Infrastruktur är ett känsligt område, inte minst ur perspektivet it-säkerhet. Infrastruktur är känsligt för att vi alla är beroende av tekniska system på samhällsnivå som bokstavligen håller oss levande. Vi, de allra flesta av oss, inklusive mig, skulle helt enkelt dö om inte vissa tekniska system fungerar som förväntat. Jag tror vi alla tänkt tanken om vad som skulle hända om vi till exempel stänger av strömmen i Stockholm, eller egentligen var som helst i landet, under en längre tid. Få av oss lever som Mandelmanns, för att inte tala om min personliga favorit Bonderøven i Danmark (”Hundra procent bonde”).

Länge var detta en fråga om fysiskt tillgång till de tekniska systemen. Följaktligen gick mycket av försvaret av landet ut på att hindra främmande makt från att förstöra samhällskritisk infrastruktur, först och främst genom att helt ”enkelt” hindra främmande makt att komma in i landet och bomba kraftverk, vattensystem och så vidare. På samma gång krävdes det fysisk tillgång till infrastrukturen för att övervaka systemet och för att genomföra reparationer, service och läsa ut information från mätare, sensorer och annat.

Situationen en helt annan idag

Idag är situationen en helt annan. Det finns förmodligen inte en enda typ av viktig infrastruktur eller anläggning som inte kan nås på distans, och då främst över internet. Och om vi kan nå dessa system över internet kan även främmande makt eller hackargrupper nå dem. Produktivitetsökningen är förstås stor, så det som driver denna utveckling framåt är ekonomiska drivkrafter, inklusive de vinster som kan göras från datainsamling och analys.

Det gemensamma för dessa system är programmerbara styrsystem, ofta kallade PLC (programmable logic controller), eller ICS (industrial control system). Dessa system finns i stort sett överallt idag, från de allra största mest samhällskritiska systemen som kärnkraftverk, till små installationer som de uppkopplade kylar och frysar i livsmedelsbutiker som jag skrev en avslöjande artikel om i vintras.

Fallet med kylarna i livsmedelsbutikerna är ett litet men bra exempel på den situation och den risk vi som samhälle är exponerade för idag. ICS är gränssnittet mellan mjuk hacking och den hårda verkligheten. Normal hacking handlar om att manipulera kod, men skadan sträcker sig sällan längre än till ekonomisk skada. It-system går ned och data kan stjälas men det blir sällan värre än så. Det kan vara nog så illa, visst, men traditionell hacking resulterar sällan i fysisk skada.

hacking ics faror

Med ICS som gränssnitt mellan den digitala kommunikationen över öppna nätverk, och de fysiska system de kontrollerar, har vi tillfört den komponent som krävs för att hackare ska kunna manipulera eller förstöra fysiska installationer. Med en hackad PLC går det att döda folk och orsaka katastrofal skada för samhället. Det kommer nog inte som en överraskning att cyberkrigföring i mångt och mycket är inriktad på attacker mot ICS:er.

System med helt annat fokus

Problematiken kring ICS har många beröringspunkter med it-system inom vården; vård-it är i själva verket ett specialfall av ICS. Dessa system designades och utvecklades före internet, utan någon tanke på skydd mot attacker från ett öppet nätverk dessa produkter aldrig var tänkta att vara en del av. Idag är leverantörerna av ICS fullt medvetna om den nya situationen, och i många fall levererar produkter med öppna nätverk i åtanke. Det blir bättre, men problemet är att dessa system har ett helt annat fokus än att skydda sig mot attacker, det skulle höja kostnaden för produkterna.

Många av dessa produkter är också små, med begränsade systemresurser, och det blir inte realistiskt att bygga in de skydd i produkten i sig som krävs för att skydda den. Till detta kommer det faktum att produkterna har lång livslängd, många PLC:er är fortfarande i drift efter tjugo år eller mer, och de medger inte alltid uppdateringar av den inbyggda mjukvaran lika enkelt som vi vant oss vid från andra it-system.

Försvarsstrategin bygger istället på att bygga starka perimeterskydd kring dessa system, och bygga säkerhet i system och produkter som är skapade för att skydda. Det ska inte gå att nå ICS-system utan att passera en grindvakt med stark kryptering och autentisering. Men realiteten är att många ICS-system är exponerade och utsatta för attacker. De som kan ratta sökmotorn Shodan hittar enkelt otals PLC:er i Sverige och runt om i världen.

Att Sverige som land måste skydda sin samhällskritiska infrastruktur, genom att skydda de ICS-system som kontrollerar dem, är något som försvarsmakten uppmärksammat och arbetar idag aktivt med på flera områden, även operativt. Området är även högintressant för it-säkerhetsfolk och företag. Vi måste bygga kunskap för att skydda dessa system. Kompetensutvecklingen behövs eftersom dessa system ofta är annorlunda rent tekniskt än normala it-system. Det rör sig framförallt om mindre vanliga arkitekturer och inte minst protokoll som kanske inte så många stött på eller ens hört talas om.

Fått mig en ögonöppnare

Personligen har jag fått mig en ögonöppnare under konferensen CS3sthlm som jag besökt under två dagar. CS3 är till största delen inriktat på just it-säkerhet kring ICS. Förutom utmärkta (och skrämmande) presentationer, bland annat av Wired-journalisten Andy Greenberg som snart släpper en bok om cyberattackerna mot Ukraina, Notpetya-masken och den bakomliggande ryska hackergruppen Sandworm, men framför allt har arrangörerna satt upp labbsystem och labbar med ICS-system för deltagarna att gå loss på.

Det är ett utmärkt initiativ; kunskapen behövs verkligen och måste tas tillvara om vi ska kunna skydda oss. Bland annat arrangerades en capture-the-flag-tävling där deltagarna skulle hitta fel i en installation med ICS-system. CS3 (detta var mitt första besök någonsin) verkar dra till sig gräddan av folk som kan skydd av ICS-system. I dagarna två har jag pratat med otroligt kunniga och insatta människor som verkligen förstår problemet och vad vi behöver göra åt det. Det känns ändå tryggt att det jobbas inom området både bland myndigheter och inom den privata sektorn.

Avdelningen kul detalj: Kaspersky, en av utställarna, hade byggt en PCL-styrd bartender med fem olika groggar på sin repertoar. Man ställer ett glas på en släde, och denna rör sig under ett antal upp och nedvända flaskor med ventiler tills rätt blandning skvalpar i glaset. Dock kräver isen och olika skivor av citrusfrukter fortfarande en manuell process. Vi är inte helt digitaliserade. Än.

Läs också:
Hitta dina sårbara enheter med Shodan – annars gör hackarna det åt dig
Enkelt stänga av kylarna på Ica – ligger vidöppna på internet