Infrastruktur på liv och död

– Det är fortfarande vanligt att företag skyddar kontorsnätverken men har sämre koll på tillverknings- och processnäten inom kritisk infrastruktur, förklarar Fredrik Johansson, security expert team leader, Check Point. 

Med kritisk infrastruktur menas de grundläggande infrastrukturer som får dagens samhälle att fungera, vilket omfattar exempelvis el, vatten, belysning och järnväg.

– Om en attack sker i elnätsproduktionen kan man stänga av elnäten. Eller om man tar sig in i vattenreningsverken och vattenreningen kan man se till att vatten inte renas och en hel befolkning blir magsjuk. Det är kanske inte helt otroligt att krigföring framöver först kommer slå ut el och vatten istället för att springa in med soldater. Så den här typen av miljöer måste vi börja skydda på ett bättre sätt.

Jul utan el

Ett exempel på när hackare kom åt kritisk infrastruktur var i västra Ukraina 2015 då 230 000 personer fick fira jul i mörkret efter att elnätet slagits ut. Ett annat exempel är när produktionsnäten i Göteborgs hamn slogs ut i somras, hamnen stod stilla i flera dagar och kostade staden ungefär 230 miljoner kronor. 

– Det skulle kunna bli ännu allvarligare än så också. Om man hackar landstingen så finns det självklart massa maskiner i sjukvården som man kommer åt, röntgenmaskiner, hjärt- och lungvårdsdatorer och så vidare. Om man slår av dem stannar sjukhusen av och personer kan i värsta fall dö, säger Fredrik Johansson. 

NIS-direktivet ska öka fokus

För att säkerhetstänket runt kritiska samhällsfunktioner ska bli bättre har också EU infört det nya NIS-direktivet som börjar gälla under 2018. Och då är ju frågan: Nu när det redan skett incidenter och att EU till och med infört ett nytt direktiv kring detta, varför är inte skyddet bättre redan nu?

– Dessa system är ofta inte designade för säkerhet, och utrustningen som sitter där är tillverkad för 20-25 år sedan. Förut var de inte uppkopplade alls men nu är de uppkopplade mot kontorsnäten – och det har skapat en ny attackyta. Det finns en stor osäkerhet i de systemen när de kopplas mot andra nät än vad som tidigare varit tänkt.

– Många företag har också helt olika team för kontorsnäten och processnäten och i den sistnämnda gruppen har inte it-säkerhet varit prioriterat alls.

Vad borde företag tänka på och hur ska de skydda sig då? Enligt Fredrik Johansson borde alla först och främst fokusera på tre olika saker: segmentera, identifiera och begränsa.

– Skapa brandväggar där du kan segmentera och kontrollera vad som får kommunicera med vad inom vilka områden och vilka värden. Arbetar man med kärnkraft ska kanske inte de systemen kunna kommunicera med de traditionella kontorsnätverken. 

– Identifiera vad som är ett normalflöde i kommunikationen mellan systemen. Ha en djupgående appkontroll och se baselinen. Om det är en pump till exempel kanske inte den får ha ett högre värde än 50-100 varv per minut. Var detaljerade i den faktiska kommunikationen på den typen av system.

– Och sist men inte minst begränsa kommunikationen. System får kommunicera med varandra inom vissa områden men inte inom andra – där kanske information bara får läsas av men inte skrivas. Bara övervakningssystem får läsa vissa saker och ska man ändra något får man byta system. Då kontrollerar vi vad vi får skriva ifrån och vilka vi får läsa av ifrån.