Experternas råd om industriell it-säkerhet

För när de industriella styrsystemen blir en integrerad del av företagens hela it-system kan de också bli tillgängliga via internet. Och det ställer nya krav på att man har full koll på sin verksamhets kritiska tillgångar och hur risker och incidenter ska hanteras.

Experterna i Automationsnästet ger råd kring hur man kan arbeta med it-säkerhetsfrågorna.

Denna veckas expertpanel består av:

• Kristina Blomqvist, programansvarig för Säkerhet i industriella informations- och styrsystem, Myndigheten för samhällsskydd och beredskap.
• Johan Thulin, chefsingenjör, säkerhetssystem, Combitech
• Anne-Marie Eklund Löwinder,  säkerhetschef IIS, Internet- stiftelsen i Sverige.

1. Vilka är de största utmaningarna när det gäller digital säkerhet och tillförlitlighet?

Kristina Blomqvist:

– Utvecklingen av nya produkter och tjänster går snabbt och allt ska vara ”smart”. Att hinna och kunna analysera eventuella konsekvenser av till exempel produktbyten och användandet av molntjänster är svårt. Att ställa tillräckliga säkerhetskrav i upphandlingar och att sedan se till att systemen lever upp till dessa krav är en utmaning. Inom styrsystemvärlden har man ofta en blandning av gammalt och nytt. Att höja säkerheten i den miljön kräver mycket arbete och eftertanke.

Johan Thulin:

– Förutom GDPR, General Data Protection Regulation, som man nog får anse vara årets stora utmaning, är de största utmaningarna som mina kunder hanterar just nu hur de ska höja sin säkerhetsmedvetenhet: att utbilda anställda och hjälpa dem att agera på ett säkert sätt för att möta riktade attacker. Hur man tar kontroll över sina miljöer/nätverk för att märka om man har oönskade gäster är också en utmaning. Frågan är bara hur snabbt man märker att man fått påhälsning.

Anne-Marie Eklund Löwinder:

– Alla pratar om digitalisering och att det behöver göras mer inom säkerhetsområdet. De största utmaningarna är emellertid att det saknas en tydlig strategi för genomförande. Ett av de största hindren är dessutom kompetensbrist. Behovet av att skydda infrastruktur, information och användares personliga integritet växer i takt med att användare kräver snabbare och enklare tillgång till information och tjänster när som helst, hur som helst och var som helst.

Läs mer:

2. Vad kan man göra kortsiktigt för att minska risken för en incident och för att ha koll på sin verksamhets kritiska tillgångar?

Kristina Blomqvist:

– Risk är en sammanvägning av sannolikhet och konsekvens. För att minska sannolikheten bör man se över sin it-arkitektur och genomföra lämpliga förändringar. Begränsa även möjliga attackytor genom att granska vilka inloggningsmöjligheter som finns och hur de administreras. För att lindra konsekvenserna behövs teknik och processer för tidig upptäckt av incident, att man utvecklar hanterandeplaner och sin förmåga att ”komma igen”.

Johan Thulin:

– Det känns egentligen lite sisådär att rekommendera något som kan uppfattas som en ”quick fix” men det skulle i så fall vara att göra en simulerad attack mot externa gränssnitt. Hittar de något så är ni sannolikt redan hackade. Sedan skulle jag rekommendera att ni sätter er ner och identifierar era absolut viktigaste informationstillgångar och gör en hot- och riskanalys över dessa. Sista tipset är nog att se över era backuper.

Anne-Marie Eklund Löwinder:

– Det viktigaste är ledningens stöd. Annars kommer det helt enkelt inte bli långsiktigt utan något som fort prioriteras bort. I nästa steg bör man ge sig på hur man jobbar med it-säkerhet: införa en gedigen och strukturerad process för hur ens system ska bli säkra, både i utveckling och förvaltning. Processen bör även vara riskbaserad, det vill säga hantera de hot som systemet verkligen står inför.

Lyssna på Ny Tekniks Iot-podd här!

3. Vilka råd kan du ge till personer som vill arbeta långsiktigt för att förbättra sin it-säkerhet?

Kristina Blomqvist:

– Säkerställ att hela företaget, från ledningen och nedåt, är med på banan. Tydliggör roller och ansvar även för informations- och styrsystemen. Arbeta med medvetandegörande och kunskapshöjande åtgärder. Skaffa er god kännedom om era system och prioritera och analysera era skyddsvärden. Arbeta sedan systematiskt med skyddet av dessa värden. Konsultera gärna www.msb.se/ics och MSB:s vägledning till ökad säkerhet för mer råd.

Johan Thulin:

– Det finns ingen quick-fix. Det kräver ett systematiskt säkerhetsarbete och att man tydliggör roller och ansvar och tilldelar tid och resurser för säkerhetsarbetet. För att undvika riskerna måste man veta vilka de är och för att ta reda på vilka risker man har måste man ha inventerat vilka skyddsvärda tillgångar som finns i verksamheten. Först då går det att veta när någonting inträffar som kan identifieras som en incident och som behöver hanteras, åtgärdas och följas upp.

Anne-Marie Eklund Löwinder:

– Arbeta systematiskt. Skapa sera egna processer för ständiga förbättringar. Se förbättringsarbetet som en naturlig del i verksamheten och allas ansvar och mandat. Arbeta tillsammans, testa vad som fungerar, dra lärdomar av era och andras erfarenheter, förbättra och testa igen. Det som inte ständigt förbättras kommer till sist att sluta vara bra. Informations- och it-säkerhet är inte bara en fråga för teknikavdelningen, det behöver hanteras på ledningsnivå.

Automationsnästet är ett samarbete mellan Ny Teknik och Automation Region, en organisation som knyter samman företag, myndigheter, forskning och utbildning i ett branschoberoende kluster med fokus på automation.