Ny lagstiftning om nätsäkerhet

Processövervakningssystem som SCADA och DCS [1] styr fabriker, olika sorters raffinaderier och energiflöden i elnät. Dessa system är numera virtuellt sammankopplade på ett komplext vis, vilket har eliminerat fysiska nätverksgränser.

Systemen baseras allt oftare på standardiserade kommunikationsinfrastrukturer vilket bidrar till att öka deras effektivitet – men även till att göra dem mer sårbara för attacker.

”Dagens nya hackers är raffinerade, utbildade och kapitalstarka. De har lättare att ta sig in i systemen hos företag som levererar allmännyttiga tjänster och kan hålla sig kvar där oupptäckta” skriver PricewaterhouseCoopers i en rapport.

Usman Sindhu, forskningsanalytiker på det amerikanska undersökningsföretaget IDC Energy Insights, nämner som exempel datamasken Stuxnet i Iran 2010 och sabotageprogrammet Night Dragon som spreds i Amerika, Asien och Europa. Båda är exempel på avancerade och svåravhjälpta hot som kan orsaka katastrofscenarier om företag som levererar allmännyttiga tjänster tvingas till driftsstopp. Både företag och regeringar arbetar för att förebygga sådana scenarier.

– Det var framför allt i slutet av nittiotalet som man började fokusera på att förbättra skyddet av infrastrukturen, eftersom regeringar runt om i världen ansåg att hotbilden hade vuxit och att företagens policys och självsaneringsåtgärder var otillräckliga, säger Usman Sindhu.

Sedan dess har The North America Electric Reliability Corporation utsetts av den amerikanska energimyndigheten The Federal Energy Regulatory Commission för att utveckla och höja standarden runt om i USA och Kanada.

Situationen blev mer komplex i samband med att många amerikanska elnät moderniserades 2009 med hjälp av den amerikanska statens stimulanspaket och kopplades upp mot ”smarta elnät” – något som dessvärre kan ha gjort det enklare för olika sorters inkräktare att ta sig in i systemen.

Hög tid att vara på sin vakt

Tidningarna The London Evening Standard och The New York Times har under 2011 givit brittiska och amerikanska allmännyttiga företag låga betyg när det gäller deras försvarsberedskap vid cyberhot. Tidningarna skriver att skälen till detta är att cyberhot prioriteras lägre jämfört med generella systemstopp på företagen samt att det saknas tillräckligt med resurser för att kunna säkra både nätsäkerheten och företagens övriga system. Tidningarna skriver dessutom att det inte finns tillräckligt med utbildad personal som har kunskap om de båda områdena, samt att det ofta råder oenigheter om vem som bär ansvaret för den här typen av problem.

Enligt Usman Sindhu har den amerikanska kongressen nyligen lagt fram 50 propositioner som gäller just nätsäkerhet i syfte att stärka skyddet för företag med många förgreningar som levererar allmännyttiga tjänster, till exempel el, olja, gas och vatten.

– Man anser att NERC:s riktlinjer inte längre är tillräckliga. Företag ska därför vara skyldiga att säkerställa att de har en kraftfull säkerhetsarkitektur samt se till att deras nätsäkerhetsstrategier granskas av en utomstående part. Dessutom ska samhällsnyttiga företag bli skyldiga att informera det amerikanska departementet för inrikes säkerhet samt sin egen bransch om det uppstår några incidenter. Många samhällsnyttiga företag kämpar redan med att säkerställa säkerheten vid nyttjandet av smarta elnät – när den nya lagstiftningen träder i kraft kommer de att få jobba hårdare för att tillgodose kraven. Det kan bli aktuellt att införa ett system som syftar till att informera kunderna om deras personliga elförbrukningsinformation. Om så sker kommer konsumentinformation att bli en viktig fråga, särskilt om den hamnar i fel händer, säger Usman Sindhu.

Flera sorters experter

Många länder, bland annat Kanada, Storbritannien och Australien, arbetar nu med att ta fram en liknande lagstiftning som den i USA. Enligt Usman Sindhu handlar emellertid de flesta av propositionerna endast indirekt om fysisk säkerhet.

Det är därför viktigt att säkerhetscheferna på de samhällsnyttiga företagen själva förstår att de smarta elnäten kräver fyra nivåer av sammankopplad expertkunskap.

Experterna bör kunna överblicka de fysiska faktorerna (kameraövervakning och larmsystem m.m.), nätverkssäkerheten (de olika komponenterna som kommunicerar med varandra i ett IP-nätverk) samt informationen och den programvara som måste vara i drift och skyddas, något som allt oftare sker från mobila enheter.

Lagstiftningen kommer att förändras runtom i världen och det kommer att märkas av de samhällsnyttiga företagen, oavsett om de är stora eller små, privat- eller statsägda.

 

[1] SCADA står för Supervisory Control and Data Acquisition och DCS står för Distributed Control Systems

Av Derek Scheips

Comment

You must be logged in to post a comment.