Informationssäkerhet
Stöd & Vägledning
Säker it-infrastruktur
Vägledning till ökad säkerhet i industriella informations- och styrsystem

Vägledning till ökad säkerhet i industriella informations- och styrsystem

It-teknologins intåg i de industriella processerna skapar nya risker och sårbarheter. I MSB:s ”Vägledning till ökad säkerhet i industriella informations- och styrsystem” presenteras handfasta rekommendationer för hur en verksamhet kan säkra sina styrsystem.

Inledning

Vi har alla lärt oss hur viktigt det är att uppgradera mjukvaran i våra kontorsdatorer. Vi är noga med att virusskydden håller tätt och att inställningarna i brandväggen är korrekta. Men för ett system som styr spänningsnivåerna i en transformatorstation eller reningen av dricksvatten i ett reningsverk gäller ofta andra regler.

Dessa så kallade industriella informations- och styrsystem måste vara i drift dygnet runt, utan att utsättas för störningar. De har också ofta realtidskrav vilket innebär att styrsignalerna måste skickas i exakt rätt tid – kanske på en tusendels sekund. Följden blir att systemen inte kan skyddas på samma sätt som vanliga kontorsdatorer, eftersom det stör kraven på prestanda.

För 30 år sedan var detta inget stort problem eftersom styrsystemen var helt fristående från alla andra system. Så är det inte längre. Numera har de industriella informations- och styrsystemen anslutningar till verksamhetens administrativa nät, som i sin tur har kopplingar mot internet. Detta öppnar upp de känsliga styrsystemen för attacker utifrån.

Om vägledningen

För att kunna ge styrsystemen fullgott skydd krävs idag en djup förståelse för hur både it-säkerhet och industriprocesser fungerar – och framför allt hur de måste samverka. Syftet med vägledningens 17 rekommendationer är att lägga grunden till denna förståelse och därmed bidra till högre säkerhet i systemen. Vägledningen ger också en historisk exposé över it-teknologins intåg i de industriella processerna och vilka konsekvenserna har blivit.

Vägledningen vänder sig främst till verksamhetsledningen, it-säkerhetspersonal och processtekniker.

Vilka står bakom vägledningen?

"Vägledning till ökad säkerhet i industriella informations- och styrsystem” är framtagen av MSB i samverkan med Säkerhetspolisen, Livsmedelsverket, Försvarets radioanstalt, Totalförsvarets forskningsinstitut, Strålsäkerhetsmyndigheten och Svenska kraftnät.

Vägledningen samt ett tillägg finner du här, via msb.se:

Vägledning till ökad säkerhet i industriella informations och styrsystem

Tillägg till Vägledning till ökad säkerhet i industriella informations- och styrsystem

Sammanfattande egenskaper hos industriella informations- och styrsystem

Investeringar

Industriella informations- och styrsystem kräver ofta stora investeringar vilket leder till långa systemlivslängder och avskrivningstider. I och med att verksamheten över tid inför nya arbetsmetoder finns det risk för att den ursprungliga säkerhetsarkitekturen undermineras. Eftersom hot och risker förändras över tid, samtidigt som industriella informations- och styrsystem sällan byts ut, är det viktigt att säkerhetsfrågorna hanteras grundligt i samband med investeringsbeslut, upphandling och införandeprojekt.

Skräddarsydda installationer och anpassad hårdvara

Industriella informations- och styrsystem anpassas ofta för en specifik industriprocess. Det är därför svårt att uppnå den enhetlighet eller skalbarhet som eftersträvas inom traditionell it. Lösningarna innehåller ofta en blandning av standardkomponenter, inbyggda system och leverantörsspecifika hårdvarulösningar. Säkerhetslösningar och förändringsrutiner måste därför anpassas till detta heterogena systemlandskap.

Prestanda och tillgänglighet

Industriella informations- och styrsystem måste i regel leverera exakta svarstider för
att den fysiska processen ska kunna styras korrekt. Tillgänglighetskraven är därför höga och fördröjningar, till exempel på grund av signalstörningar eller otillräcklig bandbredd, är oacceptabla.

Förändringshantering

De höga tillgänglighetskraven gör att det är svårt att uppdatera hård- och mjukvara
i industriella informations- och styrsystem. Uppdateringar, systemförändringar eller service på komponenter och system som påverkar processen måste planeras långt i förväg.