Skriv ut
REPORTAGE: FYRA ÅR EFTER STUXNET

Omogna regler sänker garden mot stuxnetattacker

Industriella driftsystem kan välja bort det bästa IT-skyddet för att det inte  harmonierar med lagkrav. Erik Johansson – globalt ansvarig för cybersäkerheten i ABB:s produkter för högspänd likström – berättar om en värld som sakta börjar rusta upp sig från i princip ingen cybersäkerhet alls.
Målet att skydda vattenverk, energidistribution och annan infrastruktur mot IT-attacker blir ibland lidande av att regelverken inte hängt med i utvecklingen.

Ett exempel är att datorer som kontrollerar system för eldistribution i Nordamerika ska ha antivirusprogram. Det står i den standard för cybersäkerhet som tagits fram av de amerikanska energiföretagens organisation  – NERC-CIP (North American Electric Reliability Corporation, Critical Infrastructure Protection).

Lagen är i princip bra, eftersom antivirusprogram hindrar svartlistade sabotage- och spionprogram från att installeras. Men det finns ännu bättre skydd än antivirus, och direktivet skapar problem för den som vill använda sådana.

Antivirus skulle exempelvis inte stoppat Stuxnet  – fjärrsabotaget av Irans urananrikning under andra halvan av 00-talet – eftersom det använde okända säkerhetshål.

Erik Johansson, ABB– Regeln är dum eftersom vitlistning skyddar bättre, om man använder det rätt, och dessutom har ett betydligt mindre fotavtryck, säger Erik Johansson.

Vitlistning innebär att endast programvara som explicit räknas upp i en lista får köras.

Antivirus är dessutom intrusivt och kan störa realtidskrav.

– Situationen är extra krånglig genom att reglerna upprätthålls i olika granskningsregioner och reglerna är luddiga och tolkas olika.

– En del regioner är öppna för att man använder ett vettigt skydd – där duger vitlistning. Andra säger ”nej, det står antivirus”.

Lägg till detta det faktum att en del elbolag gör installationer som sträcker sig över regioner med olika regler.

– Som du förstår så leder detta inte till bättre skydd, utan bara regelefterlevnad. Det kostar böter att inte följa reglerna. Man kan säga att konsulterna får betalt för att upprätthålla reglerna snarare än för att skydda, säger Erik Johansson.

SNART ETT ÅR
EFTER SNOWDEN
En viktig effekt av Stuxnet är att den skapat en allmän medvetenhet om att fysiska cyberattacker faktiskt är något mer än en teoretisk möjlighet.

Några år senare kom avslöjandena från NSA-avhopparen Edward Snowden. Därifrån har vi lärt oss om den avancerade arsenal av cyberattackverktyg som existerar och används av NSA.

USA har enligt Snowdendokument redan i smyg tagit kontrollen över tiotusentals datorer och mobiler världen runt. Med nya verktyg hoppas man kunna utöka antalet infektioner till miljoner.

En femtiosidig NSA-katalog från 2008 räknar upp spionmjukvara och -prylar på James Bond-nivå, som organisationens personal kan rekvirera mot prislapp.

– Tänk inte på katalogen som att den handlar om vad NSA kan göra idag, utan snarare om vad alla kan göra i morgon, säger cybersäkerhetsexperten Bruce Schneier om katalogen.

Det är bara en tidsfråga innan andra länder och organisationer har samma kapacitet som NSA.

Detta betyder konkret exempelvis att alla rum där någon har en smarttelefon i fickan bör betraktas som avlyssnade, om där diskuteras affärer på hög nivå. Och har telefonen varit uppe ur fickan är deltagarna fotograferade och rummet kartlagt i tre dimensioner, oavsett om smarttelefonen verkat vara påslagen eller inte.

Enligt Snowden använder NSA sina resurser till industrispionage. USA nekar.

USA tror sig inte vara ensamt om statliga cyberattacker. Landet riktar ofta misstankar mot Kina, framför allt gällande spionage mot företag och militär. Men även för förberedelse för sabotage: i fjol rapporterades om en cyberstöld av bland annat användarnamn och lösenord till kontrollsystem och modemnummer till styrcentraler för amerikansk naturgasdistribution. Spåren ledde till ett kvarter i Shanghai. Kina nekar.

Fallet Snowden satte också fokus på att anställda kan agera i egna syften. Det har gett ett uppsving för loggning: data etiketteras och det sätts upp regler för vad personalen får göra – från filöverföring till skärmdumpar – för att hindra angrepp inifrån.

Automatisk personalövervakning av detta slag är något som mycket väl kan komma att sprida sig utanför NSA  när anläggningar ska cybersäkras i framtiden.
I bästa fall kan man behålla vitlistningen och addera antiviruset.

– Men att tvingas av reglerverket att krångla till sina system – det är kontraproduktivt.

Hur tänkte NERC?

– NERC är elbolagens egen intresseorganisation. När de ska komma överens finns det några stora drakar som får mycket att säga till om, medan andra kanske har vettigare idéer, men mindre att säga till om, säger Erik Johansson.

Nästa version av standarden släpps 1 april 2015 och är bättre – den föreskriver inte specifika skydd mot sabotagekod, bara att de finns.

– Det kommer att gör livet enklare för oss som leverantör.

System som konstrueras idag har ofta redan version 5 i åtanke, bland annat eftersom kraven utökas till att gälla fler delsystem.

Ett annat problem med befintliga regler är att de innehåller kryphål.

De medger undantag från vissa krav där de inte tekniskt möjliga att uppfylla – som exempelvis i de enklare PLC-datorer som är direkt kopplade till maskinerna på golvet.

Detta har dock fått beställare att specificera system som innehåller komponenter som inte kan skyddas tekniskt. För att sänka kostnaderna. Erik Johansson har själv varit med om det.

– Om ni kommer med något annat än PLC:er är vi inte intresserade, fick vi veta.

Ordern gick till en annan leverantör.

De befintliga reglerna – om än luddiga och omoderna – gör trots allt  nytta. Säkerhetstänkandet i den industriella världen ligger ofta långt efter IT-världen.

Stuxnet-attacken – den stora referenspunkten i diskussioner kring cybersäkerhet och industriella system – kom som en väckarklocka. Men ännu har driftcentralerna ofta inte byggts om för att möta IT-hot ens av långt mindre avancerat slag än Stuxnet.

– Även det lilla som görs ökar säkerheten om man inte har någon säkerhet alls innan. I många system lyfts säkerheten ordentligt, säger Erik Johansson.

Han berättar om företaget som trodde sig veta att driftcentralen inte hade kontakt med Internet. För nej, man vill inte ha  driftcentraler kopplade mot Internet. Helst ska det inte ens finnas galvanisk kontakt till någon maskin som är kopplad till Internet.

– Enligt diagrammet var det så. Men en ”fiffig” ingenjör hade kopplat upp mot Internet utan att uppdatera diagrammet.

Där gör NERC-CIP en god insats genom att kräva att alla portar som inte används för driften ska vara stängda, med regelbundna kontroller.

NERC-CIP gäller i Nordamerika, en viktig marknad för ABB. Andra länder har andra regler. Flera standarder är under utveckling. En viktig sådan är exempelvis automationssamfundet ISA:s (International Society of Automation) standard ISA/IEC62443, tidigare känd som ISA99.

För elinfrastruktur som installeras i Sverige finns inga detaljerade regler av amerikanskt slag. Det som finns är föreskrifter från Svenska Kraftnät (SVK) utgående från säkerhetsskyddslagstiftningen. Och SVK-föreskrifter om elberedskap.

– SVK utgår mer från att man ska göra riktiga risk- och sårbarhetsanalyser än att man ska implementera specifika skydd, säger Erik Johansson.

Den utgångspunkten har SVK gemensam med andra industrisektorer i Sverige.

Åke Holmgren, MSB– Olika länder har olika traditioner – det svenska systemet är inte så detaljpreciserat utan handlar mer om funktions- och leveranskrav, berättar Åke Holmgren på Myndigheten för samhällsskydd och beredskap.

– Det skiljer sig självklart även åt mellan olika samhällssektorer i Sverige. Mer detaljerade regler finns i vissa sektorer, exempelvis på kärnkraftsområdet.

MSB publicerade 2009 en vägledning som ger rekommendationer kring säkerhet i industriella styrsystem. Den hänvisar i sin tur till ett antal standarder.

– Vi arbetar överlag mycket med kunskapsstyrning. Man måste se till helheten. I vissa sammanhang fungerar regler, men i andra sammanhang är det andra sätt som gäller för att skapa säkerhet, säger Åke Holmgren.