Systemen måste skyddas från angrepp

2016-03-10 10:54  

AUTOMATIONSNÄSTET. Allt fler inom industrin talar om cyber security. Eller it-säkerhet, som det kan översättas. Men fortfarande finns stora problem – alla företag ser inte riskerna.

– Automation och industriella kontrollsystem har precis dykt upp på radarn för angriparna, och nivån på skydden ligger där it var för 15 år sedan, säger it-chefen Rikard Bodforss, som också är med i Säkerhetspodcasten.

En stor anledning till att det finns mycket säkerhetsbrister i automationssystem är att de inte designats med krav på säkerhet. Och med Internet of things – som har många fördelar för industrin – ökar riskerna.

Experterna i Automationsnästet ger sina bästa råd kring it-säkerhet.

 

1. Vad menas med cyber security och hur hänger det ihop med automation och it?

Erik Johansson, ansvarig för it-säkerhet på Westermo:

”För Westermo handlar det om att säkra samtliga it-tillgångar som används för över­vakning och kontroll av den fysiska världen. Det gäller genom hela livscykeln och på ett sätt så att de inte kan missbrukas av obehöriga. Och inte av misstag brukas felaktigt av behöriga. Arbetet består till stor del av förvaltning och beredskap för att kunna tillämpa skydds- och detekteringsteknologier på ett effektivt sätt. När man väl upptäcker ett intrång behöver man veta vad man ska göra.”

Mathias Ekstedt, professor, Industrial Information and Control Systems, KTH.

”Det kan översättas med it-säkerhet, vilket handlar om att hålla obehöriga personer ute ur it-system samtidigt som behöriga personer ska ha tillgång till allt de behöver. Automationssystem är it-system. Automationssystem är i dag i hög grad sammankopplade med ”vanliga” kontors-it-system vilket gör att it-säkerhetsfrågan aktualiseras än tydligare. Hur mycket automations-it kan man till exempel komma åt från internet?”

Rikard Bodforss, it-chef på Kretslopp och vatten, Göteborgs stad. Panelmedlem i Säkerhetspodcasten.

”Jag är lite allergisk mot termen ”cyber security”, men det verkar vara den benämning som vinner mest mark. Det handlar om skydd mot digitala hot, det vill säga angrepp från hackare och skadlig kod. Det är otroligt viktigt att ha en genomtänkt säkerhetsstrategi som innefattar it-säkerhet för sina automationssystem. Automation och industriella kontrollsystem har precis dykt upp på radarn för angriparna och nivån på skydden ligger där it var för 15 år sedan.”

 

2. Varför är företagen så pass dåligt skyddade mot cyberangrepp och hur inverkar det på deras produktion och konkurrenskraft?

Erik Johansson:

”Främst av kommersiella skäl. Gick det att tjäna pengar på att skydda sig skulle alla göra det. Nu ser man möjligheter i Internet of things för industrin i stället, vilket tyvärr ökar attackytan och därmed risken. Många större aktörer inom industrin har accepterat sitt ansvar sedan länge, men det är fortfarande långt mellan företagens säkerhetspolicy och förvaltningsbara och effektiva skydd i fält. Det är först när man drabbas märkbart som det får negativ effekt, men då är det ju för sent.”

Mathias Ekstedt:

”Alla företag är inte dåligt skyddade mot alla typer av angrepp. Men en stor anledning till att det finns mycket säkerhetsbrister i automationssystem är att de ursprungligen inte designades med krav på säkerhet. Livslängden på dessa system är lång, både produktsviter från leverantörerna och installerade system hos kunderna, så många brister lever kvar länge. För vårt samhälle är detta direkt farligt. Medvetenheten ökar hela tiden, så snart är säkerhet obligatoriskt, tror och hoppas jag.”

Rikard Bodforss:

”Medvetenheten kring it-hot mot kontrollsystem är fortfarande väldigt låg, även om den har blivit mycket bättre de senaste åren. I dag har de flesta hört talas om Stuxnet, men det görs alldeles för lite för att minska riskerna. Automationsexperter är sällan är bra på it-säkerhet och it-säkerhetsexperter har ingen erfarenhet av industriella kontrollsystem. Brister i it-säkerhet kan göra att ett vanligt virus kan orsaka pro­duktionsstopp eller försämrad kvalitetskontroll.”

 

3. Vad behövs för att förbättra säkerheten och vilka råd kan du ge till företagen?

Erik Johansson:

”Investera i människor och kunskap och hitta partner som gör detsamma! Alla parter måste höja sin förmåga och beredskap för att ägarna av cyberfysiska system ska kunna förvalta de skydd som implementeras. Ställ tydliga krav på era leverantörer som ni själva förstår, kan mäta och hantera. Bidra sedan med er egen kunskap för att höja nivån hos andra. Vi vill alla leva i ett samhälle med de bekvämligheter vi har i dag, men det kräver också att alla tar sitt ansvar och bidrar med sin del.”

Mathias Ekstedt:

”Säkerhetsbrister handlar ofta om misstag i små implementationsdetaljer. Så det är svårt att identifiera dessa brister. Men nu när det smarta samhället kommer att ha (och redan i stor utsträckning faktiskt har) sammankopplade automations- och it-system överallt exploderar också komplexiteten i att överblicka allt detta. Jag ser att en stor utmaning är att hitta bra designstöd för att bygga säkra sådana system av system av system… Således är det också detta område vi forskar inom på KTH.”

Rikard Bodforss:

”Man måste ta med it-risker när man genomför riskanalyser i verksamheten. Om man saknar egen kompetens bör man ta hjälp. Det finns också väldigt bra och konkreta publikationer från bland annat Myndigheten för samhällsskydd och beredskap. Industriella kontrollsystem har en lång livstid men säkerhetsuppdateras inte lika ofta (om alls) som kontors-it. Därför behöver man etablera ett djupförsvar med flera lager av skydd. Upphandlingskraven mot leverantörerna behöver också bli bättre.”

Läs mer: Expertråden som lyfter svenska industriföretag

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Senaste inom

Debatt