Säkerhet i IT-system dricksvatten (Broschyr) - Svenskt Vatten

Omvärldsbevakning
För att inte behöva uppfinna hjulet på nytt
sker en viss omvärldsbevakning där arbetgruppen
försöker att kartlägga vad som sker
i andra länder inom området. Bland annat
sker detta genom direkta kontakter med
systerorganisationer till Svenskt Vatten men
även genom aktivt deltagande på internationella
konferenser. I år har arbetsgruppen
knutit kontakter med American Water
Works Association (AWWA) samt besökt en
internationell konferens kring säkerhet i vattensektorn
(Water Security Congress).
Box 47607 n 117 94 Stockholm n Tfn: 08-506 002 00 n Fax: 08-506 002 10
svensktvatten@svensktvatten.se n www.svensktvatten.se
Grafisk form: Sonja Ländén, Svenskt Vatten
Svenskt Vattens
medlemmar vill enligt
kartläggningen se
ett brett stöd kring
IT-säkerhet i digitala
kontrollsystem.
Utbildning
Arbetsgruppen SV-SCADA har en
långsiktig ambition att genomföra olika
former av utbildningsinsatser för att höja
medvetandet och förmedla kunskap och
råd till branschen. Som ett led i detta
planerar Svenskt Vatten att hålla ett
seminarium för sina medlemmar under
våren 2010. Tanken är att seminariet
bland annat ska baseras på resultat från
årets kartläggning.
Mer information
På vår hemsida finns vidare en rad länkar och tips på litteratur för den som söker
mer kunskap inom området säkerhet i IT-system. Som medlem i Svenskt Vatten är
du alltid välkommen att höra av dig med frågor, idéer och synpunkter.
www.svensktvatten.se/sakerhet_i_IT-system
Andreas Wiberg, Svenskt Vatten, andreas.wiberg@svensktvatten.se
Ökad IT-säkerhet inom dricksvattenområdet
Svenskt Vattens satsning
för ökad IT-säkerhet inom
dricksvattenområdet
Datorisering medför ökade möjligheter,
men innebär också nya risker
Datoriseringen av dricksvattenförsörjningen sker i
en snabb takt och inom flera områden. Olika ITsystem
integreras så att verksamheten kan effektiviseras.
Exempelvis kan allt fler pumpar och ventiler idag
fjärrstyras och övervakas på distans.
Digitaliseringen av informationsunderlag, såsom
kartor över ledningsnät, underlättar kommunikationen
mellan olika system och användare.

De är allmänt känt att IT-baserade system
kan manipuleras på olika sätt, vilket också
för med sig att de kan utgöra en säkerhetsrisk.
Integrationen av olika IT-baserade
system gör att det blir allt svårare att
vidmakthålla säkerheten hos datorbaserade
industriella informations- och styrsystem
(som ofta kallas ”SCADA-system”). Störningar
hos SCADA-system kan inte bara
avbryta kritiska funktioner, utan även leda
till att utrustning (såsom pumpar och ventiler)
tar skada. Skador som kan innebära
att kvaliteten på dricksvattnet påverkas.
Detta kan medföra omfattande kostnader
för både den specifika verkamheten som
samhället i stort. Dessutom skadas allmänhetens
förtroende för dricksvattenförsörjningen,
vilket även påverkar tilltron till
den politiska ledningen.
IT-säkerhetsområdet blir alltmer angeläget
då gränslandet mellan traditionella
IT-system och SCADA-system suddas ut.
Dagens SCADA-system bygger alltmer
på samma sårbara teknik som används i
vanliga IT-system. Därtill integreras de allt
oftare med administrativa IT-system på
”vanliga” kontorsnätverk. Den här utvecklingen
medför en förändrad riskbild och för
att höja driftsäkerheten behöver kompetens
ur flera områden förenas.
Befintliga analysmetoder inom vattenbranschen,
såsom HACCP, behandlar inte
uttryckligen IT-relaterade risker och sårbarheter.
Sällan genomförs därför omfattande
analys vid kravställning, upphandling och
integrationen av olika IT-baserade system.
Det är således angeläget att förstärka
IT-säkerheten och få en ökad medvetenhet
om hur illvilliga och/eller ofrivilliga ITrelaterade
störningar kan påverka dricksvattenförsörjningen.
Myndigheten för samhällsskydd och
beredskap (MSB), Livsmedelsverket och
Svenskt Vatten har tillsammans initierat ett
par olika projekt för att öka medvetenheten
om sårbarheterna i dagens SCADA-system.
Målet är att långsiktigt förbättra skyddet
hos kommunal dricksvattenförsörjning,
vilket är högaktuellt med tanke på
Livsmedelsverkets föreskrift (LIVSFS
2008:13).
En klar majoritet av medlemmarna
anser att Svenskt Vatten
ska erbjuda mer råd och stöd
kring IT-säkerhet i digitala kontrollsystem.
Den digitala kommunikationen breder ut sig
hos Svenskt Vattens medlemmar.
Arbetsgruppen SV-SCADA
Svenskt Vatten har startat upp en
arbetsgrupp (SV-SCADA) vars övergripande
mål är att öka medvetenheten om
sårbarheter i dagens SCADA-system och
förmedla konkreta råd hur det ITrelaterade
skyddet hos dricksvattensektorn
kan förbättras.
Förhoppning är att Svenskt Vatten på
detta sätt kan bidra till ett ökat säkerhetsmedvetande
via kunskapsspridning,
kompetensförsörjning, intressebevakning,
kommunikation och samverkan.
Svenskt Vattens arbetsgrupp har inledningsvis
bestått av representanter från
följande organisationer:
Svenskt Vatten, KTH, Norrvatten,
Stockholm Vatten, MittSverige Vatten,
VA SYD och Ludvika kommun
Kontaktperson för arbetsgruppen
SV-SCADA är Andreas Wiberg, Svenskt
Vatten, andreas.wiberg@svensktvatten.se.
Målsättningen för SV-SCADA är
att kunna höja säkerhetsmedvetandet i
branschen genom att stödja verksamheterna
exempelvis genom att bearbeta leverantörer
och kontrollmyndigheter, ta fram relevanta
råd och riktlinjer, checklistor för upphandling
och egen utvärdering samt att hålla
kompetenshöjande seminarier/utbildningar.
För att uppnå dessa mål arbetar SV-SCADA
inom följande tre områden:
n kartläggning
n omvärldsbevakning
n utbildning
SV-SCADA kommer att informera om sitt
arbete på Svenskt Vattens hemsida.
Kartläggning
Under våren skickades en omfattande enkät
ut till Svenskt Vattens medlemmar. Syftet var
att kartlägga hur det ser ut för att sätta fokus
på områden där vi behöver förbättra oss.
Sammanställningen av enkäten pågår och
redovisning av resultaten planeras att ske
under vintern 2009/2010.