Publicerad: 28/3 2010
”Fungerar inte SCADA-systemen fungerar inte samhället”, konstaterar Mikael Gustafsson, säkerhetsexpert på Veriscan Security, som varit på en konferens om SCADA-säkerhet.
SCADA (Supervisory Control And Data Acquisition) är ett begrepp som allt oftare börjat figurera i informationssäkerhetssammanhang. Många av oss börjar litet yrvaket inse att SCADA-system finns överallt utan att vi vet om det och framför allt utan att vi vet vilken säkerhetsrisk de utgör.
”SCADA-systemen skapades från början för att övervaka och styra processer inom processindustrin men idag kan man nästan säga att SCADA-system omger oss från vaggan till graven”, säger Mikael Gustafsson, säkerhetsexpert på Veriscan Security.
Mycket styrs av SCADA
Idag styrs och övervakas till exempel ventilation och klimat i många bostäder och lokaler av IT-beroende SCADA-system. Mycket av samhällets infrastruktur som exempelvis tåg, båttrafik och flyg är i idag helt beroende av SCADA-system. Stora mängder fastighetsautomation sker idag via IT, som i sig styr någon typ av SCADA-system.
”Fungerar inte SCADA-systemen fungerar inte samhället, så enkelt är det”, säger Mikael som nyligen kom hem från en konferens i Miami rörande just SCADA-säkerhet. Konferensen rönte stort intresse med deltagare från i princip hela världen vilket väl också visar att det finns ökad medvetenhet kring att det finns stora säkerhetsproblem inom området SCADA.
Hur ser då säkerhetsproblemen ut? Ett grundläggande problem menar Mikael Gustafsson är att SCADA av tradition inte räknats som IT:
”Det finns i de flesta fall en vattentät organisatorisk gräns mellan den administrativa IT-verksamheten å ena sidan och processnära IT som SCADA å andra sidan. Nu håller dessa verksamhetsdelar med sina olika kulturer på att växa samman utan man analyserar vad det innebär i praktiken”.
Avbrott kan bli förödande
Svagheter som finns i den administrativa IT-miljön riskerar att följa med in i SCADA-miljön där dessa svagheter kan få mycket allvarliga konsekvenser.
Ett par timmars avbrott i ’kontors-IT’ är naturligtvis irriterande och kan kosta pengar, men samma avbrott i övervakningen av processerna i ett kärnkraftverk eller tågledningssystem kan vara fullständigt förödande. Det säger litet grann om riskerna då administrativ IT och SCADA-systemen börjar integreras.
Segmentering kommer i detta perspektiv i en helt ny dager eftersom en stark rekommendation är att SCADA-system hålls autonoma från öppna datanät som till exempel Internet. Så vad händer om de integreras med den administrativa IT-miljön till exempel för att möjliggöra uppföljning av övervakningsdata?
”Här ställs många organisationer inför ett näst intill omöjligt val. Å ena sidan vill man koppla ihop SCADA-systemen med den administrativa miljön för att kunna utnyttja informationen i dessa system på ett effektivt sätt, å andra sidan tar man då mycket stora risker eftersom det möjliggör en obehörig åtkomst till systemet från Internet. Systemen exponeras också för till exempel virusangrepp vilket i sig är allvarligt eftersom många SCADA system har en dålig förmåga att försvara sig, ofta mycket sämre än en vanlig hem-pc. Dessutom är det så att många verksamhetssystem idag inte fungerar utan koppling till Internet, exempelvis för regelbundna uppdateringar”, säger en bekymrad Mikael Gustafsson.
SCADA kräver nogranna kontroller
SCADA innebär alltså en stor utmaning för alla organisationer och ett mycket omfattande planeringsarbete krävs för att kunna upprätthålla god säkerhet, inte minst därför att ett produktionssatt SCADA-system knappast går att testa ur säkerhetssynpunkt. Själva säkerhetstesterna utgör ofta en allt för stor risk då de kan orsaka skador på systemen. SCADA-system bör alltid säkerhetstestas under kontrollerade former i ett labb innan de produktionssätts. Alla förändringar i ett redan produktionssatt system bör noga provas av och säkerhetstestas i ett autonomt labb innan de införs i en skarp miljö.
”Det är en spännande framtid vi går till mötes”, avrundar Mikael Gustafsson, ”det är bara att hoppas att medvetenheten kring SCADA-säkerhet tillväxer lika snabbt som antalet SCADA-system. Företag och organisationer måste börja ta detta mer allvarligt och utreda riskerna i verksamhetsknutna termer för att få ledningen att förstå. Och tänk bara när man inom hälso- och sjukvård upptäcker att det vimlar av SCADA-system samtidigt som vårdinformationssystemen är helt beroende av kopplingen till Internet!”
Veriscan Security
Verkstadsgatan 20
65219, Karlstad
