Informations- och cybersäkerhet - Med fokus på processindustrin
Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)
Hur arbetar MSB inom området information- och cybersäkerhet Policy, strategie och inriktning
Strategi, Handlingsplan, Föreskrifter, Analys
Stöd till verksamheters m.fl. förebyggande Informationssäkerhetsarbete
- Förebyggande informationssäkerhets arbete - Kritisk informationsinfrastruktur – SCADA-frågor Kritisk informationsinfrastruktur – SCADA frågor - Kommunikationssäkerhet - e-utveckling - Vård- och omsorg - Standardisering - Medvetandehöjning - RSA – förmågebedömning informationssäkerhet - Utbildning & FoU
Respons och hanterarfrågor -
Nationell operativ samverkansfunktion (NOS) Nationell responsplan CERT-SE Övningar
Supervisory Control and Data Aquisition (SCADA)
Betyder egentligen övergripande geografiskt distribuerat styr- och kontrollsystem
Samhällsviktig verksamhet Exempel på Seveso-anläggningar – Alla har någon form av SCADA system
• • • • • • •
• • • •
Louddens oljedepå på Djurgården i Stockholm. Statoil Sverige AB, Preem AB, OK-Q8 AB och AB Djurgårdsberg (bergrumslagring) på depån. Stenungsund industriområde i Stenungsund. Petrokemi. Bland annat Borealis, Akzo Nobel, Ineos, Perstorp Oxo och AGA Gas AB. Perstorp industriområde i Perstorp. Bland annat Perstorp, Flowcrete, Celanese och Chemiplastica. Yara i Köping. Hantering av ammoniak och ammoniumnitrat i stora mängder. Området Björkborn i Karlskoga. Industriområde med Sevesoverksamheter, Cambrex och Eurenco. Explosivämnes och annan kemikalietilverkning. Ön Händelö i Norrköping. Flera sevesoverksamheter av skiftande slag på litet område, även hamnverksamhet. Som exempel kan nämnas Agroetanol, Styron, Preem oljedepå och Svensk Petroleumförvaltning, Kemira i Helsingborg. Tillverkning, lagring och transport av stora mängder svaveldioxid i tätbebyggt område. Rönnskärverken i Skellefteå. Stora mängder svaveldioxid produceras som biprodukt. AGA Gas AB, olika platser i landet. På flera anläggningar står AGA gas som leverantör av gas till kringliggande verksamheter. SSAB i Luleå. Stor industri i tätbebyggt område. Oljeraffinaderier, exempelvis Nynäs AB i Göteborg och Preem Raff i Lysekil.
Verksamheten för samhällets informations- och cybersäkerhet Verksamhetschef: Richard Oehme
Strategiskt stöd Åke Holmgren
Enheten för systematiskt informationssäkerhetsarbete
Enheten för cybersäkerhet och skydd av kritisk informationsinfrastruktur
Enhetschef: Fia Ewald
Enhetschef: L-G Emanuelson
Enheten för operativ cybersäkerhet och itincidenthantering Nationell operativ samverkansfunktion för informations- och cybersäkerhet (NOS) CERT-SE
Enhetschef: A-M Alverås-Lovén
Hur sårbara är ni? Hot och risker
I den digitala världen!
Vad är ett industriellt informations- och styrsystem?
Något som ska regleras
Något som kan påverka processen
Sensor som kan mäta tillståndet
Styrdator som kan skicka elektriska signaler
Människa-maskin gränssnitt
SCADA-system
Administrativa nätet
Internet
Skilnaden mellan ”styr-it” och ”kontors-it”?
Administrativ IT
Informationsoch styrsystem
Skydd och antivirus
Används nästan alltid
Svårt att få till
Systemens livslängd
3-5 år
Upp till 20 år
Outsourcing
Vanligt
Ovanligt
Patchhantering
Körs regelbundet
Genomförs sällan
Förändringshantering
Körs regelbundet
Utmanande beroende på legacy system
Realtidskrav
Ovanligt
Kritiskt
Tillgänglighet
Driftavbrott ofta acceptabelt
Säkerhetskultur
Hög medvetenhet kring säkerhetsfrågor
Ofta låg medvetenhet kring säkerhetsfrågor
Fysisk säkerhet
Ofta bra
Mycket bra – men ofta är driftplatser obemannade
Korta avbrott kan få ödesdigra konsekvenser
Exempel på hot
Spionage Solstormar Mänskliga faktorn
Insider
Elavbrott
Industriella informationsoch styrsystem
Krigshandling Terrorism Tekniskt haveri Nyfikenhet Naturkatastrof
Sabotage
SCADA-specifika sårbarheter
200
100
2003
2005
2006
2007
2008
2009
2010
2011
2012
2013
Stuxnet (Avsiktligt och mycket avancerat)
Riktad attack mot urananrikningsanläggning i Iran. Genom att slumpmässigt ställa om hastigheten på ett antal centrifuger försenade angriparen irans program för anrikning av uran med två år..
Misslyckat penetrationstest (Oavsiktligt)
Ett konsultföretag skulle genomföra penetrationstester åt en stor gasleverantör. Nättrafiken som uppstod på grund av penetrationstested låste hela SCADAsystemet och gasdistributionen stannade av i fyra timmar.
Indirekta hot - rymdväder
Avloppsvatten släpptes ut i parker i Australien (Avsiktligt – Inte så avancerat)
En missnöjd konsult i Australien fick inte jobb på det kommunala vattenbolaget. Mannen hämnades genom att släppa ut flera miljoner liter avloppsvatten i parker och floder.
Stöd och hjälp
Samhällets informationssäkerhet - Nationell handlingsplan 2012 Strategiska områden Strategi
Informationssäkerhet i verksamheter
Utveckla ramverk för informationssäkerhet
Handlingsplan 2012
Krav på säkerhetsanalyser när säkerhetsskyddsförordningen tillämpas Utveckla metoder för kontinuitetsplanering Stödja arbetet med säker e-förvaltning och säkra e-tjänster Utveckla stöd till särskilda verksamheter Självmätning av informationssäkerhet Förbättra skyddet av personlig integritet som en del i informationssäkerheten Nationell terminologi för informationssäkerhet
Kompetensförsörjning
Utreda samhällets utbildnings- och kompetensbehov inom informationssäkerhetsområdet Öka medvetandet om informationssäkerhet i samhället Utlysning av ramforskningsprogram kring informationssäkerhet Informationsinsats om signalskydd
Informationsdelning, samverkan och respons Ökad samverkan för att förebygga och hantera allvarliga it-incidenter It-incidentrapportering Tekniska detekteringsoch varningssystem Nationell samverkan kring arbetet med informationssäkerhet i EU Planera, genomföra och utvärdera informationssäkerhetsövningar
Kommunikationssäkerhet
Säkerhet i produkter och system
Förebyggande åtgärder för att öka säkerheten i de elektroniska kommunikationerna
Utveckla ett kryptogranskningsregelverk för kommersiella produkter
Åtgärder för att följa upp säkerheten i sektorn elektronisk kommunikation
Ökad användning av CC-evaluerade produkter
Särskild satsning på införande av DNSSEC
Nationellt evalueringslaboratorium
Krypto för skyddsvärda uppgifter
Ökad säkerhet i industriella informations- och styrsystem (SCADA)
Utveckla Swedish Government Secure Intranet (SGSI) Tillgängliga och skyddade kommunikationsinfrastrukturer för offentlig sektor
Program för ökad säkerhet i industriella informations- och styrsystem (SCADA)
Medvetandehöjning
Omvärldsbevakning och informationsdelning
Nationell och internationell samverkan
Teknisk samverkansplattform
Programutveckling
Forum för informationsdelning (FIDI-SCADA)
Forumet startade 2005 och syftar till att förbättra de deltagande organisationernas informationssäkerhet avseende industriella informations- och styrsystem (SCADA) samt att på lämpligt sätt förmedla valda delar av informationen eller resultat av gruppens arbete till andra aktörer i samhället. Forumet arbetar enligt Information Exchange modellen och informationsdelningen sker enligt Traffic Light Protocol (Trafikljusmetoden) vars regler syftar till att balansera behovet av sekretess med fördelarna av informationsdelning
Deltagare: • • • • • • • • • • • •
E.ON AB Fortum AB MSB Norrvatten Preem Petroleum AB, AB Storstockholms lokaltrafik (SL) Stockholm Vatten AB Svenska kraftnät (Svk) Säkerhetspolisen VA Syd AB Vattenfall AB Trafikverket
Vägledning till ökad säkerhet i industriella informations- och styrsystem
Förändringar i nya utgåvan Nytt namn: - Vägledning till ökad säkerhet i industriella informations- och styrsystem Innehåller Riktlinjer för säkerhetsarbetet Innehåller 17 rekommendationer (tidigare 15) Dubbelt så tjock! Refererar nu även till 27000-serien Innehåller en ordlista med definitioner
Vägledning till ökad säkerhet i industriella informations- och styrsystem
1
Säkra ledningens engagemang och ansvar för de industriella informations- och styrsystemen RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en informationssäkerhetspolicy som inkluderar de industriella informations- och styrsystemen.
Ledningen lyfter aktivt fram vikten av att följa informationssäkerhetspolicyn. Ledningen informeras om och godkänner regelbundet uppdaterade riskanalyser och åtgärdsplaner för de industriella informations- och styrsystemen.
Samtliga i ledningsgruppen har en grundläggande förståelse för skillnaderna i säkerhets- och funktionskrav mellan de administrativa systemen och de industriella informationsoch styrsystemen.
Tillbaka
2
Tydliggör roller och ansvar för säkerheten i industriella informations- och styrsystem. RIKTMÄRKEN FÖR SÄKERHETSARBETET Det finns en ansvarig för den övergripande säkerheten i de industriella informations- och styrsystemen. För varje verksamhetskritiskt system finns det en person som är utsedd till systemägare.
Systemägarnas arbetsuppgifter, ansvar, resurser och mandat är tydligt dokumenterade. Alla systemägare är medvetna om sitt ansvar. Det finns dokumenterade krav som ställs på en systemägare, såsom kompetens, utbildning, säkerhetsklassning, etc.
Tillbaka
Informationssäkerhet.se
DISA
MSB:s informationssäkerhetsutbildning för användare på http://disa.msb.se
Består av: • • • •
DISA: Datorstödd informationssäkerhetsutbildning för användare. Ny version 2, som öppen webbtjänst, sedan september 2011
Film Informationstext Frågebank Intyg
Ett säkrare Internet i Sverige.
• Nationell CERT • Statlig CERT MSB/CERT-SE är en teknisk resurs med spetskompetens inom incidentområdet och är tillgänglig för alla organisationer inom Sverige.
Uppgift: Ett huvudansvar för it-incidenthantering inom ramen för MSB breda informationssäkerhetsuppdrag - I detta ingår att agera skyndsamt vid inträffade it-incidenter genom att sprida information samt vid behov medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade.
Vägledningar och annat stöd
msb.se informationssakerhet.se
cert.se
krisinformation.se dinsakerhet.se sakerhetspolitik.se