Till innehåll på sidan

Fördjupande material

Sedan 2007 stödjer MSB Totalförsvarets forskningsinstitut (FOI) i uppbyggnaden av kompetens och en teknisk samverkansplattform inom området. Under 2012 inrättades arbetet under namnet Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet (NCS3). Här presenteras ett urval av de rapporter som tagits fram på uppdrag av MSB med fokus på cybersäkerhetsaspekter inom industriella informations- och styrsystem.

Standard IEC62443

ISA/IEC 62443 är en standard med fokus på industriella informations- och styrsystem (ICS) och har sitt ursprung i tillgänglighets- och riktigthetsaspekterna snarare än konfidentialitetsaspekten. Den här rapporten ger en övergripande bild av standarden, dess olika delar och relation till andra standarder samt belyser hur den används i Sverige.

Även en jämförelse med Norge görs. Rapporten riktar sig till operatörer, leverantörer och tillverkare av samhällsviktiga styrsystem. Den kan läsas av de som vill få en inblick i standarden eller användas som underlag för dialog mellan operatörer och leverantörer, exempelvis vid upphandling.

Faktablad om standard ISA/IEC 62443Rapport om standard ISA/IEC 62443

Industriella protokoll i Sverige

Rapporten vänder sig till dig som vill veta mer om de kommunikationsprotokoll som i Sverige är vanligt förekommande i industriella informations- och styrsystem. Generella egenskaper, säkerhetsaspekter, varianter och datamodeller beskrivs för de ingående protokollen, likaså referenser till specifikationer i de fall dessa är tillgängliga. Exempel på protokoll som beskrivs i rapporten är IEC60870-5, Modbus och OPC.

Rapport om industriella protokoll i Sverige

Monitorerings- och övervakningssystem

En kategorisering och översikt av IDS-teknik inom industriella informations- och styrsystem. I rapporten skapas ett ramverk som används för att på en övergripande nivå beskriva de olika delarna av funktionaliteterna i en IDS samt vad som påverkar dessa delars funktionalitet. Utifrån ramverket beskriver studien även aktuella trender för forskningen inom området samt fokus för marknaden. Studien kan fungera som stöd tidigt i en införskaffningsprocess av intrångsdetektionssystem för att visa på de tekniska möjligheter som finns.

Rapport om monitorerings- och övervakningssystem: en aktegorisering och översikt av IDS-teknik inom ICSFaktablad om monitorerings- och övervakningssystem: en kategorisering och översikt av IDS-teknik inom ICS

Beroenden till industriella informations- och styrsystem

I förstudien Beroenden till industriella informations- och styrsystem läggs grunden till ett ramverk för identifiering och analys av samhällsviktiga verksamheters beroenden till ICS. Studien fokuserar på vilka utmaningar som kan förväntas när beroendeanalyser tillämpas på verksamheter med ett starkt inslag av ICS.

Slutsatsen är att själva identifieringen av beroendena (beroendekartläggningen eller systemanalysen), är möjlig att göra, men att den försvåras eftersom ICS finns ”överallt” i verksamheterna och eftersom de interna beroendena ofta är mycket komplexa.

Komplexiteten hänger ihop med det starka inslaget av mjukvara. Detta försvårar även värderingen av beroendena – t.ex. blir förhållandet mellan funktionella beroenden och sårbarheter svårare att förutsäga. Om man dessutom vill kvantifiera sårbarheterna finns sällan bra data att utgå ifrån.

Rapport om beroenden till ICS

Faktablad: IT-forensik i ICS

Regelverk

Det finns ett flertal lagar, förordningar och föreskrifter som påverkar säkerhetsarbetet kring industriella informations- och styrsystem.  En jämförelse mellan olika sektorer visar att föreskrifterna inom el- och dricksvattensektorn är de som mest explicit hanterar säkerhetsfrågorna. Frågorna berörs inte lika tydligt inom föreskrifterna för sektorerna spårbunden trafik och elektroniska kommunikationer, och knappt alls i föreskrifterna för sektorerna fjärrvärme och kemisk processindustri.

Övergripande pågår just nu ett flertal arbeten som kan leda till att regelverk och krav inom området blir tydligare. Bland dessa ingår att ta tillvara resultatet av en statlig utredning om informations- och cybersäkerhet i Sverige samt översynen av säkerhetsskyddslagen och MSB:s och Strålsäkerhetsmyndighetens föreskrifter.

Rapport om regelverk och krav inom området ICS

Åldrande ICS-utrustning

I denna studie undersöks synen på, och hanteringen av, åldrande industriella informations- och styrsystem (ICS) inom några samhällsviktiga verksamheter i Sverige. Resultatet visar att det inte är åldrande i den traditionella meningen, det vill säga att något degenererar tills det slutar fungera, som utgör den stora utmaningen. Utmaningarna är i stället kopplade till relativt åldrande, att tekniska lösningar åldras relativt omgivningens krav.

Kraven är en direkt effekt av den snabba utvecklingen som sker inom informations- och övervakningssystemen, med resultat att ny automationsutrustning snabbt uppfattas som omodern. I första hand är det leverantörernas allt kortare supporthorisont som är gränssättande.

En generell tendens är att ICS närmar sig IT med allt vad det innebär av möjligheter och utmaningar – uppkopplat och billigt, men med ökad exponering mot Internet. En tendens är också mindre av customlösningar och mer av färdiglösningar vilket går hand i hand med lägre grad av djup kunskap om hur systemen fungerar, och ett allt starkare leverantörsoligopol.

Konsekvenserna kan bli sårbarheter i form av ”svarta lådor” och ”lapptäcken” av lösningar som både försvårar underhåll, planering och möjligheter att få support. Det blir också svårare att skydda sig mot IT-attacker av olika slag.

Rapport om åldrande ICS-utrustning

 

Industriella informations- och styrsystem i kris och krig

Resurstillgången hos leverantörer och aktörer som är beroende av industriella informations- och styrsystem (ICS) upplevs god vid normalförhållanden och mindre störningar, men planeringen av resurser är inte byggd för allvarliga samhällsstörningar. Målen för denna studie har varit att kartlägga regelverk samt att fånga utmaningar och problem med prioritering och fördelning av ICS-relaterade resurser när det råder brist i kris eller krig.


Industriella informations- och styrsystem i kris och krig - En studie om prioritering och fördelning av resurser

 

Senast granskad: 24 november 2020

Kontakta

När du skickar in formuläret kommer vi att behandla dina personuppgifter för att utföra den uppgift som formuläret avser. Tänk på att det du skickar in kan bli en allmän handling.

Till toppen av sidan