Hoten mot samhället idag – energiförsörjningen

Av Alireza Hafezi, Robert Malmgren och Thomas Kårgren

I arbetet med risk- och sårbarhetsanalys är det viktigt att kunna fastställa den rådande hotbilden samt ta hänsyn till aktuella trender och omvärldsförändringar som kan ha bäring på riskbilden. Som en naturlig följd av detta arbete har ett antal hot och riskområden exponerats och ges nu uppmärksamhet inom ramen för tillämpliga åtgärder och andra förebyggande aktiviteter.

Under tidsperioden 2012 tills idag så har även det säkerhetspolitiska klimatet förändrats och antalet säkerhetsrelaterade händelser har ökat, såväl i antal som i allvarlighetsgrad. På den internationella arenan ökar den militära anspänningen och genomförandet av operationer för att påverka stater och det internationella säkerhetspolitiska läget i olika sammanhang. Här kan inte minst nämnas den markant ökade användningen av IT-angrepp och cyberattacker vilket tydligt kan exemplifieras med attackerna på Ukrainas elförsörjning[2] under 2015, som var ett mer koordinerat och avancerat angrepp än vad först förstods. Andra exempel samhällsstörande cyberattacker är de tillgänglighetsattacker vi sett under 2016, som riktat sig direkt mot svenska medieföretag[3], men också incidenten[4] under hösten som involverade DNS-företaget Dyn i USA, och vars sekundäreffekter slog mot en mängd svenska myndigheter och företag.

Under samma tidsperiod har säkerhetsrelaterade händelser nationellt och i vårt närområde ökat med en nästan dramatisk takt. Radiomaster har fällts, cyberattacker mot olika IT-operatörer har genomförts, sabotage har genomförts mot reservkraften på sjukhus och mot vindkraftverk. Oavsett vad utredningar kring dessa händelser kommer fram till så går det inte att bortse ifrån det tydliga mönster av ökning och allvarlighetsgrad i sådana händelser som har präglat denna tidsperiod. Det går inte längre att bortse från att säkerhetsläget i Sverige och i vårt närområde har hårdnat betydligt.

I den nyligen publicerade risk- och sårbarhetsanalys för den svenska elsektorn år 2016[5] som publicerats av Svenska kraftnät ligger tre huvudsakliga områden i fokus. Dessa riskområden är:
1. Störningar i försörjning av drivmedel
2. Exponering av skyddsvärda informationsresurser mot osäkra nätverk, och
3. Höga flöden i reglerade vattendrag.

Utöver dessa fördjupningsområden i analysen har man även identifierat kritiska beroenden för samhällsviktig verksamhet. Två av dessa områden är elektroniska kommunikationer och teknisk infrastruktur. Dessa områden har under tidsperioden 2012 till dags dato varit mer eller mindre i fokus hela tiden men deras betydelse har för den delen inte avtagit utan ökat, markant. Det är numera uppenbart att statsunderstödda och enskilda aktörer har förmåga att genomföra cyberattacker som får genomslag i samhället och att de faktiskt utförs.

Svenska kraftnät anger i risk- och sårbarhetsanalysen att

”resursstarka aktörer med stor förmågebredd utgör det dimensionerade hotet då svenska myndigheter och ansvariga för viktiga infrastrukturer utformar och kravställer informations- och IT-säkerhetsfunktioner”.

Detta bygger bland annat på bedömningen att spionage med stöd av IT, och mot datorbehandlad information, är befintligt och ökar samt att en av de utkomster som en angripare strävar efter med spionage är att tillskansa sig förmågan att genomföra sabotage. Ett exempel på detta är de koordinerade cyberattackerna mot Ukrainas elförsörjning under 2015. Svenska elföretag måste säkerställa att skyddet för industriella informations- och styrsystem (SCADA/ICS) är utformat så att möjligheten att genomföra sådant sabotage förhindras och försöken upptäcks.

I en tid då fler och fler aktörer går mot en ökad konsolidering och integration mellan olika nät i sin IT-miljö måste det påpekas att för kritiska system borde utvecklingen vara omvänd. Vi borde istället gå mot en ökad separation av industriella informations- och styrsystem för att skydda dessa mot de exponerande ytor som direkta eller indirekta kopplingar mot publika nätverk och andra externa kopplingar utgör. Tillika så tillkommer nya exponeringsytor i form av nya tjänster mot elkunder, införande av ny teknologi, mer osäker användning av IT och automationslösningar. Konsekvenserna av genomförda angrepp mot industriella informations- och styrsystem i Sverige kan leda till oacceptabla konsekvenser i elkraftsystemet med svåra påfrestningar på samhället som följd.

Säkerhet kostar pengar men effekterna av avbrott eller störningar som påverkar eller kan påverka samhället i stort kommer att vara kostsammare. Andra saker som kan bli kostsamma är ändringar i befintliga IT-miljöer som kan uppstå om man bli tvungen att lägga till säkerhetsmekanismer i efterhand. Åtgärder såsom att ta hem outsourcade lösningar, för att bygga om anläggningsnät eller driftcentraler är knappast enkla eller billiga att genomföra för ett elbolag.

Några viktiga förmågor och områden som bör ägnas särskild uppmärksamhet i detta sammanhang är följande.
• Segmentering och skydd av nätverk och nätverkstrafik, då särskilt för driftkommunikation och SCADA/ICS-lösningar
• IT-säkerhet i verksamhetskritiska system på alla nivåer
• Kontinuitetsplanering, rutiner och förmåga samt reservdriftställe
• Säkerhetskopior av kritisk information
• Reservrutiner och system för talkommunikation

Svenska kraftnät har under den aktuella tidsperioden genomfört en rad åtgärder för att förbättra situationen, inte minst vad avser IT-säkerhet inom svensk elförsörjning. Arbetet framåt präglas av fortsatta insatser inom detta område och yttrar sig bland annat genom nya och reviderade vägledningar, utbildningar, tillsynsinsatser och rådgivning. Elbranschen som helhet står inför några av sina största utmaningar inom säkerhetsområdet och tiden är knapp.

Som framgår av denna genomgång, så krävs det utifrån den sektorsövergripande risk- och sårbarhetsanalys som Svenska kraftnät publicerat att bolag på den svenska elmarknaden skall ha upprättat ett förebyggande och långsiktigt systematiskt säkerhetsarbete. Detta arbeta skall ta hänsyn till den dimensionerande hotbilden som gäller för IT-säkerhetsarbetet inom elsektorn. Den dimensionerande hotbilden kan för vissa bolag vara högre än deras nuvarande säkerhetsnivå, varpå det krävs planering och åtgärder från deras sida att anpassa säkerheten. Anpassning till hotbild, systematiskt säkerhetsarbete och förbättrade skydd av kritiska IT-komponenter kommer vara viktiga kriterium vid Svenska kraftnäts kommande tillsyns- och samrådsärenden. För dom som inte sedan tidigare arbetat aktivt med dessa frågor, så börjar utmaningen nu!


Fördjupningar om frågorna finns att tillgå i [5], men också i [6] och [7], för den som behöver mer information och kunskap om frågorna.

Referenser

[1] http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/elberedskapslag-1997288_sfs-1997-288

[2] Analysis of the Cyber Attack on the Ukrainian Power Grid
https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf

[3] MSB ser allvarligt på attacken mot flera svenska mediesajter
https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/
Nyheter-fran-MSB/MSB-ser-allvarligt-pa-attacken-mot-flera-svenska-mediesajter/

[4] Dyn Statement on 10/21/2016 DDoS Attack
http://dyn.com/blog/dyn-statement-on-10212016-ddos-attack/

[5] Risk- och sårbarhetsanalys
http://www.svk.se/siteassets/om-oss/rapporter/161031-rsa----rapport.pdf


[6] Vägledning Informations och IT-säkerhet samt säkerhetsskydd
http://www.svk.se/siteassets/aktorsportalen/sakerhetsskydd/dokument/vaegledning-informations-och-it-saekerhet-samt-saekerhetsskydd.pdf

[7] IT-SÄKERHETSARKITEKTUR EN VÄGLEDNING FÖR ELBRANSCHEN MED TYPEXEMPEL
OCH REFERENSLÖSNINGAR
http://www.svk.se/siteassets/aktorsportalen/sakerhetsskydd/dokument/vagledning-it-sakerhetsarkitektur-final.pdf