Scada-säkerhet eftersatt
De flesta vanliga användare vet att man måste skydda sin dator och ha uppdaterade virusskydd. Men inom fastighetsautomation, Scada-system, är säkerheten fortfarande eftersatt.
– Jag vågar påstå att Sverige är sämst i branschen. När man skannar av hur många Scada-portar som ligger öppna på nätet är det en skrämmande bild. Idag ligger 716 Scada-protokoll öppna på internet i Sverige.
Det berättar Anders Gidrup, säkerhetschef på Locum, ett landstingsägt bolag som ansvarar för driften av fastigheterna till ett 30-tal akutsjukhus i Sverige.
– I de stora sjukhusen finns mycket teknik, det är enormt avancerade fastigheter. Fastighetsautomationen styr de flesta delarna, allt från hiss och belysning till vatten, säger Anders Gidrup.
Scada står för Supervisory Control And Data Acquisition. Hjärtat i systemet är en liten programmerbar styrsystemskomponent, PLC.
– PLC medger en hel del tjänster, men det finns ingen som helst säkerhet produkten utan här gäller att man bygger säkerhet runt den. PLC och operatörspanelen HMI är primärt mål för någon som vill göra vården illa. Hur man ansluter PLCn i nätet avgör hur sårbar den är.
I nätanslutna persondatorer uppdateras programvaran automatiskt men det gör det inte i ett fastighetstekniskt system. När systemen byggs använder branschen det som finns på hyllan. Det finns få krav på att man ska bygga in säkerhet i en PLC.
– Ofta kopplar man upp mot internet för det är enkelt och smidigt att styra, tillgängligheten springer ibland ifrån säkerheten. Det finns ingen ISO-standard som för vanlig informationssäkerhet och en stor brist är att installationsteknikerna inte har den it-säkerhetsbakgrund som krävs.
Det finns nättjänster som kan visa vilka Scada-system som ligger öppna och sårbara.
– I Sverige sticker Stockholm ut med en hel del sårbara enheter. Man måste vara medveten om riskerna när man installerar teknik som är helt oskyddad och man måste ha kunskap om nätverksarkitektur när man gör det här. Annars är man illa ute.
Vid installation av ett Scada-system är säkerhetsskyddsanalysen av väsentlig betydelse.
– När vi hade gjort den kom jag fram till att vi behöver ha expertis med och jag kontaktade FOI som varit med på vår resa för att säkerställa att vi har en väl fungerande säkerhetsarkitektur. Vi har tagit fram rutiner för hur man bygger och fokus har varit säker drift. Vi har nya riktlinjer och har en kravställning för upphandling av de som ska in och göra jobbet.
Dåligt skyddade system utgör en stor risk. WannaCry-viruset slog 2017 ut ett 70-tal sjukhus i Storbritannien, men Anders Gidrup tycker inte man ständigt ska varna för vargen.
– Undvik att skrämma, det är kontraproduktivt. Prata i stället om nyttan och möjligheter. Installatörerna bör ha någon form av certifiering och jag tycker det är viktigt att man överväger säkerhetsskyddad upphandling (SUA) om man lyder under säkerhetsskyddslagen. Risk- och sårbarhetsanalys är självklart. Det måste gå att rodda systemen manuellt. Lägger internet eller nätverket av ska vi fortfarande kunna rondera och styra, det är A och O, säger Anders Gidrup.