IT-säkerhet i en digital tid - kan vi koppla upp allt och samtidigt skydda oss?

Digitaliseringen letar sig in på allt fler områden. Industrin är inget undantag. Automatisering och effektivisering syftar till att öka andelen industriell produktion med målet att stärka landets konkurrenskraft på världsmarknaden, skapa sysselsättning och öka inkomsterna. Sverige ska bli bäst i världen på att utnyttja digitaliseringens möjligheter. Det är regeringens strategi.

Produktionsanläggningar är ständigt uppkopplade, maskiner kan fjärrstyras via internet och data kan utbytas inom några sekunder. I takt med den digitala utvecklingen ser vi allt fler exempel på återkommande, frekventa och mer eller mindre sofistikerade cyberattacker. Det är det nya normala.

I många verksamheter kämpar medarbetare med hög arbetsbelastning och begränsad budget och har varken tid för eller som uppgift att lyssna på de goda råd som kommer från it-säkerhetsexperter. Vi påminns ofta om det, till exempel i februari i år när en inkräktare fått tillgång till ett fjärrsystem och försökte spetsa dricksvatten med lut i en kommunal vattenreningsanläggning i Florida. Anställda i anläggningen använde samma TeamViewer-lösenord och hade inte skyddat systemet bakom en brandvägg tillräckligt bra.

Ett angrepp i maj 2021 mot Colonial Pipeline, den största bränsleledningen i USA, tvingade dem att stänga av sin pipeline i flera dagar efter att ha drabbats av ransomware, för att minska risken att OT-delen (Operational Technology) drabbades. De betalade cirka 5 miljoner dollar i lösen (av vilka de med FBI:s hjälp lyckades få tillbaka 3,5). Colonial Pipeline transporterar petroleumprodukter i hela södra och östra USA, cirka 2,5 miljoner fat per dag genom en 5 500 mil lång rörledning och tillhandahåller 45 procent av allt bränsle som förbrukas på den amerikanska östkusten.

Dessa båda händelser beskriver bara alltför väl sårbarheten hos kritisk infrastruktur och produktionsanläggningar av olika slag.

Dagens it-miljöer består av ett hopplock av system, applikationer och program som vart och ett underhålls av en eller flera leverantörer. Ofta använder en hel bransch samma leverantör och samma typ av system, applikation eller programvara. Uppdateringar måste ske regelbundet och snabbt. Frekventa brister sker i kontrollerna av vad man stoppar in i produktion, det finns inte längre någon testmiljö, och det mesta går med automatik. Ett tydligt exempel på det var uppdateringen av en programvara från Kaseya som drabbade tusentals företag globalt, däribland Coop i Sverige.

Många verksamheter lägger ut sin drift på så kallade molntjänstleverantörer. Med det hanteras vissa risker, till exempel bristen på kompetens internt, men det tillför andra. Det får man inte blunda för. Molntjänstleverantörerna har ofta gott om resurser och driver ett bra säkerhetsarbete, men de är inte immuna. Tvärtom, de har kommit att bli en allt populärare måltavla för angrepp. Lyckas du som angripare att ta ner en molntjänst har du fått ner väldigt många anslutna verksamheter samtidigt.

Att inte ta IT-säkerhet på stort allvar redan på idé- och designstadiet kommer att leda till stora kostnader när de väl ska hanteras. Det är som att ignorera tandvärk och hoppas på att det ska gå över, medan det till sist blir smärtsam behandling och kanske till och med rotfyllning.

Det finns tre viktiga designprinciper som man ska ha med sig:

1: Minimera attackytan

Attackytan representerar alla ingångs- och kommunikationspunkter som ett informationssystem har. Attackytan kan relateras till en programvara (operativsystem, bibliotek, läs-/skrivåtkomst), ett nätverk (öppna portar, aktiv IP, nätverksflöden, använda protokoll), en människa (nätfiske, social manipulation) eller ett fysiskt intrång (som inuti byggnaden).

Ett informationssystem med en bred attackyta är mer sårbart för attacker. Faktum är att filtrering och kontroller gör system mer komplexa att konfigurera och organisera. När alla ingångspunkter på attackytan har identifierats måste såväl övervaknings- som skyddsverktyg implementeras. Mycket exponerade system bör genomgå regelbundna säkerhetsanalyser.

Bland möjliga lösningar för att minska en attackyta för operativsystemet är härdning en välkänd men alltför sällan använd princip. Det handlar om att identifiera komponenter som inte eller i liten omfattning används i systemet. Syftet är att stänga tjänster och portar för att begränsa möjligheterna till fjärrinteraktion med systemet.

2: Begränsa behörigheter

Enligt franska cybersäkerhetsbyrån (ANSSI) preciserar denna princip som att en administratör endast ska ha åtkomst till administrationszoner där denne har ett operativt behov, utan några tekniska möjligheter att komma åt någon annan zon.

Denna princip är oskiljbar från säkerhet genom design. En tydlig fördelning av tilldelade uppgifter, roller och rättigheter uppnås genom partitionering. När väl principen med begränsade behörigheter är implementerad är det svårare att komma åt en undersektion av miljön eftersom attackytan reduceras avsevärt. Även om olyckan är framme får en attack bara begränsade konsekvenser.

3: Försvar på djupet

Uttrycket Försvar på djupet kommer från det militära, och syftet är att sinka fienden. Hot motverkas med samordnade och oberoende försvarslinjer. På samma sätt som en grind måste säkerhet övervakas, skyddas och ha en kontinuitetsplan i händelse av en incident.

Att sätta dessa tre principer i praktiken redan på idéstadiet för en applikation, ett system, ett anslutet objekt eller en programvara garanterar naturligtvis inte full motståndskraft mot attacker eller intrång, men det skapar en miljö där man gjort vad man kan baserat på de risker som finns.

Modellen för säkerhet genom design måste finnas med under hela produktens livscykel och måste vara en gemensam angelägenhet för alla parter som berörs av och jobbar med utvecklingen.

Allt säkerhetsarbete går i slutändan ut på att adressera risk. Utan riskbedömning och åtgärder stoppar man huvudet i sanden, och det gäller både IT- och OT-säkerhet. OT-säkerhet har mer likheter med IT-säkerhet än man kan tro.

Riskhanteringen utgår från en bedömning av vad som är värt att skydda och från vad, för att därmed bygga sin strategi utifrån skyddsbehoven och därefter utforma teknik och processer efter behoven. Det kan se olika ut beroende på hur hoten mot verksamheten ser ut, men i båda miljöerna finns stöd i standarder och praxis. I OT-världen pratar man om ISO/IEC 62443 och i IT- och informationssäkerhetsvärlden heter det ISO 27000 (som är en hel familj av standarder).

Även om fördelarna med sakernas internet, eller IoT, är obestridliga, är sanningen den att säkerheten inte hänger med innovationstakten. När vi alltmer integrerar nätverksanslutningar i landets kritiska infrastrukturer, blir viktiga processer som en gång utfördes manuellt (och därmed åtnjöt ett visst mått av immunitet mot angrepp) sårbara för cyberhot. Det ökade beroendet av nätverksansluten teknik har vuxit snabbare än förmågan och viljan att säkra den.

Ekosystemet för IoT introducerar risker som inkluderar skadliga aktörer som manipulerar flödet av information till och från nätverksanslutna enheter eller manipulering av själva enheterna, vilket kan leda till stöld av känsliga uppgifter och förlust av konsumenters integritet, avbrott i affärsverksamhet, eller avbrott i kommunikation genom storskaliga distribuerade överbelastningsattacker och därmed potentiella störningar av kritisk infrastruktur.

När vi ansluter något till internet är det synligt på internet. Och om det är synligt är det nåbart och är det nåbart är det ett potentiellt mål för attacker, såvida vi inte gör något för att förhindra det. Din tv, ditt kylskåp, din webbkamera, din brödrost, din elmätare, ditt kraftverk, din fabrik eller vad du nu har, kan både utsättas för angrepp och användas för att genomföra angrepp mot andra.

Säkerhet kan inte hanteras med optimism och böner, det kräver systematiskt arbete, därför lämnar jag några råd på vägen:

1. Det krävs kompetens både på bredden och djupet, utpekade resurser och ett brett deltagande inom hela verksamheten. Ledningen ska gå före och visa vägen. Att anpassa ansträngningarna och tydligt peka ut ansvar är grundläggande för framgång. Ett blandat team som omfattar ett helt spektrum av perspektiv har bättre förutsättningar att lösa problem och dela med sig av information som är avgörande för det digitala försvaret.

2. Att inkludera IT- och OT-säkerhet som en designparameter och som en del av företagskulturen hjälper till att förbättra resultaten. Det går inte att lägga på säkerhet i efterhand, det blir både dyrt och ineffektivt.

3. Sofistikerade, frekventa hot kommer sannolikt att fortsätta öka, därför måste varje verksamhet analysera sina risker och vidta åtgärder för att lindra dem.

4. Liksom andra risker kräver hantering av cyberrisker mandat, medel, resurser och ansvar. Det är ledningens uppgift att se till att det finns.

5. Hitta former för att dela information om cyberhot, praxis och öka it-säkerhetsmognaden i hela sektorn, det höjer stabiliteten i hela branschen. Samarbeta med andra. Svagheten kan ligga utanför den egna organisationen.

6. Insikten att cyberangrepp kommer att fortsätta inträffa kräver planer som hjälper till att lindra skador från helt eller delvis lyckade angrepp. Praktiska övningar av sådana planer gör det möjligt att testa och förbättra både det egna försvaret och samarbetet med andra i sektorn.

Samtidigt som internet och nätverksbaserade tekniker förändrar samhället i en förhoppningsvis positiv riktning skapar utvecklingen nya risker, hot och utmaningar. En cyberattack på exempelvis energiinfrastruktur, livsmedelstillverkning, vattenrening eller transporter i Sverige kan orsaka allvarlig skada. Ingen enskild aktör kan hantera dessa utmaningar på egen hand. Vi måste arbeta tillsammans för att skapa insikt, öka medvetenheten och reducera komplexiteten på området.

Att skapa en stark säkerhetskultur bland våra medarbetare gör hela skillnaden. Vi ska sträva efter att uppnå denna kultur genom bland annat säkerhetsträning, nätfiskeövningar och företagsomfattande beredskapsövningar. Vi behöver också införa nya processer och rutiner för upphandling och förbättra våra avtal med leverantörer och andra affärspartners för att stärka även våra samarbetspartners säkerhetsposition.

Tillsammans gör vi skillnad.

Anne-Marie Eklund Löwinder, IT-säkerhetsexpert och sedan 2013 invald i Internet Hall of Fame.