VAMässan 19September2012 Har ni koll på läget? - en introduktion till Svenskt Vattens checklista för självutvärdering av säkerhetsarbetet med fokus på SCADA VAMässan Göteborgden19september2012 DrErikJohansson(MD) EBarbeteiniCeratavSvensktVaBensarbetsgruppSVFSCADA: Ber$l&Johansson&(Norrva0en),&Jan&Ekwall&(Stockholm&Va0en),& Kenneth&Eriksson&(VA&SYD),&Lennart&Andersson&(Mi0Sverige&Va0en),& Jan&Selin&(Gästrike&Va0en),&Johanna&Lindgren&(Svenskt&Va0en)& *)!Observera att termen SCADA-system allt oftare kommit att användas som en kort form då man egentligen avser olika former av industriella informations- och styrsystem Har$ni$koll$på$läget? $? Hur$säkra&är$ni?$ 2012ErikJohansson 1
VAMässan 19September2012 Säkerhet = Staket! Bom! Lås! Larm! Vaktbolag! Kameraövervakning! Rutiner för att ta emot besök... Säkerhet = Safety + Security 2012ErikJohansson 2
VAMässan 19September2012 Security?$ Säkerhet är en kvalitetsaspekt! För att en organisation ska vara verkligt effektiv, måste varje del av den arbeta tillsammans mot samma mål, med insikt om att varje person och varje aktivitet påverkar och i sin tur påverkas av varandra... (Fritt&översatt&från&TQM,&Oakland,&1989&)& 2012ErikJohansson 3
VAMässan 19September2012 Har$ni$koll$på$läget? $? Hur$får&vi$koll?$ Enkätstudie$ 2012ErikJohansson 4
VAMässan 19September2012 Det behövs en checklista!! Den kan bidra till att brister identifieras och tydliggörs!! Vetskapen om brister kan vägleda beslut!! Välavvägda beslut leder till förbättringar!! Förbättringar minskar risken för störningar!! Robustare system ger säkrare VA process!! Säkrare VA process ger gladare medborgare... Det som vi inte mäter kan vi inte förbättra... VAMässanden19september2012 DrErikJohansson Checklista? VAMässanden19september2012 DrErikJohansson 2012ErikJohansson 5
VAMässan 19September2012 Avsikten med checklistan!! ett första steg i en självutvärderingsprocess! ett internt dokument för respektive organisation som kan ge en indikation om var verksamheten kan förbättras.!! att ge insikt och ökad medvetenhet som leder till en förbättrad informations- och ITsäkerhet.!! underlag för att ta fram en passande åtgärdsplan prioritera resurser och strategiska investeringar. Öka säkerhetsmedvetandet i er organisation! Önskemål från intressenter...!! Ett trettiotal frågeställningar...!! Max två A4-sidor...!! Överskådlig och enkel uppbyggnad...!! Gå att besvara i form av Ja Till viss del Nej...!! Välunderbyggd och heltäckande...!! Beskriva vad som behöver göras...!! Tala om vilka lösningar som är bäst... 2012ErikJohansson 6
VAMässan 19September2012 Den Blå Checklistan självutvärdering ur flera aspekter!!! Organisatoriska aspekter Ledningens fokus och medvetenhet, delegering av ansvar och befogenheter, tilldelning av resurser mm!! Tekniska aspekter Aktuella nulägesbeskrivningar, tekniska sårbarhetsanalyser mm!! Administrativa aspekter Styrande dokument och rutiner, träning/övning/utbildning, kravställning och uppföljning, incidenthantering mm Exempel på frågeställningar... Övergripande+självutvärdering+för+säkerhetsarbetet+ med+tyngdpunkt+på+industriella+kontrollsystem+(scada)+ JA Tillviss del NEJ 4a Finns+det+styrande+dokument+vilka+vägleder+arbete+som+direkt+(eller+indirekt)+kan+komma+aB+ påverka+informaconssäkerheten+för+verksamheten?+ x 4b E+Inkluderar+dessa+styrande+dokument+även+hanteringen+av+industriella+kontrollsystem?+ x 4c E+Har+kraven+i+dessa+styrande+dokument+uppdaterats+under+senaste+tre+åren?+ x ++ 5 1 2 0 Finns+det+inom+organisaConen+eB+etablerat+forum+där+representanter+för+verksamheten+och+ specialisiunkconer+samarbetar+kring+aktuella+informaconssäkerhetsfrågor?+ x ++ 0 0 1 6 Har+alla+system,+inklusive+industriella+kontrollsystem,+en+utpekad+systemägare?+ x 2012ErikJohansson 7
VAMässan 19September2012 Exempel på frågeställningar... Övergripande+självutvärdering+för+säkerhetsarbetet+ med+tyngdpunkt+på+industriella+kontrollsystem+(scada)+ JA Tillviss del NEJ 7 Har+alla+era+ITEsystem+(inklusive+industriella+kontrollsystem)+klassificerats+med+avseende+på+ vilka+värsta+tänkbara+konsekvenser+som+kan+drabba+verksamheten+om+de+förloras/förstörs?+ x ++ 0 0 1 8a Finns+en+välutarbetad+ruCn+för+hantering+av+alla+former+av+säkerhetsincidenter?+ x 8b E+Rapporteras+och+utreds+alla+konstaterade+eller+misstänkta+incidenter?+ x 8c E+Används+rapporterade+säkerhetsincidenter+i+det+löpande+förbäBringsarbetet?+ x ++ 0 1 2 9a Finns+konkreta+åtgärdsplaner+(konCnuitetsplaner)+där+det+tydligt+framgår+vem+som+gör+vad+för+ ab+mildra+effekterna+om+allvarliga+störningar+inträffar+hos+industriella+kontrollsystem?+ x 9b E+Har+personalen+tränats+för+aB+hantera+störningar+pga+ITEincidenter?+ x 9c E+Har+konCnuitetsplanerna+(se+pkt+ovan)+reviderats+under+senaste+tre+åren?++ Grafisk illustration av utvärderingen Sammanställning1av1antal1markeringar1 16+ 25+ JA+ Till+viss+del+ NEJ+ 22+ 2012ErikJohansson 8
VAMässan 19September2012 Sammanvägt resultat för att möjliggöra relativa jämförelser Sammanvägt1index1=1431 34%+ 66%+ Säkerhetsarbetet+OK+ FörbäBringsmöjligheter+ Sammanfattning:!! Ladda ner checklistan!! Genomför en utvärdering Tillsammans inom organisationen Rapportera säkerhetstalet till SV!! Ta fram anpassade och prioriterade åtgärdsplaner Sammanvägt1index1=1431 34%+!! Kontakta Johanna Lindgren, Johanna.Lindgren@svensktvatten.se 66%+ SäkerhetsarbetetOK FörbäBringsmöjligheter 2012ErikJohansson 9
VAMässan 19September2012 Öka säkerhetsmedvetandet i er organisation!!! SIK-kurs med VA fokus 5-6 dec 2012 Arrangeras av NCS3 (MSB tillsammans med FOI) Kostnadsfritt för samhällskritiska aktörer! Anmäl snarast ert intresse på: www.foi.se/sik Öka säkerhetsmedvetandet i er organisation!!! Studera aktuella handböcker och vägledningar!!! Genomför riskanalyser som inkluderar de industriella informations- och styrsystemen! 2012ErikJohansson 10
VAMässan 19September2012 Skaffa er koll på läget! med hjälp av Svenskt Vattens blå lista för självutvärdering av säkerhetsarbetet med fokus på SCADA Ladda ner den blå listan från Svenskt Vattens hemsida: http://www.svensktvatten.se/vattentjanster/dricksvatten/kris/scada/ Tack för er uppmärksamhet! Erik%Johansson%% +46%70%6861133% erikj@kth.se% Kontakta'mig'gärna'om'' ni'har'ytterligare'frågor!' ' ' ' Kom'till'Svenskt'Vattens'monter'' där'visar'vi'hur' checklistan '' fungerar'i'praktiken!' ' 2012ErikJohansson 11