Nödvändig genomlysning för att möta NIS -debattartikel av Ulf Seijmer

Detta inlägg har tidigare publicerats som debattartikel i tidningen Cirkulation 8/20

Vid årsskiftet införs det nya NIS-direktivet för kommunikation vilket omfattar bland annat alla nätverkskopplingar i det viktiga VA-nätet. Nästan varje kommun jag pratat med har en blandad infrastruktur med olika tekniker och nätverksuppbyggnad. En del har mycket fiber, andra mycket radio, en tredje mycket 4G-uppkoppling, men nästan alla har litet av varje. Oavsett teknikval så har varje nät styrkor och svagheter, den goda nyheten är att svagheterna kan man ofta bygga bort.

I riktlinjer från Livsmedelsverket nämns att nätverks- och informationssystemen skall vara "logiskt eller fysiskt separerade från informationssystem eller nätverk som inte omfattas av motsvarande krav på informationssäkerhet". En tydlig separation mellan vanliga IT-system och drifts- och kontrollsystemen. Administrationssystem och driftövervakningen skall vara på skilda nätverk, en approach vanlig inom industrin som visat sig pålitlig. Innebär då detta att man inte kan använda befintliga radionät, stadsnät eller 4G-uppkoppling framöver?

Jag tycker absolut inte att man skall förhasta sig. En fysisk åtskillnad är att föredra, men även det kan ha sina brister, det är inte den automatiskt bästa lösningen. Bara för att näten är åtskilda, behöver de inte vara säkra.

Det första att göra är att ta reda på om din kommunikationslänk erbjuder en krypterad uppkoppling. I de flesta moderna trådlösa nätverk exempelvis är trafiken krypterad, både vad gäller 4G, 5G, radiolänkar och radiomodem.

Nästa steg är att se till att nätverkstrafiken är krypterad och logiskt åtskild från annan trafik. Detta åstadkommer man normalt genom exempelvis VPN-tunnlar. Används mobilnäten så skall ett så kallat privat APN användas, då är trafiken åtskild från internettrafiken genom en tunnel genom mobilnätet. Detta är inte märkligare än att trafik över fibernätet i kommunen går via samma fiber som annat, men inte blandas med internettrafik. Att mobilnätens trafik skulle gå via servrar i andra länder har ni kanske läst, men det stämmer inte. De stora mobiloperatörernas trafik går endast via deras egna nät inom Sverige. Med mobilnäten som bärare kan man välja till en redundant, krypterad förbindelse direkt till operatörens nät, åtskild från internet. Med 4G behöver man inte byta ut infrastrukturen utan prata med operatören om rätt säkerhetsnivå. Viktigast som sagt, eget APN endast för VA, inga andra.

Ett annat fokus är det fysiska skyddet. Varje nätverksanslutning skall endast ha anslutningsmöjligheter för PLC-er och behöriga datorer. Detta gör man genom logiska spärrar i varje nätverksnod så att endast behöriga enheter kan använda nätverksporten, litet programmering i allmänhet alltså. Ett ytterligare steg är att installera en avancerad brandvägg (Layer 7 är det du skall fråga efter) som effektivt stänger ute möjligheten för alla annan nätverkstrafik än er applikation.

Fokusera också på redundans, så att om en uppkopplingsväg går ned, så finns en annan väg för data att ta, detta gäller särskilt om ni själva byggt fibernät eller radionät.

Men, det kanske vanligaste säkerhetsproblemet, historiskt sett, är användarna. Dessa är den största källan till virus och skadlig kod, inte per definition nätverken. Ett USB-minne, en dator som uppdateras via internet, en användare som laddar ned en fil från internet det är de vanligaste källorna till skadlig kod.

En av de större utmaningarna är de äldre, seriella gränssnitten i större nät. Dessa är inte enkla att rakt av kryptera trafiken på och i det läget hade jag nog valt att bygga nytt. Men oavsett teknik ni har idag kan ni säkert använda merparten i åratal framöver, men nu är hög tid att göra en opartisk genomlysning. Lycka till!