Med mer frekventa och alltmer aggressiva cyberattacker är IT-arkitekturens sårbarheter ett allvarligt hot för bolag idag.
Energisektorn är särskilt utsatt vilket gör uppgraderad cybersäkerhet till en fråga inte bara om att säkra produktion och affärsvärde, utan också av nationellt intresse för att hålla samhället i gång – och människor säkra.
Hur energibolag kan höja sin cybersäkerhet och bli mindre sårbara
Digitaliserings- och effektivitetskrav innebär att system interagerar i större utsträckning med varandra, internet eller andra miljöer utan att det finns kunskap om potentiella risker. För att höja cybersäkerheten för kritisk infrastruktur i allmänhet måste strikt segmentering av industriella kontrollsystem (ICS/SCADA) tillämpas, vilket kombinerar logisk separation med fysisk separation. Det innebär att man bör hålla separata domäner i arkitekturen isolerade och endast låta mycket specifik information flöda däremellan. Ett effektivt sätt att uppnå detta är genom att använda produkter som ersätter manuell hantering av information och ansluter OT- till IT-system med bibehållen hög säkerhetsnivå.
Det allra viktigaste är att isolera de olika ICS/SCADA-domänerna inom arkitekturen och bara låta specifikt utvald information överföras på ett säkert och kontrollerat sätt.
Säkra Industrial Control Systems (ICS)
För att skydda ICS-system (Industrial and Control Systems) och SCADA-system (Supervisory and Control Data Acquisition) behöver högassuranslösningar användas vid segmentering för att skydda den fysiska isoleringen och samtidigt möjliggöra en säker och pålitlig kommunikation.
Nästa prioritet är loggning. Genom att övervaka inloggningar, misslyckade inloggningsförsök, transaktioner, USB-användning etc. kan effektiva förebyggande åtgärder kartläggas och vid behov även införas omedelbart. Datans karaktär och arkitekturen kring loggdatainsamling gör emellertid loggservrar till en måltavla för attackerarna. Logghanteringssystemen blir alltså en måltavla och måste således vara tillräckligt skyddade. För att säkerställa integritet och säkerhet krävs därför hösassuranslösningar.
Advenicas datadioder skapar en väg där all data endast kan flöda åt ett håll och blockerar därmed allt från utsidan. Om det är nödvändigt med ett dubbelriktat informationsflöde mellan domänerna, krävs ett högassuransfilter så som Advenicas ZoneGuard. Här inspekteras informationen i detalj och den godkänns endast om allt är enligt specifikation. Tack vare detta kan utvald information ändå överföras mellan domäner som inte får kopplas samman.
Säker integration av IT/OT
Operational Technology (OT) är ett begrepp som innefattar alla de delsystem som behövs för att styra och övervaka en fysisk process, exempelvis ett kraftverk eller en fabrik. OT består idag oftast av programmerbara styrsystem (PLC:er) och mätdatainsamlings- och kontrollsystem (SCADA). IT refererar till de affärs- och kontorsnära system som de flesta organisationer använder. Här är några lösningar som kan hjälpa till att skapa en säker integration av IT och OT:
Separera IT och OT fysiskt med zonindelning
Genom att separera IT och OT i separata segment kan man undvika att sårbarheter eller störningar inom IT påverkar OT. För att undvika risker som följer av misstag i konfiguration eller funktion bör man använda fysisk segmentering (zonindelning). Det innebär att det är en separat hårdvara som används för IT respektive OT.
Använd datadiod i zongränsen för dataflöden ut från OT
Det säkraste sättet att koppla samman ett datanät, som inte skall kunna påverkas utifrån, med omvärlden är att använda datadioder. Alla dataflöden ut från OT som kan hanteras med datadioder medför en förenklad säkerhetsanalys, helt enkelt därför att datadioden är så lättanalyserad och säker, eller mer korrekt: har så hög assurans.
Tillåta viss information i zongränsen
För de dataflöden där datadioder inte är lämpliga kan man i stället använda system som säkerställer informationsflödet, som till exempel ZoneGuard. För att undvika att skadlig kod kan komma in och påverka processen gäller det att strikt separera och kontrollera alla dataflöden över zongränsen. Den säkraste metoden är att strikt styra den information som tillåts passera zongränsen. Genom att förhindra till exempel transportprotokoll undviker man många av de risker som man annars skulle utsatts för.
Nya regelverk för att minska sårbarheterna
Under senare år har energisektorn granskats av tillsynsmyndigheter gällande informationssäkerhet i förberedelse för exempelvis NIS-direktivet och en striktare nationell säkerhetslagstiftning.
NIS-direktivet
NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Det är viktigt att ta hänsyn till människor, processer och teknik för att säkerställa informationssäkerheten i de berörda organisationerna. Bättre förståelse i allmänhet för information och systemriskklassificering tillsammans med beredskaps- och handlingsplaner för påverkan är nödvändig för att förbättra motståndskraften mot attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. I grund och botten ligger fokus på nätverket och de informationssystem som används.
Säkerhetsskyddslagen
En annan lag som kan vara viktig för er verksamhet är säkerhetsskyddslagen. Lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Säkerhetsskyddslagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.