NCS3 – Förstudie om cybersäkerhet i dricksvattenverk
Publiceringsdatum: 2024-05-02
Rapportnummer: FOI-R--5578--SE
Sidor: 63
Skriven på: Svenska
Forskningsområde:
- Informationssäkerhet
- Krisberedskap och civilt försvar
Nyckelord:
- dricksvatten
- cybersäkerhet
- informationsflöden
- cyberfysiska system
- digitalisering
- dricksvattensektorn
- livsmedelsförsörjning
- samhällsviktig verksamhet
- industriella styrsystem
Sammanfattning
Dricksvattenproduktion är en samhällsviktig verksamhet och dricksvatten brukar kallas vårt viktigaste livsmedel. Dricksvatten har även en betydande roll inom industrin. Syftet med denna förstudie att skapa en initial övergripande bild av cyberrisker inom vattenproduktionen kopplat till informationsflöden, kritiska cyberfysiska system, säkerhetsarbete och potentiella konsekvenser av framgångsrika cyberangrepp. Förstudien är till för att stödja Myndigheten för samhällsskydd och beredskap (MSB) med underlag för att stärka skyddet av samhällsviktig verksamhet. För att få en övergripande bild har intervjuer genomförts som primär metod, med komplement av rapporter, dokumentation och hemsidor. Totalt genomfördes intervjuer med fem VA-bolag i Sverige, där respondenterna arbetar med, och har ansvar för, säkerhetsfrågor kring IT1 , OT2 och dricksvattenproduktion. Tillsammans förser de deltagande verksamheterna dricksvatten till cirka 20 % av Sveriges befolkning. Förstudien visar en övergripande bild av aktörer, informationsflöden och cyberfysiska system inom några VA-bolags vattenverk. Den ger en inblick i hur dessa fem VA-bolag i Sverige ser på informations- och kommunikationsflöden i verksamheten, hur säkerhetsarbetet ser ut, vad de har för utbildningsbehov och vilka hot och utmaningar som finns. Studien visar på att digitaliseringen av verksamheten har skapat nya behov av säkerhetsarbete och utbildning gällande IT/OT-säkerhet3 . Digitaliseringen har även lett till svårigheter att rekrytera personal som besitter rätt kompetens och kunskap kring både IT och OT till verksamheten. Samtliga verksamheter arbetar med säkerhet, och IT-säkerhet är något som blivit allt viktigare. Säkerhetsfrågan i vattenverksamheten är komplex då det finns ett stort beroende till andra aktörer, krav från myndigheter samt i att öva på att hantera incidenter. Förstudien har gett en inblick i hur de deltagande verksamheter arbetar med säkerhet, men underlagets storlek medger inte slutsatser rörande branschen i stort. Det finns flera fördjupningar att göra inom området och studien avslutas med förslag på vidare arbete.