en ökad attackyta och radikalt förändrad riskbild.

Störningar i industriella informations- och styrsystem leder inte enbart till att dyrbar utrustning kan förstöras, utan kan även orsaka avbrott i kritiska verk-samheter. Följden kan bli omfattande kostnader och förlorat förtroende för såväl det enskilda företaget som för samhället i stort.

Ett första steg i arbetet med att öka säkerheten i industriella informations- och styrsystem är att följa dessa grundläggande rekommendationer:

Öka medvetenheten i hela organisationen om behovet av säkerhet i industriella informations- och styrsystem.Detta är en verksamhetskritisk fråga och därför måste ledningens enga-gemang och ansvar säkras i ett tidigt skede. Detta innefattar även tydlig-görandet av roller och ansvar inom organisationen samt att möjliggöra för en god säkerhetskultur.

Genomför grundläggande utbildning om säkerhet i industriella kontrollsystem.Operatörer av kontrollsystem behöver öka sin kunskap om traditionell IT-säkerhet. IT-personal behöver mer kunskap om industriella kontroll-system och den underliggande fysiska processen. Även personer som är inblandade i upphandling och verksamhetsplanering behöver utbildning i dessa frågor.

Arbeta aktivt med en säkerhetsarkitektur inom industriella informations- och styrsystem och eventuella anslutna it-system.Kartlägg och identifiera de befintliga industriella informations- och styr-systemen, speciellt viktigt är att identifiera externa anslutningar. Skapa sedan en zonmodell där ett djupledsförsvar är implementerat. En del av djup-försvaret är att i zongränser implementera övervakning och detektering av


Sammanfattning 9

intrångsförsök. De administrativa it-systemen bör endast i undantagsfall integreras med de industriella informations- och styrsystemen och om detta görs ska dessa placeras i en eller flera egna delar av zonmodellen.

Ställ säkerhetskrav i all upphandling av industriella informations- och styrsystem och i serviceavtal.Det finns stora vinster med att hantera säkerhetsfrågor i förväg. Precis som för traditionella it-system är det mycket dyrare att åtgärda säkerhets-problem i industriella informations- och styrsystem efter att systemen har levererats.

Dokumentet erbjuder vidare en detaljerad vägledning i form av 17 specifika rekommen dationer. Dessa bygger på branscherfarenheter samt praxis och stan-dardiserade arbetssätt. Dokumentet hänvisar även till andra relevanta publika-tioner inom området.


Inledning

Inledning 11

Inledning


Många samhällsviktiga verksamheter bygger på fungerande informationsflöden. Elförsörjning, vattenförsörjning och transporter är några exempel. För att styra och övervaka den här typen av verksamhet används industriella informations- och styrsystem. Eftersom systemen har direkt påverkan på fysiska processer kan även korta avbrott innebära allvarliga konsekvenser för samhället. Det innebär höga krav på säkerheten i industriella informations- och styrsystem. Huvudansvaret för att skapa en god säkerhet vilar på den aktör som tillhandahåller samhälls-tjänsten. Eftersom det finns starka beroenden mellan olika samhällsviktiga verk-samheter är det viktigt att organisationer samverkar och delar information både inom sin sektor och med andra relevanta sektorer.

Att arbeta för ökad säkerhet i industriella informations- och styrsystem är ut-manande eftersom den tekniska utvecklingen och förändringar i samhället hela tiden ändrar problembilden.

UppläggDen här vägledningen byter i och med den här upplagan namn till Vägledning till ökad säkerhet i industriella informations- och styrsystem för att spegla utvecklingen inom området. Vägledningen ger 17 grundläggande rekommendationer för att öka säkerheten och har genom sin stora spridning fått ställning som svensk branschpraxis.

SyfteVägledningen ska ge stöd i arbetet med att öka säkerheten i industriella informa-tions- och styrsystem. De rekommendationer som ges bygger på internationellt erkända rekommendationer, praxis och arbetssätt. Det är dock viktigt att komma ihåg att det finns sektorspecifika krav som kräver ytterligare skyddsåtgärder.

Omfattning och urval av referenserUtöver en introduktion till ämnesområdet och grundläggande rekommen-dationer presenteras ett urval av referenser och tips om var det går att hitta mer information. I första hand refererar dokumentet till standarder, riktlinjer och rekommendationer som går att tillämpa generellt för att skapa ökad säker-het i industriella informations- och styrsystem. Visst företräde har getts till referenser som inte är branschspecifika, som är på svenska eller engelska, och som i möjlig aste mån är fritt tillgängliga.


Del A

Del A – En sammanfattande översikt 13

Del A – En sammanfattande översikt

Det är viktigt att it-system som styr samhällsviktiga verksamheter lever upp till säkerhetskraven. Tyvärr gör de inte alltid det. Faktum är att säkerheten ofta är högre i administrativa it-system än i industriella informations- och styrsystem. I en kontorsmiljö är det närmast en självklarhet att uppdatera operativsystemen flera gånger per år men i ett driftsatt styrsystem kan det vara förenat med livs-fara att göra förändringar utan rigorösa konsekvensanalyser. Hur det har kunnat bli så och hur vi kan hantera situationen beskrivs övergripande i det här kapitlet.


Industriella informations- och styrsystem

Historiskt sett kontrollerades fysiska industriprocesser av mekaniska eller elektro-mekaniska maskiner som styrdes och övervakades av mänskliga operatörer. Idag styrs de flesta viktiga samhällsfunktioner, som till exempel elproduktion, dricks-vattenproduktion och transporter, mer eller mindre autonomt med hjälp av så kallade industriella informations- och styrsystem. Alltså system som inte bara lagrar och bearbetar information utan som också styr fysiska förlopp. Systemen kan till exempel slå av och på motorer som öppnar en dammlucka, lägga om växlarna på järnvägsrälsen eller ändra belastningen i en transformatorstation. Det har också blivit vanligt att dessa system kopplas ihop med verksamhetens administrativa system. Eftersom de administrativa systemen ofta har kopplingar mot internet finns det en möjlighet att, via dessa system, komma åt de industriella informa-tions- och styrsystemen. Kanske från andra sidan jorden. Figur 1 visar den principiella uppbyggnaden av ett industriellt informations- och styrsystem.


Figur 1. Schematisk uppbyggnad av ett industriellt informations- och styrsystem.

Mä

nn

i ska

-ma s k

i ng rä

n s s n i t t

1. Lokalaobemannadesystem

Exempel på liknande systemSamma uppbyggnad av kontrollsystemförekommer på många håll.

Bilden visar den principiella uppbyggnaden av ett kontrollsystem.Den fysiska processen kan innehålla ett stort antal mätpunkter som kan vara spridda över ett �ertal anläggningar över stora geogra�ska områden.

Mellan de lokala och centrala systemen skickasinformation via trådlösa nätverk och olikatyper av fasta nät. Trenden går alltmer mot öppna lösningar som internet.

De lokala systemen samlarin signaler från sensorer och sänder ut styrsignaler till processgränssnitten.

Gra�k: MARTIN EK

3. CentralabemannadesystemHär övervakas och styrs processerna.

2. Dataöverföring via nätverk

Industriellt informations- och styrsystem

Intags-lucka

Turbin

Över-svämnings-

skydd

Exempel påprocessgränssnitt

Generator

Utlopp

Dammnivå

Vindkraftverk

Tra�ksystem


Den bakomliggande fysiska processen kan innehålla ett mycket stort antal mät-punkter som kan vara spridda över stora geografiska områden. Ibland över ett helt land. Processgränssnittet är den punkt där styrsystemet kopplas mot den fysiska processen. Det utgörs huvudsakligen av sensorer för avläsning, samt av manöverdon för styrning.

De lokala system som samlar in signaler från givare och sänder ut styrsignaler till den fysiska processen innehåller allt fler funktioner och kan ofta även verka självständigt, vid exempelvis avbrott i kommunikationer med det centrala systemet. De lokala enheterna har ofta både analoga och digitala in- och utgångar och distinktionerna mellan olika typer av enheter – exempelvis IED, PLC och RTU – blir alltmer otydliga.

IED

RTU

PLC

LOKALT SYSTEM

IED

CENTRALTSYSTEM

Kommunikations-utrustning

RTU

PLC

Lokaltlarm

LokalHMI

Lokalutvecklingsdator

Figur 2. De lokala systemen tar emot signaler från sensorer och styr fysiska processer via styrdatorer. PLC – Programmable Logic Controller, RTU – Remote Terminal Unit, IED – Intelligent Electronic Device, HMI – Human Machine Interface. Lokala system kommunicerar ofta med ett centralt system.

Viktiga funktioner som kräver data från många olika delar av den fysiska processen körs i ett eller flera centrala system. Här kan även data lagras och vid hög belastning kan centrala enheter prioritera vilka systemfunktioner som ska ha företräde.


Figur 3. De centrala systemen tar emot information från de lokala systemen och presenterar processernas tillstånd i grafiska gränssnitt. Via gränssnitten kan operatörerna ändra parametrar och därmed påverka de lokala systemen.

Infrastrukturen mellan olika komponenter i ett industriellt informations- och styrsystem består av elektronisk kommunikation och dataöverföring. Kommunika-tionen kan ske med en mängd olika kommunikationsprotokoll och över många olika bärartjänster, exempelvis via radioteknik och trådlösa nätverk eller via fiber, kopparkabel och telefonnät. Den långsiktiga trenden har varit att gå ifrån leverantörsspecifika lösningar mot öppna standarder och mot tekniklösningar som används inom vardaglig it-hantering. Därmed har TCP/IP som kommunika-tionsprotokoll samt pc-plattformar på olika sätt och i varierande omfattning gjort insteg i den industriella automationsvärlden. Inom processautomation före-kommer ofta säkerhetsfunktioner som ska kunna fungera som nödstopp eller på annat sätt temporärt och kontrollerat kunna ta över processtyrningen i händelse av allvarliga fel eller katastrofer. Dessa är kritiska komponenter som inte får slås ut eller gå sönder. Även här går utvecklingen från enklare mekaniska komponenter mot lösningar som är helt eller delvis digitala och it-baserade. Förutom strikt styrning och kontroll av den fysiska industriprocessen kommunicerar processnäten ofta med de administrativa systemen för att öka effektiviteten i verksamheten. Dessa system kan exempelvis vara kvalitetssystem, ritningsarkiv, reservdelslager, diagnostik- och statistikfunktioner.

CENTRALT SYSTEM

Kommunikations-utrustning

Centralhistorian

Central backend server

CentralHMI

Central utvecklingsdator

Lokalt system Lokalt system

Lokalt system

Fiber Radio

Telenät Satellit

Fiber Radio

Telenät Satellit

INTERNETINTERNET


För att presentera data och interagera med systemet behövs ett människa-maskin- gränssnitt. Några av de viktigaste användningsområdena för dessa systemdelar är drifttagning av systemet (att definiera processdata och funktioner), drift av processen (att styra och övervaka) samt underhåll av styrsystemet (att förändra och uppdatera systemet).

SAmlADE PRINCIPIEllA FUNKTIONERNA HOS INDUSTRIEllA STYRSYSTEm KAN UTTRYCKAS SOm:

• datainsamling, till exempel datalagring, omvandling och skalning, tidsmärkning, rimlighetsbedömning.

• övervakning, till exempel statusövervakning, trendövervakning, gränsvärdesöver-vakning, prestandaövervakning, händelse- och larmhantering.

• styrning, till exempel direkt styrning, börvärdesstyrning, sekvensstyrning.

• planering och uppföljning, till exempel icke realtidskritisk funktionalitet, planering, loggning och historik, uppföljning och analys.

• underhåll och förändring, till exempel i- och urtagning av drift, uppgradering, hantering av utvecklingsmiljöer.

Andra namn på industriella informations- och styrsystemDet finns ett antal mer eller mindre överlappande benämningar på industriella informations- och styrsystem. Vanliga benämningar är SCADA-system (Super-visory Control and Data Acquisition), processkontrollsystem, processautomation, process-it, tekniska it-system, anläggnings-it, distribuerade kontrollsystem, inbyggda realtidssystem (RTE) och så vidare. Ibland finns det också bransch-specifika lösningar eller benämningar. I vissa avseenden finns tekniska skill-nader, men dessa betonar vi inte i denna text, utan vi ser alla dessa varianter utifrån perspektivet automation som kontrolleras eller stöds med hjälp av informationsteknik.


Utveckling och trender inom industriella informations- och styrsystem

Förutsättningarna för att arbeta med säkerhet i industriella informations- och styrsystem förändras. Det här avsnittet ger några exempel på utveckling och trender som kan påverka vilka säkerhetsutmaningar en verksamhet kan ställas inför. Eftersom utvecklingen drivs på främst i syfte att höja lönsamheten är det viktigt att hela tiden analysera vilka effekter utvecklingen har på säkerheten.

Huvudmannaskap, driftformer och avregleringTidigare ägde stat och kommuner nästan all samhällsviktig infrastruktur. Så är det inte längre. Idag drivs många verksamheter av privata och ibland multinatio-nella bolag. Även inom verksamheter som fortfarande drivs offentligt, till exempel kollektivtrafik och dricksvattenproduktion, händer det att delar av driften läggs ut på externa aktörer. Den här sortens avregleringar har lett till rationali seringar för att öka vinsten. Rationaliseringarna berör ofta it-systemen och är inte alltid optimala ur säkerhetssynpunkt. I och med att många verksamheter också är multinationella kan det dessutom bli svårare för lokala operatörer att få gehör för nationella krav och standarder. Det kan också innebära att känslig informa-tion om och i de industriella processerna lagras i ett annat land.

Organisationsstruktur och -kulturUnder senare år har process- och verksamhetsområde blivit mer styrande än funktion och geografi när det gäller industriella informations- och styrsystem. En processtyrd verksamhet kan innebära ett minskat incitament för enskilda medarbetare att uppmärksamma säkerhetsproblem. I och med att stora delar ofta läggs ut på entreprenad blir det också svårare att få incidentrapporteringen att fungera. En kulturell aspekt på industriella informations- och styrsystem är att en form av ”brukskultur” lever kvar i vissa verksamheter. I stora produk-tionsanläggningar har ofta anläggningschefen en framträdande roll och det är svårare för centrala funktioner att ta över uppgifter och ansvar eller påverka interna anläggningsprocesser. För säkerhetsarbetet kan brukskulturen vara både bra och dålig. Den leder till exempel ofta till långa anställningstider och därmed anställda med stor ansvarskänsla och djup kunskap om anläggningen. Men det kan också leda till att man inte betraktar styrsystem som it-system, och därmed bortser från aktuella hot och sårbarheter.


leverantörer och upphandlingLeverantörerna utvecklar och tillhandahåller det marknaden efterfrågar, vilket ställer höga krav på inköps- och upphandlingsprocesserna. Eftersom industriella informations- och styrsystem ofta är dyra och förknippade med lagliga krav har upphandlingarna blivit mer centraliserade. En centraliserad upphandlingsprocess där säkerhetsfrågor får ta stor plats kan på många sätt leda till både säkrare och mer enhetliga system. En tydlig trend är att leverantörerna representeras av ett flertal specialister. Tidigare kunde en representant beskriva ett helt system. Numera möter verksamheterna alltid flera representanter med olika speciali-teter, vilket gör det svårare att förstå helheten i de industriella informations- och styrsystemen. Eftersom moderna informations- och styrsystem ofta består av standardkomponenter samordnas ofta inköpen med inköp av administrativa it-system. Det medför att delar av de industriella informations- och styrsystemen ibland hamnar i de ordinarie it-driftsorganisationerna och därmed riskerar att till exempel uppdateras på samma sätt som de administrativa systemen. Det kan leda till säkerhetsrisker eftersom de industriella informations- och styrsystemen ofta kräver extra försiktighetsåtgärder vid uppdateringar.

Teknik och tjänsteutvecklingIndustriella informations- och styrsystem byggs alltmer upp av standardkompo-nenter och det blir därför allt vanligare med pc-plattformar och kommunika-tionslösningar byggda på standardprotokoll (TCP/IP). Följden blir att fler it-kom-ponenter förs in i flera funktioner vilket ökar antalet kommunikationsvägar in till de industriella informations- och styrsystemen. Ett exempel är övervaknings-funktioner som automatiskt kontaktar leverantören för förebyggande underhåll eller i samband med fel i utrustningen. Den här typen av komponenter med elektroniska kommunikationsmöjligheter till annan utrustning kan påverka driften hos de industriella informations- och styrsystemen eller leda till okända ingångar in i infrastrukturen.

Virtualisering och molntjänsterOrsaken till att virtualisering har blivit populärt är främst att det kan sänka kost-naden och öka tillgängligheten; till exempel genom redundans. Det är också en metod för att göra det möjligt att installera gammal mjukvara på modern hård-vara, vilket är populärt i samband med industriella informations- och styrsystem där mycket hårdvara är gammal. Tyvärr innebär virtualisering bland annat att realtidskontrollen försämras och att systemen inte längre är isolerade på samma sätt som tidigare. Virtualisering innebär också ytterligare ett lager av program-vara som måste underhållas och säkras upp. Samtidigt kan virtualisering vara en tillgång för de system som till exempel inte har hårda realtidskrav. Innan en virtualiseringslösning införs måste dock noggranna konsekvensanalyser göras.

På liknande sätt har molntjänster blivit populära, vilket kräver både tekniska, säker hetsmässiga, affärsmässiga och juridiska ställningstaganden. I industriella informations- och styrsystem innebär molntjänster en högre grad av samman-kopplingar och större exponering av de system som styr de fysiska processerna. Även om molntjänster kan vara lockande rent affärsmässigt krävs det ofta dyra specialanpassningar för att de ska fungera säkert i industriella informations- och styrsystem.


SAmmANFATTANDE EgENSKAPER HOS INDUSTRIEllA INFORmATIONS- OCH STYRSYSTEm:

InvesteringarIndustriella informations- och styrsystem kräver ofta stora investeringar vilket leder till långa systemlivslängder och avskrivningstider. I och med att verksamheten över tid inför nya arbetsmetoder finns det risk för att den ursprungliga säkerhetsarkitekturen undermineras. Eftersom hot och risker förändras över tid, samtidigt som industriella informations- och styrsystem sällan byts ut, är det viktigt att säkerhetsfrågorna hanteras grundligt i samband med investeringsbeslut, upphandling och införandeprojekt.

Skräddarsydda installationer och anpassad hårdvaraIndustriella informations- och styrsystem anpassas ofta för en specifik industriprocess. Det är därför svårt att uppnå den enhetlighet eller skalbarhet som eftersträvas inom traditionell it. Lösningarna innehåller ofta en blandning av standardkomponenter, inbyggda system och leverantörsspecifika hårdvarulösningar. Säkerhetslösningar och förändringsrutiner måste därför anpassas till detta heterogena systemlandskap.

Prestanda och tillgänglighetIndustriella informations- och styrsystem måste i regel leverera exakta svarstider för att den fysiska processen ska kunna styras korrekt. Tillgänglighetskraven är därför höga och fördröjningar, till exempel på grund av signalstörningar eller otillräcklig bandbredd, är oacceptabla.

FörändringshanteringDe höga tillgänglighetskraven gör att det är svårt att uppdatera hård- och mjukvara i industriella informations- och styrsystem. Uppdateringar, systemförändringar eller service på komponenter och system som påverkar processen måste planeras långt i förväg.



Säkerhet i industriella informations- och styrsystem är viktigt!

SäkerhetIndustriella informations- och styrsystem har till primär uppgift att styra och övervaka en fysisk process. Samtidigt ska de också skydda personal, miljö, tredje part och den fysiska utrustningen om en olycka skulle inträffa. Inom kritiska verksamheter finns kunskap och medvetenhet kring driftsäkerhet, tillgänglighet, riktighet och skyddsfunktioner.

Historiskt sett har industriella informations- och styrsystem varit fysiskt isolerade och separerade från andra system, vilket har inneburit att hot från omvärlden inte varit särskilt viktiga att beakta. Under det senaste decenniet har dock den fysiska isolationen mer eller mindre raderats ut för väldigt många installationer.

Integration med administrativa informationssystem ger ökad exponering mot internet

För att bli mer flexibelt och effektivt kopplas industriella informations- och styr-system allt oftare upp mot externa publika nätverk som internet. När separatio-nen mellan olika nätverk försvinner, exponeras gamla och datamässigt sårbara system alltmer mot olika hot som de inte har designats för. Det är därför viktigt att öka medvetenheten i organisationen om det ökade behovet av informations- och it-säkerhet.

Administrativtsystem

Centraltsystem

ADMINISTRATIVT SYSTEM

!

I N T E R N E T

Figur 5. När de system som används för att styra fysiska processer kopplas ihop med de administrativa systemen ökar hotbilden markant. Plötsligt finns det en väg från internet in till de känsliga styrsystemen.


I systemlösningar med lång livslängd är it-säkerhetshål ofta inte tilltäpptaIndustriella informations- och styrsystem ingår i systemlösningar med lång livslängd och kan innehålla tekniska lösningar från flera generationer. Väl installerade ska dessa system ha en hög tillgänglighet och en bra funktionsgrad i många år. Inom de flesta organisationer finns det därför en sund ovilja mot att förändra system-inställningar, systemkomponenter och liknande efter det att systemet tagits i skarp drift. Då moderna industriella informations- och styrsystem ofta baseras på generella it-system leder detta ofta till att organisationen inte heller åtgärdar nyupptäckta eller kända it-säkerhetshål. Alternativt tar det mycket lång tid innan uppdateringar blir införda. Detta medför att industriella informations- och styr-system oftast är mycket sårbara för illasinnade angrepp.

Systemintegratörer ska hantera högre komplexitetLeverantörer av industriella informations- och styrsystem har traditionellt sett tagit fram helhetslösningar där de både har designat och byggt de system som de tillhandahållit. Idag används allt oftare standardiserade tekniker och kom-ponenter från den traditionella it-världen (vilka ofta benämns ”Commercial-Off-The-Shelf”, COTS) även i industriella informations- och styrsystem. Några exempel på COTS-baserade produkter som används är operativsystem, IP-baserad kommunikationsteknik och databaslösningar. På grund av omställningen till standardkomponenter ändras leverantörernas roll från systemleverantörer till systemintegratörer. Detta kan i sin tur leda till att de får sämre detaljkunskap om viktiga delar i det integrerade systemet. I förlängningen kräver detta en ökad kunskap om säkerhet i industriella informations- och styrsystem hos slutanvän-dare av systemen.

Attacker mot styrsystem utgör ett verkligt hotSäkerhet ur ett angriparperspektiv har inte varit någon prioriterad fråga vid utvecklingen av industriella informations- och styrsystem. Medvetenheten kring den här typen av säkerhet är därför låg hos såväl utrustnings-, system- och program leverantörer som upphandlare och beställare. Detta leder ofta till otydlig kravställning och att system inte utformas för att hantera it-relaterad säkerhet på ett lämpligt sätt. Dessa problem förvärras av att det numera finns en omfattande mängd verktygslådor för cyberattacker tillgängliga på internet. Där finns också beskrivningar av sårbarheter i industriella informations- och styrsystem samt instruktioner för hur skadlig kod kan skapas.


I juli 2010 upptäcktes Stuxnet, vilket var en avancerad form av skadlig kod som angrep industriella informations- och styrsystem. Stuxnet använde flera olika mekanismer för att sprida sig (bland annat via USB-minnen) för att till slut nå fram till de industriella informations- och styrsystemen. Genom att manipulera grundläggande programmeringsblock kunde Stuxnet därmed förändra den fysiska processen utan att processoperatörerna kunde se att något var fel. Enligt de flesta bedömare var Stuxnet skräddarsydd för att angripa och slå ut ett specifikt mål – en urananrikningsanläggning i Iran – utan att förstöra något annat. Det finns redan efterföljare till Stuxnet som har använts i cyberattacker, exempel på dessa är Duqu och Flame (flamer, Skywiper)2. Det är därför inte osannolikt att vi framöver kommer att få se direkta efterföljare till ovanstående attacker som kanske inte alltid är lika välgjorda, i betydelsen välriktade. Efterföljarna kan därför komma att utgöra ett allvarligare hot mot våra relativt oskyddade indu-striella informations- och styrsystem.

It-säkerhetsproblem kan leda till driftstörningarEftersom industriella informations- och styrsystem används för att övervaka och styra fysiska processer i realtid, så har de utvecklats med ett stort fokus på hög tillgänglighet. Dagens utveckling mot generell datakommunikation via TCP/IP-baserade nätverk garanterar ingen realtidskommunikation, men eftersom de byggs med en överkapacitet så fungerar det oftast ändå. Tyvärr innebär detta att systemen blir väldigt känsliga för olika störningar. Skadlig kod kan till exempel göra att ett systems svarstider blir oacceptabla, eller att larm eller kommandon inte tas emot som de ska. Detta kan få till följd att systemen börjar bete sig felaktigt eller helt enkelt slutar att fungera.

2. Duqu och Flame är en samling skadlig kod som är modulärt uppbyggda. Detta innebär att funktioner enkelt kan ändras, läggas till eller tas bort till för att skräddarsy dessa attackramverk mot ett eller flera specifika mål.



God säkerhetskultur – en grundförutsättning

För att utveckla och förvalta säkra industriella informations- och styrsystem krävs inte bara tekniska lösningar utan i lika hög grad ett systematiskt arbete med informationssäkerhet kring systemen och en god säkerhetskultur i organi-sationen. MSB rekommenderar att organisationer inför ett ledningssystem för informationssäkerhet (LIS) uppbyggt efter de principer som finns i ISO:s informa-tionssäkerhetsstandarder (ISO/IEC 27001 och 27002) och tillämpar lednings-systemet även på de industriella informations- och styrsystemen. Ett väl utarbetat ledningssystem ger ett systematiskt informationssäkerhetsarbete baserat på en generell riskhantering som kan användas bland annat i utvecklingsprojekt och upphandlingar. De säkerhetslösningar som införs blir därmed avpassade efter organisationens behov av skydd för sina informationssystem.

Ett systematiskt informationssäkerhetsarbete leder också till en god säkerhets-kultur där ledning och medarbetare har en gemensam bild av risker och är moti-verade att införa och följa de säkerhetsregler som är nödvändiga. Ytterligare en fördel med ett ledningssystem är att det leder till ett kontinuerligt säkerhetsarbete som även stöder drift och förvaltning av bland annat industriella kontrollsystem.

För att ge stöd i arbetet har MSB tagit fram ett metodstöd3 som verksamheter kan använda sig av för att införa ledningssystem för informationssäkerhet. Vår rekommendation är att säkerställa att ledningssystemet tillämpas även då det gäller industriella kontrollsystem.

3. www.informationssakerhet.se


Del B

Del B – Rekommendationer och riktmärken 29

Del B – Rekommendationer och riktmärken

Det finns inget färdigt recept för hur arbetet med säkerhet i industriella informations- och styrsystem ska utformas, men det finns ett antal vedertagna arbetsmetoder som varje organisation bör införa. I det här kapitlet har vi samlat 17 rekommendationer som ska vara till hjälp för att uppnå en god säkerhets-kultur och ett systematiskt säkerhetsarbete med de industriella informations- och styrsystemen. Några rekommendationer är av teknisk natur och andra handlar mer om metodologi.


Riktmärken för säkerhetsarbetetVarje rekommendation avslutas med ett antal riktmärken för säkerhetsarbetet. Syftet med riktmärkena är att en organisation grovt ska kunna uppskatta hur den egna verksamheten i nuläget förhåller sig till respektive rekommendation.

Referenser och mer informationFör varje rekommendation ges tips på var man kan hitta mer information. De etablerade checklistor och standarder vi hänvisar till beskrivs närmare i Del C.

Dessa benämns på följande sätt:

NERC CIP NERC CIP-002-4 till CIP-009-4

NIST 800-82 Guide to Industrial Control Systems (ICS) Security

CPNI Good Practice Guide Process Control and SCADA Security

DOE 21 Steps 21 Steps to Improve Cyber Security of SCADA Networks

OlF Information security baseline requirements for process control, safety and support ICT systems

Pl Cyber Security Procurement Language for Control Systems

IAEA Nuclear security series #17 (Computer Security at Nuclear Facilities)

2700[X] SS-ISO/IEC 27000-serien

ISA95 Manufacturing Enterprise Systems Standards and User Resources

IEC 62443[X-X] Security Guidelines and User Resources for Industrial Automation and Control Systems


Rekommendationer för ökad säkerhet i industriella informations- och styrsystem

1 Säkra ledningens engagemang och ansvar för säkerheten i industriella informations- och styrsystem.

2 Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem.

3 Underhåll processer för systemkartläggningar och riskhantering i industriella informations- och styrsystem.

4 Säkerställ en systematisk förändringshantering i industriella informations- och styrsystem.

5 Säkerställ systematisk kontinuitetsplanering och incidenthantering i industriella informations- och styrsystem.

6 Inkludera säkerhetskrav i industriella informations- och styrsystem från början i all planering och upphandling.

7 Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella informations- och styrsystem.

8 Arbeta med en säkerhetsarkitektur i de industriella informations- och styrsystemen.

9 övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök i industriella informations- och styrsystem.

10 Genomför regelbundet riskanalyser av industriella informations- och styrsystem.

11 Genomför regelbunden teknisk säkerhetsgranskning av industriella informations- och styrsystem.

12 Utvärdera löpande det fysiska skyddet av industriella informations- och styrsystem.

13 kontrollera regelbundet att endast säkra och relevanta anslutningar till industriella informations- och styrsystem existerar.

14 härda och uppgradera industriella informations- och styrsystem i samverkan med systemleverantörer.

15 Genomför utbildning och övning av it-incidenter i industriella informations- och styrsystem.

16 Följ upp incidenter i industriella informations- och styrsystem och bevaka säkerhetsproblem i omvärlden.

17 Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem.


Säkra ledningens engagemang och ansvar för säkerheten i industriella informations- och styrsystem.

27001

27002 (kap. 5, 6.1.1)

CPNI (GPG 7)

OLF (No. 1)

IEC 62443-1-1 (kap. 5.8.2)

Ledningen har ansvar för att driva företagets verksamhet på ett affärsmässigt sätt och det är inte alltid säkert att säkerheten i de industriella informations- och styrsystemen får den uppmärksamhet som krävs. En anledning kan vara svårig-heter att se hur säkerhetsinvesteringar på kort sikt bidrar till verksamhetens resultat. Extra svårt kan det vara att ta till sig de specifika informationssäkerhets-relaterade aspekter som råder i de industriella informations- och styrsystemen. För många handlar informationssäkerhet endast om de administrativa systemen.

För att motivera ledningen att förstå och lyfta dessa frågor krävs ett uthålligt pedagogiskt arbete. Det är viktigt att ha respekt för att säkerhetsarbete ofta upp-fattas som något tråkigt och jobbigt. Det är därför viktigt att förklara på vilket sätt en höjd informationssäkerhet i de industriella informations- och styrsystemen gör verksamheten bättre.

Ett första steg kan vara att försöka få tid för en kort presentation vid ett lednings-gruppsmöte. Inför ett sådant möte är det viktigt att vara väl förberedd. Undvik skrämselpropaganda, utan beskriv på vilket sätt verksamheten kan bli effektivare genom att man hanterar risker i ett tidigt stadium. När du diskuterar risker, försök göra riskerna konkreta och beskriv hur de kan avhjälpas och därmed förbättra verksamheten. Förbered också ett konkret och relativt enkelt förslag till vad nästa steg kan vara – till exempel en riskanalys på en avgränsad del av de industriella informations- och styrsystemen.

En viktig målsättning är att säkerställa att de industriella informations- och styrsystemen beaktas i organisationens ledningssystem för informationssäkerhet (LIS). Om det inte finns något LIS i verksamheten är första steget att få ledningen att ge någon i uppdrag att ta fram ett sådant.

Övriga rekommendationer i den här vägledningen innehåller förslag på sådant som bör beaktas i verksamhetens systematiska informationssäkerhetsarbete avseende de industriella informations- och styrsystemen.

1


Rekommendationer

• Jobba långsiktigt och försök få ledningen att själva intressera sig för säkerhetsarbete och vilken nytta det kan få för verksamheten.

• Försök att beskriva vad olika åtgärder kostar – både i investering och i arbetstid. Relatera sedan kostnaden till den nytta som åtgärden gör för verksamheten.

• Föreslå konkreta förändringar i verksamhetens styrdokument med målsättningen att de industriella informations- och styrsystemen beaktas i det systematiska informationssäkerhetsarbetet.

• Undvik att prata om teknik, utan fokusera på hur effektiviteten lång-siktigt kan förbättras i takt med ett ökat säkerhetsarbete i de industriella informations- och styrsystemen.

• Använd konkreta exempel som ligger nära den egna verksamheten för att förklara vad it-säkerhet i de industriella informations- och styr-systemen innebär.

Exempel på risker och problemI en organisation fanns det generella regler för hur medarbetare skulle agera med avseende på säkerhet. Efter en incident där ett USB-minne infekterat en dator i produktionsmiljön visade det sig att ledningen inte sett till att upp-datera styrdokumenten på över fyra år. Det fanns ingen utpekad ansvarig för att löpande genomföra relevanta riskanalyser och uppdatera riktlinjerna i styrande dokument för verksamheten. Ledningsgruppen hade inte heller formellt skrivit under styrdokumentet vilket medförde viss tveksamhet om riktlinjernas giltighet. I verksamheten rådde därför en kultur av att styrdokumenten inte behövde följas, eftersom ingen på chefsnivå verkade bry sig om, eller ens känna till reglerna. Exempelvis använde många chefer själva USB-minnen för att dela filer med varandra utan att reflektera kring de riktlinjer som fanns nedtecknade om just risker med USB-minnen.

RIKTMÄRKEN FÖR SÄKERHETSARBETET

Det finns en informationssäkerhetspolicy som inkluderar de industriella informations- och styrsystemen.

Ledningen lyfter aktivt fram vikten av att följa informationssäkerhetspolicyn.

Ledningen informeras om och godkänner regelbundet uppdaterade riskanalyser och åtgärdsplaner för de industriella informations- och styrsystemen.

Samtliga i ledningsgruppen har en grundläggande förståelse för skillnaderna i säkerhets- och funktionskrav mellan de administrativa systemen och de industriella informations- och styrsystemen.


Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem.

NERC CIP (003-4)

NIST 800-82 (kap. 4.2, 6.1, 6.2)

CPNI (GPG 4, GPG 7)

DOE 21 Steps (No. 12, 16, 20)

OLF (No. 1, 3)

27002 (kap. 6,8)

IAEA (kap. 4, 5.1)

I många organisationer är det vanligt med en processorienterad styrning när det gäller administrativa informationssystem. I denna styrmodell finns ofta utsedda systemägare, informationsägare, förvaltningsansvariga, driftansvariga, system-administratörer eller liknande.

När det gäller informations- och styrsystem saknas ofta denna roll- och ansvars-fördelning. Ibland är leverantörsrepresentanter det närmaste en it-tekniker eller systemadministratör som finns att tillgå. Dessutom kan processingenjörer, vars huvudkompetens inte är logisk säkerhet i informations- och styrsystem, vara de som praktiskt förvaltar systemen. Det här leder till att den egna organisationen får dålig eller ingen kunskap om de industriella informations- och styrsystemens it-egenskaper. Det i sin tur leder till minskad kontroll och förmåga att styra hur tekniken används.

2SäkerhetspolicyADMIN INFO


Rekommendationer

• Skapa en informationssäkerhetspolicy för industriella informations- och styrsystem. Ansvarsfördelningen för säkerhetsfrågor tydliggörs enklast på detta vis. Policyn kan antingen vara ett separat dokument, som då måste relateras till organisationens övriga policydokument, eller så kan frågan lösas genom tillägg i organisationens informationssäkerhetspolicy.

• Samordna roll- och ansvarsfördelningen hos de administrativa informa-tionssystemen och de industriella informations- och styrsystemen. Det bör tydligt framgå vilka system som organisationens centrala it-stöd förvaltar och vilka system som förvaltas lokalt ute i produktionen.

• Låt organisationens centrala it-stöd ansvara för den totala integrationen och skapa en sammanhållen syn på säkerhetsfrågorna trots att vissa system förvaltas lokalt.

• Dokumentera tydligt vilka krav som ställs på en systemägare.

Exempel på risker och problemEn verksamhet som saknade tydliga roller och väldefinierad ansvarsfördelning för det löpande säkerhetsarbetet genomförde inte nödvändiga uppdateringar av applikationsprogram och saknade processer för att snabbt ta bort föråldrade konton. Detta utnyttjades av en före detta anställd som ville hämnas på sin arbetsgivare. Angreppet möjliggjordes bland annat genom att vederbörandes användarkonton och behörigheter inte hade spärrats. Intrånget kunde ske från distans och angriparen kunde, väl inne i SCADA-systemet, använda sig av befint-liga gruppkonton vars lösenord inte hade förändrats sedan vederbörande slutade. Verksamheten drabbades av en mycket allvarlig störning när SCADA-systemet attackerades. Skadorna från angreppet blev värre än nödvändigt. Detta eftersom incidenthantering och skadebegränsning fördröjdes av en helt oförberedd verk-samhet som saknade kunskap om vilka personer som var behöriga att vidta nödvändiga åtgärder.


Det finns en ansvarig för den övergripande säkerheten i de industriella informations- och styrsystemen.

För varje verksamhetskritiskt system finns det en person som är utsedd till systemägare.

Systemägarnas arbetsuppgifter, ansvar, resurser och mandat är tydligt dokumenterade.

Alla systemägare är medvetna om sitt ansvar.

Det finns dokumenterade krav som ställs på en systemägare, såsom kompetens, utbildning, säkerhetsklassning, et cetera.


Underhåll processer för systemkartläggningar och riskhantering i industriella informations- och styrsystem.

NERC CIP (002-4)

DOE 21 Steps (No. 13)

OLF (No. 2, 3, 11)

27002 (kap. 4)

27005

IAEA (kap. 5)

EC 62443-1-1 (5.6)

IEC 62443-2-1 (4.2,4.3)

För att upprätthålla god säkerhet i industriella informations- och styrsystem är det viktigt att det finns en process för att kartlägga och förstå verksamhetens informationsflöden, informationstillgångar och systemberoenden. Det vill säga de samband som finns mellan verksamheten och olika typer av system.

För att kunna analysera verksamhetens processer, system och information krävs en djup förståelse för vilka konsekvenser en felaktig eller störd funktion kan innebära både för den fysiska processen och för organisationen. Detta är en viktig förutsättning för att skapa en relevant riskvärdering och en klassificering av vilka system som är mest kritiska respektive vilken information som är mest kritisk.

En verksamhets- och systemkartläggning bör resultera i listor över åtkomst- och anslutningsmöjligheter, systemklassificeringar samt driftmässiga prioriterings-indelningar. Det bör finnas diagram över de industriella informations- och styrsystemen som är tillräckligt detaljerade för att det ska gå att identifiera kritiska komponenter och system. Ett systemdiagram ska bland annat innehålla IP-adresser, kommunikationsprotokoll, versionsnummer, uppgifter om operativ-system hos datorresurser, tekniska uppgifter om lokala enheter såsom PLC:er och så vidare. Det är också bra om varje komponent i systemdiagrammet har ett unikt löpnummer som pekar på en post i en konfigurationsdatabas. För att kunna fastställa den elektroniska säkerhetsperimetern måste alla anslutningar till industriella informations- och styrsystem identifieras. Här ingår, förutom intra nät, exempelvis fjärranslutna kopplingar till samarbetspartners, leveran-törer och internet. Observera att alla trådlösa anslutningar bör behandlas som fjärranslutna punkter. Anslutningar till organisationens administrativa informa-tionssystem (intranät) bör betraktas som externa anslutningar.

3Systemkartläggning

OSÄKER


Rekommendationer• Inventera organisationens tillgångar och identifiera de som är kritiska

genom att tillämpa ett riskbaserat synsätt. Identifiera därefter de kritiska datorbaserade tillgångarna.

• Upprätta en dokumenterad process för hur riskanalyser ska genomföras och under vilka förutsättningar de ska uppdateras. Välj riskanalysmetod utifrån analysens syfte och den tillgängliga informationen. Valet av metod bör ta hänsyn till möjligheten att enkelt uppdatera riskanalysen.

• Upprätthåll en konfigurationsdatabas för att underlätta sökningen av olika komponenter och parametrar i en komplicerad nätverkstopologi.

Exempel på risker och problemDe industriella informations- och styrsystemen hos en verksamhet betraktades som separerade från övriga datornätverk och därför ansågs det inte nödvändigt att förse dem med skydd mot skadlig kod. Men när verksamhetens administrativa kontorsnätverk drabbades av skadlig kod slogs även flera av styrsystemen ut. Vid en närmare granskning av verksamheten identifierades flera tidigare okända kopp-lingar mellan olika datornätverk. Då dessa inte funnits dokumenterade hade de heller aldrig beaktats vid tidigare säkerhetsanalyser. Följaktligen hade organisa-tionen levt i tron att deras system var betydligt säkrare än vad som var fallet.

En av orsakerna till att dessa sårbarheter inte hade identifierats var att organisa-tionen saknade en genomtänkt process för hur och när systemkartläggning och riskanalyser skulle utföras. Det saknades därmed underlag att jämföra och bevaka verksamhetens risker och hur dessa förändrades över tiden. Konsekvensen blev att viktiga delar av styrsystemet år efter år förblev oskyddade medan ansenliga resurser satsades på att skydda andra informationstillgångar, som dock inte var lika kritiska för verksamhetens fortlevnad.


Det finns en tydlig och uppdaterad dokumentation över verksamhetens system, informationsflöden och systemberoenden.

Systemen är klassificerade för att identifiera vilka som är kritiska för verksamheten.

Det finns en tydlig och uppdaterad dokumentation över samtliga kommunikationsvägar till och från de industriella informations- och styrsystemen.

Det finns tydliga riktlinjer för hur, och hur ofta, klassning och riskanalyser ska genomföras i syfte att identifiera kritiska informationstillgångar.

Samtliga verksamhetskritiska system och komponenter kan snabbt identifieras med hjälp av befintliga systemdiagram, konfigurationsdatabaser, nätverkskartor eller liknande.


Säkerställ en systematisk förändringshantering i industriella informations- och styrsystem.

NERC CIP (003-4)


OLF (No. 10, 15)

27002 (kap. 12.5.1, 10.1.2)

En systematisk hantering av förändringar och versioner av parametersättningar, inställnings- och datafiler eller program är viktigt för att undvika störningar, onödig felsökning eller allvarliga problem i industriella informations- och styr-system. System och applikationer som organisationer ska använda under lång tid, exempelvis inom industriprocesser, medför särskilda krav på strikt kontroll över förändringshanteringen.

I de industriella informations- och styrsystemen är det viktigt att alla inblan-dade parter – leverantörer, systemansvariga och användare – har en korrekt och gemensam förståelse av den aktuella konfigurationen och driftstatusen hos systemet. Separata test-, utvecklings och driftmiljöer är vanliga när det gäller administrativa informationssystem. Tyvärr gäller inte detta industriella informa-tions- och styrsystem, viket gör det extra viktigt att lägga tillräckliga resurser för en systematisk förändringshantering i dessa system. Det bör finnas en formell process som talar om hur man får tillstånd att göra förändringar i industriella informations- och styrsystem. Detta bör även gälla tillfälliga förändringar och förändringar av stödutrustning. Allt som inte är explicit tillåtet bör vara förbjudet.

Rekommendationer

• Uppgradera programvara stegvis. Gärna i samråd med systemleverantörer, på grund av juridiska och tekniska krav.

• Säkerställ att den formella processen för förändringshantering omfattar:

1. en beskrivning av vad som är belagt med tillståndskrav.

2. en procedur för att få tillstånd att göra förändringar.

3. en beskrivning av hur tester före och efter en förändring ska genomföras (inklusive en beskrivning av vilka förändringar som kräver tester i separat testmiljö).

4. krav på hur dokumentation ska uppdateras efter förändringar.

5. krav på hur personal ska ta del av förändringar (exempelvis i vilka fall det krävs särskild utbildning av operatörer).

4

Uppdatering

Steg 3 av 4

DEC

1


• Säkerställ att regler och rutiner som rör ändringar i de industriella informations- och styrsystemen harmonierar med befintliga förändrings-regler i fysiska processer eller anläggningar.

• Kontrollera verktyg (datorer/laptops) som används för uppdateringar av inställningar och program.

• Kontrollera hanteringen av de hård- och mjukvaruverktyg, till ex empel kom pilatorer och filöverföringsmetoder, som används i förändringsprocessen.

• Kontrollera enheter så att endast känd och verifierad systemprogramvara (firmware) används.

• Genomför differenskontroller mot tidigare versioner före och efter alla uppdateringar.

Exempel på risker och problemEn verksamhets industriella informations- och styrsystem blev under en period alltmer instabilt med oväntade systemhändelser som följd. Vissa funktioner försvann och somliga parametersättningar återgick till ordinarie fabriksinställ-ningar. Vid en senare granskning konstaterades att vissa lokala förändringar, som verksamheten själva genomfört i ett styrsystem, inte hade rapporterats till systemleverantören. Detta medförde att leverantörens löpande uppgraderingar av programvaran i styrsystemet inte hade blivit korrekt verifierade, då testsystemet avvek mot kundens faktiska system.

Konsekvenserna förvärrades av att det saknades tydliga rutiner för hur ändrings-hantering och uppdateringar av styrsystemen skulle ske. Leverantörens system-uppdateringar tog bort lokala systemförändringar och vissa av systemets funktioner avaktiverades därmed av misstag. Följden av dessa störningar blev betydande kostnader i form av intäktsbortfall. Dessutom påverkades förtroendet för verk-samheten av de oplanerade och oförklarliga driftstoppen. Verksamheten kunde inte hävda att det var leverantören som var orsaken till störningarna eftersom de själva saknade en tydlig process för sin egen hantering av systemförändringar.


Det finns dokumenterade rutiner för hur ofta alla olika system ska uppdateras eller kontrolleras.

Det är möjligt att härleda vilken hård- och mjukvara (version och ”patchning”) som varit i drift, och hur den varit konfigurerad, vid en given tidpunkt.

Det finns tydliga rutiner för hur defekta systemkomponenter ska ersättas.

Det finns regler för hur externa konsulter och leverantörer får koppla upp utrustning mot de industriella informations- och styrsystemen.

Före och efter förändringar i de industriella informations- och styrsystemen informeras alltid berörda parter om förändringen.

Förändringar (konfigurationer, ”patchning”, et cetera) testas alltid i särskilt testnät innan de installeras i skarp drift.


Säkerställ systematisk kontinuitetsplanering och incidenthantering i industriella informations- och styrsystem.

NERC CIP (008-4, 009-4)

NIST 800-82 (kap. 6.2.3)

CPNI (GPG 3)


OLF (No. 7, 16)

27002 (kap. 13, 14)

27035

IEC 62443-1-1 (kap. 4.3.2.5)

IEC 62443-2-1 (kap. 4.3.4.5, A.3.4.5, 4.3.2.5, A.3.2.5)

För att säkerställa verksamhetens fortlevnad vid allvarligare störningar krävs en kontinuitetsplanering som innehåller tydliga beskrivningar av rutiner, roller och ansvar vid nödlägen. Exempel på detta är avbrott i kraftförsörjningen, haveri av styrsystem, sjukdom hos operativa nyckelpersoner et cetera.

Förutom att kontinuerligt följa upp och uppdatera kontinuitetsplaner är det viktigt att personalen får öva sin beredskap och att man regelbundet testar att verksamheten kan fungera tillfredsställande i händelse av en kris. För industriella informations- och styrsystem måste återställningen ofta gå snabbt och toleransen för misstag är minimal. Därför är det extra viktigt att kontrollera backuper för dessa system.

Alla oväntade händelser (incidenter) som leder till att en störning uppträder i de industriella informations- och styrsystemen, exempelvis att en tjänst inte är tillgänglig eller har reducerad funktionalitet, måste dokumenteras för att senare kunna analyseras. En av svårigheterna med incidenthanteringen är att finna en balanserad struktur över hur incidenter ska kunna fångas in utan att det upp-fattas som hindrande i den normala arbetsprocessen. Vidare är det viktigt att motivera organisationen genom att kommunicera syftet med rapporteringen av incidenter samt att återkoppla resultaten av incidenthanteringen. Utan denna kommunikation kan det bli svårt att bevara motivationen att rapportera incidenter och sårbarheter.

5

BACKUP


Rekommendationer

• Upprätta och underhåll incidenthanteringsrutiner och kontinuitetsplaner för de industriella informations- och styrsystemen.

• Analysera incidenter för att fastställa och förstå ursprungsproblem, omfattning (spridning), direkta och indirekta konsekvenser. Kontrollera till exempel om det är enkla fel och om de uppstod på grund av upp-såtliga eller ouppsåtliga händelser.

• Se till att följande punkter ingår i kontinuitetsplaneringen:• rutiner för att sköta verksamheten manuellt (driva processen utan

datorstöd)• rutiner för att återställa både data och konfigurationsinställningar

samt återstarta processen• kontaktuppgifter till systemägare, operatörer, drifttekniker, övrig

personal, leverantörer och support• beskrivning av supportavtal och inställelsetider• beskrivning av hur centrala komponenter i styrsystemet åter-

anskaffas• beskrivning av hur, och varifrån, nöddrift genomförs om störningen

är allvarlig.

Exempel på risker och problemEn verksamhet fick problem när en nyckelperson som var systemansvarig för ett kritiskt informations- och styrsystem plötsligt avled i en motorcykelolycka. Han var den enda i verksamheten som hade full vetskap om hur styrsystemet hade konfigurerats. Då grundläggande dokumentation om det inte var upp-daterad, och i vissa fall saknades helt, kunde ingen i verksamheten enkelt ta över hans arbetsuppgifter.

Nyckelpersonen hade inte delat med sig mer information än nödvändigt till de andra i organisationen. Han hade därigenom blivit oumbärlig inom organisa-tionen, något som bidrog till att verksamheten blev ytterst sårbar.


kontinuitetsplanerna täcker in kritiska informationstillgångar i de industriella informations- och styrsystemen.

Det finns en dokumenterad process för framtagning och underhåll av kontinuitetsplaner.

Det finns tydliga definitioner av vad som är en incident och hur olika typer av incidenter ska hanteras.

Samtliga anställda, inklusive ledningen, ser positivt på att medarbetare meddelar en relevant del av organisationen, till exempel systemägare, om funna svagheter eller sårbarheter i system, organisation, dokumentation, et cetera.

Rapporterade incidenter analyseras omedelbart och rapporteras enligt fastslagna intervall till högsta ledningen.


Inkludera säkerhetskrav i industriella informations- och styrsystem från början i all planering och upphandling.

NIST 800-82 (kap. 6.1.3)

CPNI (GPG 6)

OLF (No. 8, 9)

PL (alla kapitel)

27002 (kap. 6.2, 10.2)

IEC 62443-2-1 (4.3.4.3, A.3.4.3.4)

Det är svårt och dyrt att uppnå en godtagbar säkerhetsnivå i industriella informa-tions- och styrsystem i efterhand. Därför bör säkerhetskrav inkluderas från allra första början i systemspecifikationer och behovsanalyser. Eftersom många systemlösningar helt eller delvis upphandlas från externa parter, så krävs en särskild uppmärksamhet på säkerhetsfrågorna i upphandlingsarbetet.

Säkerhet i industriella informations- och styrsystem bör behandlas uttryckligen i upphandlingsunderlag, test- och överlämnandehantering, kontrakt och styr-dokument för underhåll eller driftuppdrag. Upphandling kan omfatta såväl nyinstallation som hel eller delvis modernisering av befintliga lösningar. Säker-hetskrav bör ingå som en viktig del i alla leverantörsavtal, även i service- och underhållsavtal. Ett bra tekniskt stöd i all upphandling av industriella informa-tions- och styrsystem är Cyber security procurement language for control systems (PL).

I samband med moderniseringar av industriella informations- och styrsystem krävs en särskild hänsyn till it-säkerhetsfrågor. Detta för att förändringarna med största sannolikhet kommer att påverka det befintliga informations- och styrsystemet på ett sätt som de ursprungliga konstruktörerna inte hade tänkt på. Exempelvis är det ofta ett underförstått antagande i äldre informations- och styr-system att åtkomst till utrustning enbart kan ske via lokal fysisk närvaro. Idag är fysisk separation inte alltid möjlig vilket ställer höga krav på en logisk separation mellan olika delar av de industriella informations- och styrsystemen.

6

Kravlista


Rekommendationer

• Använd hot- och riskanalyser samt olika kartläggningar för att samla in krav.

• Följ upp att leverantörerna lever upp till detaljerade krav på säkerhets- och skyddsfunktioner i system och applikationer.

• Kräv att leverantörerna redovisar vilka egna metoder eller processer (exempelvis interna utvecklarhandböcker) som används för att garantera kvaliteten på det egna säkerhetsarbetet.

• Var noga med att leverantörer som får information om de industriella informations- och styrsystemen skriver på sekretess- och säkerhetsavtal.

• Ställ krav på att driftsatt utrustning ska kunna testas på ett säkert sätt. En styrdator ska till exempel klara av den trafikvolym som uppstår vid ett penetrationstest.

• Säkerställ att det finns dokumenterade rutiner för hur säkerhetsaspekter ska beaktas vid upphandling.

• Genomför regelbundna revisioner för att säkerställa efterlevnaden.

Exempel på risker och problemEfter ett par säkerhetsrelaterade incidenter tvingades en verksamhet att komplet-tera sitt informations- och styrsystem med ett par komplexa tekniska säker-hetslösningar. Dessvärre visade det sig att dessa tilläggsbeställningar inte var ordentligt genomtänkta. Detta ledde till att systemet blev onödigt sårbart under hela sin livscykel, bland annat eftersom arbetet med uppdateringar försvårades. Verksamheten kunde inte få den nivå av säkerhet som den önskade sig.

Hade verksamheten inte försummat säkerhetskraven vid sin ursprungliga upp-handling hade de sannolikt inte drabbats av dessa extra kostnader. Troligen hade de också fått ett mer genomtänkt och anpassat säkerhetssystem.


Det finns dokumenterade rutiner för hur informationssäkerhetsfrågor ska hanteras vid all upphandling av varor och tjänster.

Regelbundna revisioner genomförs för att säkerställa att upphandlingsrutinerna följs.

Säkerhetsaspekter är alltid dokumenterade för produkter och tjänster som levereras av externa parter.

Alla externa leverantörer som får information om de industriella informations- och styrsystemen skriver alltid på ett sekretess- och säkerhetsavtal.

All utrustning och tillhörande verksamhetsprocesser som är kopplade till de industriella informations- och styrsystemen testas innan de driftsätts.

Ledningen säkerställer alltid att ansvariga från processidan är involverade i it-upphandlingar med bäring på de industriella informations- och styrsystemen.


Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella informations- och styrsystem.

NERC CIP (004-4)


OLF (No. 5)

IAEA (kap. 4.2)

27002 (kap. 6.1.2)

Det är viktigt att skapa en förståelse för att säkerhet i industriella informations- och styrsystem är en verksamhetskritisk fråga. Förståelse och attitydpåverkan kräver långsiktiga insatser och högsta ledningens engagemang är mycket viktigt, som alltid när det gäller säkerhetsfrågor. Dels för att säkerhet i industriella informa-tions- och styrsystem kräver ökade resurser, dels för att det kräver en samverkan mellan delar av organisationen som inte alltid brukar samarbeta.

För att uppnå hög säkerhet i industriella informations- och styrsystem krävs både kunskap om traditionell it-säkerhet, kunskap om styrsystem och kunskap om den underliggande processen. Säkerhetsarbetet kräver därför ett samarbete och ett förtroende mellan personer från olika kulturer med olika säkerhetstradi-tioner och organisatoriska hemvister. Detta kräver regelbunden utbildning och träning, både av it-personal och av styrsystemets operatörer. Det är också viktigt att avsätta tid och resurser för att olika delar av organisationen träffas och utbyter erfarenheter.

Industriella informations- och styrsystem ingår i systemlösningar som är mycket långlivade. Det är särskilt viktigt att försöka tänka på hur man kommer att använda, eller möjligen kan missbruka, systemen i framtiden. Många normala aktiviteter kan, på grund av okunskap eller otydliga rutiner, leda till potentiella säkerhetsproblem.

71000111100

1000111100

0110011

111010

10010110

1

111101

11101

00101

111010

100101

011

10

00101011

100101

100101

011

111010

10111

1000

1000

1

011

10

100

1000

0011

10001

1

10

101

001000

100

100

100

1

01 1

0

1

1010

0101

1011

1001100

1001100


Rekommendationer

• Etablera ett administrativt säkerhetsprogram för att skapa ett generellt förhållningssätt till it. Det ger ett bra säkerhetsmedvetande, uppmuntrar till ett kritiskt tänkande samt skapar en positiv attityd till att arbeta med sådant som höjer säkerheten.

• Innan en person får tillgång till de industriella informations- och styrsys-temen ska han eller hon genomgå lämplig utbildning. Det är viktigt att ledningen förstår vikten av utbildning, avsätter tillräckliga resurser och kontinuerligt reviderar verksamhetens program för kompetensutveckling.

Organisationen bör etablera ett administrativt säkerhetsprogram för att skapa ett generellt förhållningssätt till it. Det ger ett bra säkerhetsmedvetande, upp-muntrar till ett kritiskt tänkande samt skapar en positiv attityd till att arbeta med sådant som höjer säkerheten. Innan en person får tillgång till de indu-striella informations- och styrsystemen ska han eller hon genomgå lämplig utbildning. Det är viktigt att ledningen förstår vikten av utbildning, avsätter tillräckliga resurser och kontinuerligt reviderar verksamhetens program för kompetensutveckling.

Exempel på risker och problemEn drifttekniker arbetade ute i fält och behövde flytta data mellan två olika it-miljöer. Normalt använde teknikern en löstagbar hårddisk, men den hade hon glömt på kontoret. Därför kopplade hon istället en nätverkskabel mellan de två datorerna i de normalt fysiskt separerade nätverken. Efter arbetsdagens slut glömde driftteknikern att ta bort nätverkskabeln. Det industriella informations- och styrsystemet var nu inte längre fysiskt separerat, utan direkt kopplat till verksamhetens kontorsnätverk. Eftersom styrsystemet tidigare hade varit fysiskt isolerat hade organisationen inte ansett sig behöva installera några it-säkerhets-mekanismer i det processnära nätverket.

Verksamheten drabbades av flera oförklarliga driftstörningar. Genom att verksam-heten inte löpande genomförde tekniska säkerhetsgranskningar tog det lång tid innan misstaget upptäcktes.


Det finns en tydlig plan över vilka säkerhetsutbildningar som krävs av personal som jobbar med de industriella informations- och styrsystemen, eller har fysisk eller logisk tillgång till dem.

högsta ledningen förstår och godkänner utbildningsplanen minst en gång om året.

Det finns en enhet inom organisationen som regelbundet utvärderar verksamhetens förhållningssätt till informationssäkerhet och rapporterar till ledningen.

Minst en aktivitet arrangeras varje år då processtekniker och it-personal träffas och diskuterar säkerhetsfrågor.

Nyanställd personal och externa konsulter får alltid grundläggande säkerhetsutbildning innan de ges fysisk eller logisk tillgång till de industriella informations- och styrsystemen.


Arbeta med en säkerhetsarkitektur i de industriella informations- och styrsystemen.

NERC CIP (005-4, 007-4)

CPNI (GPG FirewallDeployment)

DOE 21 Steps (No. 5, 15)

OLF (No. 4, 13)

PL (alla kapitel)

IAEA (kap. 5.5, 2.3.3)

27002 (kap. 10, 11)

ISA-95

IEC 62443-3-3 (kap. 9.4)

Att arbeta med en säkerhetsarkitektur innebär ett strukturerat och systematiskt sätt att organisera verksamhetens skydd och försvarsmekanismer. Säkerhets-arkitekturen bygger på ett antal styrande säkerhetsprinciper med syftet att skydda information med avseende på konfidentialitet, riktighet, tillgänglighet och spårbarhet. En viktig del i säkerhetsarkitekturen är att upprätthålla ett djup-leds försvar (eng. defence-in-depth). Ett djupledsförsvar består av överlappande säkerhets mekanismer installerade på flera olika nivåer i nätverket eller i olika system och applikationer. Säkerhetsmekanismerna är ibland redundanta, som till exempel flera brandväggar, och ibland komplementära – till exempel kombi-nationer av intrångsdetekteringssystem, brandväggar, kryptering av nätverkstrafik och data, inloggningsmekanismer samt loggning av användning och missbruk.

Olika skyddsmekanismer kan utgöra gränser i en zonmodell, där olika zoner utgör grupperingar av komponenter och system med olika säkerhetsmässiga eller funktionsmässiga kriterier. I zongränser kan till exempel en datadiod vara ett lämpligt skydd i de fall information bara tillåts att transporteras i en riktning. En datasluss är en annan mekanism som kan användas i en zongräns. En datasluss gör en mer detaljerad och kontrollerad genomgång av data som ska passera. Även kommunikationen inom ett informations- och styrsystem kan behöva skyddas. Kommunikationen mellan fältutrustning som exempelvis PLC:er och lokala system baseras oftast på industriella protokoll med låg eller obefintlig säkerhet. Även på denna nivå bör man tänka i zonmodeller.

Rekommendationer

• Utforma säkerhetsarkitekturer för industriella informations- och styr-system som innefattar principer och säkerhetskoncept för • nätverkssäkerhet• systemsäkerhet• applikationssäkerhet • driftoperativa säkerhetsfrågor.

• Dela upp de industriella informations- och styrsystemen i olika zoner med skyddsnivåer som anpassats efter hur kritiska de olika systemen är. Beroende på bland annat system- och informationsklassificering kan även så kallade subzoner behöva skapas.

8

KryptoLösenord

DataslussarSpårbarhetslogg


• Dela upp nätverket utifrån funktionell klassificering.

• Datatrafik över zongränser bör hanteras extra restriktivt och även över-vakas och loggas. För vissa typer av it-miljöer kan det vara bra att använda datadioder och dataslussar.

• För in funktioner för övervakning, larm, spårbarhetsloggar, nätverks-inspelning och analys i zongränser.

• Undvik att ansluta it-system och dess stödfunktioner (till exempel data-lagring) till flera zoner parallellt (så kallad multihoming), då det kortsluter zonuppdelningen och aktivt motverkar zonmodellen som säkerhetskoncept.

• Placera osäkra tjänster och andra externa anslutningar i demilitariserade zoner (DMZ).

• Skapa en elektronisk säkerhetsperimeter (logiskt skalskydd) runt de industriella informations- och styrsystemen. Notera att de administrativa systemen ligger utanför denna säkerhetsperimeter.

• Nätverksarkitekturen bör vara segmenterad med överlappande säker-hetsmekanismer.

• Använd gärna olika kommunikationsprotokoll mellan olika delar av nätverket. Om ett protokoll används mellan styrsystemet och en DMZ, så bör ett annat protokoll användas för den vidare kommunikationen mellan DMZ:n och organisationens administrativa informationssystem.

Exempel på risker och problemEn verksamhet införde logiskt skalskydd i form av en brandvägg för att skydda sig mot externa it-angrepp. Säkra bakom den nya brandväggen kunde verksam-hetens operatörer logga in till alla it-system med hjälp av ett enda lösenord, så kallad Single-Sign-On (SSO). Dessutom kunde operatören fjärrstyra anläggningen via internet över ett virtuellt privat nätverk (VPN).

Efter en tid drabbades verksamheten av driftstörningar vilka härstammade från en operatörsdator som i hemmet hade smittats av skadlig kod. Via internet kunde sedan en angripare få kontroll över operatörsdatorn och avlyssnade både användar-namn och lösenord. Då det saknades ett djupledsförsvar – behörigheten var alltså enbart kopplad till ett användarnamn och ett enkelt lösenord – kunde sedan angri-paren koppla upp sig mot verksamheten och nå de processnära systemen.


Verksamhetens olika delar är indelade i olika zoner. Indelningen är dokumenterad.

Inga it-system är anslutna till mer än en zon.

Säkerhetsarkitekturen innefattar koncept för spårbarhet och loggning av överträdelser, felaktigheter och attackförsök.

Arkitekturen har skyddsmekanismer för konfidentialitet, riktighet och tillgänglighet.

Trafik som går mellan två olika zoner loggas alltid.

Gränserna mellan två zoner är försedda med larm- och övervakningsfunktioner.

Om de administrativa systemen är sammankopplade med de industriella informations- och styrsystemen är de separerade med en demilitariserad zon.


Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök i industriella informations- och styrsystem.

NERC CIP (005-4)


PL (kap. 2.2, 3.2, 3.3, 4.4)

27002 (kap. 10)

IEC 62443-3-1 (kap. 8.4)

IEC 62443-3-3 (kap. 10.4)

Utöver omvärldsbevakning, uppföljning av incidenter och uppdatering av risk-analyser behöver verksamheten kontinuerligt övervaka och detektera försök till intrång. Övervakning av egna system och deras kommunikationer ger till-sammans med omvärldsbevakningen en bättre förståelse för aktuella hot, för-ändrade attack trender och aktuell skadlig kod. Denna övervakning bör ske både internt, inom verksamhetens egna system, och externt för att övervaka attacker mot externa anslutningar.

Det finns i huvudsak två typer av intrångsdetekteringssystem (IDS). En del känner igen attackförsök via analys av kommunikationsströmmar – så kallade nätbaserade intrångsdetekteringssystem (NIDS). Andra övervakar händelser i ett datorsystem eller användningsmönster i en applikation – så kallade värddatorbaserade intrångs-detekteringssystem (HIDS).

En utvecklad variant av dessa IDS-system är så kallade intrångsförhindrande system (IPS) som även kan agera för att avstyra angrepp. Observera att användare av IPS i industriella informations- och styrsystem vid felaktig angreppsklassificering kan leda till att korrekt trafik blockeras (så kallade falska positiver). Att ett säker-hetssystem oförutsägbart går in och blockerar styrkommandon eller resultatkoder är dock inte acceptabelt i industriella informations- och styrsystem.

Så kallade honungsfällor (engelska ”Honey Pots”) kan som komplement användas för att indikera pågående angreppsförsök. Honungsfällor är ofta inriktade på att även samla in information om en angripare eller inkräktare. En enkel lösning som kan vara lämplig i industriella informations- och styrsystem är att installera en dator som normalt inte tar emot någon trafik i nätverket och som larmar om så sker (en sådan honungsfälla kallas ibland Canary eller försåtsminering). Redan försök till kommunikation med den här datorn kan vara skäl till att misstänka ett pågående attackförsök eller att en angripare förbereder en attack genom att kartlägga nätverket.

9

OOI I IOI OOI OOI OO

OO

I IIO

IOO

IOO

IOO

V *I *R *U

*S

V *I *R *U

*S

09. Övervaka kontinuerligt anslutningaroch system för att detektera intrångsförsök


Rekommendationer

• Övervaka kontinuerligt externa anslutningar och interna system för att detektera alla former av intrångsförsök.

• Analysera kontinuerligt loggar och spårdata från intrångsdetekterings-system.

• Spara loggar och spårdata från intrångsdetekteringssystem långsiktigt. Dessa behövs när en eventuell efterforskning påbörjas, vilket kan dröja lång tid efter det initiala problemet.

• Det bör finnas en roll med ansvar för att fånga upp eventuella varningar från de tekniska systemen.

Exempel på risker och problemEn verksamhet saknade en kontinuerlig bevakning av vilka datorer som anslöts till nätverket. Ingen noterade därför att driftpersonal hade ”råkat” koppla ihop de administrativa nätverken och de industriella informations- och styrsystemen vilket allvarligt ökade exponeringen av styrsystemen för skadlig kod och attacker.

En annan verksamhet hade köpt in tjänsten intrångsdetektering av ett it-säkerhets-bolag men tecknade av kostnadsskäl bara ett avtal som täckte normal kontorstid. Därmed upptäcktes inte de attacker och intrångsförsök som skedde efter kontorstid. Verksamheten blev ett par månader senare angripen nattetid och systemen blev komprometterade.


Alla delsystem övervakas dygnet runt med avseende på misstänkt aktivitet.

Det finns alltid minst en person i tjänst som omedelbart blir informerad om misstänkta intrångsförsök.

Om intrångsförhindrande skydd används finns alltid en dokumenterad riskanalys som säkerställer att systemet inte slås ut på grund av felaktig avvisning av trafik.

Logghändelser och larm från alla intrångsdetekteringssystem loggas och sparas på säker plats i minst sex månader.

Loggarna från intrångsdetekterings- och incidenthanteringssystemen analyseras regelbundet.


Genomför regelbundet riskanalyser av industriella informations- och styrsystem.

NERC CIP (002-4)

NIST 800-82 (kap. 3.2 – 3.6)


OLF 104 (No. 2)

27002 (kap. 4)

27005

IAEA (kap. 6)

IEC 62443-1-1 (kap. 5.6)

IEC 62443-2-1 (kap. 4.2, 4.3)

En av säkerhetsorganisationens viktigaste verksamheter är att regelbundet upp-datera och utvärdera de riskanalyser som har genomförts. Riskanalysen är det viktigaste underlaget för att fatta beslut om vilka åtgärder som bör genomföras för att undvika driftstörningar, produktionsbortfall eller i värsta fall person- och miljöskador.

Den grundläggande utgångspunkten som bör gälla vid all riskbedömning av it-system är att fienden känner till systemet. När det gäller informations- och styrsystem antar många tyvärr ofta det motsatta – att ingen utomstående känner till detaljer om de leverantörsspecifika lösningarna. Detta kallas ibland för säkerhet genom förvanskning eller fördöljande (eng. security by obscurity), något som sällan lyckas då angriparen har mycket stora valmöjligheter när det exempelvis gäller angreppssätt och angreppstidpunkt. Leverantörsspecifika kommunikationsproto-koll, krypteringslösningar eller operativsystem innebär därför inte på något sätt några säkerhetsgarantier. Snarare är resultatet ofta det omvända – att de inte skulle hålla måttet för en öppen granskning av forskare eller tekniska specialister.

Det är också viktigt att riskanalyser genomförs innan förändringar införs i en verksamhet. Eftersom industriella informations- och styrsystem kan ha inbyggda beroenden som inte alltid är självklara bör man kritiskt analysera tänkbara indirekta effekter av förändringar.

Det finns också risker som uppdagas utan att en formell riskanalys genomförts. Det är viktigt att det finns processer för att fånga upp dessa risker och hantera dem beroende på hur allvarliga de bedöms vara.

101000111100

1000111100

0110011

111010

10010110

1

111101

11101

00101

111010

100101

011

10

00101011

100101

100101

011

111010

10111

1000

1000

1

011

10

100

1000

0011

10001

1

10

101

001000

100

1

00

1

01 10

1

1010

0101

0101

1011

1001100

1001100

1000111100 100101

011

10111

1000

1

011

10

100

1000

101

001000

100


Rekommendationer

• Genomför riskanalyser av industriella informations- och styrsystem. En riskanalys kan utföras för ett avgränsat delsystem eller för en mer övergripande verksamhet.

• Uppdatera riskanalyserna i enlighet med de metoder som tidigare har fastställts och dokumenterats. Vilken riskanalysmetod som används i det specifika fallet beror på syftet med analysen och vilken information som finns tillgänglig om det aktuella systemet och dess tänkbara hot.

• Kom ihåg att uppdatera systemkartläggningen (systemdiagram, konfigura tionsdatabaser och liknande) vid en uppdatering av risk-analysen om det behövs.

• Utifrån den verksamhetsanalys som organisationen tidigare genomfört bör det vara definierat vilka system och vilka informationsresurser som är verksamhetskritiska.

• Dokumenteringen av riskanalysen bör ske på ett förutbestämt sätt och godkännas av ledningen. Dokumentationen bör åtminstone omfatta upptäckta sårbarheter, bedömning av risker samt beskrivning och prioritering av möjliga åtgärder.

• För att genomföra en riskanalys kan följande information behövas: Incident- och störningsdata (loggar och material från omvärldsbevak-ningen), resultat från genomförda säkerhetsgranskningar (säkerhets-tester och administrativa revisioner), samt checklistor.

Exempel på risker och problemEn verksamhet hade prioriterat bort att göra riskanalyser för sina industriella informations- och styrsystem då de ansågs svåråtkomliga och säkra på grund av sin särart. Därmed hade de inte identifierat kritiska sårbarheter i de befintliga systemen och inför en omfattande systemupphandling ställdes därför inte relevanta säkerhetskrav. I detta fall skedde en systemförändring som kom att innebära att användare kunde få tillgång till system vilka de inte borde ha varit behöriga till.

Exempelvis kunde administrativ personal logga in i systemet och påverka känsliga delar av anläggningen. Även systemleverantörer kunde få tillgång till och förändra mer än sitt eget system via sina servicekonton.


Ledningen har fastslagit hur ofta riskanalyser på respektive kritisk informationstillgång ska genomföras.

Det finns en dokumenterad metodbeskrivning över riskanalyser som görs på informationstillgångar anslutna till de industriella informations- och styrsystemen.

Ledningen fattar alltid det formella beslutet om vilka risker som är oacceptabla.

Det finns ett väl fungerande system för att registrera och hantera uppdagade risker.

Plötsligt uppdagade risker med stora konsekvenser hanteras alltid omedelbart.


Genomför regelbunden teknisk säkerhetsgranskning av industriella informations- och styrsystem.


27002 (kap. 15.2.2)

IEC 62443-2-1 (kap. 3.4.3.5, A.3.4.2.4.2, A.3.4.2.4.3)

Genom att utföra praktiska säkerhetsgranskningar och tekniska kontroller går det att skapa en mer realistisk bild av säkerheten i system och installerade funktioner.

Det finns viktiga skillnader mellan praktiska säkerhetstester av administrativa it-system och av den it-utrustning som används i industriella informations- och styrsystem som ofta har dåliga säkerhetsegenskaper (exempelvis fältutrustning som PLC:er och RTU:er). Utrustningen går ofta att störa eller angripa på grund av triviala programfel. En resulterande krasch, omstart eller ett felaktigt uppförande hos testenheten, som svar på ett enklare säkerhetstest, är tyvärr inte ovanligt.

I vissa fall är den enda existerande installationen den som är produktionssatt, och det saknas en test- eller utvecklingsmiljö som man kan använda för praktiska säkerhetstester.

En noggrann planering bör föregå ett praktiskt säkerhetstest av industriella informations- och styrsystem, inklusive en genomgång av hur eventuella stör-ningar till följd av testet ska hanteras. Verksamhetens ledning bör godkänna testplanen. Grundprincipen är att lita på enkla basmetoder och intervjuer av relevant personal i stället för automatiska verktyg för penetrationstester av tra-ditionella it-system. Få it-konsulter har tillräckliga kunskaper om hur man testar industriella informations- och styrsystem. Många produktionsmiljöer är högst specialiserade, vilket kräver en förståelse för annan teknik än de som finns i IP-baserade nätverk. Av denna anledning kan det även vara en god idé att disku-tera med systemleverantörer före ett säkerhetstest.

När det gäller kartläggning av informations- och styrsystem för att identifiera värddatorer, noder och nätverk kan traditionella metoder som ”pingsweep” störa systemet. En inventering av styrsystemet är dock ett mycket viktig steg i test-processen. I stället för att använda automatiska verktyg handlar det ofta om att granska dokumentationen noga och även ge sig ut i processen och studera fysiska kopplingar och datorer på plats. När det gäller att inventera tjänster och sårbarheter hos olika tjänster så bör aktiva scanningsmetoder (såsom portscanning och sårbarhetsscanning med verktyg som exempelvis Nmap och Nessus) undvikas i ett produktionssystem som är i skarp drift.

11


Rekommendationer

• Genomför regelbunden teknisk säkerhetsgranskning av industriella informations- och styrsystem och anslutna nätverk.

• Praktiska tester kan negativt påverka styrsystem och processer, så därför bör dessa enbart utföras efter noggranna förberedelser och efter att man har förstått vilka konsekvenser testerna kan medföra. Använd i stället passiva metoder och undersök exempelvis manuellt hur routrar är konfigurerade.

• Om aktiva tester ska genomföras, gör då dessa i ett separat testsystem eller i ett styrsystem som inte är i drift.

• Kontinuerlig omvärldsanalys bör genomföras för att man ska få kunskap om uppdagade sårbarheter som kan påverka de egna informations- och styrsystemen.

Exempel på risker och problemEn leverantör håller kurs i styrsystemet för kraftförsörjning av en stads spårtrafik. Kursen hålls i det skarpa systemet. Systemet är redundant med två ordinarie servrar, varav en i ”hot standby”. Dessutom finns en reservserver i ”cold standby”. Vid kursen demonstreras en omkoppling till reservservern varvid oavsiktlig nödfrån-skiljning sker i samtliga understationer. Alla tåg stannar och en stor mängd rese-närer försenas i upp till två timmar.

Orsaken visade sig vara att konfigurationsdatabasen i cold standby-servern inte korresponderade med den motsvarande servern i ordinarie driftsdatabasen. En senare utredning visade att konceptet med tre servrar saknade förutsättningar att fungera.


Det finns fastställda rutiner och intervall för genomförande av tekniska säkerhetsgranskningar.

En säkerhetsgranskning genomförs aldrig utan godkännande av berörd behörig ansvarig.

All kartläggning av driftsatta informations- och styrsystem genomförs bara med passiva metoder.

Det finns en ansvarig för omvärldsanalys för att säkerställa kännedom om uppdagade sårbarheter i produkter. I detta ansvar ingår regelbundna kontakter med leverantörer.


Utvärdera löpande det fysiska skyddet av industriella informations- och styrsystem.

NERC CIP (006-4)

NIST 800-82 (kap. 6.2.2)


PL (kap. 9, 11)

27002 (kap. 9)

IAEA (kap. 5.2.1)

IEC 62443-1-1 (kap. 5.9)

IEC 62443-2-1 (kap. A.3.3.3, A.2.3.3.8.9)

IEC 62443-3-1 (kap. 10)

Industriella informations- och styrsystem, speciellt de centrala anläggningarna, har historiskt sett haft ett omfattade fysiskt skydd och i många branscher finns etablerade krav på hur viktiga anläggningar ska klassas och skyddas fysiskt.

Industriella informations- och styrsystem är ofta geografiskt utspridda (decentra-liserade), vilket gör det svårare att upprätthålla ett bra fysiskt skydd i de avlägsna anläggningarna. Attacker mot industriella informations- och styrsystem kan ske från utrustning i fält. I dag kan lokala enheter som PLC:er och RTU:er vara mycket sofistikerade. Exempelvis kan en modern RTU innehålla såväl en webbserver som modernare kommunikationsmetoder (Bluetooth, Ethernetport, WLAN) och den bör därför ha ett tillräckligt fysiskt skydd. Kablar och korskopplingsutrymmen bör förläggas så att obehöriga personer förhindras att fysiskt komma åt dem och koppla in sig på nätverket.

Fysisk tillgång till en systemkomponent gör det mycket enklare att få logisk åtkomst till industriella informations- och styrsystem. Logiska och fysiska säker-hetsperimeter måste därför ovillkorligen följas åt. Tänk på att vissa branscher kan ha egna lagar och krav.

12


Rekommendationer

• Fysiskt skydd bör utföras i flera led – även här gäller principen om djup-ledsförsvar – och det bör bland annat inkludera:• skydd av känsliga lokaler – fysiskt skalskydd, tillträdesskydd, inbrotts-

larm, kameraövervakning och bevakning, brandskydd och så vidare.• behörighetskontroll – se till att endast behöriga personer har till-

gång till känslig information och viktiga driftlokaler.• spårbarhet som gäller personer och tillgångar – se till att både

personer och utrustning stannar i behörigt område – exempelvis bör inte bärbar utrustning såsom laptops för programmering av PLC:er lämnas obevakade.

• kablar för kommunikation – minimera risken för att kablar och korskopplingsutrymmen utsätts för avlyssning eller manipulation.

• kontroll av miljöfaktorer – exempelvis ventilation och kraft-försörjning.

• Etablera en god nivå på det fysiska skyddet i samtliga anläggningar och utrymmen. Balansera de fysiska och logiska skydden så att de är harmo-niserade. God fysisk säkerhet utan motsvarande insatser på logisk säker-het, eller det omvända, kan urholka de insatser som gjorts.

Exempel på risker och problemEn verksamhet fick ett inbrottslarm vid en anläggning ute i fält. Vid ankomsten konstaterades det att en bildskärm saknades och incidenten uppfattades enbart som ett mindre sabotageförsök av ett gäng ungdomar. Det fanns ingen kamera-övervakning som kunde avslöja vad som skett innan vaktpersonal kom till platsen. Någon mer omfattande analys av utrustningen på plats gjordes inte heller.

En vecka senare började oförklarliga driftstörningar inträffa. Långt senare identi-fierade man att en trådlös accesspunkt hade installerats vid det tidigare inbrottet. Installationen gjordes via en av arbetsstationens USB-kontakter – stölden av själva bildskärmen gjordes troligen bara som en vilseledande manöver.


Fysiska placeringar av de kritiska informationstillgångarna hålls kontinuerligt dokumenterade och dokumentationen för detta klassas också som en kritisk informationstillgång.

Brandskydd och fastighetssystem ses över enligt fastslagna rutiner.

kablar och korskopplingsutrymmen för kommunikation mellan fältutrustning och övriga system är noga kartlagda och skyddade från avlyssning, manipulation och åverkan.

Det finns tydliga rutiner för behörighetskontroll till alla platser där kritiska informationstillgångar finns.

Allt fysiskt skalskydd till lokaler som härbärgerar kritiska informationstillgångar ses över med regelbundna intervall.


Kontrollera regelbundet att endast säkra och relevanta anslutningar till industriella informations- och styrsystem existerar.

CPNI (GPG 2, GPG Firewall Deployment)

DOE 21 Steps (No. 1, 2, 3, 7)

OLF (No. 4, 10, 12)

PL (kap. 10, 11)

27002 (kap. 10.6, 11.4)

27033

Traditionellt har industriella informations- och styrsystem varit fysiskt isolerade och få, eller inga, kommunikationsanslutningar mot omvärlden har förekommit. Nya affärsbehov och rationaliseringsåtgärder har lett till effektiviseringslösningar med integration mellan de industriella informations- och styrsystemen och de administrativa systemen. Alla typer av anslutningar ska vara identifierade och försedda med skyddsmekanismer som är anpassade till organisationens säker-hetskrav och till de verksamhetskrav som ställs på de olika styrsystemen.

Anslutningarna till industriella informations- och styrsystem kan bestå av upp-ringda modem eller ISDN, fasta och trådlösa nätverksförbindelser eller internet-baserade anslutningar. Exempel på nätverksanslutningar är:

• serviceingångar för leverantörsrepresentanter

• anslutningsmöjligheter för jourpersonal som behöver snabb tillgång till de industriella informations- och styrsystemen

• anslutningsmöjligheter för fjärrdrift av anläggningar

• anslutningsmöjligheter för fjärravläsning av givare i anläggningar

• anslutningsmöjligheter för åtkomst till tilläggsfunktionalitet eller kring system i anläggningen, såsom kameraövervakning, larmanläggningar, kort- och åtkomstskydd, brandlarm et cetera.

13

Processmiljö

Administration


Rekommendationer

• Säkerställ regelbundet att enbart relevanta anslutningar till de industri-ella informations- och styrsystemen existerar, samt att dessa är till-räckligt säkra.

• Eliminera onödiga anslutningar. Alla anslutningar som finns ska vara formellt sanktionerade av behörig ansvarig roll.

• Fjärråtkomst för leverantörer eller åtkomst för personal med jourtjänst-göring kräver särskild tillsyn. För att skapa en godtagbar säkerhet bör kombinationer av olika metoder användas, exempelvis motringning, begränsningar i uppkopplingstiden, förstärkt autentisering samt in-skränkningar i vilka kommunikationsmetoder som kan användas och till vilka datorer dessa kan nyttjas.

• Alla användar- och systemkonton ska endast ha nödvändiga behörigheter. Tillgång till filer, applikationer och systemresurser bör nekas om de inte är explicit tillåtna. Alla konton bör vara försedda med stark autentisering.

Exempel på risker och problemEn verksamhet som genomförde en granskning av befintliga nätverkskopplingar fann till sin förvåning att det fanns en rad tidigare okända kopplingspunkter. Exempelvis existerade kopplingar mellan ett styrsystem i processmiljön och det administrativa datornätverket. En internetmask som infekterade en dator på ekonomiavdelningen kunde därför sprida sig och orsaka omfattande drift-störningar i produktionen. En annan uppkopplingsmöjlighet var de modem som leverantörer använde sig av vid uppdateringar – dessa skulle normalt vara urkopplade men så var inte fallet.


Alla portar och nätverkstjänster som inte behövs är avaktiverade. Alla aktiva tjänster är dokumenterade.

Modem (eller andra mekanismer för fjärråtkomst) avsedda för leverantörer och konsulter kan bara användas under specifika tider och särskilda omständigheter.

Alla kopplingar mellan de administrativa systemen och de industriella informations- och styrsystemen är sanktionerade av behörig ansvarig roll.

Anslutningar till fysiska skydd (exempelvis larm, fastighetssystem, videoövervakning, et cetera) är fysiskt separerade från annan utrustning.


Härda och uppgradera industriella informations- och styrsystem i samverkan med systemleverantörer

CPNI (GPG 5)


OLF (No. 6, 10, 12, 13)

PL (kap. 2)

27002 (kap. 12.1.1, 12.4.1)

Härdning av datorlösningar, systemkomponenter och applikationer innebär att man tar bort oanvända, onödiga eller okända delar av programvara och konfiguration samt att man installerar säkerhetsuppgraderingar (patchar). Detta skapar en begränsad angreppsyta och en minskad riskexponering. Härdning är en standardåtgärd när det gäller att förbättra säkerheten i traditionella it-system. Målet är att alltid använda den säkraste varianten av systemuppsättning och inställningar. Det är viktigt att härdningen genomförs enligt den process som etablerats för förändringshantering. Man kan minska ett systems angreppsyta genom att exempelvis:

• ändra fabriksinställningar, exempelvis byta ut standardlösenord

• välja säkrare alternativ och inställningar i applikationer, nätverksfunk-tioner eller operativsystem

• stänga av oanvända funktioner i applikationer, nätverksfunktioner eller operativsystem

• blockera inloggningsmöjligheter för användare som inte längre ska ha tillgång till system, eller begränsa användares inloggningsmöjligheter och rättigheter

• åtgärda kända säkerhetsproblem genom uppgraderingar (patchning).

Härdning och manuell uppsäkring av systemutrustning, applikationer och operativ-system, som säkerhetsdokument för industriella informations- och styrsystem ibland nämner, går normalt inte att genomföra utan starkt stöd från leverantörs-sidan. Att förändra utrustning eller programvaruinställningar (inklusive patchning) utan att samverka med system- och applikationsleverantörer kan leda till drift-störningar, skapa instabiliteter i styrsystemen samt ge avtalsmässiga konsekvenser.

14Security

patch

LOADING... Port 4

Port 3

Port 2

Port 1


Rekommendationer

• Härda och uppgradera industriella informations- och styrsystem så att de blir så säkrade som möjligt.

• Underhåll systemens säkerhet över tid genom att fortsätta med installa-tion av patchar, uppgraderingar eller liknande.

• Se till att dokumentera alla förändringar som genomförs. Logga gärna detta i en konfigurationsdatabas. Rekommendationerna gäller även alla kringliggande system och hjälpmedel – exempelvis laptops som används av supporttekniker – för att underhålla och driva funktionen.

• Vid byte av utrustning eller delkomponenter bör alla nya komponenter härdas vid installationen. All härdning och uppgradering ska hanteras enligt rutiner för förändringshantering (se rekommendation 4).

Exempel på risker och problemEn systemleverantör hade baserat flera centrala funktioner i ett informations- och styrsystem på öppen källkod. Det visade sig att det fanns en rad sårbarheter till denna källkod i form av relativt osäkra nättjänster och systemkomponenter. Flera av dessa osäkra funktioner var väsentliga i styrsystemet och de gick därför inte att avaktivera. Styrsystemet kunde därmed inte härdas i den omfattning som hade varit önskvärt.

Om personer utan djupare kunskaper om styrsystemet utför en systemhärdning kan det bli instabilt. De kan exempelvis av misstag ta bort komponenter som mycket sällan används av systemet, men som ändå fyller en viktig funktion. Det krävs alltså rutiner som tydliggör hur härdning genomförs och dokumenteras samt att detta sker i samverkan med systemleverantören.


Det finns en tydlig dokumentation över hur och när systemhärdning ska genomföras eller har genomförts.

Alla uppgraderingar, omkonfigurationer och ”patchningar” dokumenteras.

Standardlösenord till alla funktioner i all utrustning är utbytta mot kvalificerade lösenord.

Samtliga användares åtkomsträttigheter ses över med fastslagna intervall.

All tillgång till filer och applikationer i de industriella informations- och styrsystemen nekas om inte rättigheter är explicit givna. Minimala rättigheter och ansvarsåtskillnad och -fördelning råder (”Separation/segregation of duties”).


Genomför utbildning och övning av it-incidenter i industriella informations- och styrsystem.

IAEA (kap. 4.2.1)

OLF (No. 5)

27002 (kap. 8.2.2)

27035

IEC 62443-2-1 (kap. 4.3.2.4)

Utvecklingen inom it har inneburit att många organisationer kunnat utveckla nya affärsmodeller och hittat nya sätt att göra arbetet effektivare. Tyvärr innebär utvecklingen också nya säkerhetsbrister vilket i sin tur leder till att it-leverantörer tvingas ta fram nya skydd och så vidare. Dessa ständiga förändringar gör det viktigt med kontinuerlig kompetensutveckling.

It kan vara både medel och måltavla för olika typer av angrepp. Industriella informations- och styrsystem är inga undantag. Ett problem är att många som jobbar med dessa system har bristande erfarenhet av it-relaterade attackscenarion. Det är därför viktigt att de färdigheter, rutiner och processer som tagits fram regelbundet övas. Detta gäller främst de it-relaterade rutiner, processer eller process-steg som sällan eller aldrig ska inträffa under normala förhållanden. Med hjälp av övning kan de färdigheter och erfarenheter uppnås som krävs för att vara mentalt och praktiskt förberedd för en incident då den faktiskt inträffar. Att genomföra en helt oprövad rutin i skarpt läge innebär ofta stora risker.

Övningar leder också till att metoder, rutiner och verktyg kan förbättras.

15

KOMPETENS-

UTVECKLINGÖVNING

ÖVNING

ÖVNING


Rekommendationer

• Se till att alla som har ansvar inom området har upparbetat god kompe-tens och att de genom kompetensutveckling behåller denna kompe-tensnivå inom sina respektive ämnesområden.

• Planera och genomför olika typer av övningar inom området it-relaterade incidenter inom industriella informations- och styrsystem. Som ett in-ledande steg kan övningar användas som ett lärande moment inom inci-denthantering där it har ett centralt inslag. När rutiner, process-steg och kunnande finns på plats kan övningarna istället ha som mål att behålla kompetens men även utvärdera och finjustera rutiner, metoder, verktyg och arbetsformer.

• Ha en dokumenterad strategi för övnings- och utbildningsverksamhet som regelbundet stäms av med ledningen. Det bör finnas en roll med ansvar för att uppdatera övnings- och utbildningsstrategin.

Exempel på risker och problemNär en viktig server i ett vattenkraftverk var tvungen att startas om laddades inte alla drivrutiner in som de skulle. Det fick följdverkningar ner i process nätet och en styrdator som reglerade spänningen till en transformator slutade att fungera. Ingen som jobbade den dagen var förberedd på att något sådant kunde hända och hade aldrig reflekterat över vilka effekterna skulle bli eller vilka åtgärder som skulle vidtas i en sådan situation. En lång stund gick åt till att leta bland dokumentation och ringa runt till anställda som inte jobbade den dagen för att få tips. Eftersom ingen var mentalt förberedd på en sådan situation uppstod en panikstämning som försvårade arbetet ytterligare.


Det finns ett utbildningspaket som alla måste genomgå innan de ges tillträde till de industriella informations- och styrsystemen.

Alla anställda i roller som berör säkerheten i de industriella informations- och styrsystemen deltar minst vartannat år i en seminarie- eller simuleringsövning.

Samtliga medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för de vanligaste angreppstyperna som en illasinnad kan använda.

Det finns en roll inom verksamheten som ansvarar för personalens kompetensutveckling inom informationssäkerhet i de industriella informations- och styrsystemen.

Ledningen godkänner varje år kompetensutvecklings- och övningsplanen.


Följ upp incidenter i industriella informations- och styrsystem och bevaka säkerhetsproblem i omvärlden.

NERC CIP (008-4, 009-4)

NIST 800-82 (kap. 6.2.3)

CPNI (GPG 3)


OLF (No. 16)

27002 (kap. 13)

IEC 62443-2-1 (kap. 4.3.4.5)

En viktig förutsättning i allt förbättringsarbete är att organisationen rapporterar, dokumenterar och drar lärdom av inträffade incidenter och säkerhetserfaren-heter – både sådana som inträffar i den egna organisationen och i omvärlden. Erfarenhets- och incidentrapporteringen bör ligga till grund för att uppdatera riskbedömningar (riskanalyser). Den bör även kunna leda till åtgärder och till att fördelningen av resurser omprioriteras.

För att upptäcka incidenter krävs en kontinuerlig uppföljning och övervakning av verksamhetens säkerhetsrutiner och dess tillstånd. Genom att övervaka och följa upp dessa kan verksamheten bättre hantera hot och upptäcka nya säkerhets-brister – såväl från den egna som från andra organisationer. Även incidenter och händelser i omvärlden som kan påverka verksamheten bör uppmärksammas. Fysiska incidenter kan vara relaterade till it-incidenter. Exempelvis kan ett inbrott som har resulterat i en stulen laptop vara en del i den informationsinsamling som föregår ett logiskt angrepp.

Genom att hålla verksamheten uppdaterad kring vilka incidenter och säkerhets-problem som människor upptäcker i omvärlden är det enklare att ständigt upprätthålla en god beredskap mot nya hot och sårbarheter i industriella informa tions- och styrsystem.

Ett kunskaps- och analysmässigt problem är att det förekommer en ytterst begränsad mängd öppen information om inträffade störningar i industriella informations- och styrsystem. I dagsläget finns det få forum och kommunika-tionskanaler där information är lättillgänglig för system- och anläggningsägare.

16LIVE


Rekommendationer

• Sätt ihop en grupp som regelbundet samlas för att diskutera incidenter och riskproblem, och analysera hur dessa kan påverka säkerheten i orga-nisationens informations- och styrsystem.

• Gruppen bör bestå av representanter från ledningen samt från både process kontroll- och it-sidan. Det är viktigt att skapa en kultur där medarbetare vågar berätta om incidenter och säkerhetsbrister utan att hängas ut som ”syndabockar”.

• Bevaka även säkerhetsproblem i vanliga it-säkerhetskomponenter då dessa ofta är grunden eller delkomponenter i de it-lösningar som styr de industriella informations- och styrsystemen. En bugg i Cisco-utrustning eller i en Windows-dator kan vara lika allvarlig som en säkerhetsbugg i programvaran som styr de industriella informations- och styrsystemen.

Exempel på risker och problemI en verksamhet hade det skapats en kultur där man tystade ner de säkerhets-problem och brister som upptäcktes. Därmed var det svårt att upptäcka brister i befintliga säkerhetsrutiner, exempelvis felaktigt konfigurerade brandväggar och felaktig konfiguration i system. Dessutom skapades aldrig ett säkerhets-medvetande eftersom incidenter aldrig synliggjordes.

Ett flertal mindre incidenter som inte uppmärksammades ledde så småningom till kritiska driftstörningar i verksamheten.


Det finns en grupp som samlas vid regelbundna intervall för att kartlägga nya hotbilder med avseende på händelser i omvärlden.

Det finns en grupp som samlas vid regelbundna intervall för att analysera incidenter i den egna verksamheten.

Medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för det senaste halvårets incidenter i den egna verksamheten.

Medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för de informations-säkerhetsincidenter i omvärlden under det senaste halvåret som är relevanta för verksamheten.

Analyser av incidenter återrapporteras alltid till berörda medarbetare.


Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem.

27002 (kap. 6.1.2)

27010

För närvarande pågår många internationella initiativ för att ta fram standarder och rekommendationer för att skapa säkerhet i industriella informations- och styrsystem. Många statliga aktörer i Europa, Nordamerika och Asien prioriterar området högt. Genom att delta aktivt i detta säkerhetsarbete kan användare och leverantörer av industriella informations- och styrsystem vara med och påverka vilka säkerhetskrav som kommer att ställas på de här systemen i framtiden.

Genom att som användare av industriella informations- och styrsystem verka genom olika nationella och internationella organisationer och intressegrupper går det att ställa högre, tydligare och mer samlade säkerhetskrav på leverantörer, systemintegratörer och applikationsutvecklare.

Genom att som leverantör av industriella informations- och styrsystem, applika-tioner eller annan utrustning delta i säkerhetsarbetet går det att skapa en kon-kurrensfördel. Redan i dag finns dock etablerade säkerhetskrav i vissa branscher, exempelvis förväntas elbolag i USA följa standarden NERC-CIP. På sikt är det med största sannolikhet en förutsättning både för att få leverera maskinvara och för att få leverera programvara.

Att samverka genom användarföreningar, standardiseringsorgan och andra nätverk är ett ekonomiskt realistiskt alternativ för många små och medelstora användare och leverantörer. I Sverige finns exempelvis Elbranschens informations- och it-säkerhetsforum (EBITS), som är ett nätverk för Svensk Energis, Svensk Fjärr-värmes, Svenskt Vattens och Svenska Kraftnäts samordning av frågor knutna till informations- och it-säkerhet.

17

1000111100

1000111100

0110011

111010

10010110

1

111101

11101

00101

111010

100101

011

10

00101011

10

1001

1001

1001

1001

111010

10111

1000

10001

011

10

100 1

000

0011

10001

1 10

101

001000 1

1

00

00

00

00

1

1

1010

0101

0101

0101

1011

1001100

1001100

1001100

1000111100

1000111100

1000111100

0110011

111010

10010110

1

1

11101

11101

00101

111010

100101

011

10

00101011

100101

100101

011

111010

10111

1000

1000

1

011

10

100 1

000

0011

10001

1 10

101

001000

100

1

00

1 01 10

1

1010

0101

0101

1011

1001100

1001100

1000111100

1000111100

0110011

111010

10010110

1

1

11101

11101

00101

111010

100101

011

10

00101011

100101

100101

011

111010

10111

1000

1000

1

011

10

100 1

000

0011

10001

1 10

101

001000

101

001000

100

1

00

1 01 10

1

1010

0101

0101

1011

1001100

1001100


Rekommendationer

• Samverka i användarföreningar, sociala nätverk och organisationer som kompetensutvecklar och stödjer medlemmarna i deras dagliga säkerhetsarbete.

• Se till att representationen dokumenteras och att aktiviteter som genom förs i respektive nätverk kontinuerligt avrapporteras till berörda medarbetare.

• Stäm av representationen med ledningen och motivera på vilket sätt deltagande i nätverken stärker säkerheten i verksamheten.

Exempel på risker och problemGenom ett svagt deltagande i standardiserings- och säkerhetsarbetet från antingen leverantörer eller användare utvecklas obalanserade säkerhetskrav eller krav som baseras på en felaktig förståelse av de tekniska systemen.


Verksamheten finns representerad i minst ett aktivt nationellt nätverk med fokus på informationssäkerhet i industriella informations- och styrsystem.

Det finns en tydlig dokumentation över vilka personer som deltar i vilka nätverk.

Medarbetare som deltar i något nätverk återrapporterar kontinuerligt till övriga medarbetare och till ledningen.

Samtliga berörda medarbetare känner till vilka nätverk verksamheten deltar i.

Omfattning av deltagande i nätverk och standardiseringsorgan stäms årligen av med ledningen.


Del C

Del C – Referenslista med kommentarer 67

Del C – Referenslista med kommentarer

I den här delen återfinns några väl etablerade internationella vägledningar, standarder och checklistor som kan vara bra att känna till i säkerhetsarbetet. Några av referenserna är specifika för vissa branscher, men innehållet är oftast tillräckligt generiskt för att fungera i de flesta verksamheter. Webbadresserna som anges går bara till huvudsidan för respektive utgivare. Därifrån är det oftast lätt att söka sig fram till de specifika dokumenten.


NERC CIP-002-4 till 009-4

Typ av dokument: Standard

Utgivare: North American Electric Reliability Council (NERC), USA

Version: Version 4, utgiven 2011-01-24

Omfattning: 43 sidor (totalt)

URl: www.nerc.com

Standarderna i NERC CIP (CIP 002-2 till 009-2) är allmänt formulerade och går att använda inom andra verksamhetsområden än elkraftsområdet.

NERC CIP 002-4 kräver att den ansvariga organisationen identifierar de kritiska tillgångarna. I tidigare versioner av standarden har organisationer använt egna riskanalyser för att fastslå vad som är kritiskt. I den senaste versionen ska organisationen istället använda ett antal fastslagna kriterier. Baserat på denna analys identifierar organisationen sedan de kritiska datorbaserade tillgångarna (critical cyber assets).

NERC CIP 003-4 kräver att den ansvariga organisationen etablerar någon form av administrativt säkerhetsprogram (minimum security management controls) för att skydda kritiska datorbaserade tillgångar.

NERC CIP 004-4 kräver att den ansvariga organisationen ser till att personal (inklusive extern personal av olika slag) som ges logisk åtkomst eller obe-vakat fysiskt tillträde till kritiska datorbaserade tillgångar har nödvändig träning och ett säkerhetsmedvetande.

NERC CIP 005-4 kräver att den ansvariga organisationen identifierar och skyddar så kallade elektroniska säkerhetsperimetrar inom vilka de kritiska dator baserade tillgångarna finns, samt identifierar och skyddar alla access-punkter i dessa perimetrar.

NERC CIP 006-4 kräver att den ansvariga organisationen implementerar ett program för att fysiskt skydda kritiska datorbaserade tillgångar.

NERC CIP 007-4 kräver att den ansvariga organisationen definierar me-toder, processer och procedurer för att säkra de system den har fastställt vara kritiska datorbaserade tillgångar. Detta gäller även de icke-kritiska, datorbaserade tillgångar som befinner sig innanför någon av de så kallade elektroniska säkerhets perimetrarna.

NERC CIP 008-4 kräver att den ansvariga organisationen identifierar, klass-sificerar, besvarar samt rapporterar säkerhetsincidenter relaterade till kritiska dator baserade tillgångar.

NERC CIP 009-4 kräver att den ansvariga organisationen etablerar åter-hämtningsplaner (Recovery plans) för kritiska datorbaserade tillgångar och att dessa planer följer etablerade praxis och teknik för beredskaps- och kontinuitetsplanering.


NIST SP 800-82 — Guide to Industrial Control Systems (ICS) Security

Typ av dokument: Rekommendation

Utgivare: National Institute for Standards and Technology (NIST), USA

Version: Revision 1 – maj 2013

Omfattning: 170 sidor inklusive bilagor

URl: www.nist.gov

NIST SP 800-82 är allmänt formulerad och går att tillämpa inom alla områden där industriella informations- och styrsystem används. Dokumentet består av sex huvudsakliga avsnitt:

Sektion 1: Avsnittet redogör för rekommendationens syfte, omfattning och målgrupp.

Sektion 2: Avsnittet ger en generell beskrivning av industriella informa-tions- och styrsystem och förklarar betydelsen av dessa system.

Sektion 3: Avsnittet innehåller en diskussion kring skillnaderna mellan industriella informations- och styrsystem och traditionella it-system, samt ger en beskrivning av hot, sårbarheter och inträffade incidenter.

Sektion 4: Avsnittet ger en översiktsbeskrivning av säkerhetsprogram för att minska riskerna med de sårbarheter som har identifierats i sektion 3.

Sektion 5: Avsnittet ger rekommendationer för hur säkerhet kan integreras i traditionella nätverksarkitekturer hos industriella informations- och styrsys-tem. Det betonar speciellt praxis för segmentering av nätverk.

Sektion 6: Avsnittet ger rekommendationer kring hur de olika formerna av kontroll (lednings-, operationell och teknisk kontroll) som har identifie-rats i NIST SP 800-53 (Recommended security controls for federal informa-tion systems) kan tillämpas för industriella informations- och styrsystem.

Dokumentet innehåller även sex appendix (A till F) som ger referenser, listar för-kortningar, tillhandahåller en ordlista, beskriver olika amerikanska aktiviteter som syftar till att öka säkerheten i industriella informations- och styrsystem, och så vidare.



CPNI Good Practice Guide Process Control and SCADA Security

Typ av dokument: Rekommendationer

Utgivare: Centre for the Protection of National Infrastructure (CPNI), Storbritannien

Version: Utgivet 2008

Omfattning: 18–67 sidor beroende på dokument

URl: www.cpni.gov.uk

”Good Practice Guide” från CPNI består av sju dokument (och ett översikts-dokument) som behandlar olika aspekter av säkerhet i industriella informations- och styrsystem. Dokumenten är allmänt formulerade och går att använda inom alla områden där industriella informations- och styrsystem används.

Good Practice Guide — Process Control and SCADA Security. Dokumentet ger en introduktion till området och beskriver kortfattat vad de övriga dokumenten handlar om.

Guide 1 — Understand the business risk. Dokumentet beskriver hur verksamhetsrisker kan kopplas till hot och risker i de industriella informations- och styrsystemen med syftet att alla informationstillgångar ska ha rätt säkerhetsnivå

Guide 2 — Implement secure architecture. Dokumentet beskriver hur man, utifrån identifierade risker, bör gå till väga för att välja en passande säkerhets arkitektur.

Guide 3 — Establish response capabilities. Dokumentet beskriver hur en organisation bör förbereda sig för en it-relaterad attack.

Guide 4 — Improve awareness and skills. Dokumentet diskuterar hur man höjer säkerhetsmedvetandet och förmågan att hantera it-relaterade incidenter i en organisation.

Guide 5 — Manage third party risks. Dokumentet beskriver hur en organisation kan hantera riskerna det innebär att arbeta med externa leverantörer.

Guide 6 — Engage projects. Dokumentet diskuterar vikten av att tänka på säkerhetsaspekter tidigt i alla införandeprojekt.

Guide 7 — Establish ongoing governance. Dokumentet diskuterar hur en organisation bör gå till väga för att ha kontinuerlig styrning över säkerhetsarbetet.

Firewall deployment for SCADA and process control networks (2005). En guide för hur brandväggar bör användas för att skydda industriella informations- och styrsystem.


21 Steps to Improve Cyber Security of SCADA Networks


Utgivare: Department of Energy (DOE), USA

Version: September 2002

Omfattning: 10 sidor

URl: www.energy.gov

Det här dokumentet är från 2002 men de rekommendationer som diskuteras är fortfarande högst relevanta. De 21 rekommendationerna i dokumentet har följande rubriker:

1. Identify all connections to SCADA networks.

2. Disconnect unnecessary connections to the SCADA network.

3. Evaluate and strengthen the security of any remaining connec-tions to the SCADA network.

4. Harden SCADA networks by removing or disabling unneces-sary services.

5. Do not rely on proprietary protocols to protect your system.

6. Implement the security features provided by device and system vendors.

7. Establish strong controls over any medium that is used as a backdoor into the SCADA network.

8. Implement internal and external intrusion detection systems and establish 24-hour-a-day incident monitoring.

9. Perform technical audits of SCADA devices and networks, and any other connected networks, to identify security concerns.

10. Conduct physical security surveys and assess all remote sites connected to the SCADA network to evaluate their security.

11. Establish SCADA “Red Teams” to identify and evaluate possible attack scenarios.

12. Clearly define cyber security roles, responsibilities, and autho-rities for managers, system administrators, and users.

13. Document network architecture and identify systems that serve critical functions or contain sensitive information that require additional levels of protection.

14. Establish a rigorous, ongoing risk management process.

15. Establish a network protection strategy based on the principle of defense-in-depth.


16. Clearly identify cyber security requirements.

17. Establish effective configuration management processes.

18. Conduct routine self-assessments.

19. Establish system backups and disaster recovery plans.

20. Senior organizational leadership should establish expectations for cyber security performance and hold individuals account-able for their performance.

21. Establish policies and conduct training to minimize the likeli-hood that organizational personnel will inadvertently disclose sensitive information regarding SCADA system design, opera-tions, or security controls.


Information security baseline requirements for process control, safety and support ICT systems


Utgivare: Oljeindustrins Landsförening (OLF)

Version: Revision 05, utgiven 2009-01-15


URl: www.norskoljeoggass.no

Dokumentet bygger på 16 grundläggande rekommendationer som summeras nedan. Till det här dokumentet finns också ett självmätningsverktyg kopplat, som kan användas av en organisation för att grovt kartlägga säkerhetsläget i sin egen verksamhet. Rekommendationerna är skrivna för oljeindustrin, men är relativt generella och tillämpbara inom flera sektorer.

1. An Information Security Policy for process control, safety, and support ICT systems environments shall be documented.

2. Risk assessments shall be performed for process control, safety, and support ICT systems and networks.

3. Process control, safety, and support ICT systems shall have designated system and data owners.

4. The infrastructure shall be able to provide segregated networks, and all communication paths shall be controlled.

5. Users of process control, safety, and support ICT systems shall be edu-cated in the information security requirements and acceptable use of the ICT systems.

6. Process control, safety, and support ICT systems shall be used for designated purposes only.

7. Disaster recovery plans shall be documented and tested for critical process control, safety, and support ICT systems.

8. Information security requirements for ICT components shall be inte-grated in the engineering, procurement, and commissioning processes.

9. Critical process control, safety, and support ICT systems shall have defined and documented service and support levels.

10. Change management and work permit procedures shall be followed for all connections to and changes in the process control, safety, and support ICT systems and networks.


11. An updated network topology diagram including all system compo-nents and interfaces to other systems shall be available.

12. ICT systems shall be kept updated when connected to process control, safety, and support networks.

13. Process control, safety, and support ICT systems shall have adequate, updated, and active protection against malicious software.

14. All access requests shall be denied unless explicitly granted.

15. Required operational and maintenance procedures shall be documented and kept current.

16. Procedures for reporting of security events and incidents shall be docu-mented and implemented in the organisation.


Cyber Security Procurement Language for Control Systems


Utgivare: Idaho National Laboratory och Department of homeland Security (USA)

Publicerad: September 2009


URl: www.us-cert.gov/control_systems

Det här dokumentet är tänkt att användas för att ställa säkerhetskrav i upp-handlingen av industriella informations- och styrsystem. För varje huvudområde ges exempel på kravspecifikationer inklusive teståtgärder. Dokumentet utvidgas kontinuerligt och för närvarande ingår följande avsnitt:

Härdning av system: Avsnittet behandlar exempelvis krav på borttagande av onödiga program, konfigurering av maskinvara samt uppdatering av operativsystem.

Perimeterskydd: Avsnittet behandlar exempelvis krav på brandväggar och nätverks-IDS:er.

Konton och lösenord: Avsnittet behandlar exempelvis krav på gästkonton, lösenord och autentisering, loggning samt rollbaserad accesskontroll.

Programmeringspraxis: Avsnittet behandlar krav på dokumentering av leverantörs utvecklad kod.

Felhantering: Avsnittet behandlar exempelvis krav på meddelanden och dokumentation från leverantören samt problemrapportering.

Skadlig kod: Avsnittet behandlar exempelvis krav på detektering av och skydd mot skadlig kod.

Nätverksadressering: Avsnittet behandlar krav på adresseringen i nät-verk och konfigurering av DNS-servrar.

Lokala enheter: Avsnittet behandlar krav på säkerhet i IED, PLC, RTU och så vidare.

Fjärråtkomst: Avsnittet behandlar krav på olika anslutningar till informa-tions- och styrsystem.

Fysisk säkerhet: Avsnittet behandlar fysiska säkerhetskrav, exempelvis då det gäller tillgänglighet till industriella komponenter.

Nätverkspartitionering: Avsnittet behandlar krav på nätverksenheter och arkitektur.


IAEA Nuclear security series #17 (Computer Security at Nuclear Facilities)

Typ av dokument: Teknisk vägledning

Utgivare: International Atomic Energy Agency (IAEA)

Publicerad: December 2011


URl: www.iaea.org

Dokumentet är en teknisk vägledning för hur man kan uppnå bra säkerhet i kärnanläggningar. Med undantag för kapitel sju är dock innehållet tillämpbart inom flera branscher. Dokumentet betonar vikten av ledningssystem, ledningens ansvar och verksamhetens organisation. Dokumentet är uppdelat i sju kapitel:

1. Introduktion.

2. Regelverk och ledningens ansvar: Avsnittet diskuterar hur olika juridiska regelverk bör beaktas av en företagsledning och ligga till grund för en säkerhetspolicy.

3. Ledningssystem: Avsnittet beskriver kortfattat hur säkerhets-frågor bör ingå i ett ledningssystem. Även om begreppet LIS (Ledningssystem för informationssäkerhet) inte tas upp är principerna väldigt lika dem som genomsyrar 27000-serien.

4. Organisatoriska frågor: Avsnittet ger rekommendationer kring hur en verksamhet bör vara organiserad för att säkerställa en god säkerhetskultur.

5. Implementation av datasäkerhet: Avsnittet ger ett antal råd om hur man inför informationssäkerhet i verksamheten. Specifikt diskuteras hur ett zonförsvar kan byggas upp.

6. Hot, sårbarheter och riskhantering: Avsnittet beskriver hur en verksamhet systematiskt kan arbeta med att ständigt ompröva risker och identifiera sårbarheter.

7. Säkerhetsaspekter för kärnkraftsanläggningar.



SS-ISO/IEC 27000-serien


Utgivare: (SS-)ISO/IEC

Publicerad: 2006 och framåt

Omfattning: Under utveckling. Idag är 18 standarder fastställda.

URl: www.sis.se

ISO 27000-serien ger ett strukturerat och effektivt arbetssätt för verksamheter som strävar efter förbättrad intern kontroll över informationssäkerheten. SS-ISO/IEC 27000 ger en överblick över tillhörande standarder, definierar relevanta termer samt in-troducerar PDCA (Plan-Do-Check-Act)-cykeln. Standardserien är omfattande och många nya dokument håller på att tas fram. Även om många av standarderna är användbara för att höja säkerheten i industriella informations- och styrsystem är följande dokument mest relevanta för den här vägledningen.

SS-ISO/IEC 27000: Ledningssystem för informationssäkerhet – Översikt och terminologi

SS-ISO/IEC 27001: Ledningssystem för informationssäkerhet – Krav

SS-ISO/IEC 27002: Riktlinjer för styrning av informationssäkerhet

SS-ISO/IEC 27005: Riskhantering för informationssäkerhet

ISO/IEC 27010: Information security management for intersector and inter-organizational communications

ISO/IEC 27033: Information technology — Security techniques — Network security (standarden består av sex delar)

SS-ISO/IEC 27035: Styrning och hantering av informationssäkerhets-incidenter


IEC 62264 (ANSI/ISA-95) — Manufacturing Enterprise Systems Standards and User Resources


Utgivare: International Electrotechnical Commission (IEC)

Publicerad: 2005–2012 beroende på dokument


URl: webstore.iec.ch

IEC 62264 är en standard som beskriver hur information bör utväxlas mellan system som befinner sig på olika logiska avstånd från den industriella processen. Systemen delas in i fyra nivåer med rena affärssystem i toppen och styrsystem längst ner. De fem delarna i standarden är:

IEC 62264-1: Enterprise-control system integration – Part 1: Models and terminology

IEC 62264-2: Enterprise-control system integration — Part 2: Objects and attributes for enterprise-control system integration

IEC 62264-3: Enterprise-control system integration — Part 3: Activity models of manufacturing operations management

EC 62264-5: Enterprise-control system integration — Part 5: Business to manufacturing transactions


ISO/IEC 62443 (ISA-99) — Industrial Communication Networks — Network and system security


Utgivare: International Electrotechnical Commission (IEC)

Publicerad: 2008 och framåt

Omfattning: Totalt 395 sidor (fler dokument på väg)

URl: webstore.iec.ch (www.sis.se)

Standarden hanterar informationssäkerhet generellt i industriella informations- och styrsystem och är fortfarande under utveckling. Den bygger till stora delar på ISA99, och de delar som idag är färdiga beskriver främst de olika kompo-nenterna i ett ledningssystem för säkerhet i industriella informations- och styr-system samt olika säkerhetsåtgärder som är lämpliga att implementera. Idag är följande fyra delar publicerade:

IEC/TS 62443-1-1: Industrial communication networks — Network and system security — Part 1-1: Terminology, concepts and models

IEC 62443-2-1: Industrial communication networks — Network and system security — Part 2-1: Establishing an industrial automation and control system security program

IEC/TR 62443-3-1: Industrial communciation network — Network and system security — Part 3-1: Security technologies for industrial automation and control systems

IEC 62443-3-3: Industrial communication networks — Network and system security — Part 3-3: System security requi-rements and security levels

IEC/PAS 62443-3: Security for industrial process measurement and control — Network and system


Ordlista

Administrativa system It-system som används för administrativ databehandling, kontorsautomation eller affärssystem.

Centralt system System som gör det möjligt att logga, bevaka och styra olika lokala processer.

COTS (Eng. Commercial off-the-shelf.) Färdiga standardkomponenter till skillnad mot skräddarsydda produkter eller leverantörsunika lösningar.

DmZ (Eng. DeMilitarized Zone.) Ett isolerat subnät som placeras utanför det administrativa nätet och endast innehåller system som behöver exponeras mot omvärlden.

FIDI-SC FIDI SCADA, Informationsdelningsforum för SCADA. Nätverk drivet av MSB för informationsdelning rörande säkerhet i industriella informations- och styrsystem.

Fysiskt skydd Skydd som bland annat stoppar angripare från att fysiskt komma åt information eller informationstillgångar. Fysiskt skydd kan också skydda informationstillgångar från brand, översvämningar, jordbävningar, et cetera.

HmI (Eng. human Machine Interface.) Människa-maskingränssnitt, se Operatörsstation.

Härdning (Inom it) Processer och rutiner som syftar till att minska systemets attackyta och därmed bättre motstå angrepp och angreppsförsök.

ICS (Eng. Industrial Control Systems.) En vanligt förekommande förkortning som ibland används synonymt med industriella informations- och styrsystem.

IED (Eng. Intelligent Electronic Device.) Term som förekommer inom elbranschen för att beskriva mikroprocessorbaserade system för styrning av kraftsystemets olika delar, exempelvis frånskiljare.

Inbyggda system Datorer eller datorliknande system som ingår i enheter som har en eller ett fåtal speciella funktioner, ofta med någon form av realtidskrav. Mjukvaran i ett inbyggt system ligger oftast lagrat i ROM-minne eller flashminne. Inbyggda system är ofta en del av en apparat eller maskin inklusive hårdvara och mekaniska delar. Inbyggda system förekommer ofta i industriella informations- och styrsystem. kallas även inbäddade system.

Industriella informations- och styrsystem

Industriella informations- och styrsystem styr, kontrollerar och övervakar en fysisk process. Systemen har även ytterst till uppgift att skydda den fysiska utrustningen i processen, driftpersonal, miljön och tredje man vid avvikelser från den normala driften. Informationssystemsdelen är it-system inom automations-it som inte är direkt involverade i styrningen av de industriella processerna, men som är viktiga stödsystem med knytning till automationsdelen.

Ordlista 83

lokalt system System som styr en fysisk process, till exempel en dammlucka, järnvägsbom eller vattenpump.

logiskt skydd Skydd av logisk infrastruktur, till exempel systemfunktioner eller nätverks-funktionalitet. Logiskt skydd existerar parallellt med fysiska skydd.

mask Skadlig kod som sprider sig själv via till exempel nätverk eller portabla enheter.

Operatörsstation Dator som används av driftoperatörer i driftcentraler eller i kontrollrum för att styra och övervaka den fysiska processen.

PlC (Eng. Programmable Logic Controller.) Dedikerad digital dator som används för automation. Ofta avancerad enhet som kan utökas eller programmeras att utföra nya uppgifter.

Processautomation Automatiska system som styr och övervakar industriella processer.

RTE (Eng. Real Time and Embedded.) Inbyggda system med stort fokus på realtidsapplikationer (jämför inbyggda system).

RTU (Eng. Remote Terminal Unit.) Digital styrsystemskomponent som interagerar med den fysiska processen genom att avläsa eller styra denna. Den utväxlar telemeletriuppgifter med överliggande kontroll-system, ofta ett SCADA-system.

SCADA (Eng. Supervisory, Control and Data Acquisition.) Ett övergripande, ofta geografiskt distribuerat, industriellt styrsystem för övervakning och styrning av processer för industriellt bruk.

Sårbarhet kritiskt beroende av en informationstillgång, latent brist i informa-tionstillgång. Sårbarheten öppnar upp för olika typer av missbruk av informationstillgången såsom dataintrång eller otillåten behörighetseskalering.

TCP/IP (Eng. Transmission Control Protocol/Internet Protocol.) Standardiserat datakommunikationsprotokoll som används som bärartjänster såväl på internet som inom industriella lösningar.

VPN (Eng. Virtual Private Network.) Teknik som används för att skapa överlagrade förbindelser, så kallade tunnlar, mellan två punkter i ett datanätverk. Ofta innefattar tunneln skydd och säkerhetsmekanismer då den sätts upp över ett osäkert bärarnätverk.


Checklistor

Det finns idag ett växande antal checklistor som kan användas för att mer eller mindre summariskt mäta säkerheten i den egna organisationen. Listan nedan ska betraktas som exempel och gör inte anspråk på att vara komplett. Många organisationer tar också fram egna checklistor.

”Blåa listan” – Svenskt Vattens checklista för SCADA-säkerhet

Utgivare: Svenskt Vatten

Publicerad: 2012

Omfattning: 2 sidor (64 frågor)

URl: www.svensktvatten.se

”Blåa listan” är framtagen av Svenskt Vatten och bygger på en kartläggning av säkerheten i svensk dricksvattenproduktion och som presenterades 2010. Checklistan består av 64 frågor där användaren tar ställning till om en säkerhets-åtgärd är införd, införd till viss del, eller inte införd alls. På slutet får använ-daren ett sammanvägt resultat och en indikation på om säkerhetsarbetet är tillfredsställande.

Checklist security of ICS/SCADA systems

Utgivare: National Cyber Security Centre, Nederländerna

Publicerad: Februari 2012

Omfattning: 15 frågor

URl: www.ncsl.nl

En checklista som består av femton kontroller som fokuserar på hur de vanligaste sårbarheterna mot industriella informations- och styrsystem kan hanteras. Fem kontroller handlar om organisation och tio är av teknisk natur.

Checklistor 85

Information Security Baseline Requirements for Process Control, Safety, and Support ICT Systems

Utgivare: Oljeindustrins Landsförening (OLF)

Version: Version 1.2 – 2007

Omfattning: 117 frågor

URl: www.norskoljeoggass.no

Ett självmätningsverktyg som är nära kopplat till rekommendationen med samma namn (se tidigare referens). Användaren bedömer till vilken grad var och en av de 117 säkerhetsåtgärderna är tillgodosedda. Användaren får sedan en utvärdering av den övergripande säkerhetsnivån.


Informationsresurser (urval)

Det pågår ett omfattande internationellt arbete kring säkerhet i industriella informations- och styrsystem. Ett bra sätt att hålla sig uppdaterad är att regel-bundet följa vad som skrivs på några av de etablerade webbplatserna.

Följande sidor är en bra start:

SVENSKA MyNDIGHETER

www.msb.se/scada/ MSB:s sida med SCADA-information

www.cert.se Sveriges nationella CSIRT (Computer Security Incident Response Team)finns vid MSB och har i uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter.

INTERNATIONELLA MyNDIGHETER

www.cpni.gov.uk Centre for the Protection of National Infrastructure, Storbritannien

www.inl.gov Idaho National Laboratory (INL)

www.us-cert.gov/control_systems/ics-cert/ DhS (Department of homeland Security) CERT med fokus på SCADA

www.sandia.gov/scada Sandia National Laboratories

www.enisa.europa.eu European Union Agency for Network and Informations Security

FÖRETAG OCH FRISTåENDE FORSKARE

www.digitalbond.com Amerikanskt företag som bloggar aktivt om SCADA-säkerhet.

www.scadahacker.blogspot.se Aktiv blogg om säkerhet i industriella informations- och styrsystem.

www.shodanhq.com Sökmotor för apparater som är uppkopplade på internet.

www.tofinosecurity.com kanadensiskt företag som publicerar mycket nyheter om SCADA-säkerhet.

Myndigheten för samhällsskydd och beredskap (MSB)651 81 Karlstad Tel 0771-240 240 www.msb.sePubl.nr MSB718 - juli 2014 ISBN 978-91-7383-462-9

Vägledning till ökad säkerhet i industriella informations och styrsystem

Documents