Informations- och cybersäkerhet - Med fokus på processindustrin. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

Transkript

1 Informations- och cybersäkerhet - Med fokus på processindustrin Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

2

3 Hur arbetar MSB inom området information- och cybersäkerhet Policy, strategie och inriktning Strategi, Handlingsplan, Föreskrifter, Analys Stöd till verksamheters m.fl. förebyggande Informationssäkerhetsarbete - Förebyggande informationssäkerhets arbete - Kritisk informationsinfrastruktur SCADA-frågor - Kommunikationssäkerhet - e-utveckling - Vård- och omsorg - Standardisering - Medvetandehöjning - RSA förmågebedömning informationssäkerhet - Utbildning & FoU Kritisk informationsinfrastruktur SCADA frågor Respons och hanterarfrågor - Nationell operativ samverkansfunktion (NOS) - Nationell responsplan - CERT-SE - Övningar

4 Supervisory Control and Data Aquisition (SCADA) Betyder egentligen övergripande geografiskt distribuerat styr- och kontrollsystem

5 Samhällsviktig verksamhet Exempel på Seveso-anläggningar Alla har någon form av SCADA system Louddens oljedepå på Djurgården i Stockholm. Statoil Sverige AB, Preem AB, OK-Q8 AB och AB Djurgårdsberg (bergrumslagring) på depån. Stenungsund industriområde i Stenungsund. Petrokemi. Bland annat Borealis, Akzo Nobel, Ineos, Perstorp Oxo och AGA Gas AB. Perstorp industriområde i Perstorp. Bland annat Perstorp, Flowcrete, Celanese och Chemiplastica. Yara i Köping. Hantering av ammoniak och ammoniumnitrat i stora mängder. Området Björkborn i Karlskoga. Industriområde med Sevesoverksamheter, Cambrex och Eurenco. Explosivämnes och annan kemikalietilverkning. Ön Händelö i Norrköping. Flera sevesoverksamheter av skiftande slag på litet område, även hamnverksamhet. Som exempel kan nämnas Agroetanol, Styron, Preem oljedepå och Svensk Petroleumförvaltning, Kemira i Helsingborg. Tillverkning, lagring och transport av stora mängder svaveldioxid i tätbebyggt område. Rönnskärverken i Skellefteå. Stora mängder svaveldioxid produceras som biprodukt. AGA Gas AB, olika platser i landet. På flera anläggningar står AGA gas som leverantör av gas till kringliggande verksamheter. SSAB i Luleå. Stor industri i tätbebyggt område. Oljeraffinaderier, exempelvis Nynäs AB i Göteborg och Preem Raff i Lysekil.

6 Verksamheten för samhällets informations- och cybersäkerhet Verksamhetschef: Richard Oehme Strategiskt stöd Åke Holmgren Enheten för systematiskt informationssäkerhetsarbete Enhetschef: Fia Ewald Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur Enhetschef: L-G Emanuelson Enheten för operativ cybersäkerhet och itincidenthantering Nationell operativ samverkansfunktion för informations- och cybersäkerhet (NOS) CERT-SE Enhetschef: A-M Alverås-Lovén

7 Hur sårbara är ni? Hot och risker I den digitala världen!

8

9 Vad är ett industriellt informations- och styrsystem?

10 Något som ska regleras

11 Något som kan påverka processen

12 Sensor som kan mäta tillståndet

13 Styrdator som kan skicka elektriska signaler

14 Människa-maskin gränssnitt

15 SCADA-system

16 Administrativa nätet

17 Internet

18 Skilnaden mellan styr-it och kontors-it?

19 Administrativ IT Informationsoch styrsystem Skydd och antivirus Används nästan alltid Svårt att få till Systemens livslängd 3-5 år Upp till 20 år Outsourcing Vanligt Ovanligt Patchhantering Körs regelbundet Genomförs sällan Förändringshantering Körs regelbundet Utmanande beroende på legacy system Realtidskrav Ovanligt Kritiskt Tillgänglighet Säkerhetskultur Fysisk säkerhet Driftavbrott ofta acceptabelt Hög medvetenhet kring säkerhetsfrågor Ofta bra Korta avbrott kan få ödesdigra konsekvenser Ofta låg medvetenhet kring säkerhetsfrågor Mycket bra men ofta är driftplatser obemannade

20 Spionage Exempel på hot Solstormar Mänskliga faktorn Krigshandling Elavbrott Insider Terrorism Industriella informationsoch styrsystem Tekniskt haveri Nyfikenhet Naturkatastrof Sabotage

21 SCADA-specifika sårbarheter

22 Stuxnet (Avsiktligt och mycket avancerat) Riktad attack mot urananrikningsanläggning i Iran. Genom att slumpmässigt ställa om hastigheten på ett antal centrifuger försenade angriparen irans program för anrikning av uran med två år..

23 Misslyckat penetrationstest (Oavsiktligt) Ett konsultföretag skulle genomföra penetrationstester åt en stor gasleverantör. Nättrafiken som uppstod på grund av penetrationstested låste hela SCADAsystemet och gasdistributionen stannade av i fyra timmar.

24 Indirekta hot - rymdväder

25 Avloppsvatten släpptes ut i parker i Australien (Avsiktligt Inte så avancerat) En missnöjd konsult i Australien fick inte jobb på det kommunala vattenbolaget. Mannen hämnades genom att släppa ut flera miljoner liter avloppsvatten i parker och floder.

26 Stöd och hjälp

27 Strategi Handlingsplan 2012 Samhällets informationssäkerhet - Nationell handlingsplan 2012 Strategiska områden Informationssäkerhet i verksamheter Kompetensförsörjning Informationsdelning, samverkan och respons Kommunikationssäkerhet Säkerhet i produkter och system Utveckla ramverk för informationssäkerhet Krav på säkerhetsanalyser när säkerhetsskyddsförordningen tillämpas Utveckla metoder för kontinuitetsplanering Stödja arbetet med säker e-förvaltning och säkra e-tjänster Utveckla stöd till särskilda verksamheter Självmätning av informationssäkerhet Förbättra skyddet av personlig integritet som en del i informationssäkerheten Utreda samhällets utbildnings- och kompetensbehov inom informationssäkerhetsområdet Öka medvetandet om informationssäkerhet i samhället Utlysning av ramforskningsprogram kring informationssäkerhet Informationsinsats om signalskydd Ökad samverkan för att förebygga och hantera allvarliga it-incidenter It-incidentrapportering Tekniska detekteringsoch varningssystem Nationell samverkan kring arbetet med informationssäkerhet i EU Planera, genomföra och utvärdera informationssäkerhetsövningar Förebyggande åtgärder för att öka säkerheten i de elektroniska kommunikationerna Åtgärder för att följa upp säkerheten i sektorn elektronisk kommunikation Särskild satsning på införande av DNSSEC Krypto för skyddsvärda uppgifter Utveckla Swedish Government Secure Intranet (SGSI) Tillgängliga och skyddade kommunikationsinfrastrukturer för offentlig sektor Utveckla ett kryptogranskningsregelverk för kommersiella produkter Ökad användning av CC-evaluerade produkter Nationellt evalueringslaboratorium Ökad säkerhet i industriella informations- och styrsystem (SCADA) Nationell terminologi för informationssäkerhet

28 Program för ökad säkerhet i industriella informations- och styrsystem (SCADA) Medvetandehöjning Omvärldsbevakning och informationsdelning Teknisk samverkansplattform Nationell och internationell samverkan Programutveckling

29 Forum för informationsdelning (FIDI-SCADA) Forumet startade 2005 och syftar till att förbättra de deltagande organisationernas informationssäkerhet avseende industriella informations- och styrsystem (SCADA) samt att på lämpligt sätt förmedla valda delar av informationen eller resultat av gruppens arbete till andra aktörer i samhället. Forumet arbetar enligt Information Exchange modellen och informationsdelningen sker enligt Traffic Light Protocol (Trafikljusmetoden) vars regler syftar till att balansera behovet av sekretess med fördelarna av informationsdelning Deltagare: E.ON AB Fortum AB MSB Norrvatten Preem Petroleum AB, AB Storstockholms lokaltrafik (SL) Stockholm Vatten AB Svenska kraftnät (Svk) Säkerhetspolisen VA Syd AB Vattenfall AB Trafikverket

30 Vägledning till ökad säkerhet i industriella informations- och styrsystem Förändringar i nya utgåvan Nytt namn: - Vägledning till ökad säkerhet i industriella informations- och styrsystem Innehåller Riktlinjer för säkerhetsarbetet Innehåller 17 rekommendationer (tidigare 15) Dubbelt så tjock! Refererar nu även till serien Innehåller en ordlista med definitioner

31 Vägledning till ökad säkerhet i industriella informations- och styrsystem

32 1 Säkra ledningens engagemang och ansvar för de industriella informations- och styrsystemen RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en informationssäkerhetspolicy som inkluderar de industriella informations- och styrsystemen. Ledningen lyfter aktivt fram vikten av att följa informationssäkerhetspolicyn. Ledningen informeras om och godkänner regelbundet uppdaterade riskanalyser och åtgärdsplaner för de industriella informations- och styrsystemen. Samtliga i ledningsgruppen har en grundläggande förståelse för skillnaderna i säkerhets- och funktionskrav mellan de administrativa systemen och de industriella informationsoch styrsystemen. Tillbaka

33 2 Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem. RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en ansvarig för den övergripande säkerheten i de industriella informations- och styrsystemen. För varje verksamhetskritiskt system finns det en person som är utsedd till systemägare. Systemägarnas arbetsuppgifter, ansvar, resurser och mandat är tydligt dokumenterade. Alla systemägare är medvetna om sitt ansvar. Det finns dokumenterade krav som ställs på en systemägare, såsom kompetens, utbildning, säkerhetsklassning, etc. Tillbaka

34 Informationssäkerhet.se

35 DISA MSB:s informationssäkerhetsutbildning för användare på Består av: Film Informationstext Frågebank Intyg DISA: Datorstödd informationssäkerhetsutbildning för användare. Ny version 2, som öppen webbtjänst, sedan september 2011

36 Ett säkrare Internet i Sverige. Nationell CERT Statlig CERT MSB/CERT-SE är en teknisk resurs med spetskompetens inom incidentområdet och är tillgänglig för alla organisationer inom Sverige. Uppgift: Ett huvudansvar för it-incidenthantering inom ramen för MSB breda informationssäkerhetsuppdrag - I detta ingår att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.

37 Vägledningar och annat stöd

38

39 msb.se informationssakerhet.se cert.se krisinformation.se dinsakerhet.se sakerhetspolitik.se