Till innehåll på sidan

Rekommendationer och råd

Ta del av rapporter och faktablad som belyser råd och rekommendationer inom området. Rapporterna kan exempelvis belysa någon av de mer övergripande rekommendationerna i vägledningen eller vara fokuserade på lärdomar av enskilda händelser eller inriktade mot olika slags verksamheter.

Kryptografiska funktioner inom ICS

Denna rapport undersöker behov, nyttjande samt relevans av kryptografiska funktioner som skydd inom ICS. Resultatet av litteraturstudierna och intervjuerna leder till en rekommendation att all extern trafik samt lagrad data krypteras. Gällande kryptering av de interna nätverken framgår det av intervjuer att detta avsevärt kan försvåra övervakning och man framhåller istället arbete med autentisering.

Kryptopgrafiska funktioner inom ICS

Molntjänster och virtualisering inom ICS

Dessa två rapporter beskriver de två områden servervirtualisering och molntjänster avseende industriella informations- och styrsystem. De beskriver övergripande dessa tekniker, sätter dem i kontexten styrsystem och ger säkerhetsrelaterade råd baserade på intervjuer kring vad är viktigt att beakta före och efter ett användande.

Molntjänster inom ICS
Faktablad om molntjänster inom ICS
Virtualisering inom ICS
Faktablad om virtualisering inom ICS

Faktablad om risker med sakernas internet IoT  

MSB, har tagit fram tre konkreta faktablad om vilka risker IoT eller sakernas internet för med sig och hur de kan hanteras. Faktabladen stödjs av en studie som beskriver IoT-relaterade risker och strategier.

Internet of Things (IoT) är ett begrepp som används för att beskriva att allt fler föremål, både för privat- och industriellt bruk, utrustas med möjligheten att anslutas till internet och andra nätverk. Anslutningen kan ge fördelar och möjliggör många nya tjänster, men innebär samtidigt många utmaningar. Incitamentet att sälja IoT-enheter i stora volymer till ett lågt pris tillsammans med begränsad energi- och beräkningskapacitet hämmar också möjligheterna att skapa god säkerhet.

Lösningarna får därigenom ofta ett otillräckligt skydd mot obehörigt användande. Eftersom utvecklingen inom IoT och digitalisering går mycket snabbt finns det ett behov av att fördjupa kunskapen om området.
Säkerheten hos IoT-enheter, system av IoT-enheter och tjänster baserade på dessa är beroende av såväl säkerheten hos enheterna i sig själva som hur de och systemet de ingår i installeras, underhålls och används.

För att kunna uppnå bra säkerhet behöver alla parter i kedjan ta ansvar. Tanken är att faktabladen som MSB har tagit fram både ska ge konkreta råd och fungera som diskussionsunderlag i ett sådant arbete.

IoT-relaterade risker: begrepp och kategorisering
Så säkrar du ditt IoT: råd till systemägare och nyttjare
Säkrare IoT: rekommendationer till myndigheter

Lärdomar från ukrainska elavbrott

Den 23 december 2015 meddelade ett antal ukrainska elbolag via sina webbtjänster att ett större elavbrott inträffat. De indikerade samtidigt att andra störningar förekom, såsom problem att nå kundtjänstfunktioner via telefon. Senare samma dag gick ett av de drabbade elbolagen ut med att det handlade om ett IT-angrepp som innebar att understationer kopplades bort, vilket i sin tur ledde till att kunder förlorade sin strömtillförsel. I december 2016 rapporterades om ytterligare angrepp mot elbolag i huvudstaden Kiev.

Vilka lärdomar kan vi dra och vilka åtgärder borde vidtas för att upptäcka och förhindra liknande händelser i Sverige?

Viktiga lärdomar från elavbrotten i Ukraina

Effekten av kurser inom ICS-säkerhet

I MSB:s vägledning till ökad säkerhet i industriella informations- och styrsystem rekommenderas att organisationer regelbundet låter sina medarbetare delta vid utbildningar och övningar inom ICS-säkerhet. Även i andra vägledningar och standarder ges liknande rekommendationer. Den här rapporten söker svar på vilka grunder sådana rekommendationer bygger. Den söker även svar på hur de av MSB finansierade NCS3-kurserna lett till ett förbättrat säkerhetsarbete inom respektive organisation.

Resultatet visar att effekterna till största del ligger på individnivå, så som ökad medvetenhet, men vidare beskriver ett antal av studiens respondenter att kurserna bidragit till faktiska förändringar på organisationsnivå.

Effekten av kurser inom ICS-säkerhet

Internetanslutna styrsystem i Sverige

I normalfallet finns det liten eller ingen anledning till att medvetet tillgängliggöra känsliga komponenter direkt på internet. I takt med att krav ställs på ökad tillgänglighet och utbyte av information mellan system, ökar dock också benägenheten att tillgängliggöra systemkomponenter på distans.

Resultatet från den här studien visar att potentiellt känsliga komponenter tillgängliggörs via publika, sökbara databaser även i Sverige. Alla organisationer som äger samhällsviktiga komponenter bör därför fundera över om sättet de internetansluts är tillräckligt säkert.

Internetanslutna styrsystem i Sverige: en studie baserad på databaserna Censys och Shodan
Faktablad om internetanslutna styrsystem

Kommunal verksamhet

Hösten 2016 genomfördes en studie i syfte att undersöka vilket stöd som kommuner ser som relevant i sitt arbete med cyberfysiska system. Resultaten visar önskemål om stöd i form av guider, checklistor, mallar och konkreta exempel på hur man strukturerar och kartlägger sina systemstrukturer. I rapporten listas identifierade typer av cyberfysiska system som kan användas vid en inventering i den egna kommunen. Dessutom listas diskussionspunkter som stöd för tankearbete, kartläggning och strukturarbete med de cyberfysiska systemen. Studien visar att det finns kommuner som kommit noterbart längre i sitt arbete. Dessa har också signalerat att de gärna stödjer andra kommuner i deras arbete.

Översikt över arbetet med cyberfysiska system på kommunal nivå (bilaga NCS3)
Faktablad om cyberfysiska system i kommuner

Fastighetsautomation

Fastighetsautomation handlar om att i fastigheter styra, reglera och övervaka olika tekniska installationer och system för bland annat värme, ventilation, kyla, luftkonditionering, belysning och solskydd. Dessa system kan betraktas som en delmängd av det MSB benämner industriella informations- och styrsystem.

För dig som arbetar med säkerhet inom fastighetsautomation har vi här samlat vårt material inom området:

Industriella informations- och styrsystem inom fastighetsautomation
Faktablad fastighetsautomation: cybersäkerhet inom fastighetsautomation

Senast granskad: 19 mars 2019

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan