JavaScript is currently disabled.Please enable it for a better experience of Jumi. Omogna regler sänker garden mot Stuxnet-attacker

Omogna regler sänker garden mot stuxnetattacker

Industriella driftsystem kan välja bort det bästa IT-skyddet för att det inte  harmonierar med lagkrav. Erik Johansson – globalt ansvarig för cybersäkerheten i ABB:s produkter för högspänd likström – berättar om en värld som sakta börjar rusta upp sig från i princip ingen cybersäkerhet alls.
Målet att skydda vattenverk, energidistribution och annan infrastruktur mot IT-attacker blir ibland lidande av att regelverken inte hängt med i utvecklingen.

Ett exempel är att datorer som kontrollerar system för eldistribution i Nordamerika ska ha antivirusprogram. Det står i den standard för cybersäkerhet som tagits fram av de amerikanska energiföretagens organisation  – NERC-CIP (North American Electric Reliability Corporation, Critical Infrastructure Protection).

Lagen är i princip bra, eftersom antivirusprogram hindrar svartlistade sabotage- och spionprogram från att installeras. Men det finns ännu bättre skydd än antivirus, och direktivet skapar problem för den som vill använda sådana.

Antivirus skulle exempelvis inte stoppat Stuxnet  – fjärrsabotaget av Irans urananrikning under andra halvan av 00-talet – eftersom det använde okända säkerhetshål.

Erik Johansson, ABB– Regeln är dum eftersom vitlistning skyddar bättre, om man använder det rätt, och dessutom har ett betydligt mindre fotavtryck, säger Erik Johansson.

Vitlistning innebär att endast programvara som explicit räknas upp i en lista får köras.

Antivirus är dessutom intrusivt och kan störa realtidskrav.

– Situationen är extra krånglig genom att reglerna upprätthålls i olika granskningsregioner och reglerna är luddiga och tolkas olika.

– En del regioner är öppna för att man använder ett vettigt skydd – där duger vitlistning. Andra säger ”nej, det står antivirus”.

Lägg till detta det faktum att en del elbolag gör installationer som sträcker sig över regioner med olika regler.

– Som du förstår så leder detta inte till bättre skydd, utan bara regelefterlevnad. Det kostar böter att inte följa reglerna. Man kan säga att konsulterna får betalt för att upprätthålla reglerna snarare än för att skydda, säger Erik Johansson.

I bästa fall kan man behålla vitlistningen och addera antiviruset.

– Men att tvingas av reglerverket att krångla till sina system – det är kontraproduktivt.

Hur tänkte NERC?

– NERC är elbolagens egen intresseorganisation. När de ska komma överens finns det några stora drakar som får mycket att säga till om, medan andra kanske har vettigare idéer, men mindre att säga till om, säger Erik Johansson.

Nästa version av standarden släpps 1 april 2015 och är bättre – den föreskriver inte specifika skydd mot sabotagekod, bara att de finns.

– Det kommer att gör livet enklare för oss som leverantör.

System som konstrueras idag har ofta redan version 5 i åtanke, bland annat eftersom kraven utökas till att gälla fler delsystem.

Ett annat problem med befintliga regler är att de innehåller kryphål.

De medger undantag från vissa krav där de inte tekniskt möjliga att uppfylla – som exempelvis i de enklare PLC-datorer som är direkt kopplade till maskinerna på golvet.

Detta har dock fått beställare att specificera system som innehåller komponenter som inte kan skyddas tekniskt. För att sänka kostnaderna. Erik Johansson har själv varit med om det.

– Om ni kommer med något annat än PLC:er är vi inte intresserade, fick vi veta.

Ordern gick till en annan leverantör.

De befintliga reglerna – om än luddiga och omoderna – gör trots allt  nytta. Säkerhetstänkandet i den industriella världen ligger ofta långt efter IT-världen.

Stuxnet-attacken – den stora referenspunkten i diskussioner kring cybersäkerhet och industriella system – kom som en väckarklocka. Men ännu har driftcentralerna ofta inte byggts om för att möta IT-hot ens av långt mindre avancerat slag än Stuxnet.

– Även det lilla som görs ökar säkerheten om man inte har någon säkerhet alls innan. I många system lyfts säkerheten ordentligt, säger Erik Johansson.

Han berättar om företaget som trodde sig veta att driftcentralen inte hade kontakt med Internet. För nej, man vill inte ha  driftcentraler kopplade mot Internet. Helst ska det inte ens finnas galvanisk kontakt till någon maskin som är kopplad till Internet.

– Enligt diagrammet var det så. Men en ”fiffig” ingenjör hade kopplat upp mot Internet utan att uppdatera diagrammet.

Där gör NERC-CIP en god insats genom att kräva att alla portar som inte används för driften ska vara stängda, med regelbundna kontroller.

NERC-CIP gäller i Nordamerika, en viktig marknad för ABB. Andra länder har andra regler. Flera standarder är under utveckling. En viktig sådan är exempelvis automationssamfundet ISA:s (International Society of Automation) standard ISA/IEC62443, tidigare känd som ISA99.

För elinfrastruktur som installeras i Sverige finns inga detaljerade regler av amerikanskt slag. Det som finns är föreskrifter från Svenska Kraftnät (SVK) utgående från säkerhetsskyddslagstiftningen. Och SVK-föreskrifter om elberedskap.

– SVK utgår mer från att man ska göra riktiga risk- och sårbarhetsanalyser än att man ska implementera specifika skydd, säger Erik Johansson.

Den utgångspunkten har SVK gemensam med andra industrisektorer i Sverige.

Åke Holmgren, MSB– Olika länder har olika traditioner – det svenska systemet är inte så detaljpreciserat utan handlar mer om funktions- och leveranskrav, berättar Åke Holmgren på Myndigheten för samhällsskydd och beredskap.

– Det skiljer sig självklart även åt mellan olika samhällssektorer i Sverige. Mer detaljerade regler finns i vissa sektorer, exempelvis på kärnkraftsområdet.

MSB publicerade 2009 en vägledning som ger rekommendationer kring säkerhet i industriella styrsystem. Den hänvisar i sin tur till ett antal standarder.

– Vi arbetar överlag mycket med kunskapsstyrning. Man måste se till helheten. I vissa sammanhang fungerar regler, men i andra sammanhang är det andra sätt som gäller för att skapa säkerhet, säger Åke Holmgren.
MER LÄSNING:
 
KOMMENTARER
Kommentarer via Disqus

Anne-Charlotte Lantz

Anne-Charlotte
Lantz

+46(0)734-171099 ac@etn.se
(sälj och marknads­föring)
Per Henricsson

Per
Henricsson
+46(0)734-171303 per@etn.se
(redaktion)

Jan Tångring

Jan
Tångring
+46(0)734-171309 jan@etn.se
(redaktion)