Säkerhet i industriella informations- och styrsystem

Transkript

1 Säkerhet i industriella informations- och styrsystem Martin Eriksson -Myndigheten för samhällsskydd och beredskap Foto: Scanpix

2

3 IT-baserade system som styr samhällsviktig verksamhet Industriella informations-och styrsystem

4 Foto: Jack Versloot

5

6 SCADA SupervisoryControl and Data Aquisition Betyder egentligen övergripande geografiskt distribuerat styr-och kontrollsystem

7 Process som ska regleras

8 Mekanisk pryl som styr den fysiska processen

9 Givare som mäter processens tillstånd

10 Styrdator som skickar signaler till den fysiska prylen

11 Gränssnitt för att styra och övervaka det som händer

12

13

14

15 Project Shine industriella styrsystem i USA var direkt åtkomliga via internet

16 Project Shine

17 Fokus på drift och inte på säkerhet

18 Kulturkrockar

19 Administrativ IT Informationsoch styrsystem Skydd och antivirus Används nästan alltid Svårt att få till Systemens livslängd 3-5 år Upp till 20 år Outsourcing Vanligt Ovanligt Patchhantering Körs regelbundet Genomförs sällan Förändringshantering Körs regelbundet Utmanande beroende på legacy system Realtidskrav Ovanligt Kritiskt Tillgänglighet Säkerhetskultur Fysisk säkerhet Driftavbrott ofta acceptabelt Hög medvetenhet kring säkerhetsfrågor Ofta bra Korta avbrott kan få ödesdigra konsekvenser Ofta låg medvetenhet kring säkerhetsfrågor Mycket bra men ofta är driftplatser obemannade

20 Viktigt för MSB för att: Samhällsviktig verksamhet kräver industriella informations- och styrsystem Samhällsviktig verksamhet drivs ofta av privata aktörer

21 Lösningar

22 Aktiviteter inom MSB Medvetandehöjning Omvärldsbevakning och informatinosdelning Teknisk samverkansplattform Nationell och internationell samverkan Programutveckling

23 Teknisk samverkansplattform

24 Medvetandehöjning

25 Nationell och internationell samverkan

26 Programutveckling

27 Omvärldsbevakning Informationsdelning

28

29 Teknisk samverkansplattform Arrangerar kursen Säkerhet i industriella kontrollsystem fyra gånger per år Varje kurstillfälle anpassas utifrån målgrupp Arrangerar tekniska seminarier mot riktade målgrupper Genomför tekniska studier av hård- och mjukvara Pedagogiska demonstrationer Ger stöd till forskning

30 Medvetandehöjning Deltar vid seminarier och mässor Tagit fram och reviderar SCADA-guiden (3e revisionen på gång) Tar fram ett självmätningsverktyg Tar fram informationsfilmer som riktar sig mot ledningen

31 Nationell och internationell samverkan Driver samverkansforumet FIDI-SC Deltar i ett antal internationella nätverk Internationella samverkansprojekt bland annat med DHS

32 Programutveckling

33 Fokus på drift och inte på säkerhet

34 Organisation Dålig samverkan mellan IT och processidan Stor skillnad mellan säkerhet i process-it och kontors-it Autonoma lokala operatörer Informationssäkerhet berör hela verksamheten och är svår att placera in i organisationen

35 Kravställning Svårt att ställa rätt krav på systemleverantörer och -intergratörer Bristande säkerhetskrav i supportavtal Alltid billigare att göra rätt från början

36 Inbyggda beroenden Kritisk infrastruktur är idag beroende av IT Traditionella samhällsfunktioner kräver IT för att fungera Kunskap pensioneras och systemsamband är så komplexa att manuella alternativ inte fungerar

37 Sårbarheter i industriella informations- och styrsystem

38 Sårbarheter i ICS Var femte sårbarhet var kvar 30 dagar efter offentliggörande 65% av sårbarheterna rankas som alvarliga eller kritiska 40% av system som finns tillgängliga via internet är sårbara

39 Exempel på samhällsviktig verksamhet Processindustri (farliga ämnen) Transport Energiproduktion och -distribution Vatten- och avloppsproduktion Kärnanläggningar Sjukvård

40 Program för säkerhet i industriella informations- och styrsystem Informations- och styrsystem kontrollerar kritisk infrastruktur Staten har ett ansvar Kritisk infrastruktur drivs av privata aktörer Privat-offentlig samverkan Många internationella leverantörer Internationellt samarbete är viktigt

41 Övergripande mål Skapa en ökad nationell förmåga att förebygga och hantera ITrelaterade hot mot industriella informations- och styrsystem Utveckla privat-offentlig samverkan Öka den tekniska kompetensen nationellt Sprida information

42 Övergripande mål Programområden Teknisk samverkansplattform (FOI) Medvetandehöjning Nationell och internationell samverkan Inriktning och programutveckling

43 Samarbete och informationsdelning kräver egen förmåga Framgång Ta in och vidareförmedla information Samla in och analysera information Generera egen kunskap

44 Policy / organisation Organisation Dålig samverkan mellan IT-avdelning och processidan Begränsad förståelse från ledningen om säkerhetsfrågor inom SCADA Autonoma lokala operatörer Styrning Ingen informationssäkerhetspolicy som täcker in de processnära systemen Inga tydliga säkerhetskrav Svårt att mäta och följa upp säkerhet Hårda affärsmässiga krav Svårt att räkna hem säkerhetslösningar Vinstkrav driver fram sammanslagningar och integration av verksamheter

45

46 Vattenkraftverk Tunnelbaneväxel Ställverk Natriumpump i vattenreningsverk Prioritering på funktion inte säkerhet Styrstavar i kärnkraftverk

47 Ofta är systemen geografiskt distribuerade

48 Problemet Säkerheten i industriella informations-och styrsystem ligger ca 10 år efter kontors-it Ofta tillgängliga via internet Allvarliga konsekvenser vid fel eller driftstopp

49 Teknisk samverkansplattform Arrangerar kursen Säkerhet i industriella kontrollsystem fyra gånger per år Varje kurstillfälle anpassas utifrån målgrupp Arrangerar tekniska seminarier mot riktade målgrupper Genomför tekniska studier av hård- och mjukvara Pedagogiska demonstrationer Ger stöd till forskning

50 Medvetandehöjning Deltar vid seminarier och mässor Tagit fram och reviderar SCADA-guiden (3e revisionen på gång) Tar fram ett självmätningsverktyg Tar fram informationsfilmer som riktar sig mot ledningen

51 Nationell och internationell samverkan Driver samverkansforumet FIDI-SC Deltar i ett antal internationella nätverk Internationella samverkansprojekt bland annat med DHS

52 Nationell och internationell samverkan

53

54 Aktiviteter inom MSB