U

Home » Varför är cybersäkerhet viktigt inom kritisk infrastruktur?

Varför är cybersäkerhet viktigt inom kritisk infrastruktur?

 

Verksamheter inom kritisk infrastruktur är avgörande för vårt samhälle eftersom de tillhandahåller viktiga tjänster såsom el, telekommunikation, transport, vatten etc. Därför är dedikerat arbete med konsekventa cybersäkerhetsåtgärder inom denna sektor av stor vikt.

Verksamheter inom kritisk infrastruktur är avgörande för vårt samhälle eftersom de tillhandahåller viktiga tjänster såsom el, telekommunikation, transport, vatten etc. Dessa tjänster kan vi inte vara utan eller åtminstone så skulle en störning göra livet svårt och till och med påverka vår nationella säkerhet. Därför är dedikerat arbete med konsekventa cybersäkerhetsåtgärder inom denna sektor inte bara intressant för verksamheterna som sådana – utan också en fråga av nationellt intresse.

 

Cybersäkerhet i kritisk infrastruktur

Kritisk infrastruktur, såsom eldistribution, vattenförsörjning, transport och telekommunikation, är beroende av IT-system för styrning, övervakning och drift. Industriella styrsystem som ICS (Industrial Control System) eller SCADA (Supervisory Control And Data Acquisition) är därmed avgörande för att vårt moderna samhälle ska fungera. Dessa funktioner kan vara insamling, behandling och lagring av loggmeddelanden, hantering av enheter på IP-nätverk, fakturering i realtid mm.

Att sköta support på distans innebär lägre kostnader och förbättrar effektiviteten. Men det lämnar även verksamheten mer öppen för informationsläckage och cyberattacker, vilket kan ha förödande effekter. Frågan är hur man skyddar information i verksamheter inom kritisk infrastruktur? Hur skyddar du din verksamhet från hot, samtidigt som du förblir effektiv och kan fortsätta att garantera drifttid?

Lyssna på vårt webinar för att lära dig mer om hoten mot kritisk infrastruktur!

Regelverk för aktörer inom kritisk infrastruktur

Det finns regelverk för aktörer inom kritisk infrastruktur. För att höja cybersäkerheten för kritisk infrastruktur i allmänhet måste strikt segmentering av industriella styrsystem (ICS/SCADA) tillämpas, som kombinerar logisk separation med fysisk separation. Detta innebär att du bör hålla separata domäner i arkitekturen isolerade och endast tillåta mycket specifik information att flöda mellan dem. Ett effektivt sätt att uppnå detta är att använda produkter som ersätter manuell hantering av information och kopplar OT till IT-system på högsta säkerhetsnivå. Skyddssäkerhet innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spionage, sabotage, terrorbrott och andra brott. De senaste årens tekniska utveckling gör att vi behöver bredda säkerhetsbegreppet. Dessutom bör nu även offentliga organisationer och privata företag inkluderas inom ramen för skyddssäkerhet.

NIS-direktivet

Det finns direktiv som aktörer inom kritisk infrastruktur ska följa. Ett exempel är NIS-direktivet som syftar till att påskynda åtgärder och höja EU:s medlemsländers skyddsnivå i förhållande till kritisk infrastruktur. Direktivet ökar med andra ord informationssäkerheten i sektorer som tillhandahåller tjänster för vårt samhälle och ekonomi. Det innebär också att aktörer inom kritisk infrastruktur måste agera för att uppfylla dessa säkerhetskrav.

Något man kan fråga sig när man påbörjar arbetet med att följa NIS-direktivet är vilka delar som är centrala i verksamheten. Detta beror givetvis på vilken organisation det gäller. Den skarpa verkligheten är att ingen har förmågan att skydda alla delar. Tillgångar, hot, risker och riskaptit måste därför noggrant vägas mot varandra för att hitta en rimlig balans och effektiva åtgärder. Det kan också vara bra att fundera över vilka delar som är mest sårbara för cyberattacker. Generellt sett är dataöverföring över nätverk eller kommunikation mellan säkerhetsdomäner mest sårbara. Segmentering och säker dataöverföring är därför ofta avgörande för tillförlitlig drift.

 

Du bör också fråga dig vilken information som är mest värd att skydda – och om du skyddar den tillräckligt bra. Svaret ligger i analysen av dina tillgångar, hot, risker och riskaptit. Genom att förstå en potentiell angripares förmågor och resurser får du en bild av hur ett effektivt försvar måste utformas. Vilken risknivå är rimlig? Utgå från konsekvenserna. Vad har verksamheten inte råd att förlora? Vad kan absolut inte gå fel?

I Sverige , lagen om informationssäkerhet råder för leverantörer av samhällsviktiga och digitala tjänster. Lagen är Sveriges sätt att anta NIS-direktivet. I detta regelverk finns ett antal punkter som tydliggör hur du kan anpassa din verksamhet:

Systematiskt och riskbaserat informationssäkerhetsarbete

Det informationssäkerhetsarbete som utförs avseende informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas till organisationen. När de risker som finns har identifierats ska organisationens ansvar för arbetet med informationssäkerhet tydliggöras, se till att alla resurser finns tillgängliga för att kunna utföra arbetet samt se till att arbetet anpassas och utvärderas.

​Närmare krav på informationssäkerhetsarbetet

Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.

Särskilt om nätverk och informationssystem

Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.

Säkerhetsskyddslagen

För att stärka säkerhetsskyddet föreslog regeringen år 2018 en ny säkerhetsskyddslag. Den nya lagen, säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks. Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.

 

Vilka regelverk gäller för dig?

Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.

För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.

Levererar man samhällsviktiga eller digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.

Hur man skyddar information i kritisk infrastruktur

Datadiode

Datadioder är ett mycket effektivt sätt att skydda dina känsliga system och information. Dioderna tillåter bara data att passera i en riktning. De skyddar känslig infrastruktur som därmed kan hållas igång även under svåra förhållanden.

 

Datadioder är hårdvaruprodukter, även kallade ”unidirectional security gateways”, som installeras mellan två nätverk. De garanterar en förenklad men säker envägsöverföring av data i realtid, vilket skyddar det anslutna systemets integritet/riktighet eller konfidentialitet. Datadioden kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som viktiga informationsflöden bibehålls. Inga obehöriga personer eller processer kan störa dina system heller. Dessutom erbjuder de större effektivitet jämfört med konventionella brandväggar eftersom de inte kan konfigureras för att överföra data i fel riktning. De innehåller inte heller någon programvara som är mottaglig för skadlig kod och därmed kan åsidosätta säkerheten. Konfigurationen är mindre komplex, vilket minimerar risken för mänskliga fel.

 

Säkerhetsportar

I kritisk infrastruktur måste alla anslutningar till och från ICS/SCADA-nätverket säkras så att segmenteringen mellan OT och IT inte kan attackeras. Till exempel är vindkraftsparker beroende av vinden för att generera energi och dessa energianläggningar behöver korrekta prognoser från myndigheter som SMHI för att optimera produktionen. Pålitliga prognoser en dag framåt krävs av nätoperatörer för att starta upp sekundära kraftkällor som kol-, kärnkrafts- eller gasanläggningar vid låga vindhastigheter. Om till exempel denna data manipuleras kan det få katastrofala konsekvenser i det långa loppet.

Det som behövs är en säkerhetsgateway. Advenicas ZoneGuard-teknik är det felsäkra sättet att skydda dina känsliga system. Lösningen tillåter endast godkänd information att passera. Detta gör det svårt för skadlig kod eller destruktiv data att infektera system och inget dataläckage eller datamanipulation kan inträffa. ZoneGuard gör det möjligt för strukturerad information att passera genom systemet, vilket säkrar produktionen, även under svåra förhållanden. ZoneGuards är dubbelriktade säkerhetsgateways som installeras mellan två nätverk. ZoneGuard kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som den behåller tillgången till den kritiska information den behöver för att dess funktioner ska fungera optimalt.

 

Hur man skyddar information inom kritisk infrastruktur

Datadioder

Datadioder är ett mycket effektivt sätt att skydda dina känsliga system och din information på. Dioderna tillåter endast data att passera i en riktning. De skyddar känslig infrastruktur som på så sätt kan hållas igång, även under svåra förhållanden.

Datadioder är hårdvaruprodukter, även kallade ”unidirectional security gateways”, som installeras mellan två nätverk. De garanterar en förenklad men säker enkelriktad överföring av data i realtid, vilket skyddar det anslutna systemets integritet/riktighet eller konfidentialitet. Datadioden kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som viktiga informationsflöden bibehålls. Inga obehöriga personer eller processer kan heller störa dina system. Dessutom erbjuder de större effektivitet jämfört med konventionella brandväggar eftersom den omöjligen kan konfigureras att överföra data åt fel håll. De innehåller heller ingen mjukvara som är mottaglig för skadlig kod och som på så sätt kan åsidosätta säkerheten. Konfigurationen är mindre komplex, vilket minimerar risken för mänskliga fel.

 

Security gateways

I kritisk infrastruktur måste alla anslutningar till och från ICS/SCADA-nätverket säkras så att segmenteringen mellan OT och IT inte kan attackeras. Till exempel är vindkraftsparker beroende av vinden för att generera energi och dessa energianläggningar behöver korrekta prognoser från myndigheter som SMHI för att optimera produktionen. Tillförlitliga prognoser för en dag framåt behövs av elnätsoperatörer för att starta upp sekundära kraftkällor som kol-, kärnkrafts- eller gasanläggningar vid låga vindhastigheter. Om till exempel dessa uppgifter manipuleras kan det i förlängningen få katastrofala konsekvenser.

Det som behövs är en security gateway. Advenicas ZoneGuard-teknik är det felsäkra sättet att skydda dina känsliga system. Lösningen tillåter endast godkänd information att passera. Detta försvårar för skadlig kod eller destruktiv data att smitta system och inget dataläckage eller datamanipulation kan inträffa. ZoneGuard gör det möjligt för strukturerad information att passera genom systemet, vilket säkrar produktionen, även under svåra förhållanden. ZoneGuards är dubbelriktade security gateways som installeras mellan två nätverk. ZoneGuard kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som den bibehåller åtkomst till den kritiska information den behöver för att dess funktioner ska fungera på ett optimalt sätt.

Vanliga användningsfall för kritisk infrastruktur

Säker fjärråtkomst

Många organisationer är beroende av fjärråtkomst via RDP, till exempel för att leverantörer skall kunna utföra underhåll, eller så att driftpersonal skall kunna övervaka en anläggning. Säker fjärråtkomst löser många av de säkerhetsrisker som annars är förknippade med sådana lösningar.

Fjärråtkomst kan göras säker genom att använda RDP och skydda jumpservern med en explicit säkerhetslösning. En sådan lösning är Advenicas ZoneGuard för RDP. Anslutningen från användarens PC görs som vanligt med RDP mot ZoneGuard. Användaren autentiseras, och det säkerställs att anslutningen sker till ett godkänt målsystem och vid en tidpunkt som är tillåten. Därefter säkerställer ZoneGuard att endast skärmbildsinformation tillåts passera från målsystemet till användaren. Åt andra hållet överförs endast tangentbordskommandon och musrörelser. Det är till och med möjligt att begränsa så att till exempel endast vissa tangentbordskombinationer är tillåtna. Ingen annan information tillåts passera, vilket eliminerar riskerna med till exempel generell kommunikation, felkonfigurationer i jumpservern eller dess mjukvara. Likaledes hindras åtkomst till periferienheter som annars hade inneburit ökad risk.

Läs mer om säker fjärråtkomst!

 

IT/OT-integration

Historiskt har OT-system ofta varit helt frikopplade från omvärlden. I takt med samhällets digitalisering har behovet att koppla samman OT med omvärlden ökat. IT och OT kopplas därför samman och ofta använder man samma typ av teknik inom IT och OT. De skilda behoven inom IT och OT leder lätt till tekniska konflikter som kan vara utmanande att hantera.

Separera IT och OT fysiskt med zonindelning: Genom att separera IT och OT i separata segment kan man undvika att sårbarheter eller störningar inom IT påverkar OT. För att undvika risker som följer av misstag i konfiguration eller funktion bör man använda fysisk segmentering (zonindelning). Det innebär att det är separat hårdvara som används för IT respektive OT.

Använd datadioder i zongränsen för dataflöden ut från OT: Det säkraste sättet att koppla samman ett datanät som inte skall kunna påverkas utifrån med omvärlden är att använda datadioder. Alla dataflöden ut från OT som kan hanteras med datadioder medför en förenklad säkerhetsanalys, helt enkelt därför att datadioden är så lättanalyserad och säker. Eller mer korrekt: har så hög assurans.

Tillåta viss information i zongränsen: För de dataflöden där datadioder inte är lämpliga kan man i stället använda system som säkerställer informationsflödet, som till exempel ZoneGuard. För att undvika att skadlig kod kan komma in och påverka processen gäller det att strikt separera och kontrollera alla dataflöden över zongränsen. Den säkraste metoden är att strikt styra den information som tillåts passera zongränsen. Genom att förhindra till exempel transportprotokoll undviker man helt många av de risker som man annars skulle utsatts för.

Läs mer om säker IT/OT-integration!

 

Säker överföring av SCADA-information

Under många år har bolagen som använder SCADA-system gradvis automatiserats. Systemen blir samtidigt alltmer komplexa och styr allt fler samhällskritiska funktioner. Detta gör dem mer sårbara och utmaningen blir att fortsätta digitaliseringen på ett säkert sätt. Samtidigt växer behovet av att kunna överföra informationen till andra nätverk för att kunna arbeta på ett effektivt sätt.

Överföringen av känslig information kan göras genom att använda en lösning som erbjuder säker och filtrerad dubbelriktad kommunikation. En sådan lösning är Advenicas ZoneGuard. ZoneGuard validerar informationsutbytet som sker mellan olika nätverks- och säkerhetsdomäner och säkerställer att organisationers informationspolicys följs vid varje överföring. Lösningen möjliggör således digitaliseringen utan att kompromissa med säkerheten samtidigt som den är flexibel och enkel att justera beroende på din organisations olika behov.

Läs mer om säker överföring av SCADA-information!

 

Säker loggning

De flesta IT-system skapar loggar som möjliggör felsökning och spårbarhet. För att dra bästa nytta av sådana loggar är det viktigt att samla ihop loggar från så många system som möjligt till en gemensam kronologisk lista. Har man säkerhetskänsliga eller zonindelade system och vill genomföra centraliserad logginsamling måste man ta hänsyn till en inbyggd målkonflikt. Loggningen vinner på att ha ett gemensamt system för samtliga zoner/delsystem samtidigt som ett gemensamt system ökar risken för attacker av olika slag.

Centraliserad logginsamling är en uppgift som kan skyddas på mycket kraftfullt sätt med hjälp av datadioder. Alla de zoner som levererar logginformation skyddas med en datadiod vardera. Dataflödet enkelriktas i riktning mot loggsystemet. Ett gemensamt loggsystem kan därmed utnyttjas oavsett hur många zoner som levererar data till loggsystemet. Om någon av zonerna innehåller hemlig information måste antingen loggsystemet skyddas på motsvarande konfidentialitetsnivå, alternativt måste logginformationen från en sådan zon filtreras så att loggsystemet inte kontamineras med hemlig information. Det kan dock leda till att värdet av logginformationen minskar eftersom fritextdata ofta måste filtreras bort, vilket leder till att logginformationen kan bli svårare att tolka.

Läs mer om säker loggning!

 

Behöver du hjälp att säkra era kritiska funktioner? Tveka inte att kontakta oss!

Vill du veta mer om hur du kan skydda din digitala information? Läs mer här!

Kontakta oss

Do you have a question or want to know more about our products? Here you will find all you need to get in touch with the right person at Advenica!

Utforska mer

Within our Learning Center, you will discover everything you require in relation to cybersecurity knowledge. Delve into articles, blog posts, and a plethora of resources available in our Learning Center.

[guides_post_pdf]