CFCS udgiver ny vejledning om sikkerhed i industrielle kontrolsystemer

Illustration: Travel mania | Bigstock
Industrielle kontrolsystemer er oplagte mål for mange typer hackere. Succesfulde angreb både kan gøre stor økonomisk eller strategisk skade.

Center for Cybersikkerhed har netop udgivet en ny vejledning, der sætter fokus på de it-sikkerhedsmæssige udfordringer ved industri-kontrolsystemer.

Vejledningen er udarbejdet med afsæt i danske virksomheders erfaringer samt internationalt anerkendte anvisninger, oplyser CFCS i en pressemeddelelse.

Læs også: Hollandsk muldvarp placerede Stuxnet på atomkraftanlæg i Iran

»Industrikontrolsystemer bliver brugt i store dele af samfundets infrastruktur, lige fra vores største kraftværker til små lokale renseanlæg. Derfor er det ekstremt vigtigt, at både den administrative ledelse og den tekniske ledelse tager hånd om sikkerheden for kontrolsystemerne,« siger Thomas Lund-Sørensen, der er chef for Center for Cybersikkerhed, i pressemeddelelsen.

»Et basalt råd er, at man skal holde netværkene adskilt og kortlægge alle forbindelser, der er til kontrolnetværket. Og sørge for at styre, hvem der har adgang til hvad og hvornår.«

Læs også: Lækage viser hvem NSA har hacket i 00'erne

Stuxnet til skræk og rædsel

Kontrolsystemerne anvendes i vid udstrækning til styring og overvågning af fysiske systemer i industriel produktion og kritisk infrastruktur og giver dem, der bruger dem, mulighed for at effektivisere og optimere forretningen.

Men med digitaliseringen følger også nye driftsmæssige risici. Det har nemlig flere gange vist sig, at industrielle systemer er sårbare.

Et vildt, klassisk eksempel er dengang, amerikanske efterretningstjenester infiltrerede og forsinkede det iranske atomprogram med malwaren Stuxnet.

Her var målet netop softwaren på de industrielle Siemens-turbiner, der forfinede uranen i anlægget.

Det samme kunne, i teorien, ske med hele elforsyninger, vandforsyninger og anden kritisk infrastruktur, der også i stigende grad digitaliseres.

Læs også: Hackere krydser etisk grænse med angreb på nødberedskab i Mellemøsten

Vejledningen, der skal sikre danske virksomheder mod lignende ulykker, er delt i to dele. Den ene del retter sig mod den øverste ledelse i en virksomhed, den anden er rettet mod den faglige ledelse, der bruger de industrielle kontrolsystemer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Andersen

Jeg har læst vejledningen. Det tog ikke mange minutter. Vejledningen undgår behændigt at omtale, at den potentiel største anvender af SCADA er det danske elnet. Så havde man nok ikke klaret det med en vejledning på brutto 14 sider og netto 11 sider med brede marginer.

Nogle af vejningerne er fornuftige nok, så som at fjerne unødige forbindelser og segmentere netværket. Der er også lidt "ISO/IEC 27001 snak", selvom denne standard ikke er direkte nævnt.

Vejledningen advarer mod leverandørspecifikke protokoller. Det lyder meget fornuftigt, men man kunne have refereret til standardiserede protokoller, som for SCADA's vedkommende udvikles i IEC Technical Committee 57. Det var måske klogt. Så havde man nok ikke klaret sig med 11 siders tekst.

Afsnit 5 omtaler adgangskontrol. Det er selvfølgelig vigtig, men hvad gør man hvis produkterne ikke har den nødvendige støtte fx som beskrevet i IEC 62351-8, Role-based access control.

Afsnit 6 omhandler komponenterne i systemet. Man antager at nye produkter har sikkerhedsfaciliteter, men vejledningen kunne godt udvides til at omtale hvilke sikkerhedsfaciliteter, man skal sikre sig er i nye komponenter. Fx er autenticitet, integritet og hemmeligholdelse (kryptering) ikke nævnt. Afsnit har anbefalinger om logning af hændelser, men det kræver, at produkterne er i stand til at generere de nødvendige log records.

Vejledningen kunne være lidt mere specifik. Hvilke krav skal stilles til kryptografiske algoritmer, hvilken adgangskontrol skal man kræve, og meget mere. En organisation bør også sikre sig, at man har de nødvendige kompetencer til at vurdere disse ting.

Nu til det "missing link". Hvad hvis man ikke kan finde produkter, som opfylder rimelige krav? Så bliver det straks svært eller umuligt at overholde sikkerhedskravene.

Med den kompetence og de finansielle muligheder som CFCS har bør det være muligt at definere i detaljer hvilke sikkerhedsfaciliteter produkter som minimum skal have og hvilke internationale standarder man skal følge (hvis de findes) og da konfrontere leverandører med disse.

  • 3
  • 0
Frithiof Andreas Jensen

Vejledningen undgår behændigt at omtale, at den potentiel største anvender af SCADA er det danske elnet. Så havde man nok ikke klaret det med en vejledning på brutto 14 sider og netto 11 sider med brede marginer.


:) Nej.

De 'smarte elnet' er IEC 61850 - Det er omkring 50 'core' standarder og mindst 50 mere 'related'. https://webstore.iec.ch/searchform&q=61850

Der findes sågar et standardiseret 'Substation Configuration Language'.

Det er et rimeligt smart system, i övrigt. Man registererer alle sine komponenter på en slags 'message bus' i substationen og så kan de forskellige systemer abbonere på data og/eller publicere data. Det er nemt at installere flere sensorer eller circuit-breakers efter behov i kontrolsystemet.

Den störste risiko er 'fysisk adgang'. De her systemer er ikke rigtigt på nettet, nogle körer på VPN, de fleste på dedikeret fiber inde i eller på kablerne. Gamle 'dinosaur'-anläg körer på DTMF-kHz signaler som er overlejret på höjspändingen. Det er jo ikke noget udrustning man lige skifter ud.

  • 0
  • 0
Log ind eller Opret konto for at kommentere