El, vatten och kommunikation. Det är några av de saker som vi behöver i vårt samhälle idag för att kunna leva som vi vill, samt i vissa fall överleva. Därför är kritisk infrastruktur så som el, vatten och kommunikation attraktiva mål för attackerare som vill skapa oro och instabilitet i samhället. Det är av största vikt att aktörer inom kritisk infrastruktur är beredda och ser till att skydda det som är allra mest känsligt för att samhället ska fungera!
Attacker mot vattenbolag
En attack mot ett vattenbolag som antingen gör vattnet odrickbart eller stör distributionen kan vara katastrofalt för samhället då vi behöver rent vatten för att överleva, samt för att många samhällsviktiga verksamheter ska gå runt.
En incident inträffade i Florida 2021, där en attackerare försökte förgifta dricksvattnet för 15 000 personer. Intrånget upptäcktes av en medarbetare som såg att muspekaren rörde sig av sig själv på skärmen och började öppna program och manipulera systemet. Attackeraren hade lyckats ta sig in genom en mjukvara och därmed fått tillgång till andra delar av systemet.
Attacken gick ut på att attackeraren höjde halten av natriumhydroxid, även känt som lut, i vattnet. Lut tillsätts i vanliga fall i små mängder till vattnet för att reglera surheten i vattnet, men är farligt för människan i större mängder. Attacken kunde dock avbrytas tack vare medarbetaren som såg attacken hända.
För att se till att liknande händelser inte ska kunna ske är en lösning att separera det känsliga OT-systemet som reglerar vattnet, från internet och övriga IT-system. Ett enkelt sätt att göra detta på är att använda sig av en datadiod som är en produkt som säkerställer enkelriktad kommunikation. På så sätt kan man se till att ingenting kan ta sig in i OT-systemet, men man kan exempelvis hämta ut loggar till IT-systemet för att kunna hålla koll på mätvärden med mera.
Läs mer om hur en datadiod fungerar!
Attacker mot energibolag
Även attacker mot energibolag av så pass allvarlig grad att de stör energileveransen till samhället kan vara förödande. Utan elektricitet fungerar mycket lite i vårt samhälle och samhällsviktiga funktioner påverkas.
En nation som fått utstå cyberattacker mot sina energibolag är Ukraina. 2015 blev en cyberattack anledning till ett stort strömavbrott i Ukraina, där 225 000 stod utan el. Attacken tros ha inletts genom malware som levererats via email till anställda på energibolaget. Även 2016 drabbades delar av Kiev av ett strömavbrott vilket sedan visade sig var en cyberattack – strömavbrottet påverkade vissa delar av staden och varade i cirka en timme.
I april 2022 riktades en stor cyberattack mot Ukrainas energiinfrastruktur med syftet att stänga ner hela elnätet. Den skadliga programvaran påverkade dock bara en anläggning innan den stoppades, så det blev inga strömavbrott på grund av denna incident. Hade attackerarna lyckats hade två miljoner människor stått utan elektricitet.
Men hur ska man se till att det inte ens går så här långt? Likadant som för vattenbolag är det en bra lösning för energibolag att segmentera sina nätverk så att OT-nätverket är separerat från resten av nätverksstrukturen. Om en anställd råkar klicka på ett mejl innehållande skadlig kod begränsar man med nätverkssegmentering skadan så att attacken inte når det absolut känsligaste inom organisationen.
Läs mer om säker IT/OT-integration!
Lagar och direktiv
Organisationer inom kritisk infrastruktur har regleringar och lagar som kräver att de tar vissa säkerhetsåtgärder, bland annat NIS-direktivet och Säkerhetsskyddslagen.
NIS-direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. Alla samhällsviktiga företag har nu sex huvudsakliga skyldigheter gällande informationssäkerhet:
- Organisationen har skyldighet att anmäla till tillsynsmyndigheten att de berörs av NIS-regleringen
- Organisationen ska kontinuerligt arbeta strukturerat, metodiskt och riskbaserat med informationssäkerhet enligt vedertagna standardiserade ramverk (ISO 27000-standarden eller motsvarande)
- Årligen analysera verksamhetens risker och upprätta åtgärdsplaner. Dessa ska sedan ligga till grund för val av rätt säkerhetsåtgärder.
- Vidta ändamålsenliga och proportionella åtgärder för att hantera risker som hotar säkerheten
- Vidta lämpliga åtgärder för att förebygga och minimera verkningar av incidenter som påverkar nätverk och informationssystem
- Rapportera incidenter som har en betydande inverkan på den samhällsviktiga tjänsten, tex bortfall eller en störning.
Säkerhetsskyddslagen å andra sidan innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks. Ansvaret för försvaret av vårt samhälle ligger på oss alla men i synnerhet på de organisationer vars verksamhet har stor påverkan på samhället direkt eller indirekt.
Organisationer inom kritisk infrastruktur måste ta ansvar
Alla organisationer, bland annat kritisk infrastruktur, har ett ansvar att se till att våra samhällsviktiga funktioner fungerar. Dessa ska fungera även under kris och krig och då ingår dessa organisationer i civilförsvaret. Eftersom civilt försvar handlar om samhällets motståndskraft är det olika myndigheter, organisationer och företag i branscher som är samhällsviktiga som är prioriterade:
- Energiförsörjning
- Livsmedelsförsörjning och dricksvatten
- Information och kommunikation
- Finansiella tjänster
- Skydd och säkerhet
- Transporter
- Hälso- och sjukvård samt omsorg
Det är dessa sektorers och organisationers ansvar att göra sitt yttersta för att se till att skydda samhällsviktiga funktioner i vårt samhälle. Varje organisation måste ta sitt ansvar och se till att säkra sin känsliga information och skydda känsliga system och nätverk för att se till att verksamheten inte störs. En bra början för alla organisationer är att se över sin informationssäkerhet. Information behöver skyddas så:
- att den alltid finns när vi behöver den (tillgänglighet)
- att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (integritet)
- att endast behöriga personer får ta del av den (konfidentialitet)
Lyssna på vår podd Cyberlandet där vi pratar om vad som hade kunnat hända vid attacker mot kritisk infrastruktur!
Vill du veta mer om attacker mot kritisk infrastruktur och hur du kan skydda dig?
Behöver du hjälp med att skydda din verksamhet? Tveka inte att kontakta oss!
