Det börjar som en vanlig dag i fabriken. Men plötsligt löper alla system amok. Fyra man dödas av det skenande löpande bandet. Orsak: någon utomstående har hackat sig in i driftssystemen.

Det är ett otäckt scenario som hämtat ur en skräckfilm, men inte helt osannolikt. Informationssystem som styr fabriker, så kallade processnära system, är idag nära ihopkopplade med administrativa system – utan adekvata skydd. Angrepp mot systemen kan därför vara bokstavligt talat livsfarliga. Som CSO är det hög tid att utbilda sig i Cyber Security – säkerheten i processnära system.

SCADA-system – fabrikens hjärna
Alla industriföretag är idag beroende av processnära system. Så kallade SCADA-system (Supervisory Control And Data Acquisition) styr och övervakar det allra heligaste: produktionsprocessen. Utan SCADA-system stannar fabriker och vi får varken el eller vatten. Dessa system finns överallt – bara inom EU är antalet SCADA-drifts­cent­raler ungefär 100 000.

För några år sedan var SCADA-system separerade från övrig företags-IT och baserade på propreitära, egenutvecklade lösningar. Säkerheten var hög eftersom ingen kom åt systemen. Och om de gjorde det, så kunde de inte göra mycket skada. Men idag är situationen annorlunda.

Av affärsskäl blir SCADA-system alltmer integrerade med det övriga företagets applikationer och av kostnadsskäl baseras de på standardprodukter från stora IT-leverantörer, som Microsoft eller Cisco. Detta höjer effektiviteten, men är samtidigt farligt eftersom intrång i SCADA-systemen i många fall kan få betydligt allvarligare konsekvenser än intrång i administrativa system.

– På kontors-IT-sidan handlar det om ”security”, informationsläckage och liknande, i tekniska system handlar det om ”safety” – skador på egendom, miljö och person, konstaterar Robert Malmgren som är oberoende säkerhetskonsult.

Han menar att säkerhetsfrågorna som är knutna till processnära system ofta underskattas, men vill inte gå in på specifika detaljer eller projekt på grund av den höga grad av känslighet som är förknippad med Cyber Security-relaterade frågor.En typisk konsekvens av denna ignorans är dock att företagen missar att ta med kostnaden för säkerhet när de investerar i systemen.

– Att de negativa konsekvenserna inte finns med på kartan vid investeringsbeslut beror alltför ofta på okunskap om de nya typerna av risker och hot som verksamheten står inför, hävdar Erik ­Johansson som är forskare vid avdelningen för industriella informations- och styrsystem på KTH och säkerhetskonsult vid Management Doctors.

Han menar att konsekvenserna av intrång i SCADA-system är så allvarliga att de motiverar betydande investeringar i Cyber Security.
– Även om det kan te sig dyrt och omständligt så är kostnaderna marginella i förhållande till vad man förlorar om en fabrik står stilla ett par dagar på grund av intrång, säger han och påpekar att det finns indikationer på att antalet incidenter ökar – låt vara från en låg nivå.

Fördelar med integrerade system
Det finns naturligtvis många fördelar med att integrera SCADA-systemen med administrativa system. Genom att koppla dem mot system för produktionsplanering kan man se till att planeringen baseras på realtidsdata om processens faktiska tillstånd, vilket i sin tur kan höja effektiviteten. Och att integrera flera isolerade SCADA-system till ett övergripande system kan ge skalfördelar, exempelvis i form av minskat personalbehov.

Robert Malmgren berättar om en studie som norska Oljebranschens Landsförening (OLF) gjort kring sin framtida styrsystemsarkitektur på oljeplattformar som exempel.
– Den första generationen av integration handlar om att integrera kontrollrummen på landbacken med dem till sjöss, så att samma driftlag på land kan styra flera plattformar till sjöss samtidigt. Det sparar hur mycket pengar som helst, i personalkostnader och inte minst i transporter. Det är inte småpengar det är fråga om, OLF beräknar att bara detta första steg skulle spara i storleksordningen 250 miljarder norska kronor!

Integrationen ger alltså stora möjligheter. Samtidigt som risken ökar. Plötsligt går det att attackera och störa ut flera oljeplattformar samtidigt.

Standardplattformar
För femton år sedan var ett SCADA-system en produkt som bara kunde förstås av ett litet initierat fåtal. Man körde på egna operativsystem, på egen hårdvara och med helt egna kommunikationsprotokoll. På den tiden var risken för intrång mycket liten eftersom en angripare som fick tillgång till systemet helt enkelt inte begrep ett jota.

Men idag är alltså SCADA-systemen baserade på standardiserade hård- och mjukvarukomponenter. De kör Linux eller Windows på vanliga PC-burkar och använder sig av protokoll baserade på Ethernet och TCP/IP.
– Det som börjar hända är att man inför standardapplikationer och standardoperativsystem och en helt ny flora av tekniska lösningar i stil med Microsoft XP och snart Microsoft Vista, bekräftar Alf Lundström, som är informationssäkerhetschef på Vattenfall Norden.

– Och även kommunikationsvägarna förändras. Bredbandsutbyggnaden i landet gör att man kan koppla in sina SCADA-system på befintliga bredbandsförbindelser, fortsätter han.

Det finns många anledningar till standardi­seringsivern. Interoperabilitet är ett starkt skäl.Dessutom är det betydligt billigare för SCADA-leverantörerna att inte bygga allt själva.
– Från leverantörernas sida har man insett att det är dyrt att använda proprietära lösningar. Det är till exempel dyrt att utbilda de egna ingenjörerna i egna lösningar, menar Robert Malmgren.

SCADA-system baserade på standardlösningar är alltså här för att stanna. Detta behöver inte vara speciellt farligt, men som säkerhetsansvarig bör du vara uppmärksam på utvecklingen; angripare kan nu börja använda sig av kända svagheter i operativsystem från exempelvis Microsoft.

IT-avdelningens blinda fläck
SCADA-system driftas sällan av IT-avdelningen. IT-avdelningen tar hand om ”kontors-IT”: affärssystem, CRM-­system etcetera. Men ansvaret för SCADA-driften ligger istället ute i verksam­heten. Och eftersom de processnära systemen hittills varit isolerade, och därmed skyddade, så är attityden och medvetenheten kring IT-säkerhetsarbetet lägre där än hos traditionella IT-avdelningar.

– Teknikerna där har haft en behaglig situation. Den separerade miljön har gjort att de inte har behövt ta samma höjd för IT-säkerheten som de som arbetar med de administrativa systemen och system anslutna mot Internet, säger Alf Lundström.

Robert Malmgren håller med och slår fast att processteknikerna har en lång startsträcka jämfört med den vanliga IT-säkerhetspersonalen.
– Det finns inte samma tradition av uppdateringar till exempel. Överhuvudtaget skiljer sig rutinerna för exempelvis underhåll, där de processnära systemen körs enligt principen ”if it ain’t
broke, don’t fix it”, säger han.

Och saken blir inte bättre av att IT-avdelnin­garna har dålig kunskap om SCADA-säkerhet.
– Den administrativa sidan har väldigt svårt att se och förstå behovet av säkerhet i processnära system, konstaterar Alf Lundström som menar att denna okunskap har att göra med en oförmåga att se konsekvenserna av fel i tekniska system.
Slutligen är också SCADA-leverantörerna själva relativt dåliga på IT-säkerhet.

– Man kan få problem med systemleveran­törerna eftersom de inte är vana vid att tänka i de här banorna. De saknar helt enkelt de negativa erfarenheter som kontors-IT-folket har. Förut har de levererat ett isolerat signalsystem till tunnel­banan eller till en transformatorstation, men de har inte behövt beakta ett eventuellt virusskydd till det, säger Robert Malmgren.

CSO – utbilda dig!
Vad gör då en CSO som måste hantera Cyber Security? Det första steget är naturligtvis att lära sig mer om riskerna och att medvetandegöra organisationen. Det finns mycket information på internet för kunskapstörstande CSO:er. (Se tabell). Men det är också viktigt att företag tar fram interna styrande dokument om Cyber Security och att de reviderar sina kontinuitetsplaner, betonar Robert Malmgren.

Enligt Alf Lundström är det framför allt viktigt att alla som berörs börjar tänka i nya banor.
– Det är en sak att förstå hoten och riskerna. Men alla inblandade, projektledare, uppköpare etcetera, måste inse att man går från att kunna nöja sig med ett fysiskt skydd, som betongväggar och ståldörrar kring en autonom enhet till att tänka på att det är en större enhet som ska skyddas, säger han och lägger till att det är viktigt att överbrygga kulturskillnaderna mellan SCADA-driftsorganisationen och IT-avdelningen.

– Man måste skapa en ökad förståelse mellan de här grupperna, säger han. 

Försvar på djupet

Enbart organisatoriska åtgärder förslår emellertid föga. Såvida SCADA-systemen inte står helt avskurna från omvärlden måste man också införa tekniska IT-säkerhetsmekanismer och bygga ett försvar på djupet. Erik Johansson jämför med kulturen i säkerhetskritiska branscher som kärnkraftsindustrin där skyddet byggs upp i flera oberoende lager med olika zoner. På så sätt försvåras angrepp och förenklas övervakningen.

Det är egentligen ingen revolutionerande funktionalitet man måste införa.
– Sätt upp brandväggar, IPS/IDS, content filtering och annat, som lokala antivirusskydd och tillgångsskydd säger Robert Malmgren.

Det gäller dock att ta hänsyn till att SCADA-system är mycket speciella djur i systemfaunan.Nätverkstrafiken är exempelvis mer förutsägbar i processnära delar. Det är en begränsad mängd kommunikation och trafik som passerar , till skillnad från i kontorsnätverk. Detta är en fördel, då det går att ”baselina”, det vill säga att hitta en profil som är tillåten. Men enligt Robert Malmgren finns det också tydliga nackdelar.

– Till exempel finns det få hyllprodukter att använda. Och många processnära miljöer är mycket mer känsliga i form av latens och svarstider. Därför är leverantörerna ovilliga att stoppa in exempelvis antivirussystem som drar ner prestanda.
Erik Johansson pekar också på svårigheten att patcha processnära system.
– Ett administrativt system kan du enkelt uppdatera och boota om. Men detta kan bli komplicerat i ett SCADA system som kräver hög tillgänglighet och inte kan startas om hur som helst.

Ett annat problem är svårigheten att testa säkerheten. Du kan till exempel inte göra traditionella penetrationstester på ett SCADA-system.
– Risken är att sådana test kan slå ut ett SCADA-system, vilket är både kostsamt och rentav farligt då systemtillstånd kan förändras på ett okontrollerat sätt, fortsätter Erik Johansson.

Trots alla nya risker finns det fortfarande få kända incidenter relaterade till SCADA-system. Detta kan bero på en rad saker. En kan vara att de hittills varit isolerade, en annan att intresset att attackera dessa system tidigare saknats – en tredje att de som drabbats håller tyst.
– Man berättar inte om incidenter för att inte framstå i dålig dager, menar Alf Lundström.

En slutsats som dras i en av Krisberedskapsmyndighetens rapporter är dock att man ser en tydlig trend: antalet incidenter ökar.

Text Per Närman

Fakta

Mars 2000. En före detta konsult tar över ett SCADA-system på ett reningsverk och översvämmar ett stort område med tusentals kubikmeter smutsigt vatten.

December 2000. Hackare hittar och ­utnyttjar svagheter i ett protokoll i ett ­datornät i en elkraftanläggning i USA.
Nätverket används sedan för att spela
datorspel.

Januari 2003. Ett SCADA-system vid det då avställda kärnkraftverket Davis-Besse i USA, infekteras med SLAMMER-masken. Systemet är ur funktion i ca fem timmar. Reservsystem tar över, men operatörerna får det hett om öronen.

Augusti 2003. En amerikansk tågoperatörs får en mask i signalsystemet , och tågen står stilla en halv dag.
Maj 2004. SASSER-masken infekterar
ett SCADA-system hos australiensiska l­okaltågsoperatören Railcorp. 300 000 pendlare till och från Sydney blir utan ­transportmedel under en dag.