Säkerhet i industriella informations- och styrsystem Martin Eriksson -Myndigheten för samhällsskydd och beredskap Foto: Scanpix
IT-baserade system som styr samhällsviktig verksamhet Industriella informations-och styrsystem
Foto: Jack Versloot http://ww.photoree.com/photos/permalink/24075-57779000@n00
SCADA SupervisoryControl and Data Aquisition Betyder egentligen övergripande geografiskt distribuerat styr-och kontrollsystem
Process som ska regleras
Mekanisk pryl som styr den fysiska processen
Givare som mäter processens tillstånd
Styrdator som skickar signaler till den fysiska prylen
Gränssnitt för att styra och övervaka det som händer
Project Shine www.shodanhq.com 7 200 industriella styrsystem i USA var direkt åtkomliga via internet
Project Shine
Fokus på drift och inte på säkerhet
Kulturkrockar
Administrativ IT Informationsoch styrsystem Skydd och antivirus Används nästan alltid Svårt att få till Systemens livslängd 3-5 år Upp till 20 år Outsourcing Vanligt Ovanligt Patchhantering Körs regelbundet Genomförs sällan Förändringshantering Körs regelbundet Utmanande beroende på legacy system Realtidskrav Ovanligt Kritiskt Tillgänglighet Säkerhetskultur Fysisk säkerhet Driftavbrott ofta acceptabelt Hög medvetenhet kring säkerhetsfrågor Ofta bra Korta avbrott kan få ödesdigra konsekvenser Ofta låg medvetenhet kring säkerhetsfrågor Mycket bra men ofta är driftplatser obemannade
Viktigt för MSB för att: Samhällsviktig verksamhet kräver industriella informations- och styrsystem Samhällsviktig verksamhet drivs ofta av privata aktörer
Lösningar
Aktiviteter inom MSB Medvetandehöjning Omvärldsbevakning och informatinosdelning Teknisk samverkansplattform Nationell och internationell samverkan Programutveckling
Teknisk samverkansplattform
Medvetandehöjning
Nationell och internationell samverkan
Programutveckling
Omvärldsbevakning Informationsdelning
Teknisk samverkansplattform Arrangerar kursen Säkerhet i industriella kontrollsystem fyra gånger per år Varje kurstillfälle anpassas utifrån målgrupp Arrangerar tekniska seminarier mot riktade målgrupper Genomför tekniska studier av hård- och mjukvara Pedagogiska demonstrationer Ger stöd till forskning
Medvetandehöjning Deltar vid seminarier och mässor Tagit fram och reviderar SCADA-guiden (3e revisionen på gång) Tar fram ett självmätningsverktyg Tar fram informationsfilmer som riktar sig mot ledningen
Nationell och internationell samverkan Driver samverkansforumet FIDI-SC Deltar i ett antal internationella nätverk Internationella samverkansprojekt bland annat med DHS
Programutveckling
Fokus på drift och inte på säkerhet
Organisation Dålig samverkan mellan IT och processidan Stor skillnad mellan säkerhet i process-it och kontors-it Autonoma lokala operatörer Informationssäkerhet berör hela verksamheten och är svår att placera in i organisationen
Kravställning Svårt att ställa rätt krav på systemleverantörer och -intergratörer Bristande säkerhetskrav i supportavtal Alltid billigare att göra rätt från början
Inbyggda beroenden Kritisk infrastruktur är idag beroende av IT Traditionella samhällsfunktioner kräver IT för att fungera Kunskap pensioneras och systemsamband är så komplexa att manuella alternativ inte fungerar
Sårbarheter i industriella informations- och styrsystem
Sårbarheter i ICS Var femte sårbarhet var kvar 30 dagar efter offentliggörande 65% av sårbarheterna rankas som alvarliga eller kritiska 40% av system som finns tillgängliga via internet är sårbara
Exempel på samhällsviktig verksamhet Processindustri (farliga ämnen) Transport Energiproduktion och -distribution Vatten- och avloppsproduktion Kärnanläggningar Sjukvård
Program för säkerhet i industriella informations- och styrsystem Informations- och styrsystem kontrollerar kritisk infrastruktur Staten har ett ansvar Kritisk infrastruktur drivs av privata aktörer Privat-offentlig samverkan Många internationella leverantörer Internationellt samarbete är viktigt
Övergripande mål Skapa en ökad nationell förmåga att förebygga och hantera ITrelaterade hot mot industriella informations- och styrsystem Utveckla privat-offentlig samverkan Öka den tekniska kompetensen nationellt Sprida information
Övergripande mål Programområden Teknisk samverkansplattform (FOI) Medvetandehöjning Nationell och internationell samverkan Inriktning och programutveckling
Samarbete och informationsdelning kräver egen förmåga Framgång Ta in och vidareförmedla information Samla in och analysera information Generera egen kunskap
Policy / organisation Organisation Dålig samverkan mellan IT-avdelning och processidan Begränsad förståelse från ledningen om säkerhetsfrågor inom SCADA Autonoma lokala operatörer Styrning Ingen informationssäkerhetspolicy som täcker in de processnära systemen Inga tydliga säkerhetskrav Svårt att mäta och följa upp säkerhet Hårda affärsmässiga krav Svårt att räkna hem säkerhetslösningar Vinstkrav driver fram sammanslagningar och integration av verksamheter
Vattenkraftverk Tunnelbaneväxel Ställverk Natriumpump i vattenreningsverk Prioritering på funktion inte säkerhet Styrstavar i kärnkraftverk
Ofta är systemen geografiskt distribuerade
Problemet Säkerheten i industriella informations-och styrsystem ligger ca 10 år efter kontors-it Ofta tillgängliga via internet Allvarliga konsekvenser vid fel eller driftstopp
Teknisk samverkansplattform Arrangerar kursen Säkerhet i industriella kontrollsystem fyra gånger per år Varje kurstillfälle anpassas utifrån målgrupp Arrangerar tekniska seminarier mot riktade målgrupper Genomför tekniska studier av hård- och mjukvara Pedagogiska demonstrationer Ger stöd till forskning
Medvetandehöjning Deltar vid seminarier och mässor Tagit fram och reviderar SCADA-guiden (3e revisionen på gång) Tar fram ett självmätningsverktyg Tar fram informationsfilmer som riktar sig mot ledningen
Nationell och internationell samverkan Driver samverkansforumet FIDI-SC Deltar i ett antal internationella nätverk Internationella samverkansprojekt bland annat med DHS
Nationell och internationell samverkan
Aktiviteter inom MSB