Presentation laddar. Vänta.

Presentation laddar. Vänta.

För miljön, nära dig IT-säkerhet inom VA-området… med luppen på styrsystem INFORMATION.

Liknande presentationer


En presentation över ämnet: "För miljön, nära dig IT-säkerhet inom VA-området… med luppen på styrsystem INFORMATION."— Presentationens avskrift:

1 För miljön, nära dig IT-säkerhet inom VA-området… med luppen på styrsystem INFORMATION

2 Christer Berglund o IT-företag, privata och kommunalt o o Styrsystem på Cardo, Tetra Pak, Volvo, Försvaret, … o VA-verket Malmö / VA SYD o IT-ansvarig o Säkerhetsansvarig o Projektledning

3 Antagande De brister som beskrivs i presentationen förekommer troligen inte i våra verksamheter…i andra organisationer kan det vara annorlunda…?

4 Varför jobba med säkerhet?

5

6

7 Man skall lita på oss som aktörer – Kunder – Allmänhet – Branschen – Politiker – Vår egen personal

8 Varför jobba med säkerhet?

9 Styrande dokument och rutiner, exempel från dricksvattenområdet – Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap – Sekretesslag – Säkerhetsskyddslag – Skyddslag – Lag om allmän kameraövervakning – Livsmedelsförordning – Livsmedelsverkets föreskrifter om dricksvatten – Livsmedelsverkets föreskrifter om åtgärder mot sabotage och annan skadegörelse riktad mot dricksvattenanläggningar – Säkerhetshandbok, policy och krisledningsplan

10 Upphandling av varor och tjänster Upphandlingsunderlaget sätter gränser och ger möjligheter Det är billigare att göra rätt från början Krävs det en säkerhetsskyddad upphandling? – Ofta för dricksvatten, sällan för spill/dagvatten – LUFS i stället för LOU – Säkerhetsskyddsorganisation hos både beställare och entreprenörer – Tar extra tid

11 Säkerhetskultur Livsmedelkultur ger eftertänksamhet hos personalen, hur göra med andra verksamheter…? Utbildad personal Utbildade säkerhetsombud Avvikelser rapporteras Rutiner kring inpassering, nycklar m.m. Introduktion till entreprenörer före projektstart Löpande revisioner av risk- och sårbarhetsanalyser och SBA-arbete Säkerhetsskyddsanalyser

12 Säkerhetsprocessen för VA SYD

13 Brandskyddsorganisation VA SYD

14 Dimensionerande hotbild Skyddar vi oss mot… – Aktivister – Organiserad brottslighet – Stater – Olyckshändelser – Mänskliga misstag Eller mot… – Stölder – Skadegörelse – Pojkstreck

15 Personalen Personalen är den största risken man kan finna – Kunskap om processer och personal – Tillträde till anläggningar Säkerhetsklassade tjänster – Positiv social kontroll Utbildad/informerad personal Vardagssäkerheten väger tyngre än en policy ingen läser…

16 Informationssäkerhet

17

18 Fysisk säkerhet Systemägare/systemförvaltare – Vem äger problemet… Avtal/underhåll Belysning Röjning av buskar, trädgrenar Tillträdesbegränsning/sektionering – Endast tillträde för dem som måste ha tillträde…föregå med gott exempel! Larm/rutiner Bevakning/rutiner CCTV

19 IT-säkerhet Kan man läsa säkerhetskopiorna? Fungerar reservkraften? Vad står det i driftloggarna? Gamla behörigheter/personal som slutat? Standardlösenord? Uppdaterad programvara? Extern åtkomst för konsulter/servicepersonal?

20 SCADA-system eller… Industriella kontrollsystem Distributed Control Systems, DCS Process Control System, PCS Programmable Logic Controller, PLC Remote Terminal Unit, RTU

21 Industriella kontrollsystem ”Industriella kontrollsystem möjliggör hög tillgänglighet och effektivitet i styrningen av den fysiska processen genom att få människor (operatörer) kan övervaka och styra en stor och ofta geografiskt utspridd fysisk process mer eller mindre i realtid.” Säkerhetshandbok för dricksvattenproducenter/Svenskt Vatten, jan 2012

22 SCADA-system

23 Säkerhet i SCADA-system Systemen är ofta gamla Systemen är ofta speciallösningar Systemen är byggda av personer som inte kan konventionell IT-säkerhet Systemen börjar nu kopplas samman med ”vanliga” IT- system Standardkomponenter börjar bli vanliga…billigare, bättre men osäkrare…

24 Skillnader Administrativ ITKontrollsystem Svarstid/hanteringstidEj realtidRealtid TillgänglighetOmstarter acceptablaOmstarter kan innebära stora problem SäkerhetslösningarAnpassade för administrativ IT Noggrann testning krävs innan lösningar kan användas SupportMånga alternativ p.g.a. standardkomponenter Få alternativ p.g.a. speciallösningar Livslängd3-5 år15-20 år

25 Fem vanliga fel Du tror du har kontroll men… Det finns inga reservdelar längre Det finns ingen som vet hur det fungerar längre Du har ingen säkerhetskopia som du kan läsa Dokumentationen är inaktuell och det finns ingen kontinuitetsplan

26 Fem bra åtgärder Kartlägg systemen och deras inbördes kopplingar, notera bristerna, dokumentera ordentligt Ta fram en fungerande kontinuitetsplanering … systemen kommer att stanna! Rent, snyggt och städat… och därmed säkert Utbilda personalen i säkerhetsfrågor Våga inse att du troligen sitter på några problem

27 Sammanfattning SCADA-system/styrsystem är kritiska för din verksamhet. Systemen är en del av den vanliga säkerhetsvardagen… och skall hanteras just så Ordning, reda, dokumentation och en kontinuitetsplan är en god start Det tar tid, det kostar pengar…men det går att återfå kontrollen

28


Ladda ner ppt "För miljön, nära dig IT-säkerhet inom VA-området… med luppen på styrsystem INFORMATION."

Liknande presentationer


Google-annonser