Effekten av kurser inom ICS-säkerhet

Författare:

  • Ann-Sofie Stenerus
  • Camilla Trane

Publiceringsdatum: 2017-06-12

Rapportnummer: FOI-R--4433--SE

Sidor: 64

Skriven på: Svenska

Nyckelord:

  • industriella styrsystem
  • ICS
  • IT-säkerhet
  • kurseffekter
  • standarder

Sammanfattning

Genom programmet för ökad säkerhet inom ICS (Industrial Control Systems) arbetar MSB aktivt för att skapa en ökad nationell förmåga att förebygga och hantera IT-relaterade hot mot ICS. I MSB:s vägledningsdokument för området rekommenderas att organisationer regelbundet låter sina medarbetare delta vid utbildningar och övningar inom ICS-säkerhet. MSB finansierar också kurser inom området som NCS31 genomför, till vilka viktiga operatörer har möjlighet att skicka personal. Frågan är vilka effekter som utbildning och övning inom ICS i praktiken har. Tidigare kursdeltagare vid de av MSB finansierade NCS3-kurserna beskriver sammantaget flera exempel på att deras deltagande lett till ett förbättrat säkerhetsarbete inom respektive organisation. Även om effekterna till största del ligger på individnivå, som ökad medvetenhet, beskriver också ett antal av studiens respondenter att kurserna bidragit till faktiska förändringar på organisationsnivå, som exempelvis ökad separering av styrsystem från övriga system. Utbildning som en metod för att öka säkerheten inom ICS, visar studien är en rekommendation som i princip genomgående återfinns i standarder och vägledningsdokument motsvarande den som MSB ger ut. Forskning inom utbildningsområdet bekräftar att deltagande i medvetandehöjande aktiviteter i allmänhet leder till förbättringar i verksamheten. Litteratur saknas dock som visar på hur utbildning och övningar inom ICS påverkar organisationers verksamhet. Rekommendationer om utbildning och övning för ökad säkerhet behöver därför förstås som att de i stort bygger på verksamhetsnära erfarenheter, på vad som har visat sig kunna ha effekt i respektive organisations sammanhang.