Foto: Scanpix Säkerhet i industriella informations- och styrsystem Martin Eriksson - Myndigheten för samhällsskydd och beredskap
MSB MSB:s uppgift är att utveckla och stödja samhällets förmåga att hantera olyckor och kriser. Vi bidrar till att samhället förebygger händelser och att vi är beredda när de inträffar. När en allvarlig olycka eller kris inträffar ger vi stöd. Vi ska också se till att samhället lär sig av det inträffade.
MSB:s uppdrag inom informationssäkerhet
MSB:s uppdrag inom informationssäkerhet Myndigheten ska stödja och -------------- arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i frågan om -------------- arbete till andra statliga myndigheter, kommuner, landsting och organisationer [ ]? C. A. samordna, förebyggande B. verkställa, it-relaterat utvärdera, sekretessbelagt
MSB:s uppdrag inom informationssäkerhet Myndigheten ska vidare svara för att Sverige har en ------------- funktion med uppgift att stödja samhället i arbetet med att ------------- och hantera IT-incidenter.? A. godkänd, förutse B. nationell, förebygga C. etablerad, identifiera
MSB:s uppdrag inom informationssäkerhet Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i frågan om förebyggande arbete till andra statliga myndigheter, " kommuner, landsting och organisationer [ ] Myndigheten ska vidare svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera IT-incidenter.
Hantera informationssäkerhetsincidenter
Nationellt program för säkerhet i industriella informations- och styrsystem
Varför är detta viktigt för MSB? Industriella informations- och styrsystem styr samhällsviktig verksamhet Samhällsviktig verksamhet sköts ofta av privata aktörer Många internationella leverantörer av utrustning innebär behov av nationell samordning
Programområden Medvetandehöjande åtgärder Omvärldsbevakning och informationsdelning Teknisk samverkansplattform Nationell och internationell samverkan Programutveckling
Teknisk samverkansplattform Genomförande av kurser för säkerhet i industriella informations- och styrsystem Tekniska demonstrationer Teknisk övningsmodul Kompetensutveckling Studie kring säkerheten i VLAN-separerade nät Studie kring samhällets beroende av GNSS
Medvetandehöjande åtgärder
Medvetandehöjande PRODUKTER Ny revision av Vägledning till ökad säkerhet i industriella kontrollsystem Självmätningsverktyg Excel-version Webversion Benchmarkversion Filmer avsedda för företagsledningen AKTIVITETER Presentationer Medvetandehöjande utbildnignar
Vägledning till ökad säkerhet i industriella informations- och styrsystem Förändringar i nya utgåvan Nytt namn: - Vägledning till ökad säkerhet i industriella informations- och styrsystem Innehåller Riktlinjer för säkerhetsarbetet Innehåller 17 rekommendationer (tidigare 15) Dubbelt så tjock! Refererar nu även till 27000-serien Innehåller en ordlista med definitioner
Kopplat till 27000
Tre delar Del A En sammanfattande översikt Del B Rekommendationer och riktmärken Del C Referenslista med kommentarer
DEL A 1. Industriella informations- och styrsystem: En översikt 2. Utveckling och trender påverkar förutsättningarna för att arbeta med säkerhet inom industriella informations- och styrsystem 3. Säkerhet i industriella informations- och styrsystem är viktigt! 4. God säkerhetskultur en grundförutsättning
Vad är ett industriellt informations- och styrsystem?
Något som ska regleras
Något som kan påverka processen
Sensor som kan mäta tillståndet
Styrdator som kan skicka elektriska signaler
Människa-maskin gränssnitt
SCADA-system
Administrativa nätet
Internet
Ofta är systemen geografiskt distribuerade
Centralt system
Lokalt system
Svagheter i SCADA Trender och förutsättningar
Prestanda och tillgänglighet + Börvärde Utsignal Controller System (PID) - Mätvärde Sensor
Näten Styrsystemen är inte isolerade är inte isolerade
Fokus på drift och inte på säkerhet Utrustning för styrsystem är avsedda för driftsäkerhet och inte security. Svårt att hantera uppdateringar på system som aldrig får stängas av Inte avsedda att klara av jitter eller ej avsedd trafik
Kulturkrockar Processteknikerna kan inget om IT IT-avdelningen kan ingenting om processteknik
Styrning Informationssäkerhetspolicyn, om den finns, täcker inte in de industriella informations- och styrsystemen Svårt för ledningen att förstå SCADA-säkerhet eftersom det är tekniskt komplicerat Vinstkrav driver fram sammanslagningar och integration av verksamheter Inga tydliga säkerhetskrav Svårt att mäta, utvärdera och räkna hem säkerhetsinvesteringar
Organisation Dålig samverkan mellan IT och processidan Stor skillnad mellan säkerhet i process-it och kontors-it Autonoma lokala operatörer Informationssäkerhet berör hela verksamheten och är svår att placera in i organisationen
Kravställning Svårt att ställa rätt krav på systemleverantörer och systemintegratörer Bristande säkerhetskrav i supportavtal Svårt för leverantörer utan tydliga standarder
MODEM Leverantör vill ha tillgång till nätet
Sammanfatning Informations- och styrsystem är interdisciplinära och kan leda till kulturkrockar Informations- och styrsystem kräver privat-offentlig samverkan Informations- och styrsystem blandar standardkomponenter med speciallösningar Cyberattacker utgör ett reellt hot
DEL B Rekommendationer och riktmärken
Vägledning till ökad säkerhet i industriella informations- och styrsystem
1 Säkra ledningens engagemang och ansvar för de industriella informations- och styrsystemen Tillbaka
2 Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem. Tillbaka
3 Underhåll processer för systemkartläggningar och riskhantering i industriella informations- och styrsystem. Tillbaka
4 Säkerställ en systematisk förändringshantering i industriella informations- och styrsystem. Tillbaka
5 Säkerställ systematisk kontinuitetsplanering och incidenthantering i industriella informations- och styrsystem. Tillbaka
6 Inkludera säkerhetskrav i industriella informations- och styrsystem från början i all planering och upphandling. Tillbaka
7 Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella informations- och styrsystem. Tillbaka
8 Arbeta med en säkerhetsarkitektur i de industriella informations- och styrsystemen. Tillbaka
9 Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök i industriella informations- och styrsystem. Tillbaka
10 Genomför regelbundet riskanalyser av industriella informations- och styrsystem. Tillbaka
11 Genomför regelbunden teknisk säkerhetsgranskning av industriella informationsoch styrsystem. Tillbaka
12 Utvärdera löpande det fysiska skyddet av industriella informations- och styrsystem. Tillbaka
13 Kontrollera regelbundet att endast säkra och relevanta anslutningar till industriella informations- och styrsystem existerar. Tillbaka
14 Härda och uppgradera industriella informations- och styrsystem i samverkan med systemleverantörer. Tillbaka
15 Genomför egen kompetensutveckling och övning av itincidenter i industriella informations- och styrsystem. Tillbaka
16 Följ upp incidenter i industriella informations- och styrsystem och bevaka säkerhetsproblem i omvärlden. Tillbaka
17 Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem. Tillbaka