IT-säkerhet – styra eller styras?

IT-säkerhet är högaktuellt i VA-Sverige när nu många gamla verk, pumpstationer och ledningsnät behöver bytas eller förnyas. Samtidigt är säkerhetsarbete tråkigt och obekvämt. Det ökar risken för omedvetna brister i styrsystemen.

Text/Tomas Carlsson

När Cirkulation 2011 gjorde en djupdykning i ämnet var experterna eniga om att säkerheten i processnära system i VA-branschen låg tio år efter andra system. I höstas visade Dagens Nyheter med praktiska försök att även andra branscher missat att säkra åtkomst till sina system. Många gånger låg de vidöppna mot internet. Ett vattenkraftverk medgav till och med att de låtit bli att lösenordskydda för att det var bekvämare så.

– Ett vanligt fel är att användarna låter ursprungslösenordet från leverantören ligga kvar och det är ofta lätt att ta reda på. Jag har skannat internet efter undersystem, PLC, och 3G-modem, och har en lång lista på sådana som inte bytt till eget lösenord, säger Leif Nixon, säkerhetskoordinator på Nationellt center för superdatorer på Linköpings universitet.

Cirkulation hittar snabbt »default password« i manualen på nätet för ett 3G-modem som är väldigt vanligt i VA-branschen. Vi ser också att det är väldigt enkelt att med en knapp återställa modemet till fabriksinställningarna, något som kanske görs om det krånglar eller om obehörig kommer åt det. Då försvinner också det listiga lösenord som användaren kanske trots allt hittat på och istället återgår lösenordet till ursprunget.

Bland det Leif Nixon hittat finns bland annat en råvattencentral där det via internet enkelt gick att komma åt utrustning och diagram över systemet. Han har bland annat använt verktyget Shodan, »världens farligaste sökmotor«, med vilket det är lätt att hitta system med brister. Hackerverktyg är allmängods idag, men kan också användas snällt för att hitta egna säkerhetsproblem.

Säkerhet och bekvämlighet kan stå i motsatsförhållande till varandra i styr- och driftsystem, så kallade Scada (Supervisory Control And Data Acquisition). Är det för krångligt att komma in i systemen, och besvärligt att där utföra åtgärder, kommer påhittiga användare att skapa genvägar och försöka kringgå eller stänga av säkerheten.

Därför har de som tillverkar systemen ett stort ansvar att göra dem både säkra och bekväma. Men det går inte alltid att kombinera och då måste alltid säkerheten gå före bekvämligheten; riskanalysen måste styra detta.

Om användaren får välja mellan säkerhet och bekvämlighet kommer bekvämligheten att vinna nio gånger av tio. Därför måste användarens möjlighet att själv sätta bekvämlighet först begränsas så att det bara finns den säkra vägen att gå, även om det är obekvämt.

– Kommunala system installeras ofta av underleverantörer och konsulter. De är i huvudsak driftsmänniskor och har inte alltid kompetens för IT-säkerhet. Och kommunerna har inte alltid kompetens att ställa rätt krav, säger Leif Nixon.

Just behovet av högre beställarkompetens påpekas också på flera ställen i »Informationssäkerhet – trender 2015«, som Myndigheten för samhällsskydd och beredskap, MSB, nyligen har gett ut. Där noteras att systemen blivit komplexa på ett sätt som kräver förstärkt kompetens för inköp av offentliga system.

Leif Nixon pekar också på att systemen ofta inte har loggar över vad som händer, och finns det loggar är det ingen som tittar på dem. Detta trots att avvikande händelser syns där.

– Det finns Scada-leverantörer som har verktyg för att automatiskt hålla koll på loggar, men kunder vill inte alltid betala för dem, säger Leif Nixon.

Det blir en hönan-och-ägget-situation om det är leverantören eller beställaren som ska ta ansvaret att säkerheten blir installerad. Leverantören vill ha konkurrenskraftiga priser och då faller en del av säkerhetsansvaret över på köparen, som ibland väljer att snåla istället. Det tas kanske för givet att levererat system ska vara »tillräckligt« säkert.

Uppdateringar av operativsystem, antivirus eller tilläggsmoduler som Java och Flash, sker inte lika lätt i styrsystem som måste vara igång hela tiden. Det är ett gissel, som oftast leder till att systemen har stora sårbarheter i sina gamla versioner. Det kanske finns dubbleringar på mycket ute i processen, men styrsystemet har halkat efter och är oftast inte dubblerat.

Innan allt i VA-branschen är förnyat kommer det att under avsevärd tid finnas äldre system, inte alls gjorda för den nya typen av åtkomst i komplexa nätverk. Det går inte att förlita sig på att förrförre driftchefen gjorde rätt en gång i tiden. Allt måste kollas upp regelbundet.

Just därför att det är krångligt att bättra säkerheten i gammal utrustning börjar det komma nya produkter som överbrygger detta. Ett exempel är Xcrypt från Cryptango i Göteborg. Det är en dosa som ser till att allt mellan ett undersystem, PLC, och huvudsystemet är krypterat. Sedan kan trafiken gå via radiomodem eller tråd – ingen mitt emellan kan ta över. Kryptonycklarna byts dessutom automatiskt och oavbrutet. Det är bara att koppla in dosan, sen fungerar det. Bryts strömmen så tar ett batteri över. Det ska vara billigare än att helt byta en äldre PLC, mot en modern med säkrare kommunikation.

En annan ny svensk uppfinning är Yubikey från Yubico som ska fixa problemet med lösenordshantering. Lösenord ska vara långa, för att vara krångliga att knäcka. Men människor använder hellre korta lösenord för att de är lättare att komma ihåg. Och de sprider gärna lösenord omkring sig också.

Yubikey är ett enknapps-tangentbord som kopplas in i USB-porten på datorn. Med rätt stöd i programmet blir knappen den extra säkerhet som gör att programmet vet att det är rätt person som angett lösenord. Det är vad som kallas hårdvaruautenticering, ungefär som dosorna till internetbankerna.

Hårdvara i all ära, men det är alltid den mänskliga faktorn som är den allvarligaste säkerhetsrisken. Kartläggning, uppföljning och utbildning är självklara aktiviteter som behöver pågå kontinuerligt.

Det finns mycket informationsmaterial, mer eller mindre tillgängligt, men ofta är det inte uppdaterat. Svenskt Vattens »Säkerhetshandbok för dricksvattenproducenter« är exempelvis inte uppdaterad sedan 2012 och finns inte heller att få tag på som pdf-fil, vilket gör den svåråtkomligt för informationssökaren.

Istället finns en alldeles nyutkommen Håndbogen om IT-sikkerhed i forsyningsbranchen från Det Digitale Vandselskab i Danmark, som är inspirerad av den svenska handboken.

Just nu finns heller inga planerade aktiviteter i frågan från Svenskt Vatten och deras säkerhetsgrupp SV-scada är nedlagd.

– Vi har märkta att intresset för frågorna ökat och kanske gör vi något seminarie under året, säger Gullvy Hedenberg, sekreterare i dricksvattenkommittén DRIK.

Svenskt Vatten har dock en utmärkt checklista i excelformat, med tillhörande instruktioner, där det går att göra en inledande kontroll av säkerhetsläget utifrån många aspekter i frågeform. Ifyllt formulär ger automatiskt sammanräknat resultat av säkerhetsläget som snabbt visar vad som behöver göras.

Industriella system finns i många branscher och det finns gott om specialkurser i säkerhet att beställa. Totalförsvarets forskninginstitut har exempelvis en egen grupp inriktat på detta, Nationellt centrum för säkerhet i styrsystem för samhällsviktig verksamhet, NCS3. Det är en liten sammansvetsad grupp som arbetar på uppdrag av MSB, som har ett särskilt program för skydd av samhällsviktig verksamhet.

FOI-gruppen har till och med en mobil modell kallad dricksvattendemonstrator som stöd när de gör livedemonstrationer av sårbarheter i Scada-system. Modellen har ett riktigt styrsystem och riktiga PLC:er  som styr simulerade pumpar, UV-filter och vattentornets nivå. Ledningsnätet är ljussatt med olika färger för att visa vattnets kvalitet.

– Vi jobbar med tre olika nivåer. Först är vi ute på mässor och informerar för att höja medvetenheten om riskerna. Nästa nivå är kunskapshöjande kurser. När man väl har kunskapen gäller det att veta vad man ska göra. Då arbetar vi med förmågehöjande utbildningar, säger Lars Westerdahl, forskare och projektledare vid FOI.

Eftersom Scada-system finns globalt, och hoten ofta utvecklas mot system i andra länder, finns också en internationell varningsservice, ICS-CERT, Industrial Control Systems Cyber Emergency Response Team. Den amerikanska säkerhetsmyndigheten skickar ut snabbvarningar och rådgivning, som det går att prenumerera på. Så fort en ny anfallsmetod blir känd, är det tänkt att prenumeranter ska få reda på detta, med förslag på åtgärder.

I höstas hölls världens första internationella seminarie om Scada-säkerhet i Stockholm, ett årligt forum som fått namnet 4SICS. Vid höstmötet talade världsledande säkerhetspersoner under två dagar. Bland annat visade utvecklaren av Shodan, John Matherly, hur verktyget kunde ta fram en karta över 550 miljoner enheter möjliga att attackera via internet.

Mötet belyste också att det saknas lagar över minimisäkerhet för samhällsviktiga funktioner och att tillverkarnas enda drivkraft är om kunderna frågar efter och vill betala för säkerheten.

Det kvittar hur verkets organisation har taggat upp för att göra styrsystemet säkert, när datorerna lämnas inloggade och alla går på fikarast samtidigt, så att vem som helst kan gå in och ratta reningen på verket. Cirkulation har genom åren sett flera exempel på detta ute på verken. Automatisk utloggning vid inaktivitet kan vara ett minimikrav, så som det är på internetbankerna.

Den nya trenden med surfplattor som hjälpmedel för styrning och övervakning av verken öppnar nya säkerhetshål.

– Jag förstår att behovet finns, men sättet som det införs på är väldigt otäckt. Det blir nya kommunikationslinjer till enheter som inte borde vara nåbara utifrån, säger Leif Nixon.

Det hjälper inte att det finns krångliga lösenord till driftssidan om en användare installerar Facebook genom vilket det går att lura in skadliga spionprogram på plattan.

Leif Nixon blev efter sin granskning uppenbart skrämd av bristen på säkerhet i samhällets olika viktiga funktioner.

– Efter att jag börjat djupdyka i det här har jag försett mig och min familj med ett nödförråd i källaren för att klara åtminstone en vecka utan den normala tillgången till vatten, mat och el, säger Leif Nixon.

————