Möller Insights – ”Försvaret av nationens heligaste”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om IT-säkerheten hos samhällskritisk infrastruktur

Försvaret av nationens heligaste
I veckan sändes ett omdiskuterat program i Finland som heter Spotlight. Det är ett program där grävande journalister granskar olika ämnen – svensk motsvarighet är Uppdrag Granskning eller Kalla Fakta. I programmet så granskade de IT-säkerheten hos samhällskritisk infrastruktur samt olika fabriker. Uppslaget till programmet kom från Aalto universitetet som för ett år sedan rapporterade att en mängd centrala styrsystem var tillgängliga via internet för fjärrstyrning. Ett år har gått och antalet system som kan fjärrstyras har fördubblats. Trots universitets varning så fortsätter alltså kraftverk, vattenverk och sjukhus att göra sina styrsystem tillgängliga över internet.

Frågan man ställer sig är ju – varför ska ett styrsystem gå att ansluta till från hela världen. Svaret är enkelt, det ska det absolut inte gå att göra och det finns ingen som helst mening med det. Det kan endast ses som att man nonchalant har förbisett IT-säkerheten.

Om någon utomstående kommer åt styrsystem så kan det leda till allt från driftstopp till sabotage med dödlig utgång. Allt fler processer styrs idag av datorer vilket gör ett dataintrång avsevärt mycket allvarligare. En hacker kan enkelt manipulera säkerhetsvärden och förorsaka en allvarlig olycka.

Det kan vara enkelt att slå ifrån sig tankar om hur situationen eventuellt ser ut i Finland eftersom en liknande offentlig granskning av situationen som gjordes av Aalto universitetet eller av programmet Spotlight inte gjorts i Sverige. Vad vi däremot vet är att Finland har investerat relativt stora resurser för att just motverka den här typen av allvarliga svagheter. Finland har även en specialgrupp av IT-säkerhetsexperter som aktivt arbetar med är försvara och förbättra säkerheten hos statliga institutioner. På många sätt är Finlands beredskap för den här typen av attacker bättre än Sveriges – trots det så finns den här typen av säkerhetsbrister.

Detta ska dock inte misstas som att Sverige inte gör några insatser alls men vi ligger efter. Sverige utvärderar i dagsläget NIST som är ett ramverk för hur infrastruktur bör skyddas framtaget i USA. Det är i grundet ett initiativ från vita huset men tanken är att det ska fungera som en standard i hela världen. USA har som önskemål att EU ska införa det som ett krav för samtliga medlemsnationer.  USAs intresse i detta är självklart att de vill säkerställa att de länder de utför affärer med har kompetent IT-säkerhet inom olika sektioner av landet.

Jag tycker personligen att det är en bra idé att vi standardiserar IT-säkerheten för samhällskritiska verksamheter. Att ha tydliga punkter som måste uppfyllas kommer att säkerställa att tillräckliga säkerhetsåtgärder utförs och kan uppdateras kontinuerligt. Jag förespråkar initiativet då utbyggnaden av kompetent IT-säkerhet går allt för långsamt och ofta helt bortses från. Det är viktigt att poängtera att vi i fallet med samhällskritiska verksamheter inte har lyxen att arbeta reaktivt.

För vad händer om en utomstående person når styrsystemet för Ringhals, eller ändrar gränsvärden i vattenreningen. Här får vi inte arbeta reaktivt, här måste vi vara proaktiva – för vi vill inte uppleva konsekvenserna.

 Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik