4.7 Säkerhet i processnära industriella system

Syftet med avsnittet är att medvetandegöra både ledning och övriga i verksamheten om den ökade betydelsen av säkerheten hos industriella kontrollsystem. Målet är att säkerhetsarbetet ska prioriteras så att IT-relaterade störningar som kan påverka dessa system därmed får små effekter på samhällets dricksvattenförsörjning. 

OT-systemens driftsegenskaper och systemförvaltning prioriterar framför allt hög driftsäkerhet. Notera därför att vissa krav som finns i befintliga informationssäkerhetsstandarder (som exempelvis ISO27000-serien) därmed inte alltid är helt tillämpliga för OT-system. En kompletterande standard som rekommenderas är IEC62443, vilken har fokus på säkerheten hos industriella system, processer och anläggningar. 

De sårbarheter som lyfts fram i avsnittet är bara en liten delmängd av alla sårbarheter som kan vara förknippade med drift och förvaltning av industriella kontrollsystem. För mer information, råd och riktlinjer rekommenderas MSB:s ”Vägledning till ökad säkerhet i industriella informations- och styrsystem” samt Svenskt Vattens egen webbplats där det återfinns fler råd och riktlinjer samt relevanta utbildningar. 

En väsentlig skillnad jämfört med administrativa IT-baserade system är att industriella kontrollsystem styr och övervakar fysiska processer. Om något går fel i dessa system, kan det medföra fysiska konsekvenser, exempelvis en felaktig start av en pump eller öppnande av en ventil, något som i sin tur kan påverka tillgången på dricksvatten. Hänsyn måste alltid tas till den styrda fysiska processen och det är därför inte alldeles enkelt att återställa ett industriellt kontrollsystem efter en störning. 

Industriella kontrollsystem hanterar också stora informationsflöden i realtid, allt för att en operatör ska kunna fatta beslut baserat på en relevant nulägesbild av den fysiska verkligheten. Åtgärder som vidtas behöver ske utan fördröjningar, något som kräver snabbhet och korrekthet i mätningar och överföring av information. Det är dessutom avgörande att dessa system kan prioritera viktiga larm och att mätvärden presenteras utan eftersläpning. För detta krävs korta svarstider och snabba beräkningar. 

Geografiskt spridd utrustning 

Industriella kontrollsystem består ofta av utrustning som är geografiskt spridd för att kunna samla in data från mätpunkter och för att kunna styra ventiler och pumpar. Det krävs pålitlig och robust kommunikation mellan olika delsystem som dessutom rent fysiskt kan befinna sig i en utsatt miljö. Därför används enkla protokoll där data ofta skickas i klartext. Vidare sker kommunikation mellan olika delsystem utan kontroll av om avsändaren är behörig. Fokus är inriktad på att uppnå hög driftsäkerhet eftersom systemen förväntas vara aktiva dygnet runt, året om. För att åstadkomma detta används beprövade produkter. 

Att industriella kontrollsystem baseras på beprövade produkter medför att varken hårdvara eller operativsystem är de absolut senaste på marknaden. De förväntas ge lång livslängd, men åldras allteftersom kompetens och support avtar. 

Saknar traditionell IT-säkerhet 

Generellt är datasäkerheten hos befintliga industriella kontrollsystem låg. Det har flera förklaringar:

• Industriella kontrollsystem har historiskt varit fysiskt separerade från både externa datanätverk och interna administrativa kontorsnätverk. Följaktligen har det inte ställts relevanta säkerhetskrav, vare sig vid upphandling, utveckling eller förvaltning av OT-system. Det är därför ovanligt med IT-säkerhetslösningar, som autentisering, antivirus och kryptering. För att underlätta integration av systemkomponenter och service finns en rad IT-säkerhetsbrister, t ex i form av standardlösenord och klartextmeddelanden och föråldrade operativsystem.
• Fungerande OT-system uppdateras sällan, till skillnad mot administrativa IT-system där uppdateringar sker löpande (exempelvis operativsystem, applikationer och signaturer för antivirusprogram). Bristande uppdateringar medför dessvärre att OT-system i princip alltid innehåller en rad kända IT-sårbarheter som kan utnyttjas vid en cyberattack.
• Organisationen behöver ta fram rutiner och processer för att uppnå bättre skydd av OT-nätverk. I takt med digitaliseringen försvinner separationen mellan olika nätverk och bristerna hos industriella kontrollsystem blir alltför ofta exponerade för en stor mängd av cyberrelaterade hot som förekommer på våra administrativa IT-system och Internet. 

Det krävs därför ett långsiktigt säkerhetsarbete som höjer såväl den tekniska som organisatoriska säkerheten hos industriella kontrollsystem. Detta kan exempelvis innebära tydligare krav på hur säkerheten ska etableras hos systemleverantörer, systemintegratörer och den egna personalen. Det gäller att ta fram en långsiktig strategi som även tar hänsyn till att det finns äldre sårbara kontrollsystem som behöver skyddas och migreras på ett kontrollerat sätt. 

Genom att relativt komplexa industriella kontrollsystem allt oftare består av öppna, integrerade system som även har kopplingar till omvärlden, exponeras de sårbarheter som finns i systemen på ett helt annat sätt än tidigare. Den generella hotbilden i samhället har dessutom ökat under senare år eftersom det i dag inte längre krävs speciellt avancerad kompetens för att kunna angripa och störa en verksamhets industriella processer. 

Specifika tekniska sårbarheter hos industriella kontrollsystem går inte att enkelt sammanfatta i några generella termer eftersom det finns väsentliga skillnader mellan olika anläggningar. Skillnaderna beror på en rad olika faktorer, som exempelvis ursprungligt val av teknisk lösning, systemarkitektur, teknikval som gjorts av leverantörer och entreprenörer, utrustningens ålder, teknisk kompetens vid genomförandet av den aktuella konfigurationen, samt hur det löpande tekniska underhållet och utbildningen av per- sonalen har prioriterats och genomförts. 

En generell sårbarhet, som framför allt har uppmärksammats under senare år, är alltför okritisk och snabb integration av olika delsystem. När industriella kontrollsystem kopplas samman med administrativa kontorsnätverk, medför det även en exponering av de svagheter som finns inbyggda i de befintliga tekniska systemen. Svagheterna beror delvis på grundläggande designbegränsningar som hittills har gjort det svårt att införa traditionella IT-säkerhetsmekanismer hos komponenter i de industriella kontrollsystemen. Detta medför ökade risker för framtida IT-relaterade incidenter. 

Vanliga inbyggda sårbarheter 

Här följer några exempel på vanliga inbyggda sårbarheter som påträffas vid säkerhets- granskningar av industriella kontrollsystem:

• Standardlösenord. Entreprenören och leverantörens serviceorganisation har vissa lösenord kvar i systemet för att underlätta framtida support. Problemen är att de tids nog blir allmänt kända (en sökning på internet kan ofta ge svaret). Därmed blir det svårt att spåra vem som har gjort vad och om det sker obehöriga ändringar. Vissa lösenord förekommer till och med hårdkodade i styrprogrammen; det kan medföra att styrsystemprogram inte fungerar som avsett om dessa lösenord skulle bytas ut.
• Föråldrade operativsystem. Äldre sårbara versioner av operativsystem används trots att det inte längre finns vare sig support eller uppgraderingar att tillgå. En problematik för användare är att en uppgradering till nyare versioner av operativsystem (där säkerheten är högre) oftast inte tillåts av leverantören, eftersom de då inte kan lämna nödvändiga garantier för att styrprogrammet kommer att fungera som det var tänkt.
• Trivial behörighetskontroll. I äldre system används inte MFA utan en enkel inloggning baserad på användarnamn och lösenord. Enkla lösenord går snabbt att knäcka och komplexa lösenord går att få fram genom ’social engineering’, även känt som social ingenjörskonst eller social manipulation. Exempel på detta är ’phisingemail’ (nät- fiske) där oskyldiga användare luras att uppge inloggningsuppgifter. Att lösenorden även delas mellan flera olika system och användare (operatörer) gör att säkerheten med denna form av enkla behörighetskontroll är i det närmaste obefintlig.
• Okrypterad data utan autentisering. Datakommunikationen hos industriella kontrollsystem har historiskt skett i klartext och utan någon form av autentisering. Det innebär att data kan snappas upp, förändras och sedan ”spelas upp” till utrustning som då utför kommandon utan att ens kunna verifiera att ordern kommer från en giltig avsändare.
• Undermålig implementering av kommunikationsgränssnitt. En del OT-komponenter ”mår inte bra” (utrustning kan stanna) när kommunikation inte sker normalt, t ex vid en aggressiv skanning av nätverket. Detta är problematiskt eftersom verksamheten är alltmer beroende av att datasystem är robusta mot kommunikationsstörningar. 

Ett grundläggande problem när det gäller att höja säkerhetsmedvetandet och motivera säkerhetsskyddsarbetet, är att det finns få publika attacker mot industriella kontrollsystem. Samtidigt kan en underskattning av sårbarheter leda till felaktiga prioriteringar och till att sårbara funktioner införs och integreras, vilket kan få allvarliga konsekvenser. Den bristande medvetenheten medför dessutom att potentiella störningar hos kontrollsystemen inte inkluderas vid de risk- och sårbarhetsanalyser som genomförs. En angripare som manipulerar industriella kontrollsystem kan potentiellt skada dyrbar utrustning som tryckstegringspumpar och ventiler i anläggningar. Skadan kan förvärras om utrustningen dessutom är svår att snabbt återanskaffa och installera. 

I detta avsnitt återges ett antal generella administrativa åtgärder med tillhörande exempel som säkerhetsarbetet i en organisation bör fokusera på för att minska sårbarheter och risker. 

Säkerställ rutiner för ändringshantering 

Säkerställ att det finns välförankrade rutiner för ändringshantering som omfattar industriella kontrollsystem. Detta gäller samtliga som hanterar dessa system, såväl inom den egna organisationen som hos leverantörer och entreprenörer. 

Säkerställ rutiner för incidenthantering och kontinuitetshantering 

Säkerställ att verksamheten har relevanta rutiner för hantering av incidenter och kontinuitetsplanering, rutiner som även omfattar industriella kontrollsystem. Det handlar om att säkerställa förmågan att bedriva sin verksamhet trots avbrott, genom att planera för hur viktiga delar av verksamheten kan fortsätta att bedrivas vid förlust av resurser, som exempelvis nyckelpersoner eller viktiga komponenter. Ta lärdom av incidenter genom att etablera processer för att dokumentera dessa och se till att alla händelser kan följas i kronologisk ordning och mellan olika system. 

Säkerställ verksamhetens säkerhetskultur och säkerhetsmognad 

Säkerställ att verksamhetens organisation kontinuerligt utbildas och övas för att öka och behålla en hög säkerhetsmedvetenhet. Här ges ett exempel på hur bristande säkerhets- medvetande i en verksamhet påverkade vilka riskanalyser som genomfördes. 

Skydda anläggningen med en skiktad strategi - försvar på djupet 

För att säkerställa ett optimalt skydd för anläggningen och dess industriella kontrollsystem är det viktigt att implementera en strategi med flera försvarsskikt. Dessa skikt bör verka tillsammans för att säkerställa en så effektiv säkerhet som möjligt. 

Ett exempel på en sådan strategi är att segmentera nätverken och därigenom försvåra och försena intrång av skadlig kod, som virus och maskar. De skadliga programmen har då svårt att sprida sig till hela verksamheten och kan i stället upptäckas och isoleras till en viss del av nätverket. På samma sätt som en lök har flera lager, bör således strukturen för anläggningen och industriella kontrollsystemen skyddas i flera nivåer för att minimera risken för en total kollaps. Genom att säkerställa ett försvar på djupet säkerställer Ni också en högre säkerhet för anläggningen. 

Nedan ges ett exempel när en verksamhet enbart hade ett hårt yttre skydd baserat på en brandväggslösning utan ett djupledsförsvar vilket innebar en falsk trygghet. 

Säkerställ att säkerhetsgranskningar genomförs löpande 

Säkerställ att verksamheten med dess tekniska system och anläggningar löpande kart- läggs, granskas och utvärderas för att verifiera nuläget och att inga allvarliga sårbarheter exponeras. Granskningen ska helst ske tillsammans med oberoende utomstående erfarna experter. En allmän rekommendation är att alla anslutningar till nätverken löpande bör övervakas och att alla anslutningar omsorgsfullt utvärderas. 

Säkerställ att industriella kontrollsystem har ett relevant fysiskt skydd 

Säkerställ att fysiska anslutningar till datanätverk och datorer i det ofta distribuerade processnätverket övervakas och skyddas från fysisk åtkomst. Detta kan ske med larm, kamerabevakning, låsta kabinett och nätverksuttag, löpande tillsyn samt teknisk övervakning av status. 

Exemplet nedan illustrerar risken för angrepp på OT-system, där angripare förvärvar fysisk tillgång till kritiska system och nätverk. Detta visar på vikten av att alltid genomföra omfattande undersökningar och tekniska säkerhetsgranskningar av industriella kontrollsystem, för att minimera risken för obehörig åtkomst och potentiellt katastrofala angrepp.