Säkra leverantörskedjor för styrsystem

Författare:

  • Erik Zouave
  • Margarita Jaitner

Publiceringsdatum: 2019-10-02

Rapportnummer: FOI-R--4759--SE

Sidor: 52

Skriven på: Svenska

Forskningsområde:

  • Informationssäkerhet

Nyckelord:

  • ICS
  • SCADA
  • cybersäkerhet
  • leverantörskedjor

Sammanfattning

En tydlig trend inom inköp, utveckling och drift av industriella informations- och kontrollsystem (ICS) är att leverantörerna representeras av ett stort antal specialister. Detta leder till komplexa leverantörskedjor, vilket innebär ett antal risker för ett ICS, operatören och den övriga verksamheten. Likaså tyder påvisade cyberincidenter på behovet av att ta itu med säkerheten i leverantörskedjorna. Denna rapport inventerar och kategoriserar åtgärder som kan genomföras för att säkra leverantörskedjorna. Rättsliga ramverk samt branschens "bästa praxis", så som standarder och vägledningar, utgör underlaget som används för att identifiera sådana åtgärder. Rapporten föreslår dessutom en generisk modell för den typiska livscykeln av ett ICS för att demonstrera när åtgärderna bör genomföras. Många av åtgärderna bör vara på plats redan tidigt i anskaffningsprocessen, medan andra bör genomföras under ett senare skede i ett ICS livscykel. Rapporten konstaterar att åtgärderna som fastställs i de rättsliga ramverken och branschpraxisen kan delas in i fyra kategorier. Dessa kategorier är: utredning av förhållandet mellan operatören och leverantören; genomförande av relevanta analyser; etablering av policy och åtgärdsplaner; samt specificering av säkerhetskrav.