Vägledning till ökad säkerhet i industriella informations- och styrsystem

Transkript

1 Vägledning till ökad säkerhet i industriella informations- och styrsystem

2 Vägledning till ökad säkerhet i industriella informationsoch styrsystem

3 Vägledning till ökad säkerhet i industriella informations- och styrsystem Myndigheten för samhällsskydd och beredskap (MSB) Kontaktperson: Martin Eriksson, martin.eriksson@msb.se Layout: Advant Produktionsbyrå AB Tryckeri: DanagårdLiTHO Publ.nr: MSB78 - juli 24 ISBN:

4 Innehåll Förord... 5 Sammanfattning... 7 Inledning... Vägledning till ökad säkerhet i industriella informations- och styrsystem... Del A En sammanfattande översikt...3 Industriella informations- och styrsystem... 4 Utveckling och trender inom industriella informations- och styrsystem... 9 Säkerhet i industriella informations- och styrsystem är viktigt!...23 God säkerhetskultur en grundförutsättning...27 Del B Rekommendationer och riktmärken Rekommendationer för ökad säkerhet i industriella informations- och styrsystem... 3 Del C Referenslista med kommentarer NERC CIP-2-4 till NIST SP 8-82 Guide to Industrial Control Systems (ICS) Security CPNI Good Practice Guide Process Control and SCADA Security Steps to Improve Cyber Security of SCADA Networks...72 Information security baseline requirements for process control, safety and support ICT systems Cyber Security Procurement Language for Control Systems...76 IAEA Nuclear security series #7 (Computer Security at Nuclear Facilities) SS-ISO/IEC 27-serien...79 IEC (ANSI/ISA-95) Manufacturing Enterprise Systems Standards and User Resources... 8 ISO/IEC (ISA-99) Industrial Communication Networks Network and system security... 8 Ordlista Checklistor Informationsresurser (urval)... 86

5 Förord 5 Förord Elförsörjning, vattenförsörjning och transporter är exempel på samhällsviktiga verksamheter. För att styra och övervaka den infrastruktur och de processer som behövs för att dessa verksamheter ska fungera används industriella informations- och styrsystem. Avbrott i dessa styrsystem kan leda till störningar i samhällsviktiga funktioner, vilket kan leda till allvarliga konsekvenser för samhället. Syftet med denna vägledning är att öka medvetenheten om behovet av en hög säkerhet i industriella informations- och styrsystem. Vägledningen ska också vara ett konkret stöd för de som arbetar inom samhällsviktiga verksamheter. Den första utgåvan av vägledningen kom ut 28 och har fått stor spridning både nationellt och internationellt. Den har också blivit praxis i många sektorer. I och med denna tredje utgåva byter dokumentet namn till Vägledning till ökad säkerhet i industriella informations- och styrsystem. Vi vill genom namnbytet betona det ökande beroendet mellan process- och administrations-it. I och med denna revision har vi också kompletterat rekommendationerna med ett antal fördjupningsfrågor för att göra det lättare för läsaren att koppla rekommen - dationerna till den egna verksamheten. De rekommendationer som ges i vägledningen stöds av medlemmarna i det forum för informationsdelning som finns för industriella informations- och styrsystem och arbetet med dokumentet har underlättats väsentligt av den generösa hjälp vi erhållit från såväl forumets representanter som de myndigheter som varit involverade i arbetet. Stockholm i april 24 Richard Oehme Chef, Verksamheten för samhällets Informations- och cybersäkerhet Myndigheten för samhällsskydd och beredskap. MSB driver sedan 25 forumet FIDI-SC för att öka säkerheten i industriella informations- och styrsystem, där gruppens arbete bygger på en modell för förtroendebaserad informationsdelning som utvecklas i Storbritannien av CPNI (Centre for the Protection of National Infrastructure). Representanter för flera branscher som använder industriella informations- och styrsystem träffas regelbundet för att dela information och utbyta erfarenheter.

6 6 Vägledning till ökad säkerhet i industriella informations- och styrsystem Sammanfattning

7 Sammanfattning 7 Sammanfattning Datoriseringen av de system som förser samhället med bränsle, el, värme, vatten och transporter, sker i snabb takt. Flera moderniseringsprojekt startas upp i syfte att byta ut äldre teknik till nyare IP-baserad teknik och olika it-system integreras så att verksamheter kan göras effektivare. Industriella informations- och styrsystem, även kallade Supervisory, Control, and Data Acquisition (SCADA), har traditionellt sett varit fysiskt isolerade och byggt på specialutvecklad teknik. Gränserna mellan traditionella/administrativa IT-system och industriella informations- och styrsystem håller på att suddas ut i och med en ökad integrering mellan dessa olika system. För att uppnå hög flexibilitet och effektivitet görs industriella informations- och styrsystem även i allt högre grad tillgängliga via Internet och andra publika nätverk. Dagens industriella informations- och styrsystem bygger dessutom allt mer på samma teknik som vanliga IT-system och drabbas därmed av samma säkerhetsproblem. Resultatet av denna utveckling är en ökad attackyta och radikalt förändrad riskbild. Störningar i industriella informations- och styrsystem leder inte enbart till att dyrbar utrustning kan förstöras, utan kan även orsaka avbrott i kritiska verksamheter. Följden kan bli omfattande kostnader och förlorat förtroende för såväl det enskilda företaget som för samhället i stort. Ett första steg i arbetet med att öka säkerheten i industriella informations- och styrsystem är att följa dessa grundläggande rekommendationer: Öka medvetenheten i hela organisationen om behovet av säkerhet i industriella informations- och styrsystem. Detta är en verksamhetskritisk fråga och därför måste ledningens engagemang och ansvar säkras i ett tidigt skede. Detta innefattar även tydliggörandet av roller och ansvar inom organisationen samt att möjliggöra för en god säkerhetskultur. Genomför grundläggande utbildning om säkerhet i industriella kontrollsystem. Operatörer av kontrollsystem behöver öka sin kunskap om traditionell IT-säkerhet. IT-personal behöver mer kunskap om industriella kontrollsystem och den underliggande fysiska processen. Även personer som är inblandade i upphandling och verksamhetsplanering behöver utbildning i dessa frågor. Arbeta aktivt med en säkerhetsarkitektur inom industriella informations- och styrsystem och eventuella anslutna it-system. Kartlägg och identifiera de befintliga industriella informations- och styrsystemen, speciellt viktigt är att identifiera externa anslutningar. Skapa sedan en zonmodell där ett djupledsförsvar är implementerat. En del av djupförsvaret är att i zongränser implementera övervakning och detektering av

8 8 Vägledning till ökad säkerhet i industriella informations- och styrsystem

9 Sammanfattning 9 intrångsförsök. De administrativa it-systemen bör endast i undantagsfall integreras med de industriella informations- och styrsystemen och om detta görs ska dessa placeras i en eller flera egna delar av zonmodellen. Ställ säkerhetskrav i all upphandling av industriella informationsoch styrsystem och i serviceavtal. Det finns stora vinster med att hantera säkerhetsfrågor i förväg. Precis som för traditionella it-system är det mycket dyrare att åtgärda säkerhetsproblem i industriella informations- och styrsystem efter att systemen har levererats. Dokumentet erbjuder vidare en detaljerad vägledning i form av 7 specifika rekommen dationer. Dessa bygger på branscherfarenheter samt praxis och standardiserade arbetssätt. Dokumentet hänvisar även till andra relevanta publikationer inom området.

10 Vägledning till ökad säkerhet i industriella informations- och styrsystem Inledning

11 Inledning Inledning Vägledning till ökad säkerhet i industriella informations- och styrsystem Många samhällsviktiga verksamheter bygger på fungerande informationsflöden. Elförsörjning, vattenförsörjning och transporter är några exempel. För att styra och övervaka den här typen av verksamhet används industriella informations- och styrsystem. Eftersom systemen har direkt påverkan på fysiska processer kan även korta avbrott innebära allvarliga konsekvenser för samhället. Det innebär höga krav på säkerheten i industriella informations- och styrsystem. Huvudansvaret för att skapa en god säkerhet vilar på den aktör som tillhandahåller samhällstjänsten. Eftersom det finns starka beroenden mellan olika samhällsviktiga verksamheter är det viktigt att organisationer samverkar och delar information både inom sin sektor och med andra relevanta sektorer. Att arbeta för ökad säkerhet i industriella informations- och styrsystem är utmanande eftersom den tekniska utvecklingen och förändringar i samhället hela tiden ändrar problembilden. Upplägg Den här vägledningen byter i och med den här upplagan namn till Vägledning till ökad säkerhet i industriella informations- och styrsystem för att spegla utvecklingen inom området. Vägledningen ger 7 grundläggande rekommendationer för att öka säkerheten och har genom sin stora spridning fått ställning som svensk branschpraxis. Syfte Vägledningen ska ge stöd i arbetet med att öka säkerheten i industriella informations- och styrsystem. De rekommendationer som ges bygger på internationellt erkända rekommendationer, praxis och arbetssätt. Det är dock viktigt att komma ihåg att det finns sektorspecifika krav som kräver ytterligare skyddsåtgärder. Omfattning och urval av referenser Utöver en introduktion till ämnesområdet och grundläggande rekommendationer presenteras ett urval av referenser och tips om var det går att hitta mer information. I första hand refererar dokumentet till standarder, riktlinjer och rekommendationer som går att tillämpa generellt för att skapa ökad säkerhet i industriella informations- och styrsystem. Visst företräde har getts till referenser som inte är branschspecifika, som är på svenska eller engelska, och som i möjlig aste mån är fritt tillgängliga.

12 2 Vägledning till ökad säkerhet i industriella informations- och styrsystem Del A

13 Del A En sammanfattande översikt 3 Del A En sammanfattande översikt Det är viktigt att it-system som styr samhällsviktiga verksamheter lever upp till säkerhetskraven. Tyvärr gör de inte alltid det. Faktum är att säkerheten ofta är högre i administrativa it-system än i industriella informations- och styrsystem. I en kontorsmiljö är det närmast en självklarhet att uppdatera operativsystemen flera gånger per år men i ett driftsatt styrsystem kan det vara förenat med livsfara att göra förändringar utan rigorösa konsekvensanalyser. Hur det har kunnat bli så och hur vi kan hantera situationen beskrivs övergripande i det här kapitlet.

14 4 Vägledning till ökad säkerhet i industriella informations- och styrsystem Industriella informations- och styrsystem Historiskt sett kontrollerades fysiska industriprocesser av mekaniska eller elektromekaniska maskiner som styrdes och övervakades av mänskliga operatörer. Idag styrs de flesta viktiga samhällsfunktioner, som till exempel elproduktion, dricksvattenproduktion och transporter, mer eller mindre autonomt med hjälp av så kallade industriella informations- och styrsystem. Alltså system som inte bara lagrar och bearbetar information utan som också styr fysiska förlopp. Systemen kan till exempel slå av och på motorer som öppnar en dammlucka, lägga om växlarna på järnvägsrälsen eller ändra belastningen i en transformatorstation. Det har också blivit vanligt att dessa system kopplas ihop med verksamhetens administrativa system. Eftersom de administrativa systemen ofta har kopplingar mot internet finns det en möjlighet att, via dessa system, komma åt de industriella informations- och styrsystemen. Kanske från andra sidan jorden. Figur visar den principiella uppbyggnaden av ett industriellt informations- och styrsystem.

15 Del A En sammanfattande översikt 5 Industriellt informations- och styrsystem Bilden visar den principiella uppbyggnaden av ett kontrollsystem. Den fysiska processen kan innehålla ett stort antal mätpunkter som kan vara spridda över ett flertal anläggningar över stora geografiska områden. Dammnivå Översvämningsskydd Exempel på processgränssnitt Intagslucka Generator Turbin Utlopp. Lokala obemannade system De lokala systemen samlar in signaler från sensorer och sänder ut styrsignaler till processgränssnitten. 2. Dataöverföring via nätverk Mellan de lokala och centrala systemen skickas information via trådlösa nätverk och olika typer av fasta nät. Trenden går alltmer mot öppna lösningar som internet. Exempel på liknande system Samma uppbyggnad av kontrollsystem förekommer på många håll. Trafiksystem M ä n n i s ka-maskingränssnitt 3. Centrala bemannade system Här övervakas och styrs processerna. Vindkraftverk Grafik: MARTIN EK Figur. Schematisk uppbyggnad av ett industriellt informations- och styrsystem.

16 6 Vägledning till ökad säkerhet i industriella informations- och styrsystem Den bakomliggande fysiska processen kan innehålla ett mycket stort antal mätpunkter som kan vara spridda över stora geografiska områden. Ibland över ett helt land. Processgränssnittet är den punkt där styrsystemet kopplas mot den fysiska processen. Det utgörs huvudsakligen av sensorer för avläsning, samt av manöverdon för styrning. De lokala system som samlar in signaler från givare och sänder ut styrsignaler till den fysiska processen innehåller allt fler funktioner och kan ofta även verka självständigt, vid exempelvis avbrott i kommunikationer med det centrala systemet. De lokala enheterna har ofta både analoga och digitala in- och utgångar och distinktionerna mellan olika typer av enheter exempelvis IED, PLC och RTU blir alltmer otydliga. IED IED CENTRALT SYSTEM RTU RTU PLC PLC Kommunikationsutrustning Lokalt larm Lokal HMI LOKALT SYSTEM Lokal utvecklingsdator Figur 2. De lokala systemen tar emot signaler från sensorer och styr fysiska processer via styrdatorer. PLC Programmable Logic Controller, RTU Remote Terminal Unit, IED Intelligent Electronic Device, HMI Human Machine Interface. Lokala system kommunicerar ofta med ett centralt system. Viktiga funktioner som kräver data från många olika delar av den fysiska processen körs i ett eller flera centrala system. Här kan även data lagras och vid hög belastning kan centrala enheter prioritera vilka systemfunktioner som ska ha företräde.

17 Del A En sammanfattande översikt 7 Lokalt system Lokalt system Lokalt system Telenät Fiber Satellit Radio INTERNET Kommunikationsutrustning Central backend server Central historian Central HMI Central utvecklingsdator CENTRALT SYSTEM Figur 3. De centrala systemen tar emot information från de lokala systemen och presenterar processernas tillstånd i grafiska gränssnitt. Via gränssnitten kan operatörerna ändra parametrar och därmed påverka de lokala systemen. Infrastrukturen mellan olika komponenter i ett industriellt informations- och styrsystem består av elektronisk kommunikation och dataöverföring. Kommunikationen kan ske med en mängd olika kommunikationsprotokoll och över många olika bärartjänster, exempelvis via radioteknik och trådlösa nätverk eller via fiber, kopparkabel och telefonnät. Den långsiktiga trenden har varit att gå ifrån leverantörsspecifika lösningar mot öppna standarder och mot tekniklösningar som används inom vardaglig it-hantering. Därmed har TCP/IP som kommunikationsprotokoll samt pc-plattformar på olika sätt och i varierande omfattning gjort insteg i den industriella automationsvärlden. Inom processautomation förekommer ofta säkerhetsfunktioner som ska kunna fungera som nödstopp eller på annat sätt temporärt och kontrollerat kunna ta över processtyrningen i händelse av allvarliga fel eller katastrofer. Dessa är kritiska komponenter som inte får slås ut eller gå sönder. Även här går utvecklingen från enklare mekaniska komponenter mot lösningar som är helt eller delvis digitala och it-baserade. Förutom strikt styrning och kontroll av den fysiska industriprocessen kommunicerar processnäten ofta med de administrativa systemen för att öka effektiviteten i verksamheten. Dessa system kan exempelvis vara kvalitetssystem, ritningsarkiv, reservdelslager, diagnostik- och statistikfunktioner.

18 8 Vägledning till ökad säkerhet i industriella informations- och styrsystem För att presentera data och interagera med systemet behövs ett människa-maskingränssnitt. Några av de viktigaste användningsområdena för dessa systemdelar är drifttagning av systemet (att definiera processdata och funktioner), drift av processen (att styra och övervaka) samt underhåll av styrsystemet (att förändra och uppdatera systemet). SamlaDE PRINCIPIELLA FUNKTIONERNA HOS INDUSTRIELLA STYRSYSTEM KAN UTTRYCKAS SOM: datainsamling, till exempel datalagring, omvandling och skalning, tidsmärkning, rimlighetsbedömning. övervakning, till exempel statusövervakning, trendövervakning, gränsvärdesövervakning, prestandaövervakning, händelse- och larmhantering. styrning, till exempel direkt styrning, börvärdesstyrning, sekvensstyrning. planering och uppföljning, till exempel icke realtidskritisk funktionalitet, planering, loggning och historik, uppföljning och analys. underhåll och förändring, till exempel i- och urtagning av drift, uppgradering, hantering av utvecklingsmiljöer. Andra namn på industriella informations- och styrsystem Det finns ett antal mer eller mindre överlappande benämningar på industriella informations- och styrsystem. Vanliga benämningar är SCADA-system (Supervisory Control and Data Acquisition), processkontrollsystem, processautomation, process-it, tekniska it-system, anläggnings-it, distribuerade kontrollsystem, inbyggda realtidssystem (RTE) och så vidare. Ibland finns det också branschspecifika lösningar eller benämningar. I vissa avseenden finns tekniska skillnader, men dessa betonar vi inte i denna text, utan vi ser alla dessa varianter utifrån perspektivet automation som kontrolleras eller stöds med hjälp av informationsteknik.

19 Del A En sammanfattande översikt 9 Utveckling och trender inom industriella informations- och styrsystem Förutsättningarna för att arbeta med säkerhet i industriella informations- och styrsystem förändras. Det här avsnittet ger några exempel på utveckling och trender som kan påverka vilka säkerhetsutmaningar en verksamhet kan ställas inför. Eftersom utvecklingen drivs på främst i syfte att höja lönsamheten är det viktigt att hela tiden analysera vilka effekter utvecklingen har på säkerheten. Huvudmannaskap, driftformer och avreglering Tidigare ägde stat och kommuner nästan all samhällsviktig infrastruktur. Så är det inte längre. Idag drivs många verksamheter av privata och ibland multinationella bolag. Även inom verksamheter som fortfarande drivs offentligt, till exempel kollektivtrafik och dricksvattenproduktion, händer det att delar av driften läggs ut på externa aktörer. Den här sortens avregleringar har lett till rationali seringar för att öka vinsten. Rationaliseringarna berör ofta it-systemen och är inte alltid optimala ur säkerhetssynpunkt. I och med att många verksamheter också är multinationella kan det dessutom bli svårare för lokala operatörer att få gehör för nationella krav och standarder. Det kan också innebära att känslig information om och i de industriella processerna lagras i ett annat land. Organisationsstruktur och -kultur Under senare år har process- och verksamhetsområde blivit mer styrande än funktion och geografi när det gäller industriella informations- och styrsystem. En processtyrd verksamhet kan innebära ett minskat incitament för enskilda medarbetare att uppmärksamma säkerhetsproblem. I och med att stora delar ofta läggs ut på entreprenad blir det också svårare att få incidentrapporteringen att fungera. En kulturell aspekt på industriella informations- och styrsystem är att en form av brukskultur lever kvar i vissa verksamheter. I stora produktionsanläggningar har ofta anläggningschefen en framträdande roll och det är svårare för centrala funktioner att ta över uppgifter och ansvar eller påverka interna anläggningsprocesser. För säkerhetsarbetet kan brukskulturen vara både bra och dålig. Den leder till exempel ofta till långa anställningstider och därmed anställda med stor ansvarskänsla och djup kunskap om anläggningen. Men det kan också leda till att man inte betraktar styrsystem som it-system, och därmed bortser från aktuella hot och sårbarheter.

20 2 Vägledning till ökad säkerhet i industriella informations- och styrsystem Leverantörer och upphandling Leverantörerna utvecklar och tillhandahåller det marknaden efterfrågar, vilket ställer höga krav på inköps- och upphandlingsprocesserna. Eftersom industriella informations- och styrsystem ofta är dyra och förknippade med lagliga krav har upphandlingarna blivit mer centraliserade. En centraliserad upphandlingsprocess där säkerhetsfrågor får ta stor plats kan på många sätt leda till både säkrare och mer enhetliga system. En tydlig trend är att leverantörerna representeras av ett flertal specialister. Tidigare kunde en representant beskriva ett helt system. Numera möter verksamheterna alltid flera representanter med olika specialiteter, vilket gör det svårare att förstå helheten i de industriella informations- och styrsystemen. Eftersom moderna informations- och styrsystem ofta består av standardkomponenter samordnas ofta inköpen med inköp av administrativa it-system. Det medför att delar av de industriella informations- och styrsystemen ibland hamnar i de ordinarie it-driftsorganisationerna och därmed riskerar att till exempel uppdateras på samma sätt som de administrativa systemen. Det kan leda till säkerhetsrisker eftersom de industriella informations- och styrsystemen ofta kräver extra försiktighetsåtgärder vid uppdateringar. Teknik och tjänsteutveckling Industriella informations- och styrsystem byggs alltmer upp av standardkomponenter och det blir därför allt vanligare med pc-plattformar och kommunikationslösningar byggda på standardprotokoll (TCP/IP). Följden blir att fler it-komponenter förs in i flera funktioner vilket ökar antalet kommunikationsvägar in till de industriella informations- och styrsystemen. Ett exempel är övervakningsfunktioner som automatiskt kontaktar leverantören för förebyggande underhåll eller i samband med fel i utrustningen. Den här typen av komponenter med elektroniska kommunikationsmöjligheter till annan utrustning kan påverka driften hos de industriella informations- och styrsystemen eller leda till okända ingångar in i infrastrukturen. Virtualisering och molntjänster Orsaken till att virtualisering har blivit populärt är främst att det kan sänka kostnaden och öka tillgängligheten; till exempel genom redundans. Det är också en metod för att göra det möjligt att installera gammal mjukvara på modern hårdvara, vilket är populärt i samband med industriella informations- och styrsystem där mycket hårdvara är gammal. Tyvärr innebär virtualisering bland annat att realtidskontrollen försämras och att systemen inte längre är isolerade på samma sätt som tidigare. Virtualisering innebär också ytterligare ett lager av programvara som måste underhållas och säkras upp. Samtidigt kan virtualisering vara en tillgång för de system som till exempel inte har hårda realtidskrav. Innan en virtualiseringslösning införs måste dock noggranna konsekvensanalyser göras. På liknande sätt har molntjänster blivit populära, vilket kräver både tekniska, säker hetsmässiga, affärsmässiga och juridiska ställningstaganden. I industriella informations- och styrsystem innebär molntjänster en högre grad av sammankopplingar och större exponering av de system som styr de fysiska processerna. Även om molntjänster kan vara lockande rent affärsmässigt krävs det ofta dyra specialanpassningar för att de ska fungera säkert i industriella informationsoch styrsystem.

21 Del A En sammanfattande översikt 2 Sammanfattande egenskaper hos industriella informations- och styrsystem: Investeringar Industriella informations- och styrsystem kräver ofta stora investeringar vilket leder till långa systemlivslängder och avskrivningstider. I och med att verksamheten över tid inför nya arbetsmetoder finns det risk för att den ursprungliga säkerhetsarkitekturen undermineras. Eftersom hot och risker förändras över tid, samtidigt som industriella informations- och styrsystem sällan byts ut, är det viktigt att säkerhetsfrågorna hanteras grundligt i samband med investeringsbeslut, upphandling och införandeprojekt. Skräddarsydda installationer och anpassad hårdvara Industriella informations- och styrsystem anpassas ofta för en specifik industriprocess. Det är därför svårt att uppnå den enhetlighet eller skalbarhet som eftersträvas inom traditionell it. Lösningarna innehåller ofta en blandning av standardkomponenter, inbyggda system och leverantörsspecifika hårdvarulösningar. Säkerhetslösningar och förändringsrutiner måste därför anpassas till detta heterogena systemlandskap. Prestanda och tillgänglighet Industriella informations- och styrsystem måste i regel leverera exakta svarstider för att den fysiska processen ska kunna styras korrekt. Tillgänglighetskraven är därför höga och fördröjningar, till exempel på grund av signalstörningar eller otillräcklig bandbredd, är oacceptabla. Förändringshantering De höga tillgänglighetskraven gör att det är svårt att uppdatera hård- och mjukvara i industriella informations- och styrsystem. Uppdateringar, systemförändringar eller service på komponenter och system som påverkar processen måste planeras långt i förväg.

22 22 Vägledning till ökad säkerhet i industriella informations- och styrsystem

23 Del A En sammanfattande översikt 23 Säkerhet i industriella informations- och styrsystem är viktigt! Säkerhet Industriella informations- och styrsystem har till primär uppgift att styra och övervaka en fysisk process. Samtidigt ska de också skydda personal, miljö, tredje part och den fysiska utrustningen om en olycka skulle inträffa. Inom kritiska verksamheter finns kunskap och medvetenhet kring driftsäkerhet, tillgänglighet, riktighet och skyddsfunktioner. Historiskt sett har industriella informations- och styrsystem varit fysiskt isolerade och separerade från andra system, vilket har inneburit att hot från omvärlden inte varit särskilt viktiga att beakta. Under det senaste decenniet har dock den fysiska isolationen mer eller mindre raderats ut för väldigt många installationer. Integration med administrativa informationssystem ger ökad exponering mot internet För att bli mer flexibelt och effektivt kopplas industriella informations- och styrsystem allt oftare upp mot externa publika nätverk som internet. När separationen mellan olika nätverk försvinner, exponeras gamla och datamässigt sårbara system alltmer mot olika hot som de inte har designats för. Det är därför viktigt att öka medvetenheten i organisationen om det ökade behovet av informationsoch it-säkerhet. INTERNET! Administrativt system Centralt system ADMINISTRATIVT SYSTEM Figur 5. När de system som används för att styra fysiska processer kopplas ihop med de administrativa systemen ökar hotbilden markant. Plötsligt finns det en väg från internet in till de känsliga styrsystemen.

24 24 Vägledning till ökad säkerhet i industriella informations- och styrsystem I systemlösningar med lång livslängd är it-säkerhetshål ofta inte tilltäppta Industriella informations- och styrsystem ingår i systemlösningar med lång livslängd och kan innehålla tekniska lösningar från flera generationer. Väl installerade ska dessa system ha en hög tillgänglighet och en bra funktionsgrad i många år. Inom de flesta organisationer finns det därför en sund ovilja mot att förändra systeminställningar, systemkomponenter och liknande efter det att systemet tagits i skarp drift. Då moderna industriella informations- och styrsystem ofta baseras på generella it-system leder detta ofta till att organisationen inte heller åtgärdar nyupptäckta eller kända it-säkerhetshål. Alternativt tar det mycket lång tid innan uppdateringar blir införda. Detta medför att industriella informations- och styrsystem oftast är mycket sårbara för illasinnade angrepp. Systemintegratörer ska hantera högre komplexitet Leverantörer av industriella informations- och styrsystem har traditionellt sett tagit fram helhetslösningar där de både har designat och byggt de system som de tillhandahållit. Idag används allt oftare standardiserade tekniker och komponenter från den traditionella it-världen (vilka ofta benämns Commercial- Off-The-Shelf, COTS) även i industriella informations- och styrsystem. Några exempel på COTS-baserade produkter som används är operativsystem, IP-baserad kommunikationsteknik och databaslösningar. På grund av omställningen till standardkomponenter ändras leverantörernas roll från systemleverantörer till systemintegratörer. Detta kan i sin tur leda till att de får sämre detaljkunskap om viktiga delar i det integrerade systemet. I förlängningen kräver detta en ökad kunskap om säkerhet i industriella informations- och styrsystem hos slutanvändare av systemen. Attacker mot styrsystem utgör ett verkligt hot Säkerhet ur ett angriparperspektiv har inte varit någon prioriterad fråga vid utvecklingen av industriella informations- och styrsystem. Medvetenheten kring den här typen av säkerhet är därför låg hos såväl utrustnings-, system- och program leverantörer som upphandlare och beställare. Detta leder ofta till otydlig kravställning och att system inte utformas för att hantera it-relaterad säkerhet på ett lämpligt sätt. Dessa problem förvärras av att det numera finns en omfattande mängd verktygslådor för cyberattacker tillgängliga på internet. Där finns också beskrivningar av sårbarheter i industriella informations- och styrsystem samt instruktioner för hur skadlig kod kan skapas.

25 Del A En sammanfattande översikt 25 I juli 2 upptäcktes Stuxnet, vilket var en avancerad form av skadlig kod som angrep industriella informations- och styrsystem. Stuxnet använde flera olika mekanismer för att sprida sig (bland annat via USB-minnen) för att till slut nå fram till de industriella informations- och styrsystemen. Genom att manipulera grundläggande programmeringsblock kunde Stuxnet därmed förändra den fysiska processen utan att processoperatörerna kunde se att något var fel. Enligt de flesta bedömare var Stuxnet skräddarsydd för att angripa och slå ut ett specifikt mål en urananrikningsanläggning i Iran utan att förstöra något annat. Det finns redan efterföljare till Stuxnet som har använts i cyberattacker, exempel på dessa är Duqu och Flame (flamer, Skywiper) 2. Det är därför inte osannolikt att vi framöver kommer att få se direkta efterföljare till ovanstående attacker som kanske inte alltid är lika välgjorda, i betydelsen välriktade. Efterföljarna kan därför komma att utgöra ett allvarligare hot mot våra relativt oskyddade industriella informations- och styrsystem. It-säkerhetsproblem kan leda till driftstörningar Eftersom industriella informations- och styrsystem används för att övervaka och styra fysiska processer i realtid, så har de utvecklats med ett stort fokus på hög tillgänglighet. Dagens utveckling mot generell datakommunikation via TCP/IP-baserade nätverk garanterar ingen realtidskommunikation, men eftersom de byggs med en överkapacitet så fungerar det oftast ändå. Tyvärr innebär detta att systemen blir väldigt känsliga för olika störningar. Skadlig kod kan till exempel göra att ett systems svarstider blir oacceptabla, eller att larm eller kommandon inte tas emot som de ska. Detta kan få till följd att systemen börjar bete sig felaktigt eller helt enkelt slutar att fungera. 2. Duqu och Flame är en samling skadlig kod som är modulärt uppbyggda. Detta innebär att funktioner enkelt kan ändras, läggas till eller tas bort till för att skräddarsy dessa attackramverk mot ett eller flera specifika mål.

26 26 Vägledning till ökad säkerhet i industriella informations- och styrsystem

27 Del A En sammanfattande översikt 27 God säkerhetskultur en grundförutsättning För att utveckla och förvalta säkra industriella informations- och styrsystem krävs inte bara tekniska lösningar utan i lika hög grad ett systematiskt arbete med informationssäkerhet kring systemen och en god säkerhetskultur i organisationen. MSB rekommenderar att organisationer inför ett ledningssystem för informationssäkerhet (LIS) uppbyggt efter de principer som finns i ISO:s informationssäkerhetsstandarder (ISO/IEC 27 och 272) och tillämpar ledningssystemet även på de industriella informations- och styrsystemen. Ett väl utarbetat ledningssystem ger ett systematiskt informationssäkerhetsarbete baserat på en generell riskhantering som kan användas bland annat i utvecklingsprojekt och upphandlingar. De säkerhetslösningar som införs blir därmed avpassade efter organisationens behov av skydd för sina informationssystem. Ett systematiskt informationssäkerhetsarbete leder också till en god säkerhetskultur där ledning och medarbetare har en gemensam bild av risker och är motiverade att införa och följa de säkerhetsregler som är nödvändiga. Ytterligare en fördel med ett ledningssystem är att det leder till ett kontinuerligt säkerhetsarbete som även stöder drift och förvaltning av bland annat industriella kontrollsystem. För att ge stöd i arbetet har MSB tagit fram ett metodstöd 3 som verksamheter kan använda sig av för att införa ledningssystem för informationssäkerhet. Vår rekommendation är att säkerställa att ledningssystemet tillämpas även då det gäller industriella kontrollsystem. 3.

28 28 Vägledning till ökad säkerhet i industriella informations- och styrsystem Del B

29 Del B Rekommendationer och riktmärken 29 Del B Rekommendationer och riktmärken Det finns inget färdigt recept för hur arbetet med säkerhet i industriella informations- och styrsystem ska utformas, men det finns ett antal vedertagna arbetsmetoder som varje organisation bör införa. I det här kapitlet har vi samlat 7 rekommendationer som ska vara till hjälp för att uppnå en god säkerhetskultur och ett systematiskt säkerhetsarbete med de industriella informationsoch styrsystemen. Några rekommendationer är av teknisk natur och andra handlar mer om metodologi.

30 3 Vägledning till ökad säkerhet i industriella informations- och styrsystem Riktmärken för säkerhetsarbetet Varje rekommendation avslutas med ett antal riktmärken för säkerhetsarbetet. Syftet med riktmärkena är att en organisation grovt ska kunna uppskatta hur den egna verksamheten i nuläget förhåller sig till respektive rekommendation. Referenser och mer information För varje rekommendation ges tips på var man kan hitta mer information. De etablerade checklistor och standarder vi hänvisar till beskrivs närmare i Del C. Dessa benämns på följande sätt: NERC CIP NIST 8-82 CPNI DOE 2 Steps OLF PL IAEA 27[X] ISA95 IEC 62443[X-X] NERC CIP-2-4 till CIP-9-4 Guide to Industrial Control Systems (ICS) Security Good Practice Guide Process Control and SCADA Security 2 Steps to Improve Cyber Security of SCADA Networks Information security baseline requirements for process control, safety and support ICT systems Cyber Security Procurement Language for Control Systems Nuclear security series #7 (Computer Security at Nuclear Facilities) SS-ISO/IEC 27-serien Manufacturing Enterprise Systems Standards and User Resources Security Guidelines and User Resources for Industrial Automation and Control Systems

31 Del B Rekommendationer och riktmärken 3 Rekommendationer för ökad säkerhet i industriella informations- och styrsystem Säkra ledningens engagemang och ansvar för säkerheten i industriella informationsoch styrsystem. 2 Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem. 3 Underhåll processer för systemkartläggningar och riskhantering i industriella informations- och styrsystem. 4 Säkerställ en systematisk förändringshantering i industriella informationsoch styrsystem. 5 Säkerställ systematisk kontinuitetsplanering och incidenthantering i industriella informations- och styrsystem. 6 Inkludera säkerhetskrav i industriella informations- och styrsystem från början i all planering och upphandling. 7 Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella informations- och styrsystem. 8 Arbeta med en säkerhetsarkitektur i de industriella informations- och styrsystemen. 9 Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök i industriella informations- och styrsystem. Genomför regelbundet riskanalyser av industriella informations- och styrsystem. Genomför regelbunden teknisk säkerhetsgranskning av industriella informationsoch styrsystem. 2 Utvärdera löpande det fysiska skyddet av industriella informations- och styrsystem. 3 Kontrollera regelbundet att endast säkra och relevanta anslutningar till industriella informations- och styrsystem existerar. 4 Härda och uppgradera industriella informations- och styrsystem i samverkan med systemleverantörer. 5 Genomför utbildning och övning av it-incidenter i industriella informationsoch styrsystem. 6 Följ upp incidenter i industriella informations- och styrsystem och bevaka säkerhetsproblem i omvärlden. 7 Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem.

32 32 Vägledning till ökad säkerhet i industriella informations- och styrsystem Säkra ledningens engagemang och ansvar för säkerheten i industriella informations- och styrsystem (Kap. 5, 6..) CPNI (GPG 7) OLF (No. ) IEC (Kap ) Ledningen har ansvar för att driva företagets verksamhet på ett affärsmässigt sätt och det är inte alltid säkert att säkerheten i de industriella informations- och styrsystemen får den uppmärksamhet som krävs. En anledning kan vara svårigheter att se hur säkerhetsinvesteringar på kort sikt bidrar till verksamhetens resultat. Extra svårt kan det vara att ta till sig de specifika informationssäkerhetsrelaterade aspekter som råder i de industriella informations- och styrsystemen. För många handlar informationssäkerhet endast om de administrativa systemen. För att motivera ledningen att förstå och lyfta dessa frågor krävs ett uthålligt pedagogiskt arbete. Det är viktigt att ha respekt för att säkerhetsarbete ofta uppfattas som något tråkigt och jobbigt. Det är därför viktigt att förklara på vilket sätt en höjd informationssäkerhet i de industriella informations- och styrsystemen gör verksamheten bättre. Ett första steg kan vara att försöka få tid för en kort presentation vid ett ledningsgruppsmöte. Inför ett sådant möte är det viktigt att vara väl förberedd. Undvik skrämselpropaganda, utan beskriv på vilket sätt verksamheten kan bli effektivare genom att man hanterar risker i ett tidigt stadium. När du diskuterar risker, försök göra riskerna konkreta och beskriv hur de kan avhjälpas och därmed förbättra verksamheten. Förbered också ett konkret och relativt enkelt förslag till vad nästa steg kan vara till exempel en riskanalys på en avgränsad del av de industriella informations- och styrsystemen. En viktig målsättning är att säkerställa att de industriella informations- och styrsystemen beaktas i organisationens ledningssystem för informationssäkerhet (LIS). Om det inte finns något LIS i verksamheten är första steget att få ledningen att ge någon i uppdrag att ta fram ett sådant. Övriga rekommendationer i den här vägledningen innehåller förslag på sådant som bör beaktas i verksamhetens systematiska informationssäkerhetsarbete avseende de industriella informations- och styrsystemen.

33 Del B Rekommendationer och riktmärken 33 Rekommendationer Jobba långsiktigt och försök få ledningen att själva intressera sig för säkerhetsarbete och vilken nytta det kan få för verksamheten. Försök att beskriva vad olika åtgärder kostar både i investering och i arbetstid. Relatera sedan kostnaden till den nytta som åtgärden gör för verksamheten. Föreslå konkreta förändringar i verksamhetens styrdokument med målsättningen att de industriella informations- och styrsystemen beaktas i det systematiska informationssäkerhetsarbetet. Undvik att prata om teknik, utan fokusera på hur effektiviteten långsiktigt kan förbättras i takt med ett ökat säkerhetsarbete i de industriella informations- och styrsystemen. Använd konkreta exempel som ligger nära den egna verksamheten för att förklara vad it-säkerhet i de industriella informations- och styrsystemen innebär. Exempel på risker och problem I en organisation fanns det generella regler för hur medarbetare skulle agera med avseende på säkerhet. Efter en incident där ett USB-minne infekterat en dator i produktionsmiljön visade det sig att ledningen inte sett till att uppdatera styrdokumenten på över fyra år. Det fanns ingen utpekad ansvarig för att löpande genomföra relevanta riskanalyser och uppdatera riktlinjerna i styrande dokument för verksamheten. Ledningsgruppen hade inte heller formellt skrivit under styrdokumentet vilket medförde viss tveksamhet om riktlinjernas giltighet. I verksamheten rådde därför en kultur av att styrdokumenten inte behövde följas, eftersom ingen på chefsnivå verkade bry sig om, eller ens känna till reglerna. Exempelvis använde många chefer själva USB-minnen för att dela filer med varandra utan att reflektera kring de riktlinjer som fanns nedtecknade om just risker med USB-minnen. RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en informationssäkerhetspolicy som inkluderar de industriella informations- och styrsystemen. Ledningen lyfter aktivt fram vikten av att följa informationssäkerhetspolicyn. Ledningen informeras om och godkänner regelbundet uppdaterade riskanalyser och åtgärdsplaner för de industriella informations- och styrsystemen. Samtliga i ledningsgruppen har en grundläggande förståelse för skillnaderna i säkerhets- och funktionskrav mellan de administrativa systemen och de industriella informations- och styrsystemen.

34 34 Vägledning till ökad säkerhet i industriella informations- och styrsystem 2 Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem. Säkerhetspolicy ADMIN INFO NERC CIP (3-4) NIST 8-82 (Kap. 4.2, 6., 6.2) CPNI (GPG 4, GPG 7) DOE 2 Steps (No. 2, 6, 2) OLF (No., 3) 272 (Kap. 6,8) IAEA (Kap. 4, 5.) I många organisationer är det vanligt med en processorienterad styrning när det gäller administrativa informationssystem. I denna styrmodell finns ofta utsedda systemägare, informationsägare, förvaltningsansvariga, driftansvariga, systemadministratörer eller liknande. När det gäller informations- och styrsystem saknas ofta denna roll- och ansvarsfördelning. Ibland är leverantörsrepresentanter det närmaste en it-tekniker eller systemadministratör som finns att tillgå. Dessutom kan processingenjörer, vars huvudkompetens inte är logisk säkerhet i informations- och styrsystem, vara de som praktiskt förvaltar systemen. Det här leder till att den egna organisationen får dålig eller ingen kunskap om de industriella informations- och styrsystemens it-egenskaper. Det i sin tur leder till minskad kontroll och förmåga att styra hur tekniken används.

35 Del B Rekommendationer och riktmärken 35 Rekommendationer Skapa en informationssäkerhetspolicy för industriella informations- och styrsystem. Ansvarsfördelningen för säkerhetsfrågor tydliggörs enklast på detta vis. Policyn kan antingen vara ett separat dokument, som då måste relateras till organisationens övriga policydokument, eller så kan frågan lösas genom tillägg i organisationens informationssäkerhetspolicy. Samordna roll- och ansvarsfördelningen hos de administrativa informationssystemen och de industriella informations- och styrsystemen. Det bör tydligt framgå vilka system som organisationens centrala it-stöd förvaltar och vilka system som förvaltas lokalt ute i produktionen. Låt organisationens centrala it-stöd ansvara för den totala integrationen och skapa en sammanhållen syn på säkerhetsfrågorna trots att vissa system förvaltas lokalt. Dokumentera tydligt vilka krav som ställs på en systemägare. Exempel på risker och problem En verksamhet som saknade tydliga roller och väldefinierad ansvarsfördelning för det löpande säkerhetsarbetet genomförde inte nödvändiga uppdateringar av applikationsprogram och saknade processer för att snabbt ta bort föråldrade konton. Detta utnyttjades av en före detta anställd som ville hämnas på sin arbetsgivare. Angreppet möjliggjordes bland annat genom att vederbörandes användarkonton och behörigheter inte hade spärrats. Intrånget kunde ske från distans och angriparen kunde, väl inne i SCADA-systemet, använda sig av befintliga gruppkonton vars lösenord inte hade förändrats sedan vederbörande slutade. Verksamheten drabbades av en mycket allvarlig störning när SCADA-systemet attackerades. Skadorna från angreppet blev värre än nödvändigt. Detta eftersom incidenthantering och skadebegränsning fördröjdes av en helt oförberedd verksamhet som saknade kunskap om vilka personer som var behöriga att vidta nödvändiga åtgärder. RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en ansvarig för den övergripande säkerheten i de industriella informations- och styrsystemen. För varje verksamhetskritiskt system finns det en person som är utsedd till systemägare. Systemägarnas arbetsuppgifter, ansvar, resurser och mandat är tydligt dokumenterade. Alla systemägare är medvetna om sitt ansvar. Det finns dokumenterade krav som ställs på en systemägare, såsom kompetens, utbildning, säkerhetsklassning, et cetera.

36 36 Vägledning till ökad säkerhet i industriella informations- och styrsystem 3 Underhåll processer för systemkartläggningar och riskhantering i industriella informations- och styrsystem. Systemkartläggning NERC CIP (2-4) DOE 2 Steps (No. 3) OLF (No. 2, 3, ) 272 (Kap. 4) OSÄKER 275 IAEA (Kap. 5) EC (5.6) IEC (4.2,4.3) För att upprätthålla god säkerhet i industriella informations- och styrsystem är det viktigt att det finns en process för att kartlägga och förstå verksamhetens informationsflöden, informationstillgångar och systemberoenden. Det vill säga de samband som finns mellan verksamheten och olika typer av system. För att kunna analysera verksamhetens processer, system och information krävs en djup förståelse för vilka konsekvenser en felaktig eller störd funktion kan innebära både för den fysiska processen och för organisationen. Detta är en viktig förutsättning för att skapa en relevant riskvärdering och en klassificering av vilka system som är mest kritiska respektive vilken information som är mest kritisk. En verksamhets- och systemkartläggning bör resultera i listor över åtkomst- och anslutningsmöjligheter, systemklassificeringar samt driftmässiga prioriteringsindelningar. Det bör finnas diagram över de industriella informations- och styrsystemen som är tillräckligt detaljerade för att det ska gå att identifiera kritiska komponenter och system. Ett systemdiagram ska bland annat innehålla IP-adresser, kommunikationsprotokoll, versionsnummer, uppgifter om operativsystem hos datorresurser, tekniska uppgifter om lokala enheter såsom PLC:er och så vidare. Det är också bra om varje komponent i systemdiagrammet har ett unikt löpnummer som pekar på en post i en konfigurationsdatabas. För att kunna fastställa den elektroniska säkerhetsperimetern måste alla anslutningar till industriella informations- och styrsystem identifieras. Här ingår, förutom intra nät, exempelvis fjärranslutna kopplingar till samarbetspartners, leverantörer och internet. Observera att alla trådlösa anslutningar bör behandlas som fjärranslutna punkter. Anslutningar till organisationens administrativa informationssystem (intranät) bör betraktas som externa anslutningar.

37 Del B Rekommendationer och riktmärken 37 Rekommendationer Inventera organisationens tillgångar och identifiera de som är kritiska genom att tillämpa ett riskbaserat synsätt. Identifiera därefter de kritiska datorbaserade tillgångarna. Upprätta en dokumenterad process för hur riskanalyser ska genomföras och under vilka förutsättningar de ska uppdateras. Välj riskanalysmetod utifrån analysens syfte och den tillgängliga informationen. Valet av metod bör ta hänsyn till möjligheten att enkelt uppdatera riskanalysen. Upprätthåll en konfigurationsdatabas för att underlätta sökningen av olika komponenter och parametrar i en komplicerad nätverkstopologi. Exempel på risker och problem De industriella informations- och styrsystemen hos en verksamhet betraktades som separerade från övriga datornätverk och därför ansågs det inte nödvändigt att förse dem med skydd mot skadlig kod. Men när verksamhetens administrativa kontorsnätverk drabbades av skadlig kod slogs även flera av styrsystemen ut. Vid en närmare granskning av verksamheten identifierades flera tidigare okända kopplingar mellan olika datornätverk. Då dessa inte funnits dokumenterade hade de heller aldrig beaktats vid tidigare säkerhetsanalyser. Följaktligen hade organisationen levt i tron att deras system var betydligt säkrare än vad som var fallet. En av orsakerna till att dessa sårbarheter inte hade identifierats var att organisationen saknade en genomtänkt process för hur och när systemkartläggning och riskanalyser skulle utföras. Det saknades därmed underlag att jämföra och bevaka verksamhetens risker och hur dessa förändrades över tiden. Konsekvensen blev att viktiga delar av styrsystemet år efter år förblev oskyddade medan ansenliga resurser satsades på att skydda andra informationstillgångar, som dock inte var lika kritiska för verksamhetens fortlevnad. RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en tydlig och uppdaterad dokumentation över verksamhetens system, informationsflöden och systemberoenden. Systemen är klassificerade för att identifiera vilka som är kritiska för verksamheten. Det finns en tydlig och uppdaterad dokumentation över samtliga kommunikationsvägar till och från de industriella informations- och styrsystemen. Det finns tydliga riktlinjer för hur, och hur ofta, klassning och riskanalyser ska genomföras i syfte att identifiera kritiska informationstillgångar. Samtliga verksamhetskritiska system och komponenter kan snabbt identifieras med hjälp av befintliga systemdiagram, konfigurationsdatabaser, nätverkskartor eller liknande.

38 38 Vägledning till ökad säkerhet i industriella informations- och styrsystem 4 Säkerställ en systematisk förändringshantering i industriella informations- och styrsystem. DEC Uppdatering NERC CIP (3-4) DOE 2 Steps (No. 7) OLF (No., 5) Steg 3 av (Kap. 2.5.,..2) En systematisk hantering av förändringar och versioner av parametersättningar, inställnings- och datafiler eller program är viktigt för att undvika störningar, onödig felsökning eller allvarliga problem i industriella informations- och styrsystem. System och applikationer som organisationer ska använda under lång tid, exempelvis inom industriprocesser, medför särskilda krav på strikt kontroll över förändringshanteringen. I de industriella informations- och styrsystemen är det viktigt att alla inblandade parter leverantörer, systemansvariga och användare har en korrekt och gemensam förståelse av den aktuella konfigurationen och driftstatusen hos systemet. Separata test-, utvecklings och driftmiljöer är vanliga när det gäller administrativa informationssystem. Tyvärr gäller inte detta industriella informations- och styrsystem, viket gör det extra viktigt att lägga tillräckliga resurser för en systematisk förändringshantering i dessa system. Det bör finnas en formell process som talar om hur man får tillstånd att göra förändringar i industriella informations- och styrsystem. Detta bör även gälla tillfälliga förändringar och förändringar av stödutrustning. Allt som inte är explicit tillåtet bör vara förbjudet. Rekommendationer Uppgradera programvara stegvis. Gärna i samråd med systemleverantörer, på grund av juridiska och tekniska krav. Säkerställ att den formella processen för förändringshantering omfattar:. en beskrivning av vad som är belagt med tillståndskrav. 2. en procedur för att få tillstånd att göra förändringar. 3. en beskrivning av hur tester före och efter en förändring ska genomföras (inklusive en beskrivning av vilka förändringar som kräver tester i separat testmiljö). 4. krav på hur dokumentation ska uppdateras efter förändringar. 5. krav på hur personal ska ta del av förändringar (exempelvis i vilka fall det krävs särskild utbildning av operatörer).