Hoppa till huvudinnehåll
Verksamheter inom kritisk infrastruktur är avgörande för vårt samhälle eftersom de tillhandahåller viktiga tjänster såsom el, telekommunikation, transport, vatten etc. Dessa tjänster kan vi inte vara utan eller åtminstone så skulle en störning göra livet svårt och till och med påverka vår nationella säkerhet. Därför är dedikerat arbete med konsekventa cybersäkerhetsåtgärder inom denna sektor inte bara intressant för verksamheterna som sådana – utan också en fråga av nationellt intresse.
Cybersäkerhet i kritisk infrastruktur
Kritisk infrastruktur, såsom eldistribution, vattenförsörjning, transport och telekommunikation, är beroende av IT-system för styrning, övervakning och drift. Industriella styrsystem som ICS (Industrial Control System) eller SCADA (Supervisory Control And Data Acquisition) är därmed avgörande för att vårt moderna samhälle ska fungera. Dessa funktioner kan vara insamling, behandling och lagring av loggmeddelanden, hantering av enheter på IP-nätverk, fakturering i realtid mm.
Att sköta support på distans innebär lägre kostnader och förbättrar effektiviteten. Men det lämnar även verksamheten mer öppen för informationsläckage och cyberattacker, vilket kan ha förödande effekter. Frågan är hur man skyddar information i verksamheter inom kritisk infrastruktur? Hur skyddar du din verksamhet från hot, samtidigt som du förblir effektiv och kan fortsätta att garantera drifttid?
Lyssna på vårt webinar för att lära dig mer om hoten mot kritisk infrastruktur!
Regelverk för aktörer inom kritisk infrastruktur
Det finns regelverk för aktörer inom kritisk infrastruktur. För att höja cybersäkerheten för kritisk infrastruktur i allmänhet måste strikt segmentering av industriella kontrollverktygssystem (ICS/SCADA) tillämpas, vilket kombinerar logisk separation med fysisk separation. Det innebär att man bör hålla separata domäner i arkitekturen isolerade och endast låta mycket specifik information flöda däremellan. Ett effektivt sätt att uppnå detta är genom att använda produkter som ersätter manuell hantering av information och ansluter OT- till IT-system på högsta säkerhetsnivå.
NIS-direktivet
Det finns direktiv som aktörer inom kritisk infrastruktur ska följa. Ett exempel är NIS-direktivet som syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Med andra ord ökar direktivet informationssäkerheten inom sektorer som tillhandahåller tjänster för vårt samhälle och ekonomi. Detta betyder även att aktörer inom kritisk infrastruktur måste agera för att möta dessa säkerhetskrav.
Någonting man kan fråga sig när man ska börja arbeta med att följa NIS-direktivet är vilka delar som är centrala för verksamheten. Detta beror förstås på organisationen i fråga. Den krassa verkligheten är att ingen har möjlighet att skydda alla delar. Tillgångar, hot, risker och riskaptit måste därför vägas noga mot varandra för att hitta en rimlig balans och effektiva åtgärder. Det kan även vara bra att fundera över vilka delar som är mest sårbara för cyberattacker. Generellt är dataöverföring via nätverk eller kommunikation mellan säkerhetsdomäner mest utsatt. Segmentering samt säker dataöverföring är därför ofta avgörande för pålitlig drift.
Du bör även fråga dig själv vilken information som är mest skyddsvärd – och om ni skyddar denna tillräckligt väl. Svaret ligger i analysen av dina tillgångar, hot, risker och riskaptit. Genom att förstå en potentiell attackerares förmåga och resurser, får du en bild av hur ett effektivt skydd måste utformas. Vilken risknivå är rimlig? Utgå ifrån konsekvenserna. Vad har verksamheten inte råd att förlora? Vad får absolut inte gå fel?
I Sverige råder lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster. Lagen är Sveriges sätt att anamma NIS-direktivet. I dessa föreskrifter finns ett antal punkter som tydliggör hur man kan anpassa sin verksamhet:
Systematiskt och riskbaserat informationssäkerhetsarbete
Det informationssäkerhetsarbete som bedrivs gällande informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas efter organisationen. När man identifierat de risker som finns ska man tydliggöra organisationens ansvar för arbetet med informationssäkerhet, se till att alla resurser finns för att kunna utföra arbetet, samt se till att arbetet anpassas och utvärderas.
Närmare krav på informationssäkerhetsarbetet
Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.
Särskilt om nätverk och informationssystem
Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.
Säkerhetsskyddslagen
För att stärka säkerhetsskyddet föreslog regeringen år 2018 en ny säkerhetsskyddslag. Den nya lagen, Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks. Säkerhetsskyddslagen kommer att gälla för verksamheter som drivs i såväl offentlig som privat regi och berörda aktörer kan söka stöd och råd från Säkerhetspolisen och Försvarsmakten och övriga tillsynsmyndigheter. Nytt är att verksamheter med skyddsvärda data omfattas, utan att de officiellt har klassats som hemliga. Det kan exempelvis handla om kritisk infrastruktur och deras system för drift, i och med att dessa utgör en potentiell sårbarhet.
Vilka regelverk gäller för dig?
Säkerhetsskyddslagen gäller skydd av verksamhet eller information som kan ha betydelse för Sveriges säkerhet. NIS-direktivet ställer krav kopplat till de nätverk och informationssystem som en verksamhet är beroende av för att leverera samhällsviktiga eller digitala tjänster. Samma nätverk och informationssystem kan omfattas av säkerhetsskyddslagen, som även kan omfatta andra typer av verksamhet. Många organisationer kan alltså beröras av båda regleringarna, men de delar som omfattas av säkerhetsskydd är undantagna från NIS-direktivet.
För att falla under säkerhetsskyddslagen ska man ha verksamhet eller behandla information som faller inom ramen för säkerhetsskydd (se beskrivningen ovan). Detta kan gälla både nätverk, informationssystem och andra delar av verksamheten.
Levererar man samhällsviktiga eller digitala tjänster omfattas man av NIS-direktivet. Kraven i NIS-direktivet gäller endast för de nätverk och informationssystem som leveransen av den samhällsviktiga eller digitala tjänsten är beroende av.
Hur man skyddar information inom kritisk infrastruktur
Datadioder
Datadioder är ett mycket effektivt sätt att skydda dina känsliga system och din information på. Dioderna tillåter endast data att passera i en riktning. De skyddar känslig infrastruktur som på så sätt kan hållas igång, även under svåra förhållanden.
Datadioder är hårdvaruprodukter, även kallade "unidirectional security gateways", som installeras mellan två nätverk. De garanterar en förenklad men säker enkelriktad överföring av data i realtid, vilket skyddar det anslutna systemets integritet/riktighet eller konfidentialitet. Datadioden kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som viktiga informationsflöden bibehålls. Inga obehöriga personer eller processer kan heller störa dina system. Dessutom erbjuder de större effektivitet jämfört med konventionella brandväggar eftersom den omöjligen kan konfigureras att överföra data åt fel håll. De innehåller heller ingen mjukvara som är mottaglig för skadlig kod och som på så sätt kan åsidosätta säkerheten. Konfigurationen är mindre komplex, vilket minimerar risken för mänskliga fel.
Security gateways
I kritisk infrastruktur måste alla anslutningar till och från ICS/SCADA-nätverket säkras så att segmenteringen mellan OT och IT inte kan attackeras. Till exempel är vindkraftsparker beroende av vinden för att generera energi och dessa energianläggningar behöver korrekta prognoser från myndigheter som SMHI för att optimera produktionen. Tillförlitliga prognoser för en dag framåt behövs av elnätsoperatörer för att starta upp sekundära kraftkällor som kol-, kärnkrafts- eller gasanläggningar vid låga vindhastigheter. Om till exempel dessa uppgifter manipuleras kan det i förlängningen få katastrofala konsekvenser.
Det som behövs är en security gateway. Advenicas ZoneGuard-teknik är det felsäkra sättet att skydda dina känsliga system. Lösningen tillåter endast godkänd information att passera. Detta försvårar för skadlig kod eller destruktiv data att smitta system och inget dataläckage eller datamanipulation kan inträffa. ZoneGuard gör det möjligt för strukturerad information att passera genom systemet, vilket säkrar produktionen, även under svåra förhållanden. ZoneGuards är dubbelriktade security gateways som installeras mellan två nätverk. ZoneGuard kopplar bort den kritiska delen av din infrastruktur från andra nätverk samtidigt som den bibehåller åtkomst till den kritiska information den behöver för att dess funktioner ska fungera på ett optimalt sätt.
Behöver du hjälp att säkra era kritiska funktioner? Tveka inte att kontakta oss!
Vill du veta mer om hur du kan skydda din digitala information? Läs mer här!
