29 augusti 2017

FOI-rapport visar risker med uppkopplade samhällstjänster

Samhällskritiska tjänster är ofta beroende av informationsteknologier för att fungera effektivt. En rapport från FOI visar att flera av dem är sårbara för cyberangrepp genom internetuppkopplingen.

skärmdumpar på statistik och kartor

Skärmdumpar från Censys och Shodan. Sökresultaten har blivit redigerade.

Elkraft, transport och sjukvård är exempel på samhällskritiska verksamheter som är beroende av informationsteknologier för att fungera effektivt. När dessa ansluts till internet av olika skäl möjliggörs cyberangrepp. Dessutom finns idag internettjänster såsom Censys och Shodan, vilka möjliggör för yttre aktörer att hitta och interagera med känsliga informationsteknologier utan större teknisk kunskap, och därmed potentiellt orsaka stor skada.

I FOI:s rapport ”Internetanslutna styrsystem i Sverige – En studie baserad på databaserna Censys och Shodan” beskrivs teknologierna bakom samhällskritiska och internetanslutna tjänster i Sverige. Resultatet visar att det finns internetanslutna komponenter inom flera sektorer, och att elkraft är den klart mest exponerade sektorn.

– Vi identifierade ett femtiotal komponenter som rörde industriella informations- och styrsystem och som kunde härledas till unika organisationer i Sverige, säger Hannes Holm som är försteforskare på avdelningen för ledningssystem på FOI i Linköping. Skulle vi även ta med de träffar som inte går att härleda till en unik organisation så skulle siffran bli betydligt högre.

Studien kategoriserade internetanslutna komponenter för olika samhällskritiska verksamheter i Sverige enligt de syften de kunde tänkas ha, såsom styrsystem, kontorssystem och kommunikationsutrustning. Arbetet genomfördes med hjälp av organisatoriska nyckelord, tekniska nyckelord, geodata, samt information från Shodan och Censys.

Enligt Hannes Holm finns det ingen anledning att tillgängliggöra känsliga komponenter direkt på internet.

– Alla organisationer som ansvarar för samhällskritiska komponenter bör fundera över hur dessa är anslutna, säger han. Ett viktigt framtida arbete för att minska antalet internetanslutna kritiska system är att sprida information om riskerna med internetanslutna komponenter och ta fram riktlinjer för hur dessa på ett säkert sätt kan anslutas till en verksamhets övriga system.