Distributörer av el och färskvatten är bäst på att skydda sina informations- och styrsystem mot antagonistiska angrepp. Enligt en undersökning från FOI, genomförd på uppdrag av MSB. Utredningen visar även att säkerhetsarbetet går långsammare än det borde.
Samhällets kritiska infrastruktur – el, vatten, järnväg med mera – styrs allt mer via internetbaserade system. Det är effektivt, billigt och gör det lättare att uppgradera och underhålla systemen. Men det öppnar för antagonistiska angrepp, som det intrång i elsystemet som släckte en betydande del av Ukraina julen 2015.
Enligt en ny föreskrift från svenska myndigheter ställer man nu krav på branscher med ansvar för kritiskt infrastruktur. FOIs undersökningar, som genomfördes 2015, har tittar närmare på hur väl dessa föreskrifter tar upp säkerheten i informations- och styrsystem inom sex branscher: el, dricksvatten, fjärrvärme, spårbunden trafik, elektroniska kommunikationer och kemisk processindustri. Det visade sig att föreskrifterna som styr elsektorn och dricksvattensektorn ställer störst krav på säkerhet och att distributörer av el och dricksvatten var de som bäst uppmärksammat säkerhetsfrågorna, vilket var samma resultat som vid en liknande undersökning 2012.
– Det beror främst på att sektorerna själva, inte minst branschorganisationerna Svensk Energi och Svenskt Vatten, driver frågorna. Elsektorn drar även nytta av erfarenheter från intrång och arbetet kring att förhindra detta i USA, säger Karin Mossberg Sonnek, forskningsledare vid FOI, i en artikel på myndighetens hemsida.
Utredningen noterar att regelverket för att skydda kritisk infrastruktur utvecklats, men långsamt. Karin Mossberg Sonnek säger vidare att utvecklingen i omvärlden går snabbare än arbete med säkerheten. Problemet är att höjd säkerhet kostar pengar.
– Säkerhetsmedvetandet kan vara högt. Man vet vad man ska göra, men det saknas resurser. Många som arbetar med frågorna välkomnar tydligare och skarpare lagkrav så att det kan motivera för sina chefer att säkerhetsarbetet måste få kosta, säger hon vidare i intervjun på FOIs hemsida.
FOI arbetar också med tekniskt skydd av kritiskt infrastruktur, främst inom Nationellt Centrum för säkerhet i styrsystem för samhällsviktig verksamhet, ett samarbete med MSB. Det arbetet handlar i stor utsträckning om att medvetandegöra industrin om riskerna för dataintrång mot kritisk infrastruktur, genom kurser och träning i övningsanläggning CRATE.
Läs mer om övningsanläggningen CRATE