De flesta som hängt med i it-världen de senaste åren har sannolikt sett rubriker som skrikit om något som kallas Stuxnet. Så vad var det nu igen? Jo, Stuxnet var enkelt förklarat en trojan som infekterade ett flertal industrianläggningar, varav den mest uppmärksammade var Irans anläggning för urananrikning i Natanz.
Flera säkerhetsexperter som studerat och analyserat Stuxnet är överens om att någon form av statlig aktör ligger bakom trojanen.
Förstör anläggningar
De senaste månaderna har det dykt upp ytterligare varianter av kraftfulla skadliga program som kan användas för att manipulera eller, enligt vissa bedömare till och med förstöra, olika typer av maskiner och anläggningar.
I november förra året lyckades angripare få fjärråtkomst till ett styrsystem för ett vattenverk i Springfield, Illinois. Genom att slå av och på systemet lyckades man förstöra en vattenpump innan attacken upptäcktes och kunde avvärjas.
I USA har myndigheten Homeland Security varnat för att järnvägssystemet kan vara i farozonen då det generella skyddet av de scada-system som används är undermåligt.
Eireann Leverett, forskare vid Cambridge University, har utvecklat ett verktyg som kartlagt mer än 10 000 industriella styrsystem som är direkt tillgängliga från internet, inklusive vatten och avloppsanläggningar. Endast 17 procent av de kartlagda systemen bad om tillstånd att ansluta, vilket tyder på att administratörer antingen inte var medvetna om att systemen var online eller inte hade installerat säkra gateways, säger Leverett.
Med dessa exempel i åtanke, är det ganska naturligt att fråga: kommer den här typen av attacker att bli vanligare i framtiden?
Detta är scada
Scada står för supervisory control and data acquisition. Det är styrsystem och datorsystem som används för att övervaka och kontrollera processer inom industri, infrastruktur och samhällskritiska anläggningar. Exempel är tillverknings- och förädlingsmiljöer, offentliga transportsystem, kraftverk och kommunikationssystem.
Hur skyddar vi oss?
Även om Sveriges politiska situation inte för tillfället gör oss till något högintressant mål för statliga cyberattacker har vi många känsliga infrastrukturer och anläggningar som behöver skyddas. Hur gör vi det på bästa sätt?
– Först måste man inse läget, alltså att man har samhällsviktiga funktioner som måste skyddas och att det får kosta på att skydda dem. I vissa fall måste skyddsåtgärder sättas in i existerande miljö, men i andra fall måste man byta ut delar av infrastrukturen eller göra större omdesign, säger Robert Malmgren, säkerhetsexpert och grundare av Romab.
– Man ska inte ha externa kopplingar eller koppla ihop process-it med kontors-it. Men om man ska vara realist brukar verksamhetsbehov göra att det finns kopplingar – då måste de kopplingarna vara så få och så kontrollerade som möjligt.
– Alla system måste härdas och låsas ner. Skydd mot skadlig kod glöms ofta bort i process-it-miljön, eller slarvas med eftersom den är svår. Fundera utanför ramarna! I stället för traditionella antivirusprogram som måste gå ut på internet och hämta uppdateringar kan nedlåsning med Applocker eller så kallade vitlistningsprogramvaror användas för att blockera oönskad programexekvering och skadlig kod.
Oskar Ehrnström, säkerhets- expert på Norman, vad är dina råd?
– Det finns exempel på organisationer där man försöker att minimera risken genom olika it-policys, ofta i form av skrivna dokument med regler kring hur du får bete dig när du handskas med företagets it-utrustning. Det där blir ofta ganska tandlöst eftersom man saknar tekniska hjälpmedel för att se till att reglerna efterlevs. Till exempel kan man ha regler som säger att ingen extern person, till exempel konsult, får använda egna usb-minnen utan att man först fått det minnet kontrollerat av den interna it-avdelningen. Man kan alltså använda minnet ändå, men man får inte. Sådana regler är inte effektiva.
– Man behöver tekniska hjälpmedel för att kunna se till att reglerna följs, och numera finns det faktiskt bra scada-specifika säkerhetslösningar. Vi i it-säkerhetsbranschen har hittills slentrianmässigt hänvisat systemägarna till våra traditionella säkerhetslösningar, eftersom det är vad vi haft. Men även om antivirus, vitlistning för applikationskontroll, ips, ids och andra gatewaylösningar är beprövade i administrativa nät, ställer en scada-miljö helt andra krav.
– Vi som arbetar med det här till vardags tenderar att helst prata om de mest avancerade hoten, det som ofta kallas apt, advanced persistent threat. Sådant är väldigt spännande att tala om, men det berör bara ett fåtal. Den största risken för scada-miljöerna ligger inte i apt, utan i den enorma mängd generiska hot som riskerar att infektera styrsystemen.
