Följ Svenskt Vatten AB

C SVU-rapport: Kartläggning av SCADA-säkerhet inom svensk dricksvattenförsörjning (dricksvatten)

Nyhet   •   Mar 17, 2011 15:39 CET

Information om ny c-rapport från Svenskt Vatten Utveckling!

Serie C används för redovisning av projektresultat i annan form än ordinarie SVU-rapporter. I de flesta fall har SVU bidragit till projektet men ej varit huvudfinansiär och därför ej gjort rapporten själv. I några fall är rapporteringen ej i rapportform.

Nr: C 29-120
Titel: Kartläggning av SCADA-säkerhet inom svensk dricksvattenförsörjning
Författare: Tekn Dr Erik Johansson, Kungliga Tekniska högskolan (KTH)
Område:
 Dricksvatten

Sammandrag: Denna rapport bygger på en undersökning av hur informations- säkerhetsarbetet relaterat till SCADA-system bedrivs inom svensk dricksvattenförsörjning. Kartläggningen, vilken utfördes under 2009, bygger på en enkät som distribuerades till Svenskt Vattens medlemmar.  

Sammanfattning: Dricksvatten utgör samhällets viktigaste livsmedel. Produktion och distribution av dricksvatten är i hög grad beroende av en vidmakthållen funktionalitet hos industriella informations- och styrsystem (s.k. SCADA-system) vilka styr, kontrollerar och övervakar den fysiska processen. När dricksvattenförsörjningen inte fungerar kan konsekvenserna för samhället bli allvarliga. Därmed utgör störningar i SCADA-system indirekt en potentiell risk för samhället.

Denna rapport bygger på en undersökning av hur informations-säkerhetsarbetet relaterat till SCADA-system bedrivs inom svensk dricksvattenförsörjning. Kartläggningen, vilken utfördes under 2009, bygger på en enkät som distribuerades till Svenskt Vattens medlemmar.

Resultaten från enkäten indikerar att kunskaperna om informationssäkerhetsfrågor hos personal inom svensk dricksvattenförsörjning är relativt låg. Studien visar att det ofta saknas ett ledningssystem för informationssäkerhet som även beaktar SCADA-system. Generellt saknas relevant utbildning och medvetenheten kring SCADA-säkerhet dessutom är kunskapen om befintliga riktlinjer och föreskrifter ofta bristfällig. Detta återspeglas även bland svaren där bara var fjärde respondent anser att nödvändig kompetens finns inom den egna organisationen. En majoritet efterlyser också ett ökat stöd inom informationssäkerhetsområdet.

Kartläggningen tydliggör hur dagens SCADA-system till en hög grad är fysiskt ihopkopplade med administrativa kontorsnätverk. SCADA-system har ofta även direkta förbindelser ut mot Internet och till leverantörer av system. Med andra ord är dricksvattenförsörjningens SCADA-system ofta sårbara då de inte är särskilt väl skyddade från omgivningen. En bidragande orsak till detta kan vara att majoriteten av organisationerna saknar en säkerhetspolicy med tydliga riktlinjer och rutiner för hur de ska genomföra risk- och sårbarhetsanalyser som tar hänsyn till de sårbarheter som existerar i SCADA-system.

Trots ökad exponering av SCADA-system på Internet, visar studien få tecken på att dricksvattenanläggningarna har varit utsatta för IT-relaterade incidenter. En möjlig bakomliggande orsak till detta kan dock vara att majoriteten av de tillfrågade uppger att det inom organisationen saknas system och processer för att korrekt upptäcka intrång och systematiskt hantera dessa typer av incidenter.

Baserat på resultaten från kartläggningen föreslås att ett antal insatser genomförs för att höja den generella medvetenheten, utbildningsnivån och kompetensen inom området.

Sökord: SCADA-säkerhet, enkät

Keywords:
SCADA, Security, Awareness, Survey

----------------------------------------------------------------------------------------------------

Länkar till:
Rapport (pdf-fil): http://vav.griffel.net/db.pl?template_file=db_link_pdf.html&link=a&pdf=C_29-120.pdf
Rapportdatabas: http://vav.griffel.net/vav.htm 
SVUs rapportersida (på vår hemsida): http://www.svensktvatten.se/web/SVU-rapporter.aspx

Synpunkter!
Vi inom Svenskt Vatten Utveckling (SVU) vill gärna ha synpunkter på rapporterna. Anledningen är att vi avser att sammanställa den sammanlagda nyttan av SVU. Alla synpunkter, positiva som negativa är högst välkomna. Ange då vilken eller vilka rapporter kommentarerna avser. Skicka mejl till e-postadressen:  (SVU@svensktvatten.se). 
Skriv i ”Ämnesraden” att mejlet handlar om synpunkter på SVUs rapport/er. Tack på förhand.

Tipsa en vän!
Skicka denna mejl vidare till en vän/kollega som du tror är intresserad av SVUs rapporter!

Anmäl intresse för info-mejl!
Skicka mejl till e-postadressen: SVU@svensktvatten.se
Skriv i ”Ämnesraden” att du vill ha framtida info-mejl, så lägger vi till dig på sändlistan.

Stoppa info-mejl!
Om du inte vill ha några fler info-mejl, skicka ett mejl till e-postadressen: SVU@svensktvatten.se
Skriv i ”Ämnesraden” att du inte vill ha fler info-mejl, så tar vi bort dig från sändlistan.