Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Om webbplatsen, tillgänglighetsinformation Startsida Nyheter Webbkarta Sökfunktion Vanliga frågor och svar Hjälp Kontakt

Välkommen till MSB! Vi använder kakor (cookies) för att webbplatsen ska fungera på bästa sätt samt för statistik. Om du fortsätter, utan att ändra dina inställningar, så godkänner du att cookies från msb.se används.
Läs mer om kakor och hur vi använder dem samt hur du kan ändra dina inställningar

 
 
Fördjupat material från NCS3

Fördjupat material från NCS3

Tipsa om artikeln
Här presenteras ett urval av rapporter från NCS3 vilket är ett kompetenscentrum med uppdraget att bygga upp och sprida medvetenhet, kunskap och erfarenhet om cybersäkerhetsaspekter inom industriella informations- och styrsystem.

Standard IEC62443

ISA/IEC 62443 är en standard med fokus på industriella informations- och styrsystem (ICS) och har sitt ursprung i tillgänglighets- och riktigthetsaspekterna snarare än konfidentialitetsaspekten. Den här rapporten ger en övergripande bild av standarden, dess olika delar och relation till andra standarder samt belyser hur den används i Sverige. Även en jämförelse med Norge görs.

Rapporten riktar sig till operatörer, leverantörer och tillverkare av samhällsviktiga styrsystem.

Den kan läsas av de som vill få en inblick i standarden eller användas som underlag för dialog mellan operatörer och leverantörer, exempelvis vid upphandling.

Se faktablad om Standard ISA/IEC 62443 

Läs rapporten om standard IEC 62443  

I rapporten nämns dokumentet:

"Cyber security in the oil and gas industry based on IEC 62443"   

Industriella protokoll i Sverige

Rapporten vänder sig till dig som vill veta mer om de kommunikationsprotokoll som i Sverige är vanligt förekommande i industriella informations- och styrsystem. Generella egenskaper, säkerhetsaspekter, varianter och datamodeller beskrivs för de ingående protokollen, likaså referenser till specifikationer i de fall dessa är tillgängliga. Exempel på protokoll som beskrivs i rapporten är IEC60870-5, Modbus och OPC.

Industriella protokoll i Sverige

Monitorerings- och övervakningssystem

En kategorisering och översikt av IDS-teknik inom industriella informations- och styrsystem

I rapporten skapas ett ramverk som används för att på en övergripande nivå beskriva de olika delarna av funktionaliteterna i en IDS samt vad som påverkar dessa delars funktionalitet. Utifrån ramverket beskriver studien även aktuella trender för forskningen inom området samt fokus för marknaden. Studien kan fungera som stöd tidigt i en införskaffningsprocess av intrångsdetektionssystem för att visa på de tekniska möjligheter som finns.

Monitorerings- och övervakningssystem – en kategorisering och översikt av IDS-teknik inom industriella informations- och styrsystem

Beroenden till industriella informations- och styrsystem

I studien Beroenden till industriella informations- och styrsystem läggs grunden till ett ramverk för identifiering och analys av samhällsviktiga verksamheters beroenden till ICS. Studien fokuserar på vilka utmaningar som kan förväntas när beroendeanalyser tillämpas på verksamheter med ett starkt inslag av ICS.
 
Slutsatsen är att själva identifieringen av beroendena (beroendekartläggningen, eller systemanalysen), är möjlig att göra, men att den försvåras eftersom ICS finns ”överallt” i verksamheterna och eftersom de interna beroendena ofta är mycket komplexa.
 
Komplexiteten hänger ihop med det starka inslaget av mjukvara. Detta försvårar även värderingen av beroendena – t.ex. blir förhållandet mellan funktionella beroenden och sårbarheter svårare att förutsäga. Om man dessutom vill kvantifiera sårbarheterna finns sällan bra data att utgå ifrån.

Beroenden till industriella informations- och styrsystem

Regelverk

Det finns ett flertal lagar, förordningar och föreskrifter som påverkar säkerhetsarbetet kring industriella informations- och styrsystem.  En jämförelse mellan olika sektorer visar att föreskrifterna inom elsektorn och dricksvattensektorn är de som mest explicit hanterar säkerhetsfrågorna. Frågorna berörs inte lika tydligt inom föreskrifterna för sektorerna spårbunden trafik och elektroniska kommunikationer, och knappt alls i föreskrifterna för sektorerna fjärrvärme och kemisk processindustri. Övergripande pågår just nu ett flertal arbeten som kan leda till att regelverk och krav inom området blir tydligare. Bland dessa ingår att ta tillvara resultatet av en statlig utredning om informations- och cybersäkerhet i Sverige samt översynen av säkerhetsskyddslagen och MSB:s och Strålsäkerhetsmyndighetens föreskrifter.

Regelverk och krav inom området industriella informations- och styrsystem

Åldrande ICS-utrustning

I denna studie undersöks synen på, och hanteringen av, åldrande industriella informations- och styrsystem (ICS) inom några samhällsviktiga verksamheter i Sverige. Resultatet visar att det inte är åldrande i den traditionella meningen, dvs. att något degenererar tills det slutar fungera, som utgör den stora utmaningen. Utmaningarna är i stället kopplade till relativt åldrande, dvs. att tekniska lösningar åldras relativt omgivningens krav.

Kraven kommer i första hand från de snabbt evolverande informations- och övervakningssystemen, med resultat att ny automationsutrustning snabbt uppfattas som omodern. I första hand är det leverantörernas allt kortare supporthorisont som är gränssättande.

En generell tendens är att ICS närmar sig IT med allt vad det innebär av möjligheter och utmaningar – uppkopplat och billigt, men med ökad exponering mot Internet. En tendens är också mindre av customlösningar och mer av färdiglösningar vilket går hand i hand med lägre grad av djup kunskap om hur systemen fungerar, och ett allt starkare leverantörsoligopol.

Konsekvenserna kan bli sårbarheter i form av ”svarta lådor” och ”lapptäcken” av lösningar som både försvårar underhåll, planering och möjligheter att få support. Det blir också svårare att skydda sig mot IT-attacker av olika slag.

NCS3 - Gammal är inte äldst

Ageing ICS - Shortversion in english

 

Kartläggning av SCADA - säkerhet inom svensk dricksvattenförsörjning
Dricksvattenförsörjningen är i hög grad beroende av välfungerande industriella. Sårbarheterna vid användningen av SCADA-system har under ...
Pris:
0,00 kr
Publikationsnummer:
MSB311
Antal
Ej i lager
 
 

Stuxnet : IT som vapen eller påtryckningsmedel
Stuxnet utmärker sig i det brus av skadlig kod som ständigt översköljer dagens IT-system och kan sägas representera en milstolpe i utveck...
Publikationsnummer:
MSB331
 
 
Publicerad: 2016-06-21 kl. 10:47 | Senast granskad:2018-11-26 kl. 11:02
Kontakt: ics@msb.se ics@msb.se