Det behøver ikke være så svært at få styr på sikkerheden i Scada- og ICS-systemer

Illustration: Wikimedia
Bedre it-sikkerhed i tudsegamle produktionssystemer behøver ikke koste spidsen af en jetjager, mener Energinets beredskabskoordinator.

Det er usund myte, at mangelfuld eller helt fraværende sikkerhed i ældre it-systemer og netværk er noget, man må lære at leve med. Sådan lyder det fra sikkerhedseksperten Mikael Vingaard.

Beredskabskoordinator Mikael Vingaard, Energinet Illustration: Carsten Borup Andersen

Han arbejder til daglig med beredskab og it-sikkerhed i forsyningsvirksomheden Energinet.

Men i sin fritid driver han desuden et fagligt netværk, der indsamler viden og data om, hvordan hackere forsøger at kompromittere samfundets kritiske infrastruktur eller virksomheders produktionssystemer.

»Mange af de såkaldte Scada- og ICS-systemer og -netværk er født med en arkitektur og sikkerhedsfunktioner, som næppe ville blive accepteret i dag. En del systemer er tudsegamle og kan ikke længere eller opdateres. Og jeg møder mange kolleger, som har det som et dagligt bekymring og irritationsmoment, at de ikke kan tage fat på de her problematikker på samme måde som i traditionelle it-systemer,« siger Mikael Vingaard.

En usund myte

De ældre it-systemer findes blandt andet inden for vandværker og andre forsyningsvirksomheder, industrielle produktionssystemer og i transportsektoren.

»Mange systemer er baseret på ældre udstyr, som er konfigureret til kun at kunne håndtere en forespørgsel ad gangen. Begynder man at scanne trafikken på netværket for at finde fejl eller tegn på ubudne gæster, kan det få systemet til at gå i loop eller helt vælte,« fortæller Mikael Vingaard.

»Men det er en usund myte, at Scada- og ICS-systemer er dømt til for evigt at køre med ringere sikkerhed, medmindre man er klar til at afsætte store millionbeløb til at udvikle avancerede sikkerhedsløsninger,« siger han.

Faktisk er det ifølge Mikael Vingaard ofte relativt enkelt – og billigt – at overvåge trafikken i ældre kontrolsystemer og netværk.

Det grundlæggende trick går ud på at isolere de ældre systemer i selvstændige netværk. Med nogle linjers enkel kode og en selvstændig computer, der 'sniffer' trafikken på netværket, kan man ifølge Mikael Vingaard få et overblik over sit netværk og den trafik, der er på det.

Læs også: Malware fik SCADA-system i rensningsanlæg til at mine kryptopenge

»Der er tre spørgsmål, vi godt kan lide at få svar på: Hvilket udstyr og hvilke enheder er koblet på netværket? Hvilke IP-adresser er aktive? Og hvad snakker med hvad? Helt basalt handler det om at kende den normale hjerterytme i netværket. Er der så noget, som afviger, skal vi have en alarm. Man kan kalde det for kunstig intelligens for fattigfolk,« siger Mikael Vingaard.

Ud over markant forbedret sikkerhed har metoden ifølge Mikael Vingaard yderligere den fordel, at man får ret få hændelser. Og dem, man får, er som oftest noget, der skal reageres på. Det gør det også nemmere at regne på, hvor mange penge og mandskabstimer man skal bruge til at holde overvågningen kørende.

Mikael Vingaard er sammen med Ingeniørforeningen, IDA ved at planlægge et tredages kursusforløb, hvor sikkerhedsfolk kan lære de relativt enkle greb, som kan forbedre sikkerheden i Scada- og ICS-miljøer.

Mikael Vingaard er beredskabskoordinator i Energinet og driver desuden et fagligt netværk for Scada- og ICS-ansvarlige. Ved Version2's konference Infosecurity den 2.-3. maj 2018 fortæller Mikael Vingaard i en keynote om, hvordan man kan styrke sikkerheden i samfundets kritiske infrastruktur. Mikael Vingaard deltager også i en debat om industriel it-sikkerhed. Se mere her. Tilmeld dig her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Og hvis det er så billigt og nemt, hvorfor er sikkerheden så ikke på plads.
Hvem skal fyres for manglende omhu ?

Måske er angreb fra nettet på infrastrukturen, oppe i tiden.
Men risikoen og fjenderne har der altid være mange af. Som før 1989 hvor truslen og risikoen for angreb meget mere konkrete end i dag. Var der heller ikke styr på det dengang ?

Hvorfor skal man på kursus for at lære noget, som burde have været et krav til ens kvalifikation inden ansættelsen ?

Eller der det fordi man ligesom i Syd Energi, ansætter på basis af familie og venneforhold, i stedet for kompetencer ?

Hvad vil det koste at lægge et tomrør til fiber og lave et intern net, som Jernbanen har gjort, helt afkoblet fra Internet. I forhold til de samlet omkostninger ved etaberling og vedligeholdelse af et Elnet.

  • 0
  • 0
Lars Jensen

Ulven kommer!! Nå ja. Den er her allerede, men nogen vil gerne råbe ulven kommer hele tiden. Jo højere de råber, jo flere tror på dem.
En produktionsfabriks netværk har (eller bør) som udgangspunkt ikke have adgang til internettet. På den måde har man allerede luset de fleste problemer ud. Ved at benytte dedikeret PCer i produktionsmiljø kan man låse applikationen til PC således at den ikke kan køre andre programmer. På den måde undgår man at medarb. føler sig fristet til at anvende USB enheder. Allerede her har man gratis udelukket 99% af de trusler der rammer de fleste PC-systemer.

  • 0
  • 0
Per Jeppesen

Is i maven Hans. Sikkerheden kan godt være på plads den ene dag, og stå foran et nyt trusselsbillede ugen efter. En virksomhed kan rammes af et angreb, selvom folk passer deres sikkerhedsarbejde til UG . De samme folk, som er mennesker af kød og blod, der har gået 5 år på uni og tilmed har 20 års erfaring, kan også lave fejl. De kan lave fejl - du læste rigtigt.

Man fyrer ikke sine sikkerhedsfolk efter et angreb. Man fyrer ikke sine sikkerhedsfolk når de laver fejl.

  • 0
  • 0
Per Jeppesen

Selvom jeg gerne vil være enig, og godt forstår formålet med artiklen, og selv gerne vil arbejde med en optimistisk attitude: Jo det er dyrt de fleste steder. Det koster investeringer i teknologi, procesarbejde, kompetencer - og dynamikken er enorm. Der er ingen silverbullet og mange interessenter, mange holdninger, modstand, modstand og atter modstand, pakket ind i en masse magtkamp og politik.

Det er pissesvært og koster spidsen af et jetjager. Mange virksomheder skal selv opleve at det går galt før de forholder sig til risiko.

Bare vi ku' la vær'. Bare vi ku' bruge vores ressourcer til noget mere nyttigt.

Jeg er dog enig i, at man med få midler og snilde kan reducere risikoen betragteligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere