Hackare fick tillgång till styrsystem - säkerheten inom dricksvattenproduktionen behöver prioriteras

- Hur långt man kommit i säkerhetsarbetet kan se ganska olika ut i olika VA-organisationer. Till viss del beroende av vilka resurser man har. Det är ett brett område att arbeta med, det krävs en högre informations­säkerhet i allmänhet samt ökat fokus på cybersäkerhet vilket är starkt kopplat till driftövervakningssystem kombinerat med vår ökade exponering ut mot Internet, förklarar Birger Wallsten, Dricksvattenexpert hos Svenskt Vatten.

Vid cyberattacken mot vattenanläggningen i Florida utnyttjades att en fjärrprogramvara (TeamViewer) på en dator som var exponerad ut mot Internet.  En okänd person på Internet kunde därför koppla upp sig mot styr och övervakningssystemen (vilka kallas SCADA-system) och ta kontroll över anläggningen samt ändrade inställningen för halten av natriumhydroxid (kaustiksoda) till farliga nivåer. Angreppet upptäckes snabbt av en operatör som kunde återställa inställningen.

- I detta fall brast grundläggande säkerhet på flera nivåer. Fjärrinloggningen skyddades inte tillräckligt och gjordes bara via ett användarnamn och lösenord, som dessutom delades av de anställda i driften. Detta är grundläggande misstag som inte håller mot dagens hotbild där angripare snabbt kan söka av hela Internet efter sårbar utrustning,  förklarar Tekn Dr Erik Johansson, Management Doctors AB, säkerhetsexpert inom IT/OT system och en av lärarna på Svenskt Vattens kurs Systematiskt Säkerhetsarbete.

Räkna med att attacken kommer

Säkerhetsarbetet handlar om att förebygga, detektera och upprätthålla verksamheten.

- Har man begränsade resurser så är det första man bör göra att utbilda personalen, tipsar Ola Rodell, Informationssäkerhetssamordnare på Stockholm Vatten och Avfall och lärare på Svenskt Vattens kurs Systematiskt Säkerhetsarbete.

Nästa steg är att dokumentera och analysera nuläget, genomföra risk- och sårbarhetsanalyser och ta bort de värsta säkerhetshålen. Det är även kritiskt att ha fungerande reservrutiner som gör det möjligt att fortsätta verksamheten även då hela eller delar av SCADA-miljön inte fungerar.

- Hur duktig man än är på att förbygga intrång så kommer förr eller senare angripare kunna ta sig in i IT-miljön. Då handlar det om att begränsa skadan och täppa till ”hålet de tagit sig in igenom”. För detta krävs omfattande loggning, förklarar Ola Rodell.

Det finns många säkerhetsbrister i våra automationssystem, vilka inte designats med krav på säkerhet, och med ökad digitalisering samt Internet of things – ökar riskerna, fortsätter Erik Johansson

Nationellt fokus med stöd från Svenskt Vatten

Säkerhetsfrågan har fått större fokus sedan Regeringen under 2020 gav Livsmedelsverket uppdraget att bygga upp en Nationell samordningsgrupp för dricksvatten. I den nationella samordningsgruppen är en av de prioriterade uppgifterna att säkerställa en högre grundläggande säkerhetsnivå. 

- Det sker bland annat genom att öka förståelsen och ta fram riktlinjer gällande informations­säkerheten för uppgifter inom dricksvattenförsörjningen. En viktig start är att vi har samsyn kring informationens betydelse. Svenskt Vatten kan förmedla viktig baskunskap, till exempel genom vår kurs Systematiskt Säkerhetsarbete (som ges online) och att vi lär av varandra inom t ex Säkerhetsnätverket, berättar Birger Wallsten, Dricksvattenexpert hos Svenskt Vatten.

Fem viktiga råd:

1)      Utbilda er organisation om aktuell hotbild och säkerhetsfrågor.

2)      Isolera och segmentera nätverk för SCADA- och automationssystem.

3)      Inför säkrare rutiner för behörighetskontroll på individnivå. Kräv alltid tvåstegsautentisering för all inloggning på distans. Begränsa behörigheterna - tillåt inte mer än absolut nödvändigt.

4)      Övervaka nätverken och säkerställ spårbarhet av allt som sker i nätverken.

5)      Genomför kompletta backuper av alla kritiska system. Förvara backuper ”offline” så att de inte kan angripas och krypteras av ransomware (utpressningsprogramvara). Viktigt att även löpande testa att återställa data från backuper.