Vägledning till ökad säkerhet i industriella kontrollsystem Forum för informationsdelning avseende informationssäkerhet SCADA och processkontrollsystem (FIDI-SC)
Sammanfattning Datoriseringen av de system som förser samhället med bränsle, el, värme, vatten och transporter, sker i snabb takt. Olika IT-system integreras så att verksamheter kan göras effektivare. Digitaliseringen underlättar också kommunikationen mellan system och användare. Industriella kontrollsystem, även kallade Supervisory, Control, and Data Acquisition (SCADA), har traditionellt sett varit fysiskt isolerade och byggt på specialutvecklad teknik. Gränserna mellan traditionella/administrativa IT-system och industriella kontrollsystem håller på att suddas ut i och med en ökad integrering mellan dessa olika vitet görs industriella kontrollsystem även i allt högre grad tillgängliga via Internet och andra publika nätverk. Dagens industriella kontrollsystem bygger dessutom allt mer på samma teknik som vanliga IT-system och drabbas därmed av samma säkerhetsproblem. Resultatet av denna utveckling är en radikalt förändrad riskbild. Störningar i industriella kontrollsystem leder inte enbart till att dyrbar utrustning kan förstöras, utan kan även orsaka avbrott i kritiska verksamheter. Följden kan bli omfattande kostnader och förlorat förtroende för såväl det enskilda företaget som för samhället i stort. Ett första steg i arbetet med att öka säkerheten i industriella kontrollsystem är att följa dessa grundläggande rekommendationer: Genomför grundläggande utbildning om säkerhet i industriella kontrollsystem. Operatörer av kontrollsystem behöver öka sin kunskap om traditionell IT-säkerhet. IT-personal behöver mer kunskap om industriella kontrollsystem och den underliggande fysiska processen. Även personer som är inblandade i upphandling och verksamhetsplanering behöver utbildning i dessa frågor. Håll industriella kontrollsystem separerade från administrativa IT-system i så hög grad som möjligt. - dem. Industriella kontrollsystem bör endast i undantagsfall integreras med administrativa IT-system. Ställ säkerhetskrav i all upphandling av industriella kontrollsystem och i serviceavtal. hetsfrågor i förväg. Precis som för traditionella IT-system är det mycket dyrare att åtgärda säkerhetsproblem i industriella kontrollsystem efter att systemen har levererats. Dokumentet erbjuder vidare en detaljerad väg- och standardiserade arbetssätt. Dokumentet hänvisar även till andra relevanta publikationer inom området. Öka medvetenheten i hela organisationen om behovet av säkerhet i industriella kontrollsystem. Detta är en verksamhetskritisk fråga och därför bör högsta ledningen involveras i ett tidigt skede.
Innehållsförteckning Del A Förutsättningar och sammanfattande rekommendationer Industriella kontrollsystem 8 Säkerhet i industriella kontrollsystem är viktigt 10 Skillnader mellan administrativa IT-system och industriella kontrollsystem 12 God säkerhetskultur en grundförutsättning 14 Sammanfattande rekommendationer för ökad säkerhet i industriella kontrollsystem 15 Del B Rekommendationer och riktlinjer Utgångspunkt för rekommendationer 18 Rekommendationer för ökad säkerhet i industriella kontrollsystem 19 01 Tydliggör roller och ansvar för säkerheten i industriella kontrollsystem 21 02 Upprätta en process för att kartlägga industriella kontrollsystem och för att genomföra riskanalyser 22 03 Upprätta en process för förändringshantering i industriella kontrollsystem 23 04 Upprätta processer för kontinuitetsplanering och incidenthantering i industriella kontrollsystem 24 05 Inför säkerhetskrav i industriella kontrollsystem från början i all planering och upphandling 25 06 Skapa en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella kontrollsystem 26 07 Skapa ett djupledsförsvar i industriella kontrollsystem 27 08 Inför intern och extern intrångsdetektering och incident övervakning dygnet runt i industriella kontrollsystem 28 09 Genomför riskanalyser av industriella kontrollsystem 29 10 Genomför regelbunden teknisk säkerhetsgranskning av industriella kontrollsystem och anslutna nätverk 30 11 Utvärdera löpande industriella kontrollsystems fysiska skydd 31 12 Kontrollera att endast säkra och relevanta anslutningar till industriella kontrollsystem existerar 32 13 Härda och uppgradera industriella kontrollsystem i samverkan med systemleverantörer 33 14 Följ upp incidenter i industriella kontrollsystem och bevaka säkerhetsproblem i omvärlden 34 15 Samverka i användarföreningar, standardiseringsorgan och andra nätverk 35 Del C Referenslista med kommentarer NERC CIP-002-2 till CIP-009-2 38 NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security 39 CPNI Good Practice Guide Process Control and SCADA Security 40 21 Steps to Improve Cyber Security of SCADA Networks 41 Krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets og støttesystemer 42 Cyber Security Procurement Language for Control Systems 43 Informationsresurser (urval) 44
Förord Industriella kontrollsystem utgör en kritisk del i de system som försörjer samhället med elektricitet, värme, dricksvatten, bränslen samt transporter av personer och varor. Störningar i industriella kontrollsystem kan medföra allvarliga konsekvenser för samhället. Att öka säkerheten i dessa system är därför ett viktigt mål för MSB:s arbete med samhällets informationssäkerhet. Syftet med det här dokumentet är att ge stöd och öka medvetenheten om behovet av ökad säkerhet i industriella kontrollsystem. En första upplaga gavs ut i oktober 2008 och dokumentet har mottagits väl både nationellt och internationellt. De rekommendationer som ges här stöds av medlemmarna i FIDI-SC 1 och arbetet med dokumentet har underlättats väsentligt av den generösa hjälp som erhållits från forumets representanter. Stockholm i december 2009 Richard Oehme Enheten för samhällets informationssäkerhet MSB 1 MSB, tidigare KBM, driver sedan 2005 forumet FIDI-SC för att öka säkerheten i industriella kontrollsystem. Gruppens arbete bygger på en modell för förtroendebaserad informationsdelning som den brittiska säkerhetsmyndigheten CPNI (Centre for the Protection of National kontrollsystem träffas regelbundet för att dela information och utbyta erfarenheter. I dag deltar följande organisationer i FIDI-SC: E.ON AB, Fortum AB, MSB, Preem Petroleum AB,
Vägledning till ökad säkerhet i industriella kontrollsystem Syfte Syftet med den här vägledningen är att ge stöd i arbetet med att öka säkerheten i industriella kontrollsystem. Kontrollsystem förekommer Frågan om säkerhet i industriella kontrollsystem har fått stor uppmärksamhet under de senaste Den här vägledningen ger grundläggande rekom - mendationer om säkerhet i industriella kontrollsystem. Dokumentet tipsar också om var det går dationer som vi ger ansluter till internationellt Omfattning och urval av referenser Det här dokumentet behandlar säkerhet i indu- om IT-säkerhetsfrågor. rekommendationer som går att tillämpa generellt för att skapa ökad säkerhet i industriella kontroll- Urvalet är även begränsat till svenska och engelska dokument, som i möjligaste mån är fritt tillgängliga via Internet. (Enheten för informationssäkerhet, MSB), (Robert Malmgren AB). Dokumentet består av tre delar: Del A Förutsättningar och sammanfattande rekommendationer. Vänder sig till dig som arbetar med säkerhetsfrågor på ledningsnivå. Del B Rekommendationer och riktlinjer. Vänder sig till dig som arbetar praktiskt med säkerhet i industriella kontrollsystem. Del C Referenslista med kommentarer. YTTERLIGARE INFORMATION bundet och synpunkter på innehållet tas gärna emot. Kontakta FIDI-SC och MSB på följande e-postadress: scada@msb.se
Del A Förutsättningar och sammanfattande rekommendationer
8 Vägledning till ökad säkerhet i industriella kontrollsystem Industriella kontrollsystem Idag är samhällsviktiga verksamheter, såsom distribution av elektricitet och dricks vatten, datorbaserade system för styrning, reglering och övervakning av de centrala fysiska processerna. benämningar på de här datorbaserade styr- och industriella kontrollsystem, men systemen kallas även SCADA-system (Supervisory, control, and data acquisition), processkontrollsystem, industriella informations- och styrsystem, process-it, tekniska IT-system, distribuerade kontrollsystem, inbyggda realtidssystem (RTE) och så vidare. I vissa avseen- vi inte alltid. Figur 1 visar den principiella uppbyggnaden av ett kontrollsystem. Den bakom liggande fysiska processen kan innehålla ett mycket stort antal mätpunkter som kan vara spridda över stora Processgränssnittet, det vill säga sättet att kommunicera verkligheten, utgörs huvudsakligen av sensorer för avläsning och manöverdon för styrning (styrutrustning). kräver stor beräkningskapacitet och data från många olika delar av processen, kan realiseras centrala system lagras och vid hög belastning kan centrala enheter prioritera vilka systemfunktioner som ska ha företräde. Kommunikationerna mellan de olika delarna av kontrollsystemet kan ske på en mängd olika sätt, För att presentera data och interagera med systemet behövs människa-maskingränssnitt. Några av de viktigaste användningsområdena för dessa systemdelar är drifttagning av systemet av processen (att styra och övervaka) samt underhåll av kontrollsystemet (att förändra och uppdatera systemet). De lokala system som samlar in signaler från givare och sänder ut styrsignaler till styrutrustningen kommunikationer med det centrala systemet. De lokala enheterna har ofta både analoga och industriella in- och utgångar och distinktionerna (Intelligent electronic device), PLC (Programmable logic controller) och RTU (Remote terminal unit) blir alltmer otydliga.
Förutsättningar och sammanfattande rekommendationer 9 Figur 1: Schematisk uppbyggnad av ett industriellt kontrollsystem [figuren modifierad från Cegrell och Sandberg (1994)]. hos industriella kontrollsystem i nedanstående punkter: Datainsamling skalning, tidsmärkning, rimlighetsbedömning). Övervakning vakning, gränsvärdesövervakning, prestandaövervakning, händelse- och larmhantering). MER INFORMATION Boyer, S. A. (2004) SCADA: Supervisory control and data acquisition. The Instrumentation, systems, and automation society (ISA), Research Triangle Park, N.C. Cegrell, T. & Sandberg, U. (1994) Industriella styrsystem. SIFU förlag, Borås. Styrning sekvensstyrning). Planering och uppföljning funktionalitet; planering, loggning och historik, uppföljning och analys). Underhåll och förändring drift, uppgradering, hantering av utvecklingsmiljöer).
10 Vägledning till ökad säkerhet i industriella kontrollsystem Säkerhet i industriella kontrollsystem är viktigt! Nedan följer ett antal observationer som alla pekar på behovet av en ökad uppmärksamhet på säkerhet i industriella kontrollsystem. Observationerna är inte givna i prioritetsordning och de överlappar varandra till viss del. Samhällsviktiga verksamheter är beroende av industriella kontrollsystem Industriella kontrollsystem utgör en kritisk del av de system som försörjer samhället med elektricitet, värme, dricksvatten, bränslen samt transporter av personer och varor. Till skillnad från administrativa IT-system, där informationsbehandlingen i sig är slutmålet, kan störningar av kommunikationer, datorsystem eller applikationer i industriella kontrollsystem innebära direkta störningar i den underliggande fysiska processen. Det kan i slutändan leda till leveransavbrott av samhällsviktiga nyttigheter. Integrationen mellan industriella kontrollsystem och administrativa informationssystem ökar kraftigt Processkontrollsystem har tidigare uppfyllt höga säkerhetskrav genom isolering från omvärlden och god fysisk säkerhet. Dagens krav på processorientering ur ett affärsperspektiv leder till en ökad integrering mellan de industriella kontrollsystemen och de administrativa informations- effektivitet görs industriella kontrollsystem även i en allt högre grad tillgängliga via Internet och nerar de industriella kontrollsystemens sårbar- Industriella kontrollsystem moderniseras sakta och hela system byts sällan ut samtidigt Industriella kontrollsystem ingår i systemlösningar med lång livslängd och kan innehålla installerade är avsikten att kontrollsystemet ska ha en hög tillgänglighet och en bra funktionsgrad därför en ovilja att förändra systeminställningar, systemkomponenter och liknande i produktionssatt utrustning, det vill säga efter att systemet tagits i skarp drift. Detta leder ofta till att man inte åtgärdar kända IT-säkerhetshål eller att det tar mycket lång tid innan man gör det. Användandet av standardkomponenter förändrar leverantörernas roll och ökar kraven på användarna Leverantörer av processkontrollsystem har traditionellt sett oftast fungerat som helhetsleverantör, det vill säga att de både har designat och byggt de system de har tillhandahållit. I dag används alltmer standardiserade tekniker och komponenter från den traditionella IT-världen (ofta benämnda Commercial-off-the-shelf, COTS) i industriella som används är operativsystem från Microsoft, IP-baserad kommunikationsteknik och databaslösningar från Oracle. På grund av omställningen till standardkomponenter ändras leverantörernas roll från systemleverantörer till systemintegratörer. Detta kan i sin tur leda till att de får minskad insyn och kontroll över viktiga delar i det integrerade systemet. I förlängningen kräver detta en ökad kunskap om säkerhet i industriella kontrollsystem hos slutanvändare av systemen. Cyberattacker mot industriella kontrollsystem utgör ett verkligt hot Säkerhet ur ett antagonistperspektiv (angriparperspektiv) har inte varit en avgörande fråga vid utvecklingen av industriella kontrollsystem. Säkerhetsmedvetenheten hos såväl utrustnings-, system- och programleverantörer som upphandlare och beställare är ofta svag. Detta innebär att kravställningen kan bli bristfällig och att system inte utformas för att hantera säkerhet på ett för IT-attacker lätt åtkomliga via Internet. När industriella kontrollsystem i allt högre grad kopplas ihop i nätverk, och allt oftare bygger på IT-komponenter av standardtyp, så löper de allt större risk att bli utsatta för cyberattacker.
Förutsättningar och sammanfattande rekommendationer 11 Industriella kontrollsystem har god tillgänglighet vanliga IT-säkerhetsproblem kan leda till driftstörningar Eftersom industriella kontrollsystem används för att övervaka och styra fysiska processer i realtid, så har systemet utvecklats för att upprätthålla en mycket hög tillgänglighet. Traditionella IT-säkerhetsproblem, såsom skadlig kod eller datorintrång, kan i processkontrollsammanhang påverka kontrollsystemens tillgänglighet och deras driftsmässiga bat system få svarstider som är oacceptabla. Det kan i sin tur leda till att insamlingsvärden, larm eller kommandon inte tas emot på det sätt som de ursprungliga konstruktörerna har avsett. Arbetet med säkerhet i industriella kontrollsystem leder till kulturkrockar i säkerhetsorganisationen För att uppnå hög säkerhet i industriella kontrollsystem krävs både kunskap om traditionell IT-säkerhet samt kunskap om processkontrollsystem och den underliggande fysiska processen. Säkerhetsarbetet kräver därför samarbete mellan personer från olika kulturer med olika säkerhetstraditioner och organisatoriska hemvister. Sedvanlig IT-säkerhetskunskap går inte direkt att överföra till processkontrollsystem. Många nyproducerade dokument med säkerhetstips uttrycker sig i termer, eller ger rekommendationer, som kan vara svåra att tillämpa härda ett system det vill säga ta bort onödig, tionsmässigt förbättra den programvara som man använder är ett mycket svårt moment i ett produktionssatt kontrollsystem. Ofta går det inte att göra både av tekniska och juridiska skäl på annat sätt än att systemleverantören, efter en noggrann utvärdering, genomför dessa förändringar. Säkerhet i industriella kontrollsystem uppmärksammas alltmer och detta leder till externa säkerhetskrav att ta fram standarder och rekommendationer för hur man skapar säkerhet i industriella kontrollsystem. Området har även fått stor uppmärksamhet hos många statliga aktörer. Genom att tillämpa ett proaktivt säkerhetsarbete redan i dag kan användare och leverantörer av industriella kontrollsystem aktivt vara med och påverka vilka säkerhetskrav som kommer att ställas på de här systemen i framtiden. Det kan även vara en konkurrensfördel att införa ett systematiskt USA följa standarden NERC CIP. Säkerhet i industriella kontrollsystem är lönsamt, men kräver en god säkerhetskultur och ett långsiktigt engagemang Frågan om säkerhet i industriella kontrollsystem är inte främst ett tekniskt problem. Det handlar huvudsakligen om att få till en bra avvägning mellan risker och kostnader i organisationen. Att bygga upp en säkerhetskultur anpassad för att hantera nutida IT-relaterade sårbarheter är en långsiktig omställningsprocess som organisationen måste utföra med den högsta ledningens säkerhetsfrågor i förväg. Precis som för traditionella IT-system är det mycket dyrare att åtgärda säkerhetsproblem i industriella kontrollsystem efter att systemen har levererats. Den ökade integrationen mellan administrativa informationssystem och kontrollsystem innebär dock inte bara ökade säkerhetsproblem. En ökad integration kan även ge ökad effektivitet och förbättrad lönsamhet, tack vare mer väloptimerade produktionsprocesser. MER INFORMATION Aspekter på antagonistiska hot mot SCADA-system i samhällsviktiga verksamheter. Krisberedskapsmyndigheten, Stockholm. Rapporten kan laddas ned från: www.msb.se Shaw, W. T. (2006) Cybersecurity for SCADA systems. PennWell Corp., Tulsa.
12 Vägledning till ökad säkerhet i industriella kontrollsystem Skillnader mellan administrativa IT-system och industriella kontrollsystem Trots att administrativa IT-system och industriella fortfarande betydande skillnader. I tabell 1 sam- med observationerna som vi presenterade i föregående avsnitt. För att skapa säkerhet i industriella kontrollsystem krävs en god kännedom om deras respektive särdrag. Det är dock mycket viktigt att hålla i minnet att många välkända IT-attacker, konceptuella attackmetoder samt olika alternativ för att missbruka IT-system vilka är klassiska eller standardmässiga i administrativ IT-miljö även fungerar allt oftare i industriella kontrollsystem. MER INFORMATION Systems (ICS) Security. SP 800-82, National Institute of Standards and Technology (NIST), Gaithersburg. Rapporten kan laddas ned från: http://csrc.nist.gov/publications/nistpubs/
Förutsättningar och sammanfattande rekommendationer 13 Tabell 1: Väsentliga skillnader mellan administrativa IT-system och industriella kontrollsystem [Tabellen är modifierad av författarna från NIST (2007)] Kategori Administrativa IT-system Industriella kontrollsystem Prestationskrav Ej realtid Realtid Respons måste vara konsekvent Respons är tidskritisk Höga krav på utförandehastighet Medelhög utförandehastighet acceptabel Fördröjning och jitter kan vara acceptabelt Fördröjning och jitter är allvarliga problem Tillgänglighetskrav Respons i form av omstart är acceptabelt Respons i form av omstart kan vara oacceptabelt p.g.a. tillgänglighetskrav i industriprocessen Riskhanteringskrav Tillgänglighetsavvikelser kan ofta tolereras, beroende på systemets operativa krav Datasekretess (konfidentialitet) och riktighet (integritet) är viktigast Feltolerans är mindre viktig tillfälligt driftstopp är oftast inte en allvarlig risk Störningar måste planeras och schemaläggas dagar/veckor i förväg Säkerhet (safety) är viktigast, både när det gäller människor och produktionssystem Feltolerans är mycket viktig, även kortare driftstopp är oacceptabla Största risk är störningar i affärsverksamheten Största risk är förlust av liv, processutrustning eller produktionskapacitet Säkerhetsarkitektur Primärt fokus är att skydda datorrelaterade tillgångar och information som lagras eller sänds Primärt fokus är att skydda ändutrustning (t.ex. styrutrustning såsom PLC:er) Centrala servrar kan behöva extra skydd Skydd av centrala servrar fortfarande viktigt Säkerhetslösningar Säkerhetslösningar är designade för typiska IT-system Säkerhetsverktyg måste testas för att garantera att de inte äventyrar kontrollsystemets normala drift Tidskritisk interaktion Mindre kritiskt med interaktion i nödlägen Respons på mänsklig eller annan interaktion i nödlägen är kritisk Systemoperation och Change Management Access till systemresurser kan begränsas och kontrolleras i önskad grad Systemen är designade för att använda sig av vanliga operativsystem Uppgradering är enkelt och görs i enlighet med säkerhetspolicy och rutiner automatiska verktyg finns tillgängliga Access till kontrollsystem bör kontrolleras strikt får dock ej störa människa-maskin-interaktion (speciellt viktigt i nödlägen) Specifika och specialanpassade operativsystem samt vanliga operativsystem Uppgradering av programvara bör ske stegvis och kräver ofta medverkan av systemleverantör, exempelvis p.g.a. modifierad hårdvara och programvara Resursbegränsningar Tillräckliga systemresurser finns för att stödja tillägg av tredjepartsapplikationer (säkerhetslösningar) Systemen är designade för specifika industriella processer varför minneskapacitet och beräkningsresurser kan begränsa möjliga säkerhetslösningar Kommunikationer Kommunikationsprotokoll av standardtyp Många skräddarsydda kommunikationsprotokoll (kommersiella), men även standardprotokoll Främst trådbundna nätverk och lokala trådlösa nätverk Kommunikationsnätverken bygger på typisk IT-nätverkspraxis Många olika typer av media för kommunikation, t.ex. optofiber, radiolänk, satellit (även privata nät) Kommunikationsnätverken är komplexa och kräver teknisk kunskap om kontrollsystem Support Många olika varianter och leverantörer Vanligtvis endast ett fåtal leverantörer Livslängd Fysisk tillgång Komponenter och system har kort livslängd (typiskt 3 5 år) Komponenter är oftast lokalt placerade och enkla att nå Komponenter och system har lång livslängd (typiskt 15 20 år) Komponenter kan vara isolerade, geografiskt avlägsna och svåra att nå
14 Vägledning till ökad säkerhet i industriella kontrollsystem God säkerhetskultur en grundförutsättning För att skapa ett väl fungerande arbete med säker het i industriella kontrollsystem behöver organisationen ha en god säkerhetskultur, det vill säga en fungerande generell riskhantering och ett systematiskt informationssäkerhetsarbete. Figur 2 nedan illustrerar relationerna mellan de aktiviteter som bör ingå i en systematisk riskhantering. De rekommendationer som vi ger i den här vägledningen ansluter till ISO:s informationssäker- ledningsmodell för informationssäkerhet som presenteras i ISO/IEC 27001 (SIS, 2006). riskanalyser av IT-system. Krisberedskapsmyndigheten gav ut BITS, Basnivå för informationssäkerhet [KBM (2006)], och ett tillhörande verktyg för informationssäkerhetsanalys (BITS Plus). BITS och BITS Plus gör det enklare att starta informationssäkerhetsarbetet i en organisation, den amerikanska myndigheten NIST:s rapport SP 800-30 som beskriver en generell modell för riskanalys av IT-system, samt SP 800-34 som behandlar kontinuitetsplanering i IT-system (NIST, 2002a; NIST, 2002b). behandlar IT-säkerhet i industriella kontrollsystem. Figur 2: Riskhantering [figuren modifierad av författarna från IEC (1995)] MER INFORMATION IEC (1995) Dependability management part 3: application guide section 9: risk analysis of technological systems. International Electrotechnical Commission (IEC), Geneva. KBM (2006) Basnivå för informationssäkerhet (BITS). KBM rekommenderar 2006:1, Krisberedskapsmyndigheten (KBM), Stockholm. Rapporten kan laddas ned från: www.msb.se NIST (2002a) Risk Management guide for information technology systems. SP 800-30, National Institute of Standards and Technology (NIST), Gaithersburg. Rapporten kan laddas ned från: http://csrc.nist.gov/publications/ nistpubs/800-30/sp800-30.pdf NIST (2002b) Contingency planning guide for information technology systems. SP 800-34, National Institute of Standards and Technology (NIST), Gaithersburg. Rapporten kan laddas ned från: http://csrc.nist.gov/publications/ nistpubs/800-34/sp800-34.pdf SIS (2006) Ledningssystem för informationssäkerhet Krav, Standards Institute (SIS).
Del A Förutsättningar och sammanfattade rekommendationer 15 Sammanfattande rekommendationer för ökad säkerhet i industriella kontrollsystem I avsnitt B ger vi en mer detaljerad vägledning till rekommendationer och etablerade riktlinjer. Här sammanfattar vi de viktigaste rekommendationerna. Urvalet bygger på diskussioner inom FIDI-SC samt erfarenheter från forskning och praktiska projekt som författarna har deltagit i. Det har även stöd i internationella rekommendationer och i välkänd praxis. Nedanstående rekommendationer utgör ett första steg i arbetet med att öka säkerheten i industriella kontrollsystem. Öka medvetenhet i hela organisationen om behovet av säkerhet i industriella kontrollsystem. Detta är en verksamhetskritisk fråga och därför bör högsta ledningen involveras i ett tidigt skede. Genomför grundläggande utbildning kring säkerhet i industriella kontrollsystem. Operatörer av kontrollsystem behöver öka sin kunskap om traditionell IT -säkerhet. ITpersonal behöver mer kunskap om processkontrollsystem och den underliggande fysiska processen. Även personer som är inblandade i upphandling och verksamhetsplanering behöver utbildning i dessa frågor. Håll industriella kontrollsystem separerade från administrativa IT-system i så hög grad som möjligt. Industriella kontrollsystem bör endast i undantagsfall integreras med administrativa ITsystem. Ska detta ändå göras krävs en mycket Ställ säkerhetskrav i all upphandling av industriella kontrollsystem och i serviceavtal. hetsfrågor i förväg. Precis som för traditionella IT-system är det mycket dyrare att åtgärda säkerhetsproblem i industriella kontrollsystem efter att systemen har levererats.
Metod 17 Del B Rekommendationer och riktlinjer
18 Vägledning till ökad säkerhet i industriella kontrollsystem Utgångspunkt för rekommendationer I detta avsnitt ger vi rekommendationer för att öka säkerheten i industriella kontrollsystem. Urvalet av rekommendationer bygger på diskussioner inom forumet FIDI-SC samt erfarenheter från forskning och praktiska projekt som författarna deltagit i. Det har även stöd i internatio- dationerna är inte givna i prioritetsordning och i vissa avseenden överlappar de varandra. De rekommenderade aktiviteterna utgör en del i ett löpande förbättringsarbete. Därför relaterar vi till den välkända Demings kvalitetscykel (Figur 3), även kallad PDCA-modellen (Plan, do, check, act). säkerhet. Målsättningen är att organisationens arbete med säkerhet i industriella kontrollsystem på detta sätt ska kunna få en naturlig koppling till det övriga informations-, säkerhets- och kvalitetsarbetet. Planeringsfasen omfattar att upprätta policy, mål, processer och rutiner. Genomförandefasen omfattar att införa och driva policy, åtgärder, processer och rutiner. Uppföljningsfasen omfattar att övervaka och granska genom att bedöma, mäta och rapportera. Förbättringsfasen omfattar att underhålla och förbättra det vill säga att vidta korrigerande förbättrande åtgärder. I de följande avsnitten ger vi tips på var man kan hitta mer information. De etablerade riktlinjer och standarder vi hänvisar till, beskriver vi närmare i Del C. Dessa benämns på följande sätt: NERC CIP Cyber security standard CIP-002-2 - 009-2 NIST 800-82 Guide to industrial control systems (ICS) security CPNI GPG DOE 21 Steps Good practice guide process control and SCADA security 21 steps to improve cyber security of SCADA networks Figur 3: Vi använder PDCA-modellen (Demings kvalitetscykel) i detta dokument, dels för att betona vikten av att arbetet består av ständiga förbättringar, dels för att strukturera rekommendationerna. OLF 104 PL Krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer Cyber security procurement language for control systems
Rekommendationer och riktlinjer 19 Rekommendationer för ökad säkerhet i industriella kontrollsystem 01 09 Tydliggör roller och ansvar för säker - heten i industriella kontrollsystem 02 10 Upprätta en process för att kartlägga industriella kontrollsystem och för att genomföra riskanalyser 03 11 Upprätta en process för förändringshantering i industriella kontrollsystem 04 12 Upprätta processer för kontinuitetsplanering och incidenthantering i industriella kontrollsystem Genomför riskanalyser av industriella kontrollsystem Genomför regelbunden teknisk säkerhetsgranskning av industriella kontrollsystem och anslutna nätverk Utvärdera löpande industriella kontrollsystems fysiska skydd Kontrollera att endast säkra och relevanta anslutningar till industriella kontrollsystem existerar 05 06 07 08 Inkludera säkerhetskrav i industriella kontrollsystem från början i all planering och upphandling Skapa en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella kontrollsystem Skapa ett djupledsförsvar i industriella kontrollsystem Inför intern och extern intrångsdetektering och incident övervakning dygnet runt i industriella kontrollsystem 13 14 15 Härda och uppgradera industriella kontrollsystem i samverkan med systemleverantörer Följ upp incidenter i industriella kontrollsystem och bevaka säkerhetsproblem i omvärlden Samverka i användarföreningar, standardiserings organ och andra nätverk
Rekommendationer och riktlinjer 21 01 Tydliggör roller och ansvar för säkerheten i industriella kontrollsystem NERC CIP (003-2) NIST SP 800-82 (Kap. 4.2, 6.1, 6.2) CPNI GPG (GPG 4, GPG 7) DOE 21 Steps (No. 12, 16, 20) OLF 104 (No. 1, 3) I många organisationer är processorienterad styrning vanligt när det gäller administrativa ofta utsedda systemägare, informationsägare, förvaltningsansvariga, driftsansvariga, systemadministratörer eller liknande. När det gäller kontrollsystem saknas ofta denna roll- och ansvarsfördelning, det vill säga både ansvarsområden och styrmodeller saknas. Ibland är leverantörsrepresentanter det närmaste en att tillgå. Dessutom kan processingenjörer, utan kunskaper om logisk säkerhet i kontrollsystem, vara de som praktiskt förvaltar systemen. Det här leder till att den egna organisationen har litet eller inget kunnande om de industriella kontrollsystemens IT-tekniska egenskaper. Det i sin tur leder till minskad kontroll och förmåga att styra tekniken och dess användning. Ansvarsfördelningen för dessa säkerhetsfrågor tydliggörs enklast genom att skapa en säkerhetspolicy för industriella kontrollsystem. Denna policy kan antingen vara ett separat dokument, som då måste relateras till organisationens övriga policydokument, eller så kan frågan lösas genom tillägg i organisationens informationssäkerhetspolicy. Roll- och ansvarsfördelningen hos de administrativa informationssystemen och kontrollsystemen bör samordnas. Det bör tydligt framgå vilka sys tem som organisationens centrala IT-stöd förvaltar och vilka system som förvaltas lokalt ute i pro- har koppling till hur organisationen väljer att införa skydd och nivåer av skyddsbarriärer i sin totala IT-miljö. Även om en stor del av de processnära systemen förvaltas lokalt så är det nödvändigt att organisationens centrala IT-stöd ansvarar för den totala integrationen och skapar en sammanhållen syn på säkerhetsfrågorna. Ett viktigt skäl till att det krävs en sammanhållen syn på organisationens informationssäkerhet är att det blir alltmer vanligt med omfattande datautbyten mellan kontrollsystem och administrativa system. Exempel på risker och problem En verksamhet som saknade tydliga roller och ansvarsfördelning för det löpande säkerhetsarbetet genomförde inte nödvändiga uppdateringar av applikationsprogram och saknade processer för att snabbt ta bort föråldrade konton. Detta utnyttjades av en före detta anställd som ville hämnas på sin arbetsgivare. Angreppet möjliggjordes bland annat genom att vederbörandes användarkonton och behörigheter inte hade spärrats. Intrånget kunde ske från distans och angriparen kunde, väl inne i SCADA-systemet, använda sig av befintliga gruppkonton vars lösenord inte hade förändrats sedan han slutade. Verksamheten drabbades av en mycket allvarlig störning när SCADA-systemet attackerades. Skadorna från angreppet blev värre än nödvändigt. Detta eftersom incidenthantering och skadebegränsning fördröjdes av en helt oförberedd verksamhet som saknade kunskap om vilka personer som var behöriga att vidta nödvändiga åtgärder.
22 Vägledning till ökad säkerhet i industriella kontrollsystem 02 Upprätta en process för att kartlägga industriella kontrollsystem och för att genomföra riskanalyser NERC CIP (002-2) DOE 21 Steps (No.13) OLF 104 (No. 2, 3, 11) För att skapa säkerhet i industriella kontrollsystem är det viktigt att upprätta en process för att kartlägga och förstå verksamhetens olika typer av system och verksamheten. Det är väsentligt att verksamhetens processer, system och information analyseras baserat på en förståelse för vilka konsekvenser en felaktig eller störd funktion kan innebära både för den fysiska processen och för organisationen. Detta är en viktig förutsättning för att skapa en rele- system som är mest kritiska respektive vilken information som är mest kritisk. En verksamhets- och systemkartläggning bör resultera i listor över åtkomst- och anslutnings- - tillgängliga diagram över de industriella kontrollsystemen med tillräcklig detaljeringsgrad för att - om operativsystem hos datorresurser, IP-adresser, kommunikationsprotokoll, tekniska uppgifter om lokala enheter, såsom PLC:er och så vidare. För att kunna fastställa den elektroniska säkerhetsperimetern måste alla anslutningar till industriella till samarbetspartners, leverantörer och Internet. Observera att alla trådlösa anslutningar bör behandlas som fjärranslutna punkter. Anslutningar till organisationens administrativa informationssystem (intranät) bör betraktas som Organisationens kritiska tillgångar bör identi- kritiska datorbaserade tillgångarna. Det här för hur riskanalyser ska genomföras och under av riskanalysmetod bör anpassas efter analysens syfte och den tillgängliga informationen. För att göra det smidigt att uppdatera riskanalyserna bör inte en onödigt avancerad riskanalysmetod väljas. Exempel på risker och problem Kontrollsystemen hos en verksamhet betraktades som separerade från övriga datornätverk och därför hade det inte ansetts nödvändigt att förse dessa med någon form av skydd mot skadlig kod. Men när verksamhetens administrativa kontorsnätverk drabbades av skadlig kod slogs även flera av kontrollsystemen ut. Vid en närmare granskning av verksamheten identifierades flera, tidigare okända, kopplingar mellan olika datornätverk. Då dessa inte funnits dokumenterade hade de heller aldrig beaktats vid tidigare säkerhetsanalyser. Följaktligen hade organisationen levt i tron att deras system var betydligt säkrare än vad som var fallet. En av orsakerna till att dessa sårbarheter inte hade identifierats var att organisationen saknade en genomtänkt process för hur och när systemkartläggning och riskanalyser skulle utföras. Det saknades därmed underlag att jämföra och bevaka verksamhetens risker och hur dessa förändrades över tiden. Konsekvensen av detta blev att viktiga delar av kontrollsystemet år från år förblev oskyddade medan ansenliga resurser satsades på att skydda andra informationsresurser, som dock inte var lika kritiska för verksamhetens fortlevnad.
Rekommendationer och riktlinjer 23 03 Upprätta en process för förändringshantering i industriella kontrollsystem NERC CIP (003-2) DOE 21 Steps (No.17) OLF 104 (No. 10, 15) En kontrollerad hantering av förändringar och versioner av parametersättningar, inställnings- undvika störningar, onödig felsökning eller allvarliga problem i industriella kontrollsystem. System och applikationer som organisationer industriprocesser, medför särskilda krav på strikt kontroll över förändringshanteringen. Uppgradering av programvara bör ske stegvis och kräver ofta medverkan av systemleverantörer, både på grund av juridiska och tekniska krav. I processkontrollmiljöer är det viktigt att alla inblandade parter leverantörer, systemansvariga och användare har en korrekt och tionen och driftstatusen hos systemet. Separata test-, utvecklings- och driftsmiljöer är vanliga när det gäller administrativa informationssystem. Tyvärr gäller inte detta industriella kontrollsys- resurser för att skapa förutsättningar för en god förändringshantering i de här systemen. om hur man får tillstånd att göra förändringar i industriella kontrollsystem. Inga förändringar bör vara tillåtna utan att ett formellt tillstånd har givits. Detta bör även gälla tillfälliga förändringar och förändringar av stödutrustning. För att upprätthålla en god säkerhet i kritiska system tillåtet vara förbjudet. Den formella processen för förändringshantering bör åtminstone omfatta en procedur för få tillstånd att göra förändringar, en beskrivning av hur tester före och efter en förändring ska genomföras (inklusive en beskrivning av vilka förändringar som kräver tester i separat testmiljö), krav på hur dokumentation ska uppdateras efter förändringar, samt krav på hur personal ska ta del särskild träning av operatörer). Exempel på risker och problem En verksamhets industriella kontrollsystem blev under en period alltmer instabilt med oväntade systemhändelser som följd. Viss funktionalitet försvann och somliga parametersättningar återgick till ordinarie fabriksinställningar. En senare granskning konstaterade att vissa lokala förändringar, som verksamheten själva genomfört i ett kontrollsystem, inte hade rapporterats till systemleverantören. Detta medförde att leverantörens löpande uppgraderingar av programvaran i kontrollsystemet inte hade blivit korrekt verifierade, då testsystemet avvek mot kundens faktiska system. Konsekvenserna förvärrades av att det saknades tydliga rutiner för hur ändringshantering och uppdateringar av kontrollsystemen skulle ske. Leverantörens systemuppdateringar tog bort lokala systemförändringar och vissa av systemets funktioner avaktiverades därmed av misstag. Följden av dessa störningar blev betydande kostnader i form av intäktsbortfall. Dessutom påverkades förtroendet för verksamheten av de oplanerade och oförklarliga driftstoppen. Verksamheten kunde inte hävda att det var leverantören som låg bakom orsaken till störningarna eftersom de själva saknade en tydlig process för sin egen hantering av systemförändringar.
24 Vägledning till ökad säkerhet i industriella kontrollsystem 04 Upprätta processer för kontinuitetsplanering och incidenthantering i industriella kontrollsystem NERC CIP (008-2, 009-2) NIST 800-82 (Kap. 6.2.3) CPNI GPG (GPG 3) DOE 21 Steps (No. 19) OLF 104 (No. 7, 16) För att säkerställa verksamhetens fortlevnad vid allvarligare störningar krävs en kontinuitetsplanering som innehåller tydliga beskrivningar pel på detta är avbrott i kraftförsörjningen, haveri av styrsystem, sjukdom hos operativa nyckelper-soner och så vidare. Förutom att kontinuerligt följa upp och uppdatera kontinuitetsplaner är det viktigt att personalen får öva sin beredskap och att man regelbundet testar att verksamheten kan fungera tillfredsställande i händelse av en kris. För industriella att backuper är utförda och kan användas för att återställa systemen. Några viktiga punkter som bör ingå i kontinuitetsplaneringen är: rutiner för att sköta verksamheten manuellt (driva processen utan datorstöd) rutiner för att återställa både data och processen kontaktuppgifter till operatörer, drifttekniker, övrig personal, leverantörer och support beskrivning av hur centrala komponenter i kontrollsystemet återanskaffas beskrivning av hur, och varifrån, nöddrift genomförs om störningen är allvarlig. Alla oväntade händelser som leder till att en störning uppträder i de industriella styrsystemen, har reducerad funktionalitet, måste dokumenteras för att senare kunna analyseras. En av svårigheterna med incidenthanteringen är att ska kunna fångas in utan att det uppfattas som är det viktigt att motivera organisationen genom att kommunicera syftet med rapporteringen av incidenter samt att återkoppla resultaten av incidenthanteringen. Utan denna kommunikation kan det bli svårt att bevara motivationen att rapportera incidenter och sårbarheter. Exempel på risker och problem En verksamhet fick problem när en nyckelperson som var systemansvarig för ett kritiskt kontrollsystem plötsligt avled i en motorcykelolycka. Han var den enda i verksamheten som hade full vetskap om hur kontrollsystemet hade konfigurerats. Då grundläggande dokumentation om kontrollsystemet inte var uppdaterad, och i vissa fall saknades helt, kunde ingen i verksamheten enkelt ta över hans arbetsuppgifter. Nyckelpersonen hade inte delat med sig mer information än nödvändigt till de andra i organisationen. Han hade därigenom blivit oumbärlig inom organisationen, något som bidrog till att verksamheten blev ytterst sårbar.
Rekommendationer och riktlinjer 25 05 Inför säkerhetskrav i industriella kontrollsystem från början i all planering och upphandling NIST 800-82 (Kap. 6.1.3) CPNI GPG (GPG 6) OLF 104 (No. 8, 9) PL (Alla kapitel) I en verksamhet är det mycket viktigt att säkerhetsfrågor inkluderas i planeringen i ett så tidigt skede som möjligt. Det är svårt och dyrt att uppnå en godtagbar säkerhetsnivå i kontrollsystem i efterhand. Därför bör säkerhetskrav inkluderas från allra första Eftersom många systemlösningar helt eller delvis särskild uppmärksamhet på säkerhetsfrågorna i upphandlingsarbetet. Säkerhet i industriella kontrollsystem bör behandlas uttryckligen i upphandlingsunderlag, test- och överlämnandehantering, kontrakt och styrdokument för underhåll eller driftsuppdrag. Upphandling kan omfatta såväl nyinstallation som lösningar. Säkerhetskrav bör ingå som en viktig del i alla leverantörsavtal, även service- och underhållsavtal. Ett bra tekniskt stöd i all upphandling av kontrollsystem är Cyber security procurement language for control systems (PL). I samband med moderniseringar av kontrollsystem krävs en särskild hänsyn till IT-säkerhetsfrågor. Detta för att förändringarna med största kontrollsystemet på ett sätt som de ursprungliga är det ofta ett underförstått antagande i äldre kontrollsystem att åtkomst till utrustning enbart kan ske via lokal fysisk närvaro. I dag är dock fysisk separation i många situationer inte längre möjlig, utan det handlar snarare om att skapa en logisk separation mellan olika delar av processkontrollsystemen. Kravinsamling bör ske i form av olika kartläggningar samt hot- och riskanalyser. Förutom att leva upp till detaljerade krav på säkerhets- och skyddsfunktioner i system och applikation, bör leverantören även kunna redovisa vilka egna utvecklarhandböcker) som används för att garantera kvaliteten på det egna säkerhetsarbetet. Exempel på risker och problem Efter ett par säkerhetsrelaterade incidenter tvingades en verksamhet att komplettera sitt kontrollsystem med ett par komplexa tekniska säkerhetslösningar. Dessvärre visade det sig att dessa tilläggsbeställningar inte var ordentligt genomtänkta. Detta ledde till att systemet blev onödigt sårbart under hela sin livscykel, bland annat eftersom arbetet med uppdateringar försvårades. Verksamheten kunde inte få den nivå av säkerhet som den önskade sig. Hade verksamheten inte försummat säkerhetskraven vid sin ursprungliga upphandling hade de sannolikt inte drabbats av dessa extra kostnader och troligen även fått ett mer genomtänkt och anpassat säkerhetssystem.
26 Vägledning till ökad säkerhet i industriella kontrollsystem 06 Skapa en god säkerhetskultur och höj medvetenheten om behovet av säkerhet i industriella kontrollsystem NERC CIP (004-2) DOE 21 Steps (No. 21) OLF 104 (No. 5) Det är viktigt att skapa en förståelse för att säkerhet i industriella kontrollsystem är en verksamhetskritisk fråga. Förståelse och attitydpåverkan kräver långsiktiga insatser och högsta ledningens engagemang är, som alltid när det gäller säkerhetsfrågor, mycket viktigt. Dels för att säkerhet i industriella kontrollsystem kräver ökade resurser, dels för att det kräver en samverkan mellan delar av organisationen som inte alltid brukar samarbeta. Organisationen bör etablera ett administrativt säkerhetsprogram för att skapa ett generellt förhållningssätt till IT. Det ger ett bra säkerhetsmedvetande, uppmuntrar till ett kritiskt tänkande samt skapar en positiv attityd till att arbeta med sådant som höjer säkerheten. Exempel på risker och problem För att uppnå hög säkerhet i industriella kontrollsystem krävs både kunskap om traditionell IT-säkerhet, kunskap om processkontrollsystem och den underliggande fysiska processen. Säkerhetsarbetet kräver därför ett samarbete och ett förtroende mellan personer från olika kulturer med olika säkerhetstraditioner och organisatoriska hemvister. Detta kräver regelbunden utbildning och träning, både av IT-personal och av kontrollsystems operatörer. Industriella kontrollsystem ingår i systemlösningar som är mycket långlivade. Det är särskilt viktigt att försöka tänka på hur man kommer att använda, eller missbruka, systemen i framtiden. Många normala aktiviteter kan, på grund av okunskap eller otydliga rutiner, leda till potentiella säkerhetsproblem. En driftstekniker arbetade ute i fält och behövde flytta data mellan två olika IT-miljöer. Normalt använde teknikern en löstagbar hårddisk men denna hade glömts kvar på kontoret och därför kopplades istället en nätverkskabel mellan de två datorerna i de normalt fysiskt separerade nätverken. Efter arbetsdagens slut glömde driftteknikern att ta bort nätverkskabeln. Kontrollsystemet var nu inte längre fysiskt separerat, utan direkt kopplat till verksamhetens kontorsnätverk. Eftersom kontrollsystemet tidigare hade varit fysiskt isolerat hade organisationen inte ansett sig behöva installera några IT-säkerhetsmekanismer på dess processnära nätverk. Verksamheten drabbades av flera oförklarliga driftsstörningar. Genom att verksamheten inte löpande genomförde tekniska säkerhetsgranskningar tog det lång tid innan misstaget upptäcktes.
Rekommendationer och riktlinjer 27 07 Skapa ett djupledsförsvar i industriella kontrollsystem NERC CIP (005-2, 007-2) CPNI GPG (GPG Firewall Deployment) DOE 21 Steps (No. 5, 15) OLF 104 (No. 4, 13) PL (Alla kapitel) En grundläggande princip för att skydda kritiska system är att utforma ett djupledsförsvar (defence- skydd och överlappande säkerhetsmekanismer. Skyddsmekanismerna kan vara av samma typ, av olika typer av kompletterande skyddsmeka- säkerhetsskydd kombinerad med en stark autentisering för åtkomst till IT-systemet. En stark drivkraft inom alla typer av organisationer är en alltmer effektiv informationshantering. Detta innefattar bland annat att koppla ihop informationssystem på ett sådant sätt att dubbelarbete undviks information i ett IT-system ska inte behöva skrivas in manuellt i ett annat system. Äldre kontrollsystem, miljöer, är ofta utvecklade under en tid då fysiskt skydd var det enda de behövde. Logiska skydd var inte ens påtänkta. Kända brister och sårbarheter som åtgärdats i den administrativa IT-miljön för många år Sammankopplingar mellan olika nät kan därför dessa system medför avsevärda risker. En grundlig riskanalys bör därför föregå en integration av kontrollsystem och administrativa IT-system. Ihopkopplingen av systemen kräver dessutom ett IT-säkerhets- Ett moment som förr eller senare måste utföras är att skapa en elektronisk säkerhetsperimeter (logiskt skalskydd) runt processkontroll- och driftsystemen. Det är viktigt att på en konceptuell nivå kunna skilja mellan det som logiskt bildar ett systemlandskap och de övriga systemen inom organisationen. Industriella kontrollsystem bör vara upp- som anpassats efter hur kritiska de olika systemen är. Det betyder att nätverksarkitekturen bör vara segmenterad med överlappande säkerhetsmekanismer, och osäkra tjänster och anslutningar bör placeras i så - begränsat och kontrollerat sätt. Utgående kommunikation från kontrollsystem till affärssystem måste vara begränsad då det gäller tjänster och portar. Det kan även vara lämpligt att använda olika kommunikationsprotokoll för kommunikationen mellan olika delar av nätverket. Om ett protokoll används för kommunikationen mellan protokoll användas för den vidare kommunikatio- tiva informationssystem. Även kommunikationen inom ett kontrollsystem kan behöva skyddas. Kommunikationen mellan Exempel på risker och problem En verksamhet införde logiskt skalskydd i form av en brandvägg för att skydda sig mot externa IT-angrepp. Säkra bakom den nya brandväggen kunde verksamhetens operatörer logga in till alla IT-system med hjälp av ett enda lösenord, sk Single-Sign-On (SSO). Dessutom kunde operatören fjärrstyra anläggningen via Internet över ett virtuellt privat nätverk (VPN). Efter en tid drabbades verksamheten av driftstörningar vilka härstammade från en operatörsdator som i hemmet hade smittats av skadlig kod. Via Internet kunde sedan en angripare få kontroll över operatörsdatorn och avlyssnade både användarnamn och lösenord. Då det saknades ett djupledsförsvar, dvs. att behörigheten enbart var kopplad till ett användarnamn och ett enkelt lösenord, kunde sedan angriparen koppla upp sig mot verksamheten och nå de processnära systemen.
28 Vägledning till ökad säkerhet i industriella kontrollsystem 08 Inför intern och extern intrångsdetektering och incidentövervakning dygnet runt i industriella kontrollsystem NERC CIP (005-2) DOE 21 Steps (No. 8) PL (Kap. 2.2, 3.2, 3.3, 4.4) Till skillnad från incidentuppföljning (omvärldsbevakning) och uppdatering av riskanalyser syftar intrångsdetektering och säkerhetsövervakning till att analysera angreppsförsök och angrepp mot den egna organisationen. Omvärldsbevakningen tillsammans med en god övervakning av de egna systemen och dess kommunikationer ger en god totalförståelse av hotbilder, såsom förändrade attacktrender och aktuell skadlig kod. försök via analys av kommunikationsströmmar (nätbaserade intrångsdetekteringssystem, NIDS), datorsystem eller användningsmönster i en applikation (värddatorbaserade intrångsdetekte- system är så kallade intrångsförhindrande system (IPS), som inte bara kan upptäcka attackförsök, utan även aktivt agerar för att avstyra angrepp. Observera att användande av IPS i kontroll- (så kallade falska positiver). Att säkerhetssystemet oförutsägbart går in och blockerar styrkommandon eller resultatkoder är inte acceptabelt i industriella kontrollsystem. Så kallade honungsfällor kan också användas för att indikera pågående an greppsförsök. En enkel lösning som kan vara lämplig i kontrollsystem är att installera en dator i nätverket som normalt sker (en sådan honungsfälla kallas ibland Canary eller försåtsminering). Redan försök till kommunikation med den här datorn kan vara skäl till att misstänka ett pågående attackförsök eller att en angripare försöker förbereda en attack genom att kartlägga nätverket. Det är viktigt att loggar och spårdata från intrångsdetekteringssystem sparas under så pass efterforskning sätts igång. Det kan i många fall ske månader efter det initiala problemet. Exempel på risker och problem En verksamhet saknade en kontinuerlig bevakning av vilka datorer som anslöts upp mot nätverket. Ingen noterade därför att driftspersonal hade råkat koppla ihop de administrativa nätverken och de processnära nätverken vilket ökade exponeringen av de sårbara kontrollsystemen. En annan verksamhet hade köpt in tjänsten intrångsdetektering av ett IT-säkerhetsbolag men tecknade av kostnadsskäl bara ett avtal som täckte normal kontorstid. Därmed upptäcktes inte de attacker och intrångsförsök som skedde efter kontorstid. Verksamheten blev ett par månader senare angripen under nattetid och systemen blev komprometterade.