Tidningen Energi 1
Tema It-säkerhet CISS Centrum för säkerhet i samh
älle och kritiska infrastrukturer (CISS) arbetar med säkerhets lösningar och system för att motverka samhälls hot och säkra samhällskritiska funktioner. I centret, som är placerat på Luleå tekniska universitet, samarbetar företag, universitet och samhälls aktörer. i mindre, säkra och motståndskraftiga nät och gärna då ha bra övervakning i dessa för att förebygga it-attacker. Gamla ålderstigna system och stora nätverk är det största hotet mot it-säkerheten. Samtidigt finns kravet på hög tillgänglighet och funktionalitet som ska vägas mot säkerhetskraven. Hur ska företagen klara den balansen? – Ta hjälp av experter och gör en ordentlig analys av it-säkerheten. Ta reda på tillgänglighetskraven, vilka som är de mest kritiska faktorerna i systemen, hur riskerna ser ut och vad det kostar att åtgärda dem. Sedan får man prioritera och hitta en rimlig avvägning mellan säkerhet, tillgänglighet och användarbarhet, säger John Lindström. Han tror dock att säkerhetsmed– Ta hjälp av experter och gör en ordentlig analys av it-säkerheten uppmanar John Lindström. ”Kartlägg riskerna och prioritera” INFRASTRUKTUR Det finns alltid risk för säkerhetshål i gammal infrastruktur. All äldre utrustning som exponeras i uppkopplade nätverk bör säkerhetstestas, menar John Lindström, professor och verksamhetsledare på Centrum för säkerhet i samhälle och kritiska infrastrukturer (CISS), på Luleå tekniska universitet. För att samhället ska fungera krävs det att infrastrukturen har hög tillgänglighet och inte kraschar. Det handlar givetvis om el och värme, men också om vatten, avlopp, telekommunikationer, vägnät och järnväg med mera. Den kritiska infrastrukturen finns överallt i samhället, men sårbarheten har ökat under de senaste åren i takt med att allt fler funktioner är uppkopplade i nätverk och mot internet. – Det är ganska likartade säkerhetsbehov i de flesta av de här branscherna. I många fall är det väldigt långa livscykler på utrustningen, det kan handla om 30–50 år i vissa fall. Och när detta instal38 Tidningen ENERGI Nr 2 2019 lerades var it-säkerhet inte en fråga på samma sätt. Oftast fanns inte ens lösenord med i bilden då, säger John Lindström. Risk för eftersläpning Energisektorn är inget undantag. De stora bolagen har hygglig koll på säkerheten men i de mindre energiföretagen finns det risk att säkerhetstänkandet släpar efter, menar John Lindström. – Ta ett elnät till exempel, det är tusentals sensorer i nätens styrsystem och det kostar mycket att byta ut dem. Det finns alltid hål någonstans i infrastrukturen, så det gäller att till exempel dela upp stora nät vetandet i branschen har gått upp under de senaste åren. Frågan står högre upp på agendan, inte minst genom NIS-direktivet (läs mer på sid 37) och den nya säkerhetsskyddslag som träder i kraft den 1 april, vilka ytterligare höjer kraven på ett strukturerat säkerhetsarbete. Nya hot med AI Den snabba digitala utvecklingen innebär nya slags hot. Till exempel har AI (artificiell intelligens) seglat upp som både en möjliggörare och ett hot. – Både attackerare och försvarare kommer att använda AI. Men AI kan inte användas till allt, den måste kompletteras med annat. En nytta är att man kan träna algoritmer att automatiskt hantera vissa typer av angrepp så man får mer tid över till andra. Och de pågår hela tiden: vi har såväl skolungdomar som nationalstater som attackerar dygnet runt – av lite olika anledningar. Sverige borde satsa mer på sin it-säkerhet, menar John Lindström. Försvarets satsning på att rekrytera 30 cybersoldater är alldeles för liten, anser han. – Vi borde tillsätta betydligt mer resurser på detta. Ett föregångsland är Israel som har flera tusen personer som jobbar med detta. Och där finns också speciella incidentteam som kan åka ut och på plats hantera akuta it-attacker mot till exempel infrastruktur och energibolag. JOHAN WICKSTRÖM