Meny

Totalförsvarets forskningsinstitut

11 juni

FOI kartlägger risker för styr- och kontrollsystem

Industriella styr- och kontrollsystem har ofta en lång och komplicerad leverantörskedja. Det innebär risker, som framförallt användare och men även leverantörer bör vara medvetna om, enligt FOI-rapporten ”Säkra leverantörskedjor för styrsystem”.

En generisk modell som demonstrerar hur åtgärder för ICS bör genomföras. I pilarna står det Design och installation, Operation och underhåll, Redesign samt Avveckling.

I FOI:s rapport föreslås en generisk modell som demonstrerar hur åtgärder för ICS bör genomföras under systemets livstid. Bild: FOI.

Industriella styr- och kontrollsystem (ICS) för samhällsviktig infrastruktur – inom exempelvis transportsektorn, banker och sjukvård – byggs ofta av komponenter från många leverantörer, inte sällan från flera länder. Ibland är systemen dessutom en blandning av skräddarsydda komponenter och kommersiella standardkomponenter.

Det skapar komplicerade leverantörskedjor vilket leder till risker för de operatörer som ska driva systemen och den verksamhet som systemen ska styra.

Riskfaktorer är exempelvis att komponenter kan komma från leverantörer i länder som kan ha intresse av att hota eller störa Sverige, där myndigheter kan kräva tillgång till hemlig kod. Men även naturkatastrofer kan också stoppa leveranser. Lägg till att ICS har också ofta en lång livstid, och ska leva över flera generationer traditionella it-system. Den kan innebära att teknisk kunskap om komponenter kan försvinna i samband med it-systemskiften, uppköp, företagskonkurser eller pensionering av nyckelpersoner.

Fysiska skador

De skador som uppstå kan vara fysiska skador på den infrastruktur som systemen styr, exempelvis genom att komponenter överhettas. Ett exempel är Stuxnet, som skadade centrifuger i iranska anrikningsanläggningar. Systemen kan också öppna för rena it-sabotage, som NotPetya där en leverantör för skattebokföring i Ukraina utsattes för virus som spreds till deras kunder.

– NotPetya skapade även konsekvenser utanför Ukraina. Exempelvis ledde det till att Maersk fick problem med sina transporter. I Sverige fick Timrå kommun ett hundratals datorer otillgängliga, med effekter på äldreomsorg och hemtjänst, berättar Erik Zouave, analytiker vid FOI, och som skrivit till rapporten tillsammans med Margarita Jaitner.

Det är Myndigheten för samhällsskydd och beredskap (MSB) som har gett FOI i uppdrag att ta fram ett förslag på hur säkra leverantörskedjor till industriella styr- och kontrollsystem kan skapas. Detta som ett kompletterande underlag för MSB:s arbete med en vägledning för industriella styr- och kontrollsystem.

Operatören ska ha huvudansvaret

En viktig inledning var att reda ut ansvarsförhållandet mellan operatörer och leverantörer av samhällskritisk infrastruktur. För i vissa fall hanterar operatörerna all verksamhet, i andra kan leverantörer även driva systemen.

– Men grundantagandet har varit att det är operatören som äger systemen och är bäst på att respondera vid attacker. Det innebär att det är operatören som bär huvudansvaret, säger Erik Zouave.

Med det antagandet i botten rekommenderar rapporten ett ramverk baserat på it-rätt och branschpraxis som vägs in redan vid kontraktsskrivning mellan leverantör och operatör. Ramverket kan delas in i fyra kategorier:

  • Att förhållandet mellan operatör och leverantör utreds. Det ska göra det tydligt hur operatören uppfattar leverantörens inflytande över operatörens system och vilka risker det innebär.
  • Genomförande av relevanta analyser. Operatörerna ska analysera hot, sårbarhet och risker samt kräva relevant information av leverantörer.
  • Etablering av policys och åtgärdsplaner. Operatörer måste skapa interna regler för ansvar och roller samt planer för hur incidenter ska hanteras.
  • Specificering av säkerhetskrav. Dessa specifikationer ska tas med i en upphandling.

Dela sidan på sociala medier