Värdering IT-säkerhetsanalysmetoder inom samhällsviktig infrastruktur

SÄKRING AV VIKTIG INFRASTRUKTUR

FOI-R--1350--SE

Augusti 2004

ISSN 1650-1942

Användarrapport

Henrik Christiansson

Värdering av IT-säkerhetsanalysmetoder inom samhällsviktig infrastruktur

TOTALFÖRSVARETS FORSKNINGSINSTITUT FOI-R--1350--SE

Augusti 2004

ISSN 1650-1942

Försvarsanalys 172 90 Stockholm

Användarrapport

Henrik Christiansson

Värdering av IT-säkerhetsanalysmetoder inom samhällsviktig infrastruktur

i

FÖRORD

Jag vill tacka Arne Vidström vid institutionen för systemutveckling och IT-säkerhet (FOI) och Åke Holmgren vid Centrum för säkerhetsforskning vid KTH för värdefulla synpunkter och kommentarer vid arbetet med denna rapport. Jag vill också tacka Jennifer DePoy och Willam Young vid Sandia National Laboratories för att de tålmodigt har svarat på frågor jag haft angående deras arbete. Dessutom har jag fått ta del av, vid tiden för framtagandet av denna rapport, tidigare opublicerat material. Detta material är numera publicerat i olika rapporter som refereras till i denna rapport. Ett tack riktas också till Pege Gustavsson vid Telia för den bedömning av British Telecoms Information Assurance Program som han genomförde. Anders Eriksson, chef vid institutionen för teknik- och materielstrategi (FOI) och Jonas Hallberg vid institutionen för systemutveckling och IT-säkerhet (FOI) tackas för viktiga synpunkter vid granskningen av rapporten. Slutligen vill jag också tacka granskaren av rapporten Thomas Keisu, koncern IT-säkerhetschef på Skanska, för värdefulla synpunkter, kommentarer och tips om relevant underlag som inte tidigare studerats i studien. Denna rapport är skriven inom ramen för Krisberedskapsmyndighetens ramforskningsprogram Säkring Av Viktig Infrastruktur (SAVI).

ii

Sammanfattning Syftet med föreliggande rapport är att studera olika moment som kan anses vara särskilt betydelsefulla vid säkerhetsanalyser av IT-system i samhällsviktig infrastruktur och då framförallt styr- och reglersystem. Speciellt intresse riktas mot aktiviteter som syftar mot att belysa kvalificerade antagonistiska hot. Fokus ligger på att beskriva trender inom forskning och utveckling inom området men som är kopplade till tillämpningar inom verkliga system. På grund av det ovannämnda är rapporten till stora delar deskriptiv. Perspektivet har varit att fokusera på verksamheter och aktiviteter som rimligen bör ingå i ett nationellt säkerhetsarbete. Trots den deskriptiva formen har övergripande värderingar gjorts och slutsatser dragits vid de i mer i detalj studerade metoderna och aktiviteterna. Det yttersta syftet med detta är att belysa brister i de metoder som används idag samt att initiera en diskussion om vilka framtida behov det finns inom området. Riskanalysen (säkerhetsanalys) utgör en viktig del i den förebyggande riskhanteringen. I rapporten diskuteras vilka element som konstituerar en riskanalys och vissa element diskuteras utförligare ur perspektivet att de skall tillämpas på IT-system i samhällsviktig infrastruktur. Här identifieras några övergripande aktiviteter som är speciellt relevanta för säkerhetsanalyser inom teknisk infrastruktur. Vidare ges en allmän beskrivning på en övergripande nivå av modeller och metoder som används för informationssäkerhetsanalyser i allmänhet men också specifikt i teknisk infrastruktur.Rapporten ger också en övergripande värderande klassificering av metoder och modeller som används praktiskt inom informationssäkerhetsområdet. De här presenterade metoderna lyfts fram främst för att det finns underlag som verifierar att dessa tillämpas inom svensk och/eller utländsk infrastruktur. Klassificeringen av metoder och modeller görs med avseende på två parametrar nämligen

1. vilka nivå på hotet som kan belysas med modellen eller metoden 2. vilken beskrivningsnivå eller vilket perspektiv som belyses med

metoden eller modellen. De nivåer som används här är Komponent, Införandeprocess, System, System av system, Organisation samt Infrastruktur

Dessa två parametrar har ansetts som särskilt viktiga för studier av samhällsviktiga infrastrukturer eftersom dessa spänner över alla nivåer på båda axlarna.

iii

Några specifika metodiker och aktiviteter identifieras och presenteras utförligare. Dessa kan kortfattat beskrivas som:

• Amerikanska energidepartementets sårbarhetsanalsymetodik för elinfrastrukturen

o Den presenterade metodiken synes vara mycket fullständig och omfattande men därmed också mycket tids- och kostnadskrävande att genomföra.

o Det är viktigt att notera hur integrerad analysen av informationstekniska resurser och sårbarheter är med analysen av fysiska resurser och sårbarheter.

o För svenska förhållanden är det ytterligt viktigt att skapa en medveten strategi vid ett eventuellt användande av en liknande metodik. En svensk strategi kan vara att genomföra ett mycket litet antal relativt fullständiga analyser och därefter dra slutsatser och sedan genomföra ett större antal fokuserade men mindre tids- och kostnadskrävande analyser inom ett par prioriterade områden.

• British Telecoms informationssäkerhetsprogram. o Ett koncept som British Telecom introducerar är ett threat

modeling team. En sådan enhet på nationell nivå kunde stödja inte bara en organisation utan flertalet organisationer inom den kritiska infrastrukturen som inte själva har resurser att göra detta.

o En komplikation med en sådan lösning är att en sådan grupp måste besitta kunskap om många organisationers verksamheter och system. Detta skulle delvis kunna avhjälpas om man kan skapa tillräckligt goda generiska verksamhets- och systembeskrivningar av de verksamheter som är tänkta att studeras. Dessa beskrivningar skulle underlätta denna grupps arbete.

• Sårbarhets- och säkerhetsanalyser med hjälp av experiment (penetrationstester och aktiv IT-kontroll).

o Experiment kan användas för övning av personal och identifiering av vissa sårbarheter i skarpa system. När detta görs är det viktigt att experimenten genomförs i system som är tillräckligt mogna för att experimenten skall ge något.

o Minst lika viktigt är det att använda aktiv IT-kontroll som ett analytiskt angreppssätt för att belysa ett antal kritiska frågor rörande informationssäkerhet i infrastrukturen. Detta kan göras i rigoröst uppsatta experiment med välformulerade hypoteser som skall falsifieras eller bevisas. Detta bör genomföras i för ändamålet byggda experimentanläggningar. Inom samhällsviktig infrastruktur finns ofta samma typ av system i flera verksamheter vilket betyder att resultat från

iv

experiment, om dessa är välformulerade, kan vara giltiga för flera infrastrukturer. Detta kan sedan generera skräddarsydda rekommendationer på olika systemnivåer.

o Aktiv IT-kontroll är en metodik som ger en möjlighet att generera underlag rörande kvalificerade angripare. Dock är all verksamhet där människor utgör en viktig komponent behäftad med subjektiva bedömningar och resultaten är sällan reproducerbara. Dessutom är kvalitén på resultaten, d.v.s. hur väl en kvalificerad angripare avbildas, beroende på kompetensen hos utförarna. Med avsaknad av historiska data om attacker från kvalificerade angripare kan olika typer av aktiva IT-kontroller vara ett av få sätt att skapa någon form av underbyggt underlag för detta hot.

FOI-R--1350--SE

v

1 BAKGRUND ........................................................................................................7

1.1 IT-INCIDENTEN I KÄRNKRAFTVERKET DAVID-BESSE .............................................................7 1.2 SYFTE.....................................................................................................................................7 1.3 AVGRÄNSNINGAR...................................................................................................................8 1.4 RAPPORTENS STRUKTUR ........................................................................................................9

2 ARBETETS GENOMFÖRANDE OCH BEGREPP......................................11

2.1 ARBETETS GENOMFÖRANDE.................................................................................................11 2.2 NÅGRA CENTRALA BEGREPP ................................................................................................11

3 INITIATIV RÖRANDE INFORMATIONSSÄKERHETSANALYSER I

SVERIGE OCH ANDRA NATIONER ...................................................................14

4 IT-SYSTEM INOM SAMHÄLLSVIKTIG INFRASTRUKTUR.................18

4.1 UTVECKLINGSHISTORIK .......................................................................................................18 4.2 STYR- OCH REGLERSYSTEM..................................................................................................19 4.3 SÅRBARHETER INOM STYR- OCH REGLERSYSTEM.................................................................27

5 RISKANALYSER AV IT-SYSTEM................................................................29

5.1 RISKANALYS INOM IT-SÄKERHETSOMRÅDET .......................................................................29 5.2 RAMVERK FÖR RISKANALYSER AV IT-SYSTEM.....................................................................31 5.3 NÄRMARE BESKRIVNING AV NÅGRA ELEMENT I RISKANALYSER AV IT-SYSTEM ..................33 5.4 PROCESSEN VID RISKANALYS AV IT-SYSTEM I INFRASTRUKTUREN ......................................38

6 PRAKTISKA MODELLER OCH ANALYSMETODER FÖR IT-

SÄKERHET ...............................................................................................................41

6.1 IT-SÄKERHETSANALYSER I PRAKTIKEN................................................................................41 6.2 EN KLASSIFICERING AV ANVÄNDA MODELLER OCH METODER FÖR IT-SÄKERHETSANALYS..42

7 AMERIKANSKA ENERGIDEPARTEMENTETS SÅRBARHETS-

ANALYSMETOD......................................................................................................54

7.1 ÖVERSIKT AV SÅRBARHETSANALYSENS FASER ....................................................................55 7.2 PRE-SÅRBARHETSANALYSFASEN..........................................................................................56 7.3 SÅRBARHETSANALYSFASEN.................................................................................................57 7.4 SLUTSATSER FÖR SVENSKA FÖRHÅLLANDEN AV METODIK-BESKRIVNINGEN........................61

8 BRITISH TELECOMS INFORMATIONSSÄKERHETSPROGRAM.......64

8.1 RISKANALYSMODELL ...........................................................................................................65 8.2 ANTAGONISTMODELL...........................................................................................................67 8.3 SLUTSATSER FÖR SVENSKA FÖRHÅLLANDEN AV DENNA METODIKBESKRIVNING .................69

FOI-R--1350--SE

vi

9 INFORMATIONSSÄKERHETSANALYS GENOM EXPERIMENT........70

9.1 ALLMÄNT.............................................................................................................................70 9.2 SÄKERHETSANALYSER GENOM PENETRATIONSTESTER.........................................................72 9.3 SÄKERHETSANALYSER GENOM AKTIV IT-KONTROLL ...........................................................74 9.4 TESTANLÄGGNINGAR FÖR STUDIER AV SÄKERHET I STYR- OCH REGLERSYSTEM..................88 9.5 SLUTSATSER FÖR SVENSKA FÖRHÅLLANDEN AV DENNA METODIKBESKRIVNING .................91

10 DISKUSSION OCH SLUTSATSER............................................................94

10.1 METODIKER FÖR INFORMATIONSSÄKERHETSANALYSER OCH DERAS INBÖRDES RELATION ..94 10.2 KUNSKAP OM KVALIFICERADE ANTAGONISTISKA HOT .........................................................97 10.3 SÄKERHETSANALYSER GENOM EXPERIMENT........................................................................98 10.4 SÄKERHETSANALYSER AV STYR- OCH REGLERSYSTEM ........................................................99

11 REFERENSER.............................................................................................100

APPENDIX A. LÄRDOMAR FRÅN METODIKEN VULNERABILITY

ASSESSMENT METHODOLOGY. ELECTRIC POWER INFRASTRUCTURE106

APPENDIX B. VANLIGT FÖREKOMMANDE SÅRBARHETER I

INDUSTRIELLA STYRSYSTEM INOM KRITISK INFRASTRUKTUR.......110

APPENDIX C. LISTA ÖVER AKRONYMER ....................................................114

FOI-R--1350--SE

7(114)

1 Bakgrund

1.1 IT-incidenten i kärnkraftverket David-Besse Den 25 januari 2003 drabbades kärnkraftverket Davis-Besse i Ohio av den kända masken Slammer1. Verket var vid tillfället avställt men effekten av masken i systemet blev att ett viktigt övervakningssystem var ur funktion i nära fem timmar. Orsaken till masken Slammer:s effekt var dels en felimplementerad förbindelse in i kärnkraftverkets datornät, dels en dator utan virusskydd som betraktades som fristående och därmed inte i behov av sådant. Det fanns redundanta, analoga reservsystem som var opåverkade av masken men operatörerna vid verket fick en avsevärt ökad arbetsbelastning. Hotet var i detta fall varken medvetet riktat mot anläggningen eller av speciellt komplex natur men det var till sin natur antagonistiskt. Detta var inte det enda stället där Slammer påverkade den amerikanska elinfrastrukturen. Andra exempel på masken Slammer:s verkningar inom elsektorn i USA ges i North American Electric Reliability Councils (NERC) nyhetsbrev2. Om man på kärnkraftverket Davis-Besse hade följt t.ex. det amerikanska energidepartementets sårbarhetsanalysmetod som beskrivs i kapitel 7 av denna rapport, kunde man antagligen ha undvikit flertalet av de problem som uppstod. Den första punkten i den nämnda sårbarhetsanalysen är nämligen att analysera nätverksarkitektur. Det ovannämnda exemplet påvisar behovet av att genomföra sårbarhets- och säkerhets-analyser av IT-system inom kritisk infrastruktur och att man måste ta hänsyn till det antagonistiska hotet.

1.2 Syfte Syftet med föreliggande rapport är att studera olika moment som kan anses vara särskilt betydelsefulla vid säkerhetsanalyser av IT-system i samhällsviktig infrastruktur. Speciellt intresse riktas mot aktiviteter som syftar mot att belysa kvalificerade antagonistiska hot. Fokus ligger även på att beskriva trender inom forskning och utveckling inom området men som är kopplade till tillämpningar inom verkliga system.

1NRC Information Notice 2003-14: Potential Vulnerability of Plant Computer Network to Worm Infection. http://www.nrc.gov/reading-rm/doc-collections/gen-comm/info-notices/2003/in200314.pdf . Verket drivs av FirstEnergy Corp. som figurerade som en av syndabockarna vid elavbrottet på amerikanska östkusten i mitten av augusti 2003 2 Nyhetsbrev från North American Electric Reliability Council (NERC) den 20 juni 2003, SQL SLAMMER worm lessons learned for consideration by the electricity sector

FOI-R--1350--SE

8(114)

På grund av det ovannämnda är rapporten till stora delar deskriptiv. Syftet har inte varit att formulera en ny metod utan att kartlägga använda metoder och metoder som är under framtagande. Perspektivet har varit att fokusera på verksamheter och aktiviteter som rimligen bör ingå i ett nationellt säkerhetsarbete antingen vid genomförandet eller där det finns ett tillsynsbehov. Dock har övergripande värderingar gjorts och slutsatser dragits vid de i mer i detalj studerade metoderna och aktiviteterna. Det yttersta syftet med detta är att belysa brister i de metoder som används idag samt att initiera en diskussion om vilka framtida behov det finns inom området.

1.3 Avgränsningar En naturlig avgränsning har varit att främst studera metoder som belyser antagonistiska hot som syftar mot potentiellt mycket allvarliga konsekvenser för infrastruktursystem. Dock har ingen bedömning gjorts av sannolikheten för att dessa hot skall falla ut. Med IT-system i samhällsviktig infrastruktur avses alla IT-system som används inom teknisk infrastruktur som t.ex. eldistribution, vattenförsörjning, transporter och telekommunikation. Ett speciellt intresse riktas mot styr- och reglersystem som är kritiska komponenter i ovan nämnda verksamheter eftersom IT-säkerhetsanalysmetoder av dessa väsentligen saknas. I denna rapport ligger fokus på att studera olika aktiviteter och verksamheter som syftar till att analysera IT-system i samhällsviktig infrastruktur ur ett säkerhetsperspektiv. Detta ingår i det fortlöpande informationssäkerhetsarbetet. Aktiviteter som är av intresse i detta sammanhang ingår i verksamheter som går under benämningar såsom riskanalyser, säkerhetsanalyser eller sårbarhetsanalyser. Vid denna studie har det inte ansetts som värdefullt att lägga mycket möda på definitioner av begrepp utan fokus har legat på de aktiviteter som konstituerar dem samt den inbördes relationen mellan aktiviteterna. Om olika aktörer valt att kalla sin verksamhet har varit av underordnad betydelse. Strävan har varit att använda metodbeskrivningarnas egen terminologi så långt detta har varit möjligt. Dessutom har det eftersträvats att metodernas ursprung skall vara från förmodat kompetenta och trovärdiga aktörer som haft för avsikt att ta fram IT-säkerhetsanalysmetoder för användning inom kritisk infrastruktur. Där det har varit möjligt har svensk expertis rådfrågats för bedömning av kvalitén hos studerad metodik.

FOI-R--1350--SE

9(114)

1.4 Rapportens struktur Kapitel 2 beskriver arbetets genomförande samt ett antal relevanta begrepp. Kapitel 3 ger en kortfattad beskrivning av såväl svenska som några andra nationers initiativ rörande informationssäkerhetsanalyser. I kapitel 4 beskrivs några specifika egenskaper hos IT-system i den tekniska infrastrukturen och då framförallt styr- och reglersystem. Riskanalysen utgör en viktig del i den förebyggande riskhanteringen. I kapitel 5 diskuteras vad som konstituerar en riskanalys och vissa element diskuteras utförligare ur perspektivet IT-system i samhällsviktig infrastruktur. Här identifieras några övergripande aktiviteter som är speciellt relevanta för säkerhetsanalyser inom teknisk infrastruktur. I kapitel 6 ges en allmän beskrivning på en övergripande nivå av modeller och metoder som används för informationssäkerhetsanalyser i allmänhet men också specifikt i teknisk infrastruktur. Några specifika metodiker och aktiviteter identifieras och presenteras sedan i kapitel 7-9. Dessa metoder är av mycket olika karaktär men trots detta görs en värdering av dem för att man sedan skall kunna relatera till de behov som identifierats i kapitel 5. Kapitel 7 beskriver det amerikanska energidepartementets sårbarhetsanalsymetodik som framtagits under 1998-2002 och som utvecklas kontinuerligt. Kapitel 8 beskriver kortfattat British Telecom Information Assurance Program. Denna verksamhet syftar till att belysa och i bästa fall hantera kvalificerade elektroniska attacker mot British Telecoms verksamhet. I kapitel 9 ges en introduktion till sårbarhets- och säkerhetsanalyser med hjälp av experiment. Detta representeras väsentligen av metodikerna penetrationstester och aktiv IT-kontroll. Dessa verksamheter finns också representerade som delaktiviteter i de metodiker som beskrivs i kapitel 7 och 8. Speciellt diskuteras en metodik som använts vid ett amerikanskt nationellt laboratorium. En riskanalysmetodik som tagits fram av samma laboratorium för analys av styr- och reglersystem inom den amerikanska vattenförsörjningen presenteras kortfattat. Avslutningsvis beskrivs några av de testanläggningar som används i USA för att studera IT-säkerhetsrelaterade problem i styr- och reglersystem samt vilka för- och nackdelar användningen av testanläggningar har.

FOI-R--1350--SE

10(114)

Kapitel 10 innehåller en avslutande diskussion där partikulära slutsatser från de tidigare kapitlen integreras med varandra. I appendix A sammanfattas några av de resultat och erfarenheter som man gjort efter användningen av metodiken som presenteras i kapitel 7. I appendix B sammanfattas några slutsatser om sårbarheter i styr- och reglersystem som identifierats vid användning av bl.a. metodiken som presenteras i kapitel 9. Orsaken till att exempel på resultat från användningen av olika metodiker läggs i appendix är att fokus för denna rapport är beskrivningen av några metodiker och inte resultaten, som ju också beror av de studerade verksamheterna.

FOI-R--1350--SE

11(114)

2 Arbetets genomförande och begrepp

2.1 Arbetets genomförande Metod för studien har väsentligen varit studier och analyser av relevant litteratur som har identifierats under studien. Såväl hemligt underlag som öppet underlag har bearbetats men endast öppen information redovisas i denna rapport. Ett mycket viktigt underlag för rapporten har varit de erfarenheter FOI har erhållit från de inom ramprogrammet genomförda systemstudierna av olika komponenter inom svensk infrastruktur. Samverkan har skett med nationella och internationella experter inom området som till exempel experter inom informationssäkerhetsområdet vid såväl amerikanska energidepartementets nationella laboratorium Sandia som svenska FOI. Amerikanska handelsdepartementets forskningsinstitut National Institute of Standards and Technology (NIST) har ett forum kallat Process Control Security Requirements Forum (PCSRF) som bedriver flera intressanta aktiviteter med avseende på informationssäkerhet och styr- och reglersystem inom kritisk infrastruktur. Forumet är inte öppet för allmänheten utan kräver medlemskap (gratis) vilket införskaffades av författaren.

2.2 Några centrala begrepp Det finns många olika begrepp inom områdena informationssäkerhet och säkring av samhällsviktig infrastruktur. Dessa definieras i sin tur på olika sätt av olika organisationer beroende på vilka behov respektive organisation har. För att kunna vara bred vid urval av aktiviteter och verksamheter som studeras i denna rapport har det därför inte lagts någon möda på att hitta definitioner som täcker samtliga studerade verksamheter. I denna rapport ligger fokus på att studera olika aktiviteter och verksamheter som syftar till att analysera IT-system i samhällsviktig infrastruktur ur ett säkerhetsperspektiv och fokus ligger inte på att ta fram egna definitioner. Nedan kommer kortfattat att beskrivas några begrepp som anses vara relevanta för denna rapport p.g.a. att dessa är så centrala och allmänt accepterade inom informationssäkerhets accepterade av informationssäkerhetsområdet. Därmed inte sagt att dessa definitioner stämmer överens med de definitioner som används inom de aktiviteter som beskrivs.

FOI-R--1350--SE

12(114)

2.2.1 Informationssäkerhet Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador. Information förekommer i många former och kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Enligt handbok 550 Terminologi för informationssäkerhet (2003) från Swedish Standards Institute (SIS) definieras informationssäkerhet som

Säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (även spårbarhet och oavvislighet). 3

2.2.2 Infrastruktursystem En för denna rapport lämplig definition av infrastruktursystem (här kallat system) ges av International Electrotechnical Commission (IEC):

Ett system är en sammansatt enhet, på alla nivåer av komplexitet, av personal, procedurer, material, verktyg, utrustning, inrättningar och programvara. Elementen i denna sammansatta enhet används tillsammans i en avsiktlig operationell eller stödjande miljö för att utföra en given uppgift eller uppnå ett specifikt mål. 4

2.2.3 Riskhantering och riskanalys I svensk standard definieras riskanalys på följande sätt:

Riskanalys definieras som ”en systematisk användning av tillgänglig information för att identifiera riskkällor och uppskatta risker för människa, egendom eller miljö”.5 (Författarens egen kursivering)

I SIS handbok 550 Terminologi för informationssäkerhet (2003) definieras riskhantering som

Process för identifiering, styrning och kontroll av risk.

3 Fetstil indikerar att orden finns definierade i nämnda handbok. 4 Dependability management – Part 3: Application guide – Section 9: Risk Analysis of Technological systems, International Elctrotechnical Commission (IEC 1995) 5 SIS 2000. Tillförlitlighet – Ordlista. Svensk standard SS 441 05 05 SIS Förlag AB, Stockholm

FOI-R--1350--SE

13(114)

Riskanalys inom IT-säkerhetsområdet definieras på följande sätt:

Process som identifierar säkerhetsrisker, bestämmer deras betydelse och identifierar skyddsåtgärder. 6

De ovan nämnda definitionerna visar på riskhanteringens avsevärt bredare ”ansvarsområde” än det som en riskanalys skall täcka. I t.ex. NIST-rapporten Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30 (October 2001) består riskhantering av komponenterna riskanalys, riskspridning samt utvärdering och analys.7 I föreliggande rapport är syftet att framförallt studera existerande metoder och aktiviteter som ligger nära det som utförs inom riskanalysområdet men som definitionen ovan av riskhantering lyder kan vissa av dessa metoder definitionsmässigt höra till någon annan del av riskhanteringsprocessen.

2.2.4 Sårbarhet I denna rapport används begreppet sårbarhet i följande betydelse:

Sårbarhet är den samling av egenskaper hos ett system som försvagar eller begränsar dess förmåga att behålla sin tilltänkta funktionalitet när det utsätts för hot som kan härröra från såväl innanför som utanför systemets gränser. 8

6 Swedish Standards Institutes (SIS) handbok 550 Terminologi för informationssäkerhet (2003) 7 G. Stoneburner, A. Goguen, and A. Feringa , Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30 (October 2001). 8 Å. Holmgren, Vulnerability Analysis of Electric Power Delivery Networks, Licentiate Thesis at the Royal Institute of Technology in Stockholm, Sweden, (2004)

FOI-R--1350--SE

14(114)

3 Initiativ rörande informationssäkerhetsanalyser i Sverige och andra nationer

Den amerikanska presidentkommissionen PCCIP fastslog 1997 att den amerikanska infrastrukturen i allmänhet, och den informationstekniska infrastrukturen i synnerhet var sårbar för kvalificerade antagonistiska angrepp. 9 Bland annat var kommissionen inspirerad av en sårbarhetsanalys av de informationstekniska system som stödjer infrastrukturen för produktion och distribution av elkraft.10 Detta resulterade i ett presidentbeslut om att formulera en strategi för säkring av kritisk infrastruktur samt att medel skulle avsättas för att realisera denna strategi.11 Ett stort antal initiativ togs inom området och bland annat formulerades en handlingsplan (roadmap) över vilka teman forskning och utveckling inom området borde fokuseras på.12 Ett antal övergripande teman identifierades som viktiga men området ”sårbarhetsanalys” pekades särskilt ut:

The final theme, vulnerability assessment, provides supporting baseline information for all of the other themes.

Under 2003 presenterades en nationell strategi för att säkra ”cyberspace”, i vilken det ansågs vara av stor vikt att skapa en process för att genomföra nationella sårbarhetsanalyser:

The National Strategy to Secure Cyberspace identifies eight major actions and initiatives to reduce threats and related vulnerabilities: […] 2. Create a process for national vulnerability assessments to better understand the potential consequences of threats and vulnerabilities…13

Under den senaste femårsperioden har olika typer av sårbarhetsanalyser av amerikansk infrastruktur genomförts. Ett exempel är sårbarhetsanalysen av kommunikationer som är av betydelse vid beredskapslägen (national

9 Critical Foundations Protecting America’s Infrastructure. The Report of the President’s Commission on Critical Infrastructure Protection PCCIP, (oktober 1997) 10 National Security Telecommunications Advisory Committee, Electric Power Information Assurance Risk Assessment. Information Assurance Task Force (1997). http://www.securitymanagement.com/library/iatf.html 11 Presidential Decision Directive (PDD) – 63: Protecting America’s Critical Infrastructures, Vita Huset (1998). 12 Transition Office of the President´s Commission on Critical Infrastructure Protection and the Critical Infrastructure Assurance Office, Preliminary Research and Devlopment Roadmap for Protecting and Assuring Critical National Infrastructures, (juli 1998) 13 Vita Huset, The National Strategy to Secure Cyberspace (februari2003). http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf

FOI-R--1350--SE

15(114)

security and emergency preparedness operations).14 Dessa analyser har genomförts på relativt övergripande nivå genom att tillsatta analysgrupper, under en kortare tidsperiod (ca sex månader), genomför workshops och studiebesök och sedan produceras en rapport. På en mer teknisk nivå har det också förekommit många aktiviteter när det gäller att identifiera sårbarheter i den kritiska infrastrukturen. Det amerikanska energidepartementet (Department of Energy, DoE) tog under åren 1998-2002 fram en sårbarhetsanalysmetodik för att studera kritiska element inom den amerikanska infrastrukturen för produktion och distribution av el.15 Denna metodik samt erfarenheter från användningen, beskrivs mer utförligt i kapitel 7. DoEs arbete har resulterat i bl.a. rekommendationer avseende IT-säkerheten för styr- och reglersystem.16,17 När det gäller aktiviteter i andra länder än USA saknas det utförligare beskrivningar av tillvägagångssätt och resultat av risk- och sårbarhetsanalyser av IT-system inom den samhällsviktiga infrastrukturen. Avsaknaden av resultat är inte särskilt förvånande med tanke på att detta betraktas som hemlig information. Avsaknaden av mer ingående metodbeskrivningar är mer svårförklarad. I detta sammanhang kan det ändå vara värt att kort nämna Norges aktiviteter inom området. Norska Forsvarets Forskningsinstitutt (FFI) har sedan 1994 bedrivit projekt under samlingsnamnet Beskyttelse av samfunnet (BAS). Dessa har under senare år haft en viss fokusering på IT-relaterade sårbarheter inom samhällsviktig infrastruktur.18 Det öppna material som finns att tillgå är dock på en övergripande nivå med avseende både på metodik och på resultat.

14 The President's National Security Telecommunications Advisory Committees, Network Security/Vulnerability Assessments Task Force Report, (mars 2002) http://www.ncs.gov/nstac/NSVATF-Report-(FINAL).htm 15 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. 16 U.S. Department of Energy, Office of Energy Assurance. (2003). 21 Steps to Improve Cyber Security of SCADA Networks. http://www.ea.doe.gov/pdfs/21stepsbooklet.pdf 17 I samband med detta kan nämnas att nystartade Department of Homeland Defense har startat med anbudsförfrågan för sin forskningsorganisation Homeland Security Advanced Research Projects Agency (HSARPA). Anbudsförfrågan (öppen mellan 19 november och 15 december 2003) har titeln Advanced Secure Supervisory Control And Data Acquisition (SCADA) And Related Distributed Control Systems. http://www.zyn.com/sbir/sbres/sbir/hsarpa/hsa04-08.htm 18Se t.ex. H. Fridheim, J. Hagen, S. Henriksen, En sårbar kraftforsyning - Sluttrapport etter BAS3, FFI/RAPPORT-2001/02381

FOI-R--1350--SE

16(114)

3.1.1 Svenska förhållanden Riksrevisionsverket genomförde under 2002 en studie av myndigheternas arbete med sin egen riskhantering och då framförallt riskanalysens roll i detta arbete.19 Det bör noteras att i dessa riskanalyser behandlas alla typer av risker som myndigheterna har upplevt och det är inte ens säkert att hot mot informationssystem har berörts. Dessutom förvaltas bara en del av den samhällsviktiga infrastrukturen av myndigheter och det är därför svårt att bedöma vilka analyser som affärsdrivande företag genomför. Några av de slutsatser som Riksrevisionsverket drog, och som är av intresse här är att: • ”En stor del av myndigheterna har genomfört riskanalyser, men upp till

hälften av myndigheterna kan ha mer eller mindre allvarliga brister i sina kunskaper om riskbilden.”

• ”Riskanalyser hade brister i både omfattning och aktualitet. Arbetet med riskanalys kräver kompetens som somliga myndigheter anser sig sakna. Svårigheterna rör främst värderingen av risker.”

• ”Betoningen av kostnader riskerar att minska intresset för lågfrekventa stora skador liksom för icke-ekonomiska konsekvenser av skador.”

Riksrevisionsverkets ansåg vidare att Kammarkollegiets arbete med att utveckla riskanalysmetoder skulle ”… inriktas mot att tillgodose små och medelstora myndigheters behov”.20 I Kammarkollegiets kontrollista Säkerhetsrond, ett hjälpmedel för att genomföra riskanalyser vid myndigheter, återfinns två sidor övergripande frågor kring IT-säkerhet.21 Riksrevisionsverkets analys tyder på att det delvis saknas kompetens med avseende på riskbedömningar (hotbedömningar) samt att lågfrekventa hot som vid utfall kan få stora konsekvenser behandlas på ett otillfredsställande sätt. Vidare tycks det saknas rekommendationer angående riskanalysmetodiker för större myndigheter och organisationer. Återigen är det viktigt att notera att detta rör risker i allmänhet, men mycket tyder på att denna problematik är än mer uttalad när IT-relaterade hot skall behandlas. De IT-system som betraktas som samhällsviktiga bör uppfylla en säkerhetsnivå som Krisberedskapsmyndigheten (KBM) betecknar basnivå. Denna basnivå erhålles genom att tillämpa rekommendationerna BITS vilka beskrivs kortfattat i avsnitt 6.2.1.2.22

19 Effektivitetsrevisionen RRV 2002:25, Riskhantering i statliga myndigheter 20 Enligt Förordning (1994:634) med instruktion för Kammarkollegiet skall Kammarkollegiet enligt 4§ ”…utveckla metoder för riskhantering hos myndigheter under regeringen,…” 21 http://www.kammarkollegiet.se/risk/sakerhetsrond.doc 22 Basnivå för IT-säkerhet (BITS). Rekommendationer från Krisberedskapsmyndigheten. KBM:s utbildningsserie 2003:5.

FOI-R--1350--SE

17(114)

Preliminära och övergripande erfarenheter från FOI:s studier inom KBM:s ramforskningsprogram är att risk- och sårbarhetsanalyser av IT-system i viktig infrastruktur karakteriseras av att:23 • De i bästa fall ingår i analyser av t.ex. tillförlitighet eller miljö och

kvalitetsarbetet • Analyserna genomförs ofta med hjälp av konsultföretag. Analyserna

karakteriseras av att o Många olika metoder används, både ”öppna” och

företagsspecifika o Metoderna är ofta framtagna för analys av företag där

ekonomiska mått är helt dominerande o Konsulterna genomför analyserna relativt snabbt

• Risk- och sårbarhetsanalyser av styr- och reglersystemen förekommer mycket sällan

• Det är mycket ovanligt att antagonistiska hot belyses • Penetrationstester eller aktiv IT-kontroll förekommer mycket sällan I propositionerna Fortsatt förnyelse av totalförsvaret (Prop.2001/02:10) och Samhällets säkerhet och beredskap (Prop. 2001/02:158) nämns inget om former eller innehåll för hur riskanalysarbetet inom området bör ske. Det torde vara en viktig framtida uppgift för de fyra myndigheter med utpekat ansvar inom området att lämna rekommendationer om hur riskanalyser av IT-system skall genomföras. 24 Detta ovannämnda leder sammantaget till slutsatsen att det inom ramen för det nationella säkerhetsarbetet finns ytterligare behov av att studera processer för att komplettera befintligt arbete med risk- och sårbarhetsanalys av IT-system i samhällsviktig infrastruktur särskilt vad avser kvalificerat antagonistiskt hot.

23 Se t.ex. Daniel Torstensson, Mikael Wedlin, IT-relaterade sårbarheter inom vattenförsörjningen (FOI-RH--0240--SE), R. Räty, H. Christiansson, G. Fischer, IT-relaterade hot mot drivmedelslogistiken – förstudie (FOI-R--0983--SE), H. Christiansson, Jonas Hallberg, Riitta Räty, Arne Vidström, Anläggningsändring vid ett kärnkraftverk (FOI MEMO H 151), Arne Vidström, Lars Westerdahl, Spårning – från IT-säkerhetsbrister till bakomliggande orsaker (FOI-R--1215--SE) 24 Dessa är Krisberedskapsmyndigheten, Försvarets radioanstalt, Försvarets materielverk samt Post- och telestyrelsen.

FOI-R--1350--SE

18(114)

4 IT-system inom samhällsviktig infrastruktur

4.1 Utvecklingshistorik Infrastruktursystem, över hela världen, har i regel två domäner där informationsteknik har använts. Detta har framförallt utvecklats under de senaste 30 åren. Den ena domänen har varit den administrativa verksamheten där det t.ex. finns behov av databaser, externa kontakter via e-post och Internetanvändning. Denna verksamhet liknar i stort den som finns i alla större affärsdrivande organisationer. Den andra domänen där IT-system förekommer är som stöd för kärnverksamheten d.v.s. produktionen eller distributionen av någon entitet. Denna informationsteknik har använts till att styra och reglera processer. Styr- och reglersystem konstruerades ofta förr som speciella, fristående, realtidssystem där säkerheten byggde på fysisk isolering och begränsad användning av behörighetskontroll.25 Detta betyder att styr- och reglersystem historiskt sett inte har haft någon antagonistisk IT-hotbild. En konsekvens av detta har blivit att det finns få experter som behärskar både IT-säkerhetsområdet och styr- och reglersystemsområdet. Avregleringar, möjligheter till ökad produktion och behov av produktionsdata hos fler aktörer har bidragit till att behovet av att påverka systemen och att hämta information från dem har ökat drastiskt de senare åren. Dessutom har administrativa enheter hos de organisationer som nyttjar styr- och reglersystem ofta anpassats till behoven på tillgång till t.ex. Internet. Det har därför varit naturligt att koppla öppna, standardbaserade nätverkslösningar till styr- och reglersystem. Utgångspunkten för denna ihopkoppling har varit att informationen skall hanteras på ett riktigt och säkert sätt och att alla användare är pålitliga. Det finns vissa generella karakteristika hos styr- och reglersystem inom infrastrukturen som gör att sårbarhets- och säkerhetsproblemen är speciella. På en övergripande nivå karakteriseras styr- och reglersystem ofta av att:

• Systemen har lång livslängd p.g.a. att de är dyra och ingår i en kontinuerlig, tidskritisk verksamhet. Detta betyder att bristfällig, t.ex. sådana system som saknar IT-säkerhetslösningar kan leva länge.

25 Control system cyber security – maintaining the reliability of the critical infrastructure. Testimony of J. Weiss, control system security expert before the Committee Government Reform's Subcommittee on Government Efficiency, Financial Management, and Intergovernmental Relations, U.S. House of Representatives on July 24, 2002

FOI-R--1350--SE

19(114)

• Systemen är avbrottskänsliga och därmed svåra att förbättra och underhålla ur ett IT-säkerhetsperspektiv.

• Likadana delsystem (i någon mening Commercial Off The Shelf, COTS) kan användas av flera infrastruktur vilket underlättar en antagonists arbete.26

• De ingår i system som är geografiskt spridda och heterogena med avseende på systemkomponenter vilket gör dem svåra att säkra mot antagonistiska hot.

• Leverantören har ofta manualer på hemsidor. Tekniska egenskaper hos styr- och reglersystem som påverkar arbetet med IT-säkerhet är t.ex. kraven på att styrdata måste vara riktiga och levereras i tid. Systemen har minimala datatekniska resurser för att hantera pålagda säkerhetslösningar som t.ex. konventionella krypterings- och autenticeringsalgoritmer vilket leder till att kraven på leverans av data i tid inte uppfylls. Andra typer av säkerhetssystem som virus- och brandväggsskydd förekommer ännu inte för styr- och reglersystem. Eftersom dessa tillämpningar bevakar systemen leder detta till att statistik över olika typer av angrepp saknas för styr- och reglersystem. Ytterligare problem är när systemen, både administrativa och processkontrollsystem, blir spridda över en geografiskt stor yta och dessutom har många användare. Detta leder ofta till att organisationer behöver använda mer avancerade administratörsverktyg som t.ex. Unicenter TNG och IBM:s Tivoli för att hantera datorinfrastrukturen.27 Dessa verktygs IT-säkerhetsegenskaper är oftast inte belysta av oberoende experter. Nedan görs en övergripande beskrivning och klassificering av styr- och reglersystem i infrastrukturen. Beskrivningen är till stora delar hämtad från det arbete som organet Process Control Security Requirements Forum har genomfört, och vars syfte har varit att ta fram IT-säkerhetsriktlinjer för styr- och reglersystem (se avsnitt 6.2.1.4).

4.2 Styr- och reglersystem I detta avsnitt beskrivs komponenterna i styr- och reglersystem (den engelska termen är Industrial Control System, ICS) på en relativt hög och

26 Se exempelvis Forsmarks kärnkraftsverks nätverk beskrivet i J. Städje, Atomernas dans styrs med fiberoptik, Nätverk&Kommunikation 14, 2001. Det använda DCS-systemet består av komponenter från ABB. Likadana komponenter finns i Banverkets kontrollsystem för deras eldrift vilket beskrivs i Klart Krylbo för Banverkets spår, Nätverk&Kommunikation 8, 2001. 27 E. Mittermaier, H. Christiansson, U. Pettersson, M. Persson, PM Sårbarheter med avseende på logiska, IT-relaterade sårbarheter inom Banverkets område, (2000).

FOI-R--1350--SE

20(114)

abstrakt nivå. Det tjänar också som exempel på hur IT-system i samhällsviktig infrastruktur kan beskrivas för att man skall kunna göra vissa IT-säkerhetsbedömningar. Det är till stora delar hämtat ur dokumentet Security Capabilities Profile for Industrial Control Systems, Process Control Security Requirements Forum, DRAFT 030917. Ett styr- och reglersystem utgörs av en samling av komponenter som kopplas samman för att kontrollera produktions-, transmissions- och distributionsprocesser. Dessa komponenter kan karakteriseras av de funktioner de tillhandahåller i styr- och reglersystemet som t.ex. övervakningsenhet, sensorer, överföringsenhet eller reglerenhet. Dessa kan också karakteriseras av hur de fysiskt fungerar som t.ex. mekaniskt, pneumatiskt, hydrauliskt, elektriskt eller elektroniskt.

4.2.1 Abstrakt representation av styr- och reglersystem De grundläggande komponenterna i ett styr- och reglersystem visas i figuren nedan. En ”styr- och reglerslinga” består av sensorer för mätning, kontrollenhet, reglerenheter samt kommunikationsenheter för att överföra data. Figur. 4.1. Abstrakt beskrivning av element i en styr- och reglerprocess Uppmätta parametervärden skickas till kontrollenheten från sensorerna. Kontrollenheten tolkar de uppmätta värdena och genererar kontrollsignaler som överförs till reglerenheterna. Denna sekvens av aktiviteter resulterar i ett nytt processtillstånd. Människa-maskin-gränssnittet (Man Machine

Kontrollenhet

Reglerenhet Sensorer

Kontrollerad process

Fjärrdiagnostik och underhållsdata

Människa-maskingränssnitt (operatör)

Kontrollvärden

Uppmätavärden

Sätta börvärdenStyr- och regleralgoritmerRestriktioner i parametervärden

Störningar

Inflöde frånannan process

Utflöde tillannan process

KontrollenhetKontrollenhet

ReglerenhetReglerenhet SensorerSensorer

Kontrollerad processKontrollerad process

Fjärrdiagnostik och underhållsdataFjärrdiagnostik och underhållsdata

Människa-maskingränssnitt (operatör)Människa-maskingränssnitt (operatör)

Kontrollvärden

Uppmätavärden

Sätta börvärdenStyr- och regleralgoritmerRestriktioner i parametervärden

Störningar





FOI-R--1350--SE

21(114)

Interface, MMI) medger en att operatör påverka denna slinga på ett flertal sätt som t.ex. sättandet av börvärden eller formulerandet av styr- och regleralgoritmer. Gränssnittet ger också möjlighet för operatören och andra intressenter att ta del av aktuella eller historiska data relaterade till processen. Ett typiskt styr- och reglersystem innehåller en mångfald av kontrollslingor, människa-maskin-gränssnitt samt verktyg för diagnostik och underhåll. Dessa är ofta baserade på olika protokoll med gemensamma gränssnitt för översättning. Ur figuren kan man dra slutsatsen att man som antagonist kan, med kontroll över systemen, kan påverka kontrollslingans information (data) på flera olika ställen antingen enkelt eller multipelt och detta kommer att få skiftande konsekvenser. Nedan görs en klassificering av de styr- och reglersystem som förekommer. Klassificeringen kan användas i flera sammanhang. Ett exempel på användningsområde av denna klassificering skulle kunna vara när man vill identifiera aktörer inom olika infrastrukturer men som har liknande system och därmed liknande säkerhetsproblematik.

4.2.2 Klassificering av styr- och reglersystem Internationellt används främst tre klassificeringar av kommersiella styr- och reglersystem. Dessa är programmerbara styrsystem (Programmable Logic Controller, PLC), distribuerat styrsystem (Distributed Control System, DCS) samt överordnade styr- och övervakningssystem med människan som beslutsfattare (Supervisory Control And Data Acquisition System, SCADA).28 PLC-system är mycket skalbara enheter som kan byggas av moduler för t.ex. processorer, in- och utdata, datakommunikation och människa-maskin gränssnitt. DCS- och SCADA-system är mer integrerade system som typiskt är konfigurerade för att kontrollera distribuerade processer där delsystem kommunicerar över t.ex. lokala nätverk (Local Area Network, LAN), fjärranslutna nätverk (Wide Area Network, WAN), Internet och radionät. Dessa integrerade system innehåller ofta databaser för processhistorik samt system för MMI. Distribuerade system som kontrollerar processer som är distribuerade över större geografiska områden klassificeras ofta som SCADA-system.

28 T. Cegrell, U. Sandberg, Industriella Styrsystem, SIFU Förlag/Läromedel 1994. ISBN 91-88330-00-1

FOI-R--1350--SE

22(114)

PLC-system används ofta för att styra diskreta tillverkningsprocesser (t.ex. vid byggandet av brödrostar) eller för att reglera delsystem i DCS- och SCADA-system. DCS-system används ofta för att styra stora, komplexa processer som t.ex. kraftverk och raffinaderier som är lokaliserade på en plats. SCADA-system används typiskt vid mindre komplexa processer men där systemkomponenterna är mer spridda och det därmed är viktigare med en centraliserad datainsamling än en centraliserad styrfunktion. Distributionsprocessen för dricksvatten, gas och el använder typiskt SCADA-system.

4.2.3 Exempel på användning av styr- och reglersystem i kritisk infrastruktur Infrastrukturen för elkraft består av såväl elproduktionsanläggningar som transmissions- och distributionsnätverk. Elproduktionsanläggningar utgörs av t.ex. förbränningsanläggningar för fossila bränslen, kärnreaktorer eller hydroelektriska system. De två förstnämnda förångar vatten som sedan via en turbin driver en generator som alstrar elektricitet. Den sistnämnda genererar elektricitet när strömmande vatten passerar en turbin som driver en generator. Dessa typer av produktionsanläggningar använder sig typiskt av de ovannämnda DCS och PLC teknikerna. Elnätet däremot är ett geografiskt sett mycket distribuerat system beroende på att produktionsanläggningar och konsumtionsställen sällan är samlokaliserade. Ett SCADA-system hanterar styrningen av detta distributionssystem genom att samla in mätvärden från de olika noderna och sedan reglera vissa parametrar hos de olika noderna. Infrastrukturen för att hantera olja och gas består av resurser för produktion och lagring, förädling och distribution (t.ex. ledningar, fartyg, lastbilar och tåg). Förädlingsprocesserna använder sig ofta av DCS-system medan lagrings- och distributionssystem utnyttjar SCADA-system. Infrastrukturen för att producera och distribuera dricksvatten består av lagringsresurser, system för filtrering och förädling samt distributionssystem. På samma sätt som i fallen med el, gas och olja styrs processerna för lagring och förädling med DCS (och PLC) teknik medan distributionshanteringen använder sig av SCADA-teknik.

4.2.4 Systembeskrivning av styr- och reglersystem i infrastruktur Jämför man de generiska arkitekturerna för DCS- respektive SCADA-system finner man att på en högre nivå används liknande arkitektur i de båda systemen. På denna nivå är alla komponenter kopplade till ett lokalt nätverk (LAN). Komponenterna utgörs av vanliga datorklienter,

FOI-R--1350--SE

23(114)

applikationsservrar, databaser, skrivare, nätverkskomponenter etc. Dessa brukar ofta vara lokaliserade i anslutning till någon kontorsverksamhet. Kommunikation till externa verksamheter (Internet, e-post etc.) sker ofta via en brandvägg till Internet eller ett regionalt nätverk (Wide Area Network). Det finns också ofta i denna del modempooler som kan användas av t.ex. anställda för hemarbete eller för leverantörer som skall underhålla utrustning. De explicita PLC-, DCS- och SCADA-komponenterna brukar vara kopplade till ett nätverk utan specifika applikationsservrar (peer-to-peer network). Figurerna 4.2 och 4.3 som används nedan är de generiska beskrivningarna som NIST tagit fram med hjälp av operatörer av samhällsviktig infrastruktur i USA.29 Bilderna är mycket schematiska och skall betraktas som ett diskussionsunderlag vid övergripande analyser. På en teknisk nivå som inte finns representerad i figurerna är det många faktorer som spelar roll val av arkitektur, mjuk- och hårdvaruversioner, implementeringar etc. Kvalitén på bilderna är dessvärre inte den bästa men det viktiga är att få en uppfattning om skillnader och likheter mellan olika system och inte de exakta detaljerna. Bilderna visar klasserna DCS-system och SCADA-system och dessa karakteriseras kortfattat. Gemensamt för figurerna är att de områden som utgör organisationernas administrativa delar är placerade högst upp till höger. Dessa delar kan sägas utgöra den typ av system och organisation som historiskt sett använt IT-säkerhet (virusskydd, brandväggar, rutiner för säkerhetsuppdateringar etc). Ett DCS utgörs av ett system som finns vid en anläggning (se figur 4.2). DCS:en består av två nivåer. Den övre nivån utgörs av den övergripande kontrollen (överst till vänster i figur 4.2). Den nedre nivån består av flera distribuerade kontrollenheter (PLC och de andra kontrollenheterna på samma nivå). Det är typiskt för dessa system att komponenterna som utgör systemet levereras av en återförsäljare.30 Det andra lagret består ofta av olika typer av kontrollenheter beroende på vilka typer av processer som skall styras. Många av dessa är åtkomliga via modem för att återförsäljarna skall ha möjlighet att utföra underhåll på dessa komponenter. 29 Security Capabilities Profile for Industrial Control Systems, (DRAFT 030917). Process Control Security Requirements Forum (PCSRF) 30 Se exempelvis Forsmarks kärnkraftsverks nätverk beskrivet i J. Städje, Atomernas dans styrs med fiberoptik, Nätverk&Kommunikation 14, 2001. Det använda DCS-systemet består av komponenter från ABB. Likadana komponenter finns i Banverkets kontrollsystem för deras eldrift vilket beskrivs i Klart Krylbo för Banverkets spår, Nätverk&Kommunikation 8, 2001.

FOI-R--1350--SE

24(114)

Ett SCADA-system består oftast av ett centralt övervakningssystem (Central Monitoring System, CMS, överst till vänster i figur 4.3). Övervakningssystemet samlar in och registrerar information från de avlägsna stationerna. En fjärrenhet består antingen av en processterminal (Remote Terminal Unit, RTU) eller ett programmerbart styrsystem (PLC) som styr reglerenheterna och övervakar sensorerna. Ibland har de avlägsna stationerna kapacitet att låta fältoperatörer använda handdatorer för att överföra kod till kontrollenheten vid stationen. Kommunikationen med dessa fjärrstationer kan ske medelst t.ex. dedicerade telelinjer, publika telenätet eller radio.

FOI-R--1350--SE

25(114)

Figur. 4.2 Generiskt DCS

FOI-R--1350--SE

26(114)

Figur. 4. 3 Generiskt SCADA Av det ovan nämnda kan man dra slutsatsen att det krävs flera olika kompetenser för att genomföra välavvägda säkerhetsanalyser. Det krävs

FOI-R--1350--SE

27(114)

goda kunskaper om olika infrastrukturprocesser, såväl tekniskt som organisatoriskt, det krävs goda kunskaper om de olika IT-system som används för att styra dessa samt god kunskap om relevanta IT-säkerhetsaspekter av dessa verksamhetskomponenter. Detta leder sammantaget till behovet av en uppsättning av metoder för att genomföra IT-säkerhetsanalyser där dessutom resultaten från dessa kan integreras i varandra för att beslut om åtgärder skall kunna fattas.

4.3 Sårbarheter inom styr- och reglersystem Exempel på olika typer av sårbarheter, organisatoriska såväl som tekniska, som har identifierats i styr- och reglersystem inom den amerikanska infrastrukturen finns sammanfattade i appendix B.31 Dessa presenteras under rubriker som • Information i processkontrollsystem • Administration av säkerhetshöjande aktiviteter • Processkontrollsystemets arkitektur • Nätverken som processkontrollsystemet utnyttjar • Plattformar Under rubriken plattformar beskrivs de vanligaste sårbarheterna med tabell 4.1. 31 J. Stamp, J. Dillinger, W. Young, J. DePoy, Common Vulnerabilities in Critical Infrastructure Control Systems (SAND2002-0435C)

FOI-R--1350--SE

28(114)

Tabell 4.1 Vanligaste sårbarheterna hos plattformar inom den amerikanska infrastrukturen enligt Sandia Underkategori Sårbarhet

Lagningar (patchar) av operativsystem utförs inte. Konfigurationsinställningar lagras eller säkerhetskopieras inte för viktiga plattformar. Grundinställningar i operativsystem används vilket medför icke-säkra och onödiga tjänster. Lösenord lagras oskyddade i närhet av plattform. Lösenord för t.ex. skärmsläckare används inte. Lösenord är inte krypterade vid överföring Samma lösenord används av flera användare Inga krav på hur länge lösenord är giltiga, hur långa dessa skall vara eller krav på typer av tecken som skall ingå i lösenorden Endast minimala administrativa rutiner för accesskontroll tillämpas

Administration

Användare har ofta administratörsrättigheter Otillräckligt fysiskt skydd av kritiska plattformar Obehöriga har fysiskt tillträde till plattformar

Hårdvara

Modemkopplingar är möjliga till individuella arbetsstationer inom SCADA-nätverket

Övervakning och registrering

Loggar från systemet samlas, sammanställs eller analyseras inte.

Skydd mot fientlig programkod

Viruskontroller och brandväggar är antingen inte installerade, används inte eller inte uppdaterade.

FOI-R--1350--SE

29(114)

5 Riskanalyser av IT-system

5.1 Riskanalys inom IT-säkerhetsområdet I svensk standard definieras riskanalys inom IT-säkerhetsområdet på följande sätt:

Riskanalysen omfattar en systematisk genomgång av: • De konsekvenser som bedöms bli följden av en incident med

hänsyn till de potentiella följderna av förlust av sekretess, riktighet och tillgänglighet;

• Sannolikheten av att den oönskade händelsen inträffar med hänsyn till redan vidtagna skyddsåtgärder. 32

Jämför denna definition med den generella definition som gavs i kapitel 2.2. I den generella definitionen nämns identifiering av riskkällor ur tillgänglig information. Vanligtvis betyder detta för tekniska system, som t.ex. ett system för tågdrift, att främst naturliga hotkällor såsom åskväder och översvämningar behandlas i analysen. Detta är naturligt eftersom det ofta finns tillgänglig information om dessa hotkällor samt om konsekvenserna av att hoten realiseras. Statistik om hur dessa hotkällor påverkar analyserad verksamhet kan omsättas till frekvenser för att få en uppskattning av sannolikheten att hotet realiseras. Studerar man den andra definitionen skall den systematiska genomgången bedöma konsekvenserna av förluster av egenskaperna sekretess, riktighet och tillgänglighet. Förutom för egenskapen tillgänglighet där de ovannämnda naturliga hotkällorna är fortsatt relevanta är förlust av de övriga egenskaperna starkt förknippade med olika typer av antagonistiska hot. Den tillgängliga informationen om denna hotkälla är dock ofta mycket mer begränsad av flera orsaker. En orsak kan vara att det är sällan som antagonistiska angrepp upptäcks eller utreds eftersom konsekvenserna av dessa ofta är subtila, t.ex. förändringar av data i en databas. Tillgänglighetsegenskapen kan även den påverkas av antagonistiska hot som brukar benämnas med samlingstermen tillgänglighetsattack (Denial of Service). Riskanalyser av de icke-antagonistiska hoten mot informationssystem torde täckas upp av de analyser som görs för att skydda lokaler och annan utrustning. Det är viktigt att notera att alla typer av skydd som implementeras på informationstekniska system är just avsedda för skydd mot antagonistiska

32 ISO/IEC 177 99. Ledningssystem för informationssäkerhet – Del1: Riktlinjer för ledning av informationssäkerhet. (2001)

FOI-R--1350--SE

30(114)

hot, t.ex. starka lösenord, virtuella privata nätverk, antivirusprogramvara eller brandväggar. Detta trots att mer kvalitativa kunskaper om hotet som dessa system skyddar mot är relativt låga, t.ex. om vilka kategorier av antagonister som dessa skyddar mot eller vilka förmågor dessa besitter. Bristen på information om hoten bottnar ofta rent praktiskt i brist på historiska data från incidenter. Detta gör det mycket svårt att uppskatta sannolikheter för att antagonistiskt orsakade händelser skall inträffa i IT-system. Oberoende händelser är ett viktigt koncept vid praktiska beräkningar av sannolikheter för att händelser skall inträffa. Vid datorrelaterade attacker är det mer regel än undantag att händelser bygger på multipla och simultana händelser som inte är oberoende. Generellt för antagonistiska hot är att det leder till en spelsituation där endast spekulationer om motståndarens mål och strategi kan göras. Även att formulera mått på konsekvenserna för förlust av de ovannämnda egenskaperna är svårt av flera orsaker. De direkta konsekvenserna av en IT-incident är abstrakta och de konsekvenser som går att upptäcka är ofta andra ordningens effekter. Dessutom kan t.ex. en förlust av riktighet, d v s att data har förändrats, påverka flera verksamheter på olika sätt eftersom samma data kan användas av flera system samtidigt. Detta leder till att man kan få väldigt olika uppskattningar av vad IT-incidenter kostar.33 Även på den rent tekniska nivån kan konsekvenser av attacker vara svåra att beskriva på adekvat sätt.34 Detta gör det ytterligt svårt att använda klassiska riskanalysmetoder som t.ex. felträdsanalyser och händelseträdsanalyser för att erhålla absoluta numeriska värden på risker i stora komplexa IT-system. Ovan nämnda klassiska analysmetoder tillhandahåller en systematik för att belysa hur ett partikulärt fel kan propagera till oönskade effekter för systemet. Dock kan dessa metoder inte modellera multipla attackförsök, komplexa tidsberoenden, problematik med tillträdeskontroller samt attacker som bygger på att man går från en dator till en annan och sedan återvänder med högre privilegier.35

33 Även efter att händelser har inträffat är det svårt att uppskatta effekten/kostnaden. För Morris’ Internetmask 1988 finns det uppskattningar mellan $100 000 och $100 000 000. (Fred Cohen, Risk Management or Risk Analysis? http://all.net/journal/netsec/1997-03.html ) 34 M. Berg, P. Campbell, T. Draelos, D. Duggen, M. Torgerson, B. Vav Leeuwen, W. Young, Distributed Denial-of-Service Characterization, SAND 2003-1866 35 L. P. Swiler, C. Philips, A Graph-Based System for Network-Vulnerability Analysis, SAND—98-1127C

FOI-R--1350--SE

31(114)

Detta leder till att riskanalyser av stora, heterogena IT-system implicit innehåller element som bottnar i subjektiva bedömningar som t.ex. hur hot och sårbarheter definieras.36 Den stora utmaningen att genomföra en konsistent, klargörande och meningsfull riskanalys härrör delvis helt enkelt från mängden personer som är nödvändigt att involvera och de problem som uppstår när dessa skall kommunicera information som implicit är subjektiv. I teorin leder det till att man bör ställa vissa krav på metoderna och verktygen som används i riskanalysen. Dessa bör stödja både möjligheten att bryta ned och aggregera olikartade hot och sårbarheter och presentera dessa på ett begripligt sätt på flera olika organisatoriska nivåer rörande olika delsystem eller hoppkopplingar av dessa. Grunden ligger egentligen i att riskanalysprocessen måste vara hårt kopplad till ”systems engineering” processen. Orsakerna till att det är svårt att bedöma konsekvenser och sannolikheter vid riskanalyser av stora, komplexa IT-system är att det finns relativt lite kunskap om dessa områden och för närvarande pågår forskning inom dessa områden.37 De ovan nämnda problemen är kritiska just vid en numerisk riskbedömning av stora, komplexa IT-system. Denna numeriska bedömning görs dock i den senare delen av riskanalysprocessen och innan man kommer dit skall ett antal moment i riskanalysen genomföras. Det är dessa tidigare moment som kommer att berörs mer i detalj i avsnitt 5.2.

5.2 Ramverk för riskanalyser av IT-system Det finns en stor mängd litteratur som behandlar riskanalyser av IT-system, allt från handböcker för hur man skall genomföra hela riskanalysprocessen av IT-systemet38 till mer detaljerade beskrivningar av hur man genomför ett visst element av riskanalysen, t.ex. en sårbarhetsanalys39. För den fortsatta diskussionen om riskanalyser används den uppdelning av riskanalysprocessen som NIST använder. För denna rapports ändamål fyller processbeskrivningen väl sin funktion men den är förenklade ur hänseenden som riskvägning, försäkring och kostnad för analysen.40 Figur 5.1 beskriver den struktur som riskanalyser av IT-system följer i allmänhet och den är hämtad från en handbok för riskhantering av

36 J. W. Freeman, T. C. Darr and R. B. Neely, Risk assessment for Large Heterogeneous Systems, i 13 th Annual Computer Security Application Conference 1997, pp 44-52. 37 Se t.ex. Scott Borg, The Economics of Cyber-Attacks, presentation vid Infowarcon 2003. 38 T. R. Peltier, Information Security Risk Analysis, Auerbach publications 2001, CRC Press LLC. ISBN 0-8493-0880-1 39 T. R. Peltier, J. Peltier, J. A. Blackley, Managing a Network Vulnerability Assessment, Auerbach publications 2001, CRC Press LLC. ISBN 0-8493-1270-1 40 Kontakt med Thomas Keisu, Skanska 040624.

FOI-R--1350--SE

32(114)

informationstekniska system som tagits fram vid amerikanska NIST.41 De numrerade stegen (elementen) beskriver också den övergripande kronologiska ordning som de bör utföras i. Stegen 2 till 5 kan dock till stora delar utföras parallellt.

Figur 5.1. Ramverk för riskanalys av IT-system Elementen är intuitivt lätta att motivera. Till exempel är kunskap om det studerade systemet grundläggande för hela analysen och den kunskapen är synnerligen viktig vid identifieringen av sårbarheter. Identifiering av hot och sårbarheter är grunden för att kunna uppskatta sannolikheten för att hotet skall aktiveras. Analysen av implementerade skyddsmekanismer skall förhoppningsvis reducera denna sannolikhet. Analysen av möjliga konsekvenser av att sårbarheter utnyttjas är kritisk vid prioriteringen av vilka åtgärder som sedan skall föreslås efter genomförd riskanalys.

41 G. Stoneburner, A. Goguen, and A. Feringa , Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30 (October 2001). NIST är amerikanska Department of Commerce forskningsinstitut. De riktlinjer rörande IT-säkerhet som NIST ger ut skall beaktas av civila amerikanska myndigheter.

Steg 1.Systembeskrivning

Steg 2.Identifiering av hotkällor

Steg 3.Identifiering av sårbarheter

Steg 4.Analys av skyddsmekanismer

Steg 6.Uppskattning av sannolikhet

för att hot skall aktiveras

Steg 5.Analys av konsekvenser

• Förlust av Riktighet • Förlust av Tillgänglighet • Förlust av Konfidentialitet

Steg 7.Riskbestämning

Steg 8.Rekommenderade

skyddsmekanismer

Steg 9.Dokumentation av riskanalysen



















skyddsmekanismer


skyddsmekanismer



FOI-R--1350--SE

33(114)

5.3 Närmare beskrivning av några element i riskanalyser av IT-system

De första fyra stegen i riskanalysen (figur 5.1) innehåller moment som är svåra att genomföra för IT-system både praktiskt och konceptuellt, särskilt när det gäller analyser av stora system och komplexa hot. Därför kommer framförallt de första fyra elementen att belysas i denna rapport medan de övriga i någon mån anses ligga utanför denna studie. Nedan belyses mer i detalj de första fyra stegen i riskanalysen och då framförallt ur perspektivet att IT-system i komplex teknisk infrastruktur skall studeras under bivillkoret komplexa antagonistiska hot. För att öka förståelsen för det mer praktiska innehållet i en riskanalys av IT-system är det lämpligt att beskriva vilken typ av information och vilka processer som krävs för analysen i varje element. Figur 5.2 från NIST-handboken beskriver detta. Här är elementen av grafiska skäl redovisade i serie, detta för att få plats med vilka ”indata” som respektive steg kräver och vilka ”utdata” man önskar.

5.3.1 Systembeskrivning I detta steg identifieras vilka resurser och vilken information som utgör systemet.42 Detta innefattar såväl tekniska som personella resurser samt vilken operationell miljö som systemet verkar i. Till detta hör också att identifiera systemgränser för IT-systemet gentemot andra system. Karakteriseringen av IT-systemet fastställer omfattningen på riskanalysen. För att samla in den relevanta informationen kan följande metoder användas: frågeformulär, intervjuer på plats, granskning av systemdokumentation samt automatiska skanningverktyg. 42 För en mer utförlig beskrivning av vilken information som anses relevant hänvisas till G. Stoneburner, A. Goguen, and A. Feringa, Risk Management Guide for Information Technology Systems. NIST Special Publication 800-30 (October 2001)

FOI-R--1350--SE

34(114)

Figur 5.2. Utökad beskrivning av riskanalys av IT-system När det gäller IT-system i samhällsviktig infrastruktur har dessa på en övergripande nivå en viss karakteristik som ofta kan göra

”Indata” i analysen ”Utdata” från analysen


• Hård- & mjukvara• Systemgränser• Data och information• Intervjuer•Policy & Procedurer • Systemets uppgifter

• Systemavgränsningar• Systemfunktion• Systemet och dess datas

• Kriticitet• Känslighet


• Attackhistorik • Underrättelser

från olika underrättelseorgan

• Hotbeskrivning


• Rapporter från tidigare riskanalyser

• Underlag från revisioner

• Säkerhetsprocedurer• Systemsäkerhetstester

• Lista på potentiellasårbarheter


• Införda skyddsmekanismer

• Planerade skyddsmekanismer

• Lista på skyddsmekanismer



• Hotkällans motivation• Hotkällans förmåga• Sårbarhetens karaktär• Aktiva skydds-

mekanismer

• Sannolikhets-uppskattning


• Sannolikhet för exploatering av hot

• Konsekvensen av hotexploateringen

• Effekten av skydds-mekanismer

• Verkansanalys på systemets uppgifter

• Värdering av tillgångarskriticitet

• Systemdatas kriticitet och känslighet

• Värdering av konsekvenser




skyddsmekanismer


• Uppfattade risker

• Riskanalysrapport

”Indata” i analysen ”Utdata” från analysen


















• Hotbeskrivning• Hotbeskrivning































mekanismer







mekanismer


mekanismer




































skyddsmekanismer


skyddsmekanismer



• Uppfattade risker • Uppfattade risker

• Riskanalysrapport

FOI-R--1350--SE

35(114)

systembeskrivningar svåra att genomföra. De karakteristika som är av vikt vid riskanalyser är att IT-systemen:

• Är stora och heterogena d v s innehåller flera typer av IT-system med olika funktioner.43

• Ofta har en underställd roll som stödfunktion, d v s kunskapen om dem är mindre utbredd.

• Byggs upp och underhålls av flera åtskilda och möjligen konkurrerande organisationer.44

När komplexa antagonistiska hot skall analyseras krävs det att målsystemet beskrivs ur en mängd perspektiv. I den metodik för aktiv IT-kontroll som presenteras i kapitel 9 domineras metodiken av elementet systembeskrivning. Där ”tolkar” man som angripare målsystemet på flera systemnivåer, bl.a. en nivå för vilka funktioner som systemet har. Dessutom utvecklas vad som benämns ”vyer av systemet”. En vy kan vara att beskriva hur systemet konceptuellt är uppbyggt. En temporal vy kan beskriva vilka sekvenser av händelser som kan inträffa i systemet.

5.3.2 Identifiering av hot och riskkällor Vanliga hot mot IT-system är ”naturliga” hot (översvämningar, åskväder etc.) samt oavsiktliga och avsiktliga mänskliga hotkällor. Som nämnts tidigare är de avsiktliga hotkällorna avsevärt fler och mer komplexa än de två övriga. Det framgår också i figur 5.2 att de antagonistiska hoten är prioriterade ur NIST:s perspektiv. För en beskrivning av relevanta hotkällor kan underlag utgöras t.ex. av rapporter som berör inträffade intrång och incidenter, intervjuer med systemadministratörer. Andra typer av underrättelser kan komma från öppna källor såsom säkerhetsrelaterade sidor på Internet och möjligen hemliga underrättelser från olika underrättelseorgan. Det är viktigt att poängtera att det antagonistiska hotet mot kritisk infrastruktur inte primärt torde vara av ekonomisk karaktär utan att en eventuell antagonist troligtvis har strategiska mål av karaktären att störa samhället. Dock finns det inte några indikationer på att någon kvalificerad antagonist har förberett eller ens haft intentionen att angripa infrastruktursystem via dator- och nätverkssystem. Detta leder till att det

43 Exempelvis har Banverket tre tekniska huvudsystem för tågdriften; tågledningssystem, telesystem samt system för eldistribution. E. Mittermaier, H. Christiansson, M. Persson, Sårbarheter med avseende på logiska IT-relaterade hot mot verksamheter inom Banverkets område – förstudie (FOA-R—00-01697-240--SE) 44 R. Räty, H. Christiansson, G. Fischer, IT-relaterade sårbarheter inom drivmedelslogistiken – förstudie (FOI-R--0983--SE)

FOI-R--1350--SE

36(114)

finns problem med att ta fram underlag om denna typ av hotkälla eftersom det saknas historiskt underlag. Dessutom skapar det trovärdighetsproblem för de individer som är satta att praktiskt genomföra analyser där denna typ av hotkälla är relevant att belysa. Under senare år har det förekommit verksamheter för att åtminstone försöka karakterisera denna typ av hotkälla. Man kan t.ex. försöka beskriva vilken teknisk kompetens och organisation som en kvalificerad antagonist (ibland benämnd cyberterrorist) behöver för att uppnå större skada (sina strategiska mål).45 Ett annat sätt är att använda sig av scenariostudier med expertpaneler.46 Ett annat hot som också har analyserats på olika sätt är insiderhotet. Dels har man försökt karakterisera insiderhotet ur ett mer generiskt perspektiv, t.ex. psykologiska drag hos en insider.47 Ur ett infrastrukturperspektiv kan nämnas att den amerikanska säkerhetstjänsten Federal Bureau of Investigation (FBI) och Computer Emergency Respons Team Coordination Center (CERT® CC) under åren 2002-2004 genomför en analys av vilka konsekvenser som kan uppstå om en illvillig insider angriper IT-system i den kritiska infrastrukturen.48 För detta ändamål har en enkät (anonymiserad) konstruerats, riktad mot organisationer inom den kritiska infrastrukturen, för att undersöka vilka erfarenheter som finns av insiderproblem. Resultatet av denna skall presenteras 2004 och en första delrapport om insiderproblematiken i bank- och finanssektorn har utkommit.49 I kapitel 8 och 9 belyses mer i detalj två verksamheter som har syftat mot att ytterligare karakterisera antagonistiska hotkällor.

5.3.3 Identifiering av sårbarheter Målet med identifieringen av sårbarheter i IT-system och dess miljö är att generera en lista över sårbarheter i studerat system (fel eller svagheter) som skulle kunna nyttjas av de potentiella hotkällorna. Detta genererar sårbarheter/hotkälla-par. Ett exempel på ett sådant par är sårbarheterna ” att det finns oskyddade modemuppkopplingar” samt ”att före detta 45 B. Nelson, R. Choi, M. Iacobucci, M. Mitchell, G. Gagnon, Cyberterror – Prospects and implications, oktober 1999, Center for the Study of Terrorism And Irregular Warfare. 46 M. Fylkner, H. Carlsen, B. Lewerentz, Det kvalificerade IT-hotet - vad säger experterna? En empirisk studie om samtida hot och sårbarheter i nätverkssamhället, FOI-R--1105—SE, (2003). 47 Eric Shaw et al. Security Awareness Bulletin No. 2-98, The Insider Threat to Information Systems: The Psychology of the Dangerous Insider 48 https://www.survey.cert.org/InsiderThreat/ 49 M. R. Randazzo, D. Cappelli, M. Keeney, A. Moore och Eileen Kowalski, Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector (augusti 2004) http://www.cert.org/archive/pdf/bankfin040820.pdf

FOI-R--1350--SE

37(114)

anställdas användarkonton finns kvar i systemen” som kan utnyttjas av hotkällan ”före detta anställda som vill hämnas en uppfattad oförrätt”. Metoder för att identifiera sårbarheter i system är t.ex.:

• Studier av tidigare dokumenterade sårbarheter (risk- och sårbarhetsanalyser, revisionsdokument, sårbarhetslistor från nätet, rekommendationer från leverantörer etc.),

• Utförande av säkerhetstester allt från automatiserade sårbarhetsskanning via penetrationstester till aktiv IT-kontroll,

• Användning av checklistor för att bedöma systemet ur ett säkerhetsperspektiv (områden som t.ex. belyses är förvaltning, drift och teknik).50

Säkerhetstester används i riskanalysprocessen för att värdera systemets robusthet mot medvetna försök att kringgå de implementerade säkerhetsfunktionerna samt utnyttja andra svagheter i systemet. Detta är oftast en dyr och tidsödande verksamhet. Beskrivning av denna typ av verksamhet görs mer i detalj i avsnitt 9. De ovannämnda metodernas karakteristik ger naturligt att för stora heterogena IT-system blir det ytterligt svårt att använda metoderna på ett konsistent sätt. Studier av dokumenterade sårbarheter blir svårt p.g.a. storleken på systemet, likaså blir det ytterligt svårt att genomföra säkerhetstester på ett sätt så att hela systemet belyses på ett relevant sätt. Om man genomför säkerhetstester på ett stort system kommer kvalitén på sårbarhetsbedömningarna att variera mycket p.g.a. att flera individer med olika kompetens kommer att användas. Vilka system som skall testas och på vilket sätt de skall testas är viktiga frågor att ta ställning till vid analyser av sårbarheter i stora heterogena IT-system.

5.3.4 Analys av skyddsmekanismer I detta steg analyseras införda och planerade skyddsmekanismer (säkerhetsmekanismer) för systemet. Dessa består av såväl tekniska som icke-tekniska mekanismer. De tekniska kan vara både hård- och mjukvarubaserade som t.ex. brandväggar, virusskydd och intrångsdetekteringssystem. De icke-tekniska mekanismerna är ofta implementerade på förvaltnings- och driftsnivå som t.ex. säkerhetspolicys, driftsprocedurer samt fysisk säkerhet för fysiska tillgångar och personal. Analys av skyddsmekanismer kan ibland tas upp i samband med systembeskrivningen och den kan vara svårt att skilja ut denna komponent i riskanalysen eller ens motivera det eftersom skyddsmekanismerna också är 50 Exempel på checklista är skriften M. Swanson, Security Self-Assessment Guide for Information Technology Systems. NIST Special Publication 800-26 (November 2001)

FOI-R--1350--SE

38(114)

en del av systemet. Det är dock viktigt att speciellt analysera skyddsmekanismerna om en uppskattning önskas av sannolikheten för att ett specifikt hot skall realiseras. Detta eftersom skyddsmekanismerna kan ha olika effekt på angriparens motivation att realisera sitt angrepp. En speciell omständighet med komponenten skyddsmekanismer, med avseende på kritisk infrastruktur, är att styr- och reglersystem sällan har informationstekniska skyddsmekanismer implementerade. Det kan leda till att det krävs större insatser vid andra delar av riskanalysen vilket kan vara viktigt att tänka på vid planeringen av analysen. Det är viktigt att komma ihåg att skyddsmekanismer inte ger total säkerhet. De flesta brister beror inte på felaktiga skyddsmekanismer eller avsaknad av skyddsmekanismer i sig utan på brister i övriga delar av systemet. Detta blir förstås mer komplicerat vid stora heterogena IT-system. Innan mer detaljerade beskrivningar av existerande metoder presenteras avslutas detta kapitel med några generella synpunkter på olika strategier för hur riskanalyser av stora heterogena IT-system kan genomföras. Detta gäller framförallt gäller de ovan presenterade komponenterna.

5.4 Processen vid riskanalys av IT-system i infrastrukturen En bra artikel som belyser riskanalyser av stora heterogena IT-system är Risk Assessment for Large Heterogeneous Systems. 51 Den sammanfattas kortfattat i detta avsnitt. Riskanalyser har traditionellt inom IT-området genomförts för att stödja en godkännande-process (av något slag) framförallt för komponenter (t.ex. servrar, routrar) medan nätverken godkänts separat. Det naturliga när det gäller att genomföra riskanalyser av system av system är därför att analysera ett system i taget och aggregera dessa för att erhålla en analys av helheten (tillvägagångssätt I, bottom-up). Ett annat alternativ är att utgå från hela systemet och sedan med utgångspunkt från detta bryta ner det i analyser av delsystem (tillvägagångssätt II, top-down). Båda dessa varianter belyses nedan.

Tillvägagångssätt I bygger på att man genomför riskanalyser av ett delsystem i taget, utan att ta hänsyn till risker som kan uppstå mellan

51 J. W. Freeman, T. C. Darr and R. B. Neely, Risk Assessment for Large Heterogeneous Systems, i 13 th Annual Computer Security Application Conference 1997, pp 44-52.

FOI-R--1350--SE

39(114)

systemen. Implicit bygger detta på antagandet att om man genomför bra analyser på delsystemnivån kan dessa sedan aggregeras till en bra analys av hela systemet. Svagheter i detta angreppssätt är att:

• De personer som analyserar ett delsystem A kan göra detta väl men förstår inte nödvändigtvis detta delsystems kriticitet för hela systemets funktion eller hur delsystem B beror av IT-säkerheten i A.52

• När det gäller stora heterogena IT-system är det högst troligt att flera användare har behörighet i flera skilda system. I analyser av delsystemkaraktär är det troligt att denna typ av karakteristik inte belyses.

Vid tillvägagångssätt II fokuseras inledningsvis på att definiera gränser mellan system och prioriteringar mellan vilka delsystem som skall analyseras och ordningen på analyserna av delsystem. Därefter bör en process inledas för att definiera vilka hot som skall belysas samt etablera en gemensam terminologi och metodansats som sedan kan användas vid riskanalyserna av delsystemen vilket leder till konsistens i resultaten från delanalyserna. Dessa kan sedan aggregeras. Det blir därmed möjligt att studera risker som härrör från multipla hot vilka utnyttjar sårbarheter i flera delsystem samtidigt. Givet de nackdelar som tillvägagångssättet I medför är det lätt att dra slutsatsen att endast en ansats enligt tillvägagångssätt II är tillräcklig med en grupp individer som genomför riskanalysen på system-av-system nivån. Även om detta löser problem med t.ex. konsistens, terminologi, värdering av resultat, så introducerar detta angreppssätt andra problem. Nackdelen med att enbart ha en grupp som ansvarar för hela analysen är att kunniga personer från delsystem får svårare att lämna viktigt underlag. En lösning är att använda ett styrt tillvägagångssätt II, en hybridriskanalys. I ett sådant tillvägagångssätt finns det en utpekad grupp med ansvar för hela systemets riskanalys. Dessa personer har tillräcklig god kunskap om hela systemet och mycket god kunskap om riskanalysprocessen. Denna grupp stöds sedan av riskanalysgrupper på delsystemnivån. För att genomföra en sådan typ av analys behöver man explicit införa vissa element i analysen:

52 Här kommer även kostnadsfrågan in. Om ansvarig för system A ska bekosta testning men potentiella skador för system A är mycket mindre än potentiella skador för B så anser inte ansvarig för system A att utökad testning ska ligga i deras budget för ”vi har inte bett om system B”. På samma sätt anser inte ansvarig för system B att det ska ligga i deras eftersom ”vi inte har bett om system A”.

FOI-R--1350--SE

40(114)

• Konstruktion av modeller av systemets uppbyggnad av delsystem där funktionella gränssnitt bör framhävas. Med hjälp av dessa modeller kan säkerhetshändelser i och mellan delsystem analyseras för att identifiera sårbarheter.

• Användandet av verktyg. Det är viktigt att i riskanalysprocessen ta hjälp av verktyg som underlättar och delvis automatiserar sårbarhetsvärderingen av nätverk. Dock är det mycket viktigt att inte verktygen styr analysen.

• Användandet av systemanalys. Det är viktigt att t.ex. använda sig av arbetsgrupper bestående av systemanvändare, systemansvariga, ansvariga för säkerhetsrutiner etc. Dessa kan arbeta på flera olika sätt, t.ex. med röstningsförfarande.

FOI-R--1350--SE

41(114)

6 Praktiska modeller och analysmetoder för IT-säkerhet

I det föregående kapitlet presenterades komponenter som bör ingå i riskanalyser av IT-system i allmänhet men i kapitlet belyses också speciella problem eller egenskaper hos komponenterna när riskanalyser skall genomföras på IT-system i kritisk infrastruktur. När riskanalyser sedan praktiskt genomförs hänvisas man ofta till specifika metodiker för antingen hela eller delar av riskanalysen eller mer specifikt inom enskilda komponenter av riskanalysen.

6.1 IT-säkerhetsanalyser i praktiken Det finns en mängd olika praktiskt använda metoder för att försöka att värdera eller ”mäta” informationssäkerhet. Dessa kan dessutom spänna över flera element i riskanalysramverket som presenterades i föregående kapitel. Bland dessa kan t.ex. nämnas modeller och tekniker för riskanalyselement, säkerhetsklassificeringar av olika produkter och mått på organisatorisk effektivitet med avseende på tillämpningen av säkerhetsprocedurer. En informationssäkerhetsanalys består oftast av en kombination av kvantitativa och icke-kvantitativa mått. Kombinationen kan fås ur väldefinierade algoritmer eller experters subjektiva omdömen.53 För de organisationer som står i begrepp att genomföra informationssäkerhetsanalyser är det därför av stor vikt att kunna bedöma vilka metoder som är bäst lämpade för de behov organisationen har. Det finns allt ifrån allmänt vedertagna öppna metoder som kan vara hämtade från akademisk forskning till metoder som är företagsspecifika och där bakomliggande teori dessutom kan vara sekretessbelagd. Det finns ingen enhetlig vedertagen beskrivning över när och hur olika metoder och modeller skall användas.54 Inte heller hur resultat från olika metoder, med olika mål, skall integreras för att ytterligare mervärde från analyserna skall erhållas. Det vore önskvärt att det fanns ett ramverk där olika metoder fanns relaterade till varandra och hur resultat från analyser från dessa skulle kunna integreras. Avsnittet nedan gör inte anspråk på att vara uttömmande eller detaljerat utan skall tjäna som en beskrivning av vissa metoder som förekommer eller kommer att förekomma inom samhällsviktig infrastruktur samt deras inbördes relation till varandra. 53 D. Bodeau, Information Assurance Assessment: Lessons-Learned and Challenges, vid Workshop on Information-Security-System Rating and Ranking, maj 2001. 54 Åtminstone som författaren känner till.

FOI-R--1350--SE

42(114)

6.2 En klassificering av använda modeller och metoder för IT-säkerhetsanalys

Här ges en övergripande klassificering av metoder och modeller som används praktiskt inom informationssäkerhetsområdet. De här presenterade metoderna lyfts fram främst för att det finns underlag som verifierar att dessa tillämpas inom svensk och/eller utländsk infrastruktur. Klassificeringen av metoder och modeller görs med avseende på två parametrar nämligen:

1. vilken nivå av hot som kan belysas med modellen eller metoden 2. vilken beskrivningsnivå/perspektiv som belyses med metoden eller

modellen. De nivåer som används här är Komponent, Införandeprocess, System, System av system, Organisation samt Infrastruktur55

Dessa två parametrar har ansetts som särskilt viktiga för studier av samhällsviktiga infrastrukturer eftersom dessa spänner över alla nivåer på båda axlarna.56 När det gäller beskrivningsnivån Infrastruktur avses samhällsviktig infrastruktur, d.v.s. både teknisk infrastruktur och organisation. Klassificeringen visar på att synnerligen olika metoder och modeller används i samhällsviktig infrastruktur. För att kunna använda resultat från dessa olika metoder och aggregera detta till ett resultat för helheten krävs en förståelse för relationerna mellan de olika metoderna. Klassificeringen av metoderna som presenteras (den övre delen av figur 6.1) är den bedömning som gjorts i detta arbete med utgångspunkt från det material som finns tillgängligt. För de flesta metoderna och modellerna finns det också mer eller mindre fullständiga exempel på system där dessa har använts (den nedre delen av figuren).

55 J. Connolly, Information Assurance Operational Readiness Metrics, vid Workshop on Information-Security-System Rating and Ranking, maj 2001. Nivåerna som används i figur 6.1 är direkt hämtade ur denna artikel. 56 Exempelvis har ett litet företag som säljer en viss typ av detalj troligtvis ett mycket begränsat system och även en högst begränsad trolig hotbild vilket gör att lämpliga analysmetoder är mer begränsade än för samhällsviktig infrastruktur

FOI-R--1350--SE

43(114)

Figur 6.1. En klassificering av några modeller och metoder för IT-säkerhetanalys

Modeller & metoder för IT-säkerhet

Exempel på genomförda analyser

US

Dep

artm

ent o

f En

ergy

Vuln

erab

ility

Ass

essm

entM

etho

dolo

gy

Pan

eldi

skus

sion

er

JAN

ET

(Brit

tiska

U

nive

rsite

tsnä

tet)

Ris

k A

naly

sis

Met

od: p

anel

disk

ussi

on

IDA

RT:

s ar

bete

inom

DA

RP

A IA

Met

od: M

odifi

erad

aktiv

IT-k

ontro

ll

KBM

:s B

ITS

U. S

. Nat

iona

l Sec

urity

Te

leco

mm

unic

atio

nsA

dvis

ory

Com

mitt

ee/In

form

atio

n A

ssur

ance

Task

For

ce1.

Ele

ctric

Pow

er R

isk

Ass

essm

ent(

1997

)2.

Net

wor

k se

curit

y/V

ulne

rabi

lity

Ass

essm

ent(

2002

)M

etod

: mes

tade

ls p

anel

disk

ussi

on

Com

mon

Crit

eria

Pen

etra

tions

test

er(T

ex

Flaw

Hyp

othe

sis

Met

hodo

logy

, FH

M )Sa

ndia

Info

rmat

ion

Des

ign

Ass

uran

ceR

edTe

am (I

DA

RT)

Brit

ish

Tele

com

Info

rmat

ion

Ass

uran

cePr

ogra

ms

(BT

IAP)

Ris

kA

naly

sis

Met

hod

SB

A fr

ånD

ataf

ören

inge

n

Gra

d av

bel

ysni

ng

av k

valif

icer

atan

tago

nist

iskt

hot

Secu

rity

Cap

abili

ties

Prof

iles

and

Syst

em P

rote

ctio

nPr

ofile

sfo

r Ind

ustr

ial

Con

trol

Sys

tem

s A

ktiv

IT-k

ontro

ll

Sm

art C

ard

Pro

tect

ion

Pro

file

Met

od: C

omm

on C

riter

ia

Cob

iT

Dat

abas

syst

emfö

r t e

x sj

ukvå

rdM

etod

: Pen

etra

tions

test

(FH

M)

Kom

pone

ntIn

föra

ndep

roce

ssSy

stem

Syst

em a

v sy

stem

Org

anis

atio

nIn

frast

rukt

ur

SSEN

62

7799

-2

Gra

d av

bel

ysni

ng

av k

valif

icer

atan

tago

nist

iskt

hot

(Avs

nitt

6.2.

1.3)

(Avs

nitt

6.2.

1.4) (A

vsni

tt 6.

2.1.

4 oc

h 9.

2)

(Avs

nitt

9.3)

(Avs

nitt

9.3.

3)(K

apite

l 8)

(Kap

itel 7

)

(Avs

nitt

6.2.

1.1)

(Avs

nitt

6.2.

2.3)

(Avs

nitt

6.2.

1.2)

(Avs

nitt

6.2.

2.2)

Modeller & metoder för IT-säkerhet

Exempel på genomförda analyser

US

Dep

artm

ent o

f En

ergy

Vuln

erab

ility

Ass

essm

entM

etho

dolo

gy

Pan

eldi

skus

sion

er

JAN

ET

(Brit

tiska

U

nive

rsite

tsnä

tet)

Ris

k A

naly

sis

Met

od: p

anel

disk

ussi

on

IDA

RT:

s ar

bete

inom

DA

RP

A IA

Met

od: M

odifi

erad

aktiv

IT-k

ontro

ll

KBM

:s B

ITS

U. S

. Nat

iona

l Sec

urity

Te

leco

mm

unic

atio

nsA

dvis

ory

Com

mitt

ee/In

form

atio

n A

ssur

ance

Task

For

ce1.

Ele

ctric

Pow

er R

isk

Ass

essm

ent(

1997

)2.

Net

wor

k se

curit

y/V

ulne

rabi

lity

Ass

essm

ent(

2002

)M

etod

: mes

tade

ls p

anel

disk

ussi

on

Com

mon

Crit

eria

Pen

etra

tions

test

er(T

ex

Flaw

Hyp

othe

sis

Met

hodo

logy

, FH

M )Sa

ndia

Info

rmat

ion

Des

ign

Ass

uran

ceR

edTe

am (I

DA

RT)

Brit

ish

Tele

com

Info

rmat

ion

Ass

uran

cePr

ogra

ms

(BT

IAP)

Ris

kA

naly

sis

Met

hod

SB

A fr

ånD

ataf

ören

inge

n

Gra

d av

bel

ysni

ng

av k

valif

icer

atan

tago

nist

iskt

hot

Secu

rity

Cap

abili

ties

Prof

iles

and

Syst

em P

rote

ctio

nPr

ofile

sfo

r Ind

ustr

ial

Con

trol

Sys

tem

s A

ktiv

IT-k

ontro

ll

Sm

art C

ard

Pro

tect

ion

Pro

file

Met

od: C

omm

on C

riter

ia

Cob

iT

Dat

abas

syst

emfö

r t e

x sj

ukvå

rdM

etod

: Pen

etra

tions

test

(FH

M)

Kom

pone

ntIn

föra

ndep

roce

ssSy

stem

Syst

em a

v sy

stem

Org

anis

atio

nIn

frast

rukt

urKo

mpo

nent

Infö

rand

epro

cess

Syst

emSy

stem

av

syst

emO

rgan

isat

ion

Infra

stru

ktur

SSEN

62

7799

-2

Gra

d av

bel

ysni

ng

av k

valif

icer

atan

tago

nist

iskt

hot

(Avs

nitt

6.2.

1.3)

(Avs

nitt

6.2.

1.4) (A

vsni

tt 6.

2.1.

4 oc

h 9.

2)

(Avs

nitt

9.3)

(Avs

nitt

9.3.

3)(K

apite

l 8)

(Kap

itel 7

)

(Avs

nitt

6.2.

1.1)

(Avs

nitt

6.2.

2.3)

(Avs

nitt

6.2.

1.2)

(Avs

nitt

6.2.

2.2)

FOI-R--1350--SE

44(114)

Med ordet modell för IT-säkerhetsanalys avses analyser som uttalat härrör från någon form av riktlinjer (styrmedel) eller god praxis av hur ett specifikt system skall byggas eller hanteras på ett säkert sätt (best practices). Dessa presenteras i figuren med kursiv text (exempelvis Security Capability, Common Criteria etc ). Med metoder avses analyser som inte är bundna till just riktlinjer och därför i någon mening öppnare i sin form. Figurens vertikala axel avser det maximala hot som kan belysas eller som utgör utgångspunkt för analysen med respektive metod. Det avser inte det vanligast använda hoten för respektive analysmetod. För metodbeskrivningar som hamnat högt upp i figur 6.1 har specifikt relaterat till kvalificerat antagonistiskt hot. Placeringen av metoderna längs den horisontella beskrivnings/perspektiv-axeln är av naturliga skäl grov och metodernas utsträckning längs denna axel kan vara relativt mycket större än som framgår i figuren. Metoderna som är skrivna med fet stil i figuren kommer att beskrivas utförligare i kapitel 7 till 9. Nedan beskrivs kortfattat de övriga modellerna och metoderna samt exempel på användning av dessa i kritisk infrastruktur (om möjligt). Metoderna penetrationstest och aktiv IT-kontroll berörs i kapitel 9. Dock berörs penetrationstest kort nedan. Här kan nämnas att det finns ett exempel på en studie som relaterar olika IT-säkerhetsmodeller till varandra med avseende på vissa perspektiv och parametrar.57 Denna studie var framförallt inriktad på att hjälpa företag att analysera sina behov av olika IT-säkerhetsmodeller.

6.2.1 Praktiskt använda informationssäkerhetsmodeller De flesta informationssäkerhetsmodeller utgörs av en strukturerad överbyggnad till i många fall hundratals detaljerade riktlinjer och kontroller som formuleras för att uppnå informationssäkerhet. De flesta av modellerna kan därför betraktas som självständiga definitioner av informationssäkerhet. Dock råder det ingen konsensus om vilken av dessa definitioner som är att föredra. I rapporten An Introduction to Information Control Models58 genomförs en utförlig genomgång av många av de existerande informationssäkerhetsmodellerna samt deras inbördes förhållande. I

57 Tyska Bundesamt für Sicherheit in der Informationstechnik (BSI), A Comparative Study of IT Security Criteria, december 2001. 58 P. L. Campbell, An Introduction to Information Control Models (SAND2002-0131)

FOI-R--1350--SE

45(114)

rapporten berörs t.ex. modeller som den internationella standarden för informatiossäkerhet ISO/IEC 17799 och den svenska versionen SS ISO/IEC 17799 och SSEN 62 77 99-2, den brittiska BS 7799, CobiT, OCTAVE och Common Criteria men även olika typer av amerikanska checklistor. För närmre beskrivningar av de modeller som inte omnämns här hänvisas till denna rapport. En övergripande slutsats i rapporten var dock att:

The value of the models presented in this report is there balance of concisness and completeness. The best ones include every necessary item and no superfluous ones. The only way to evaluate that balance appears to be by experience over time

Detta citat tyder på att det inte finns någon enkel metodik att följa för att välja modell och sedan tillämpa den för att uppnå ett visst mått av informationssäkerhet. Metoderna har ofta olika fokus vilket gör att olika behov leder till användande av olika metoder. 6.2.1.1 SS ISO/IEC och SSEN 62 7799-2 Riktlinjemodeller är icke-formella modeller som ger möjlighet att utvärdera organisatoriska aspekter på säkerhet.59 Standarderna SS ISO/IEC 17799 och SSEN 62 7799-2 är sådana icke-formell metod som tar upp ett antal åtgärdsområden valda utifrån informationssäkerhetspraxis. Detta syftar till att tydliggöra hur väl organisationen skyddar sin information. SS ISO/IEC 17799, Ledningssystem för informationssäkerhet - Riktlinjer för ledning av informationssäkerhet, ger vägledning och rekommendationer inom informationssäkerhetsområdet. Standarden är uppbyggd som en checklista. SSEN 62 7799-2, Ledningssystem för informationssäkerhet - Specifikation med vägledning för användning, utgör grunden för bedömning av LIS – ledningssystem för informationssäkerhet, inom en organisation eller delorganisation. Den kan användas som grund för en formell certifiering. Denna standard anses som relativt lättanvänd och lätt att förstå.

59 I en formell informationssäkerhetsmodell av ett system krävs att samtliga tillåtna tillstånd överrensstämmer med fastställda säkerhetsregler (ITS Rapport, Terminologi för Informationssäkerhet. ITS Informationstekniska standardiseringen). Ju mer omfattande en säkerhetsmodell är, både i förhållande till säkerhetsegenskaper och det system den beskriver, desto svårare är det, i allmänhet, att verifiera modellen. Bell –LaPadula (D. Bell och L. La Padula, Secure Computer Systems: Mathematical Foundations and Model, MITRE Report, MTR 2547 v21 Nov 1973) är troligen den mest kända säkerhetsmodellen.

FOI-R--1350--SE

46(114)

6.2.1.2 Krisberedskapsmyndighetens informationssäkerhetsmodell BITS De IT-system som betraktas som samhällsviktiga intar en central roll när det gäller olika samhällsfunktioners möjligheter att bedriva sin verksamhet.60 Dessa system bör uppfylla en säkerhetsnivå som Krisberedskapsmyndigheten (KBM) betecknar basnivå. Ambitionen är att denna basnivå skall vara välbalanserad och generellt ge en acceptabel säkerhetsnivå. Om denna basnivå är tillräcklig kan dock endast avgöras genom en risk- och sårbarhetsanalys i varje aktuellt fall. För KBM:s rekommendationer för Basnivå för IT-säkerhet (BITS) gäller att de:

• Baseras på vedertagna standarder. • Till sitt innehåll är konsistenta med ISO/IEC 17799. • Definierar en balanserad basnivå för säkerheten i IT-system.

Denna typ av rekommendationer utgår inte från någon specifik hotbild utan grundar sig på god praxis för IT-säkerhet. 6.2.1.3 Common Criteria Common Criteria (CC) är en evalueringsmodell enligt ISO-standarden ISO 15408 (CC/ISO 15408). Dessa evalueringskriterier möjliggör en certifiering av individuella produkter eller mindre system men evaluerar inte organisationers säkerhetsnivå. Syftet med CC är att få en världsomfattande standard för att utvärdera vissa aspekter på säkerhet. CC modellerar egenskaperna sekretess, riktighet och tillgänglighet. Man kan formulera det som att CC utgör ett ramverk för säkerhetsspecifikationer som tillhandahåller en ”mall” för att organisera och specificera kriterier för säkerhet samt vilka termer och fraser som skall användas för att göra dessa beskrivningar. Produkter som utvärderas kan t.ex. vara en brandvägg eller ett tillämpningsprogram. Modellen belyser bland annat säkerhetsfunktionalitet i en produkt eller ett system. Detta definieras med skyddsprofiler, Protection Profiles som består av implementationsoberoende säkerhetskrav och säkerhetsmål för en kategori produkter. Certifieringen görs av en tredje part. Common Criteria certifiering har gjorts för t.ex. en kontrollenhet för smarta kort som företaget Philips producerar61 samt för en Linuxdistribution, använd på IBM stordatorer62 .

60 Basnivå för IT-säkerhet (BITS). Rekommendationer från Krisberedskapsmyndigheten. KBM:s utbildningsserie 2003:5. 61 Philips to gain world´s first EAL5 + Common Criteria certification for a 16-bit smart card controller (030703) http://www.smartcardalliance.org/industry_news/industry_news_item.cfm?itemID=853 62 Computer Sweden 040123.

FOI-R--1350--SE

47(114)

I den amerikanska informationssäkerhetsstrategin föreslås en genomgripande genomgång av effektiviteten av den obligatoriska användningen av CC inom säkerhetsmyndigheterna. Dessutom skall det undersökas om det är möjligt att använda CC i hela statsapparaten. Kritik som riktas mot CC är att det är komplicerat och tidskrävande för företag att få produkter evaluerade enligt CC. Den information som CC tillhandahåller är produktspecifik. För en användare måste denna information sättas i relation till de system som produkten skall verka med vilket i sin tur kräver praktiska tester och utveckling av lämplig säkerhetspolicy för hela systemet.63 Av naturliga skäl blir detta mer komplicerat när CC-produkter skall användas i stora, heterogena IT-system. Ytterligare kritik mot CC är att man i metodiken utgår från en statisk uppsättning hot mot produkten från omgivningen.64 Andra problem som observerats är att användandet av CC inte primärt är kommersiellt driven (behov av säkra produkter) utan framförallt p.g.a. det krav som ligger på amerikanska säkerhetsmyndigheter att använda CC-certifierade produkter. De kommersiella aktörer som använder CC använder sig inte praktiskt av den säkerhetsinformation som CC-arbetet genererar utan mer som en kvalitetsstämpel.65 I de nationella studier och det underlag som har varit tillgängligt för denna studie har det inte hänvisats till CC som en del i säkerhetsarbetet i samhällsviktig infrastruktur. 6.2.1.4 Process Control Security Requirements Forum Det mest kända initiativet rörande grundläggande modeller (rekommendationer) för IT-säkerhet i styr- och reglersystem finns i USA. Nedan beskrivs detta kortfattat. I USA finns det ett samverkansprogram för att stödja den amerikanska industrin som antingen producerar eller sköter de informationstekniska system som stödjer den amerikanska kritiska informationsinfrastrukturen. Detta samverkansprogram går under beteckningen National Information Assurance Partnership (NIAP) och det är ett samarbete mellan NIST och National Security Agency (NSA). En komponent i detta samverkansprogram syftar till att belysa dator- och kommunikationssäkerhet i de digitala 63 D. Frank, NSA, DoD push Common Criteria for civilians, Federal Computer Week (17 september 2003) 64 R. Andersson, A. Hunstad, J. Hallberg, Evaluation of the Security of Components in Distributed Information Systems, FOI-R—1042—SE (november 2003) 65 J. Hearn, Does the Common Criteria have a future?, IEEE Security & Privacy, volym 2:1 (2004)

FOI-R--1350--SE

48(114)

processkontrollsystem som används inom industrin och i kritisk infrastruktur. Ett mål inom denna verksamhet är att karakterisera vilka säkerhetsegenskaper som komponenterna i processkontrollsystem och integrerade system av dessa bör ha. Detta sker inom organet Process Control Security Requirements Forum (PCSRF) som etablerades 2001. Deras arbete skall resultera i en uppsättning säkerhetsförmågor (security capabilities) som man kan relatera till när man skall bygga upp eller värdera säkerheten i ett processkontrollsystem. Dokumentet Security Capabilities Profile for Industrial Control Systems syftar till att karakterisera (ett security assurance case) de önskade säkerhetsegenskaperna hos komponenterna i ett befintligt industriellt kontrollsystem som skall hanteras för att uppnå god IT-säkerhet i systemet.66 Denna sammanställning tjänar samma syfte som ett s k safety assurance case (tillförlitlighet) som ofta används i verksamhet med höga krav på tillförlitlighet på systemet som t.ex. rymdindustrin. Detta för att klargöra och motivera de framtagna rekommendationer som handhavandet av de kritiska systemen bottnar i. Man kan säga att rekommendationerna beskriver krav på de egenskaper som systemet måste besitta och detta görs med bevis eller argumentation som kopplar till de krav som ställs. Det ovannämnda dokumentet Security Capabilities Profile for Industrial Control Systems använder sig delvis av konceptet Protection Profiles (PP) från CC/ISO15408 (se 6.2.1.3) men dokumentet skiljer sig på flera sätt bl. a genom att:

• Dokumentet innehåller mer information än det som krävs i CC-kompatibla PP.

• Dokumentet har en annan struktur än den vanligtvis använda för CC-kompatibla PP.

• Man medvetet inte använder sig av CC-specifika termer och fraser. NIAP avser att detta dokument skall tjäna som något som flera olika sektorer inom den amerikanska kritiska infrastrukturen skall kunna nå konsensus om med avseende på vilka säkerhetsmekanismer som ett industriellt styrsystem skall ha. Dokumentet har tagits fram genom en serie seminarier som har samordnats och letts av NIST.

66 Security Capability Profile for Industrial Control Systems, Process Control Security Requirements Forum, Version 0.88 (17 september 2003) hemsida http://www.isd.mel.nist.gov/project/processcontroll/members/documents/ (kräver medlemskap i forumet)

FOI-R--1350--SE

49(114)

Ett annat dokument som är under framtagande är System Protection Profile for Industrial Control Systems.67 Detta dokument avser innehålla de integrerade säkerhetskrav som ett styr- och reglersystem bör uppfylla. Detta innefattar krav på hanteringspolicy och procedurer, IT-systemens komponenter samt egenskaper hos gränser mot andra system. Dessutom berörs krav på säkerhet i den fysiska miljön. Ett exempel på hur ett målsystem för evaluering (System Target of Evaluation) kan se ut visas i figur 6.2.

System Target of Evaluation Boundary

Actuator Data / DeviceAuthenticator

Data / DeviceAuthenticator Sensor

ControlledProcess

Controller

Data / DeviceAuthenticator

Process Control - Data / Controls Network

HMI

Data / DeviceAuthenticator

UserAuthentication

Service

Physical AccessControl

Process Control - Local Area Network

Corporate Intranet

BoundaryProtection

TheInternet

RemoteDiagnostics and

Maintenance

Data /DeviceAuthenticator

Figur 6.2 Exempel på målsystem för evaluering enligt System Protection Profile for Industrial Control Systems. Vid respektive delsystem anges de prioriterade säkerhetsfunktionerna som bör eftersträvas. Avslutningsvis kan nämnas att den amerikanska motsvarigheten till Luftfartsverket, U. S. Federal Aviation Administration, har tagit fram ett

67 System Protection Profile for Industrial Control Systems, Process Control Security Requirements Forum, Version 0.91 (4 februari 2004) hemsida http://www.isd.mel.nist.gov/project/processcontroll/members/documents/ (kräver medlemskap i forumet)

FOI-R--1350--SE

50(114)

bibliotek av Protection Profiles för delsystem i amerikanska luftfartsverkets IT-infrastruktur. Delsystem som ofta förekommer i deras verksamhet är t.ex. Wide och Local Area Networks (WAN och LAN) och tillämpningssystem (application systems).68

6.2.2 Praktiskt använda metoder för IT-säkerhetsanalyser Metoderna som presenteras nedan har förekommit vid studier av system i samhällsviktig infrastruktur antingen nationellt eller internationellt. 6.2.2.1 Penetrationstester Säkerhetsanalyser som bygger på penetrationstester förekommer inom samhällsviktig infrastruktur. En metodik för denna typ av test är den s k Flaw Hypothesis Methodology (FHM) som rekommenderas av det amerikanska försvarsdepartementet. 69 FHM-metodiken innefattar att man skall bekräfta de hypoteser man formulerat om förekommande brister i systemet. Ett exempel på när FHM har använts är vid en studie av ett databassystem70 som var tänkt att användas inom delar av statsförvaltningen där man har höga krav på att bevara integriteten hos informationen som rör specifika individer.71 Testsystemet bestod av en server och en klient med varsitt smartkortsystem kopplat till sig, d v s ett relativt avgränsat system. Genomförarna av denna studie är forskare inom informationssäkerhetsområdet och utgör synnerligen kvalificerade antagonistiska hot mot systemet. Vid studien hade dessa inte något strategiskt syfte med sina ”attacker”. Syftet var att strukturerat kartlägga olika typer av framförallt tekniska sårbarheter. Attacker av t.ex. formen ”social engineering” belystes inte i denna form av analys. Denna metod passar framförallt för mindre och avgränsade system. 6.2.2.2 Paneldiskussioner När det gäller att studera och försöka uttala sig om stora komplexa system är en metod som FHM inte praktiskt genomförbart. Inte heller är det praktiskt möjligt att nyttja riktlinjer för stora system. De dominerande analysmetoderna är då ofta paneldiskussioner.72 Dessa kan understödjas av

68 D. Herrmann, Common Criteria Cleared for Take Off at FAA,internt arbetsdokument vid FAA (2004) samt http://www.faa.gov/aio 69 U.S. Department of Defense, Trusted Computer System Evaluation Criteria, DoD 5200.28-STD (december 1985) 70 U. Lindquist, T. Olavsson, E. Jonsson, An Analysis of a Secure System Based on Trusted Components, Proceedings of the Eleventh Annual Conference on Computer Assurance (COMPASS 96), pp. 213-223, Gaithsburg, Maryland, June 17-21, 1996. 71 Databasen skulle bestå av en öppen och en hemlig del där behöriga användare skall kunna hämta ut känslig information ur den hemliga delen. 72 Författarens egen övergripande klassificering.

FOI-R--1350--SE

51(114)

studiedeltagare genomför studiebesök och intervjuer. Dock verkar mer praktiska försök (penetrationstester) inte förekomma eller så refereras inte till dessa i slutrapporter. Nedan följer korta beskrivningar av två studier av detta slag. De ansvariga för det brittiska universitetsnätverket JANET (motsvarighet till svenska SUNET) genomförde under 1999-2000 en riskanalys av sitt nätverk för informationshantering.73 Bland annat deltog JANET:s Computer Emergency Response Team (CERT). Nätverket är ett nationellt IP-nätverk som tillhandahåller hög kapacitet för landets universitet och det är anslutet till Internet. De riskanalyser som genomfördes var i form av paneldebatter med representanter från användare och ansvariga för nätet. Av den tillgängliga informationen framstår det som att antagonistiska hot inte hade någon högre prioritet vid dessa diskussioner utan naturliga och icke-antagonistiska mänskliga hot dominerade. Under en sex månaders period 1996 genomförde en studiegrupp från National Security Telecommunications Advisory Committee (NSTAC) en analys av sårbarheten hos de datornätverk som kontrollerar den amerikanska produktionen och distributionen av elkraft och då med utgångspunkten antagonistiska hot.74 Denna studie har troligtvis betytt mycket för den amerikanska fokuseringen på IT-säkerhet och kritisk infrastruktur under den senaste femårs-perioden.75 Studien genomfördes genom att studiegruppen intervjuade representanter från olika funktionsnivåer inom olika element av den amerikanska infrastrukturen för elkraft. Dessutom hade man tillgång till material från relevanta studier från amerikanska försvarsdepartementet. 6.2.2.3 Dataföreningens SBA-metoder Det finns flera kommersiellt tillgängliga metoder och datorprogram för säkerhetsanalyser inom informationssäkerhetområdet med avseende på medelstora organisationer. De mest kända metoderna är SBA-metoderna som är framtagna av Dataföreningen Sverige.76

73 Roland Trice, Risk Analysis for MANs (februari 2000) och Technical Advisory Unit JANET Risk Analysis Study, final report (november 1999) 74 National Security Telecommunications Advisory Committee, Electric Power Information Assurance Risk Assessment. Information Assurance Task Force (1997). .http://www.securitymanagement.com/library/iatf.html 75 Slutsatsen från denna studie vara att sannolikheten för ett elavbrott med konsekvenser för hela USA, till följd av ett elektroniskt intrång, skulle vara extremt lågt under överskådlig tid (5-10 år). Dock skulle elektroniska intrång kunna leda till kortare elavbrott upp till regional nivå. 76 http://www.dfs.se/products/sba

FOI-R--1350--SE

52(114)

SBA innehåller 3 delar. SBA-Scenario som är ett scenariobaserat sätt att genomföra en riskanalys. SBA-Check som är en Gap-analys mot de delar som nämns i SSEN627799-2 samt SBA-Projekt som är en riskanalys för projekt. SBA-check är ett verktyg som hjälper till att systematiskt dokumentera organisationens informationssäkerhetssituation. Verktyget är checklistebaserat och har en databas associerad till sig där andra organisationers lösningar på olika säkerhetsproblem finns representerade. Verktyget stödjer riskanalys, identifiering av hot, sannolikhetsberäkningar och identifiering av skyddsåtgärder. Skyddsförslagslistan i databasen matchas mot organisationens krav på skyddsåtgärder. Fördelar med verktyget är att det ger spårbarhet i analysen och att man utnyttjar den ackumulerade erfarenheten. Dessutom är checklistor ofta tilltalande eftersom tillämpningen är rättfram. Nackdelar med verktyget är att hotscenario som inte finns representerad i ”checklistan” inte behandlas.77 Detta betyder att om allvarliga och innovativa hot inte är representerade från början belyses dessa inte. Den SBA-metod som kanske är mest lämpad för att belysa kvalificerade antagonistiska hot är ”SBA-scenario”. Namnet antyder att metodiken är scenariobaserad. För att kunna genomföra ett antal intressanta scenarier krävs en uppsättning deltagare som skall representera relevanta delar för analysen t.ex. experter på system och hot.78 Flera av SBA-metoderna har använts inom samhällsviktig infrastruktur.

6.2.3 Metoder av särskilt intresse för samhällsviktig infrastruktur Alla ovannämnda metoder fyller en funktion i arbetet med att förbättra IT-säkerheten inom samhällsviktig infrastruktur men det är viktigt att inte tolka resultaten från dem inom områden som de inte är avsedda att belysa. Exempelvis kan inte en lyckad penetrationstest tas som bekräftelse på att ett studerat system i allmänhet är mycket sårbart, lika lite som att ett gott resultat från en SBA-analys skall tolkas som att systemet är säkert för komplexa antagonistiska hot. Det underlag som varit tillgänglig för denna studie tyder på att man inom svensk infrastruktur oftast endast använder sig av en typ av metod eller

77 F. Björck. Security Scandinavian Style – Interpreting the Practice of Managing Information Security in Organisation. DSV, Stockholm University/ Royal Institute of Technology, No 01-017. 78 Det kan vara värt att notera att SBA Scenario utlovar ”Resultatgaranti: väljer du rätt deltagare för analysen med SBA Scenario ger riskanalysen alltid ett bra resultat” (Datablad SBA Scenario 2002 Dataföreningen)

FOI-R--1350--SE

53(114)

modell. Att använda sig av t.ex. både SBA och penetrationstester förekommer troligtvis inte. Ännu mindre förekommer integration av resultat från båda dessa metoder. I det följande kapitlet presenteras tre verksamheter som delvis syftar till att komplettera de ovan angivna metoderna vilket motiverar att belysa dem mer i detalj. Dessa verksamheter har en dragning mot riskanalysens delelement som rör hotbeskrivning och säkerhets- och sårbarhetsanalys. I figur 6.1 används en vertikal axel för att ange i vilken grad kvalificerat antagonistiskt hot kan belysas i respektive modell eller metod. De metoder som presenteras i kapitel 7-9 har hamnat högt upp i figur 6.1 vilket relaterar till att dessa metodbeskrivningar har mycket specifikt relaterat till kvalificerat antagonistiskt hot. I kapitel 7 presenteras kortfattat en sårbarhetsanalysmetod för viktiga systemkomponenter inom den amerikanska infrastrukturen för elkraft. Den är framtagen av det amerikanska energidepartementet i samverkan med dess nationella laboratorier under perioden 1998-2002 via t.ex. analyser av skarpa system. Med föreliggande rapports perspektiv är det av särskilt intresse att studera hur informationssäkerhetsfrågor integreras i denna metod som avser att analysera systemen ur alla sårbarhetsperspektiv. I kapitel 8 redogörs kortfattat för den metodik som används av det internationella telekommunikationsföretaget British Telecom (BT) för att belysa kvalificerat antagonistiska hot mot informationsinfrastruktur. Denna metodik kräver ett nära samarbete med den brittiska staten. Samarbetet mellan BT och den brittiska staten motiveras av att BT ansvarar för en kritisk del av den brittiska informationsinfrastrukturen. Därefter presenteras i kapitel 9 aspekter på metodiken att göra säkerhetsanalyser med hjälp av experiment, antingen i skarpa system eller i speciellt för ändamålet uppsatta system. Detta avsnitt domineras delvis av beskrivningen av den verksamhet som amerikanska energidepartementets nationella laboratorium Sandia har inom informationssäkerhetsområdet. Orsaken till detta är att Sandia framstår som en kompetent aktör inom området men kanske framförallt för att de är de enda som mer eller mindre öppet publicerat metodikbeskrivningar och resultat från experiment. Dessa metoder och verksamheter värderas med avseende på relevans och genomförbarhet för de behov som finns inom den svenska samhällsviktiga infrastrukturen.

FOI-R--1350--SE

54(114)

7 Amerikanska energidepartementets sårbarhets-analysmetod

I detta kapitel presenteras en övergripande beskrivning av en metodik för sårbarhetsanalyser som amerikanska energidepartementets kontor för energisäkerhet79 har utarbetat för att skydda den amerikanska infrastrukturen. Framtagandet av denna metodik80 har skett under perioden 1998 – 2002 genom ett samarbete mellan forskare på energidepartementets forskningslaboratorier och energiindustrin genom programmet Vulnerability assessment and survey program. Exempel på laboratorier som deltagit är Sandia National Laboratories81 och Pacific Northwest National Laboratory.82 Programmet berör hot mot tillgångar av såväl fysisk som datoriserad karaktär och fokus med avseende på hotet har varit på kvalificerat antagonistiskt hot. Metodikbeskrivningen ger ett intryck av att det har varit ett intensifierat intresse för analys av de datoriserade tillgångarna och dessas tillhörande sårbarheter och då framförallt styr- och reglersystem (benämnt SCADA-system i metodikbeskrivningen). Fjorton sårbarhetsanalyser (och 20 stycken analyser av mindre omfång s k vulnerability surveys/quick-turnaround assessments) har genomförts inom ramen för programmet (fram till september 2002, med flera på planeringsstadiet). Dessa analyser fokuserade på elkraftsindustrin och då framförallt på nyckelelement d v s om deras verksamhet allvarligt skulle störas skulle detta få regionala och nationella konsekvenser. Nedan följer en beskrivning av metodiken och då framförallt de moment som relaterar till informationssäkerhetsfrågor. Beskrivningen av metodiken är hämtad från slutrapporten men där det har ansetts nödvändigt har kommentarer gjorts som inte återfinns i den ursprungliga 79 Office of Energy Assurance (OEA), U. S. Department of Energy (DoE) 80 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. Slutrapporten innehåller en utförlig metodikbeskrivning med en omfattning på 152 sidor. Dokumentet består av ca 20 sidor översiktlig beskrivning av metodiken som används för sårbarhetsanalyserna. Sedan följer tre appendix. Det första appendixet berör metodologin för värderingen av vilka kritiska tillgångar som organisationen förfogar över. Det andra appendixet beskriver utförligt vilken information som skall samlas in från den studerade organisationen innan själva sårbarhetsanalysen genomförs (request for information, RFI). Den information som skall inhämtas relaterar till behoven i de tio element som utgör själva sårbarhetsanalysen. 81 U. S. Department of Energy, Office of Energy Assurance, Meeting brief: DOE/DHS SCADA Metting July 16, 2003. http://www.ea.doe.gov/pdfs/scada.pdf 82 Skrift från Pacific Northwest National Laboratory, Securing the homeland. http://www.pnl.gov/main/sectors/nsd/%20homeland.pdf

FOI-R--1350--SE

55(114)

metodikbeskrivningen. Metodiken är enligt gängse begreppsbildning inte en metodik för sårbarhetsanalys vilket den amerikanska titeln kan antyda utan snarare en metodik för riskanalys. Detta kommenteras utförligare i avsnitt 7.4. Det är viktigt att notera att de svenska begrepp som används är direktöversättningar av de motsvarande amerikanska begreppen vilket innebär att den svenska betydelsen inte nödvändigtvis är desamma som de amerikanska. Några av de positiva effekter som identifierades med att genomföra sårbarhetsanalyser var att:

• Skapa en medvetenhet om sårbarhets- och säkerhetsfrågor inom studerad organisation. Medvetenhet anges som en av de billigaste och mest effektiva metoderna för att höja det allmänna säkerhetsläget i en organisation.

• Kategorisera kritiska tillgångar och strukturera riskhanteringsprocessen.

• Identifiera, utveckla och samordna kompetenser och expertis. När hotförståelse kombineras med värdet av den information och de system som organisationen förfogar över, samt kunskap om de konsekvenser som en otillåten åtkomst till systemen kan ledda till fås ett bättre underlag för att prioritera resurser.

7.1 Översikt av sårbarhetsanalysens faser Figur 7.1 presenterar på en övergripande nivå de faser som sårbarhetsanalysen består av. Varje fas består av ett antal element som kortfattat beskrivs nedan. Dessa element har utvecklats ur tekniker, metoder och betraktelsesätt som andra organisationer använder i sina analyser. Den grundläggande filosofin vid framtagandet av metodiken har varit att fokusera på metoder för sårbarhetsanalyser som bevisligen har gett gott resultat ur flera perspektiv. Det är värt att notera att det finns tre punkter i sårbarhetsanalysfasen (se figur 7.1) som vanligtvis inte sorterar under sårbarhetsanalysbegreppet. Dessa är Analysera/värdera hotet, Genomföra en verkansanalys och Riskkarakterisering. De övriga momenten är av normal sårbarhetsanalyskaraktär.

FOI-R--1350--SE

56(114)

Figur 7.1. Sårbarhetsanalysmetodens delar

7.2 Pre-sårbarhetsanalysfasen Denna fas består av att definiera mål och omfattning av analysen. Med mål kan avses allt från ”att man skall efter genomförd analys ha kartlagt alla kritiska sårbarheter” till ett så diffust mål som ”att man har höjt medvetenheten om hoten och sårbarheterna inom verksamheten”. En annan viktig uppgift i pre-sårbarhetsanalysfasen är att identifiera och vidtala expertis inom och utom organisationen för genomförandet av analysen samt i samband med detta planera och koordinera elementen i sårbarhetsanalysen. På grund av att organisationer inom infrastrukturen typiskt inte har expertis inom hot- och sårbarhetsområdet, särskilt inte analyser som rör informationstekniska system, är det både önskvärt och nödvändigt att anlita extern expertis. Om så är fallet krävs det att de studerade organisationerna vidtar mått för att säkerställa att känslig information från sårbarhetsanalysen inte kommer på avvägar eller hanteras ovarsamt. Den avslutande delen av pre-sårbarhetsanalysfasen gäller den mycket viktiga delen att identifiera och värdera organisationens kritiska tillgångar. Detta gäller hela organisationens samlade tillgångar som t ex kritiska tekniska system, processer och information som krävs för att upprätthålla

Pre-sårbarhetsanalys

• Definiera mål och omfattning av analysen• Etablera procedurer för hantering av analys-

underlag• Identifiera och rangordna kritiska tillgångar

Sårbarhetsanalys

• Analysera nätverksarkitektur• Analysera/värdera hotet• Utför penetrationstester• Analysera/värdera den fysiska säkerheten• Genomför sårbarhetsanalys av fysiska

tillgångar• Analysera/värdera operationell säkerhet• Analysera policys och procedurer• Genomför en verkansanalys • Analysera/värdera beroenden av andra

infrastrukturer • Använda de ovannämnda stegen för att

göra en riskkarakterisering

Post-sårbarhetsanalys

• Prioritera rekommendationer• Utarbeta en handlingsplan• Identifiera erfarenheter och ”best-practices”• Genomför utbildning och övningar

Utfärdandeav direktiv föranalysen

Resultat ochrekommendationer

Erfarenheter ochmetodförbättringar







Sårbarhetsanalys





Sårbarhetsanalys









Utfärdandeav direktiv föranalysen

Resultat ochrekommendationer

Erfarenheter ochmetodförbättringar

FOI-R--1350--SE

57(114)

verksamheten. Målet är att fokusera analysen så att den stödjer processen för riskanalysen som avslutas med en prioriteringslista över vilka åtgärder som skall till. Denna identifiering fyller flera funktioner som t.ex. att den:

• Möjliggör en noggrannare analys av faktorer som påverkar aspekterna hot, sårbarhet. och konsekvens som är kopplade till en specifik kritisk tillgång

• Möjliggör en ökad medvetenhet om vilka tillgångar som verkligen behöver skyddas och en möjlighet att differentiera formuleringar i procedurer och policys relaterade till säkerhet.

Det rekommenderas att man i pre-sårbarhetsanalysfasen anordnar en workshop för att identifiera kritiska tillgångar ur hela organisationens perspektiv (inte bara en enhets som dock utgör underlag till nämnda workshop, se avsnitt 5.4).83 Detta kan vara en kostnadseffektiv endagssammankomst för att generera en bedömning som initierar processen för sårbarhetsanalysen.

7.3 Sårbarhetsanalysfasen Sårbarhetsanalysfasen består av tio element. Flera av elementen har ett renodlat informationssäkerhetsperspektiv. Vid varje specifik sårbarhetsanalys måste anpassning av varje elements syfte och omfång göras i relation till målet med sårbarhetsanalysen. Nedan följer kortfattade beskrivningar av vad varje element innebär.

7.3.1 Analysera nätverksarkitektur Här studeras de informationstekniska nätverkens topologi och kopplingsgrad, vilka protokoll som används (t.ex. kommunikationsprotokoll) samt procedurer och policys som reglerar säkerheten i nätverket. Här används tre metoder för arbetet:

• Studier av nätverks- och systemdokumentation. • Intervjuer med personal och chefer vid studerade anläggningar. • Fysiska inspektioner av anläggningar.84

Denna analys bör identifiera uppenbara sårbarheter i nätverksarkitekturen och procedurer för att hantera nätverken.

83 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. Appendix A: Critical Assets Methodology 84 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. Appendix B: Request for Information

FOI-R--1350--SE

58(114)

Det är värt att notera att kartläggning av nätverksarkitektur med hjälp av olika datorverktyg inte nämns i detta moment. Detta generar inte allt för sällan mer information än den man kan få via de tre ovan nämnda metoderna.85 Den genererade datamängden kan dock vara svårtolkad och kräver en del tid för att få nyttig information ur den.

7.3.2 Analysera och värdera hot Förståelse för den hotmiljö som organisationen är utsatt för är av fundamental betydelse för att man skall få effektiva riskhanteringsprocesser i en organisation. Detta element innehåller karakteriseringar av olika hotkällor, de trender dessa följer och på vilket sätt hotkällorna utnyttjar existerande sårbarheter. Noterbart är att endast antagonistiska hot berörs i denna metodik. Den amerikanska organisationen North American Energy Reliability Council (NERC) har etablerat ett program kallat Indications, Analysis and Warning Program för att dokumentera och förmedla kunskap om incidenter och för att analysera utvecklingen av potentiella hot mot elinfrastrukturen. Analysen av en specifik anläggning sker i tre steg:

1. Initial undersökning av hotkällor t.ex. individer och/eller grupper som utgör hot mot anläggningen. Initiala kontakter tas med lokala och regionala rättsvårdande och underrättelsemyndigheter.

2. En analys på plats genomförs genom intervjuer med säkerhetspersonal.

3. Samarbete med lokala och regionala rättsvårdandemyndigheter och underrättelsemyndigheter för att kartlägga den hotmiljö som anläggningen verkar i.

Frågor angående individer/grupper som har utfört eller hotat denna eller liknande typer av anläggningar skall besvaras samt vilka modi operandi dessa hotkällor har.

7.3.3 Utföra penetrationstester Penetrationstester utgör en central del i analyser av säkerhet i IT-system. Syftet med penetrationstester av datornätverk är att identifiera existerande, potentiella sårbarheter i nätverket och dess kopplingar till andra nät. Detta görs med hjälp av mängd olika tekniker och verktyg. Innehållet i penetrationstester kan variera mycket, allt från enkla portskanningar till mer subtila metoder som ”social engineering” eller

85 Privat kommunikation med Arne Vidström

FOI-R--1350--SE

59(114)

penetration av brandväggar, utnyttjande av konfigurationsfel eller säkerhetsfel i mjukvara. Den övergripande beskrivningen av processen för penetrationstester består av: 86

1. Definiera regelverket för övningen (penetrationstestet). På engelska brukar dessa regler kallas Rules of Engagement.

2. Etablera en s.k. vit cell. Denna ser till att övningen går rätt till och att inga funktioner kommer till skada.

3. Planera och genomföra övningen. 4. Skriva rapport.

En utförligare beskrivning av en metodiker och genomförande av penetrationstester och aktiva IT-kontroller presenteras i kapitel 9.2.

7.3.4 Analysera och värdera den fysiska säkerheten Denna del syftar mot att analysera och värdera de system som är verksamma eller planerade för att hantera den fysiska säkerheten hos den förläggning som värderas. ”Fysiska” säkerhetssystem utgörs av system för tillträde (t.ex. kort och kortsystem), stängsel, lås och nycklar, inbrottslarm med tillhörande rapporteringssystem, kommunikationssystem (t.ex. mobila och stationära telefoner och radioutrustning), ljus och energikällor etc. Dessa system granskas med avseende på konstruktion, installation, hantering, underhåll samt funktionskontroller. De förläggningar som prioriteras för denna typ av analys ges av den prioriteringslista som tas fram vid pre-sårbarhetsanalysens workshop. En viktig utgångspunkt i analysen är inte att identifiera om varje säkerhetslösning finns vid studerad förläggning utan om värdet på tillgången som skall skyddas har lämplig nivå på de skyddsåtgärder som finns implementerade. Analysen kan ske på antingen en ”implementeringsnivå” eller en ”organisatorisk nivå”. Den förra sker vid förläggningar som man kan anse har ett väl utbyggt säkerhetstänkande (personal, budget och planer) och där koncentrerar man sig på hur säkerheten är implementerad. En analys på en ”organisatorisk nivå” sker när den studerade organisationen inte har ett särskilt utvecklat säkerhetsarbete. Då koncentrerar man sig på att skapa förutsättningar för ett sådant arbete.

86 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. Appendix C: Vulnerability Survey Methodology samt U. S. Department of Energy, Office of Cyber Security and Special Reviews, November 2001, Office of Cyber Security and Special Reviews, Appraisal Process Guide

FOI-R--1350--SE

60(114)

7.3.5 Genomförande av sårbarhetsanalys av fysiska tillgångar Målet med denna analys är att ta fram information om trender avseende fysiska tillgångar och tidigare tillbud i verksamheten hos den studerade organisationen. Exempel på detta är:

• Trender i antal och kompetens hos operatörer som verkar i organisationen.

• Trender i underhållskostnader. • Trender i infrastrukturinvesteringar. • Information om tidigare infrastrukturbortfall i organisationens

verksamhet. • Information om kritiska systemkomponenter.

7.3.6 Analysera och värdera operationell säkerhet Operationell säkerhet är den systematiska process som syftar till att förhindra potentiella antagonister att erhålla information om de intentioner och förmågor som den studerade organisationen förfogar över. Detta kan t.ex. utgöras av vilka typer av klassificeringar som organisationen gör av information (öppen, känslig, hemlig) eller vilka bakgrundskontroller som görs av personal som har kritiska uppgifter i verksamheten. Denna analys och värdering bör granska de säkerhetsutbildningar och verksamheter för att höja medvetenheten om hoten som genomförs med personalen. Den öppna information som finns att tillgå t.ex. på Internet om organisationens verksamhet bör också bedömas.

7.3.7 Analysera policys och procedurer för säkerhetsarbetet De procedurer och policys som beskriver hur säkerheten skall administreras definierar roller, ansvar och befogenheter för kritiska system. Procedurer och policys för säkerhet blir ofta speciellt viktiga när flera organisatoriska enheter samverkar för att uppnå den önskade säkerhetsnivån. Analysen av säkerhetsprocedurer och policys bör koncentrera sig på att avgöra om dessa

1. påverkar nyckelfaktorer i säkerhetsarbetet. 2. skapar förutsättningar för att de implementeras och efterlevs på ett

effektivt sätt. 3. är förenliga med etablerade standarder. 4. tillhandahåller tydlig och fullständig vägledning.

Målet med analysen är att förbättra existerande procedurer och policys, förbättra implementeringen av dessa, utveckla nya, försäkra efterlevnaden av dessa samt stryka inaktuella procedurer.

FOI-R--1350--SE

61(114)

Genomförandet av analysen genomförs i sju steg. Ett steg är att granska en mängd olika policydokument t.ex. säkerhetspolicydokumenten men också policys rörande informationsspridning eller anställning. Ett annat steg är att besöka organisationen och undersöka t.ex. via intervjuer hur olika policys är realiserade.

7.3.8 Genomföra en verkansanalys Detta moment är en detaljerad analys av vilka negativa effekter för organisationens verksamhet som skulle kunna uppnås om obehöriga får tillträde till kritiska resurser eller informationssystem. Denna analys är mycket komplex och beror på vems perspektiv man har t.ex. företagets, kundens eller statens. Ett antal enkla och grova indikatorer finns beskrivna.87

7.3.9 Analysera och värdera beroenden av andra infrastrukturer Infrastrukturberoenden omfattar de funktionella kopplingar som finns med andra infrastrukturer som t.ex. telekommunikationer, transporter och vatten. Denna analys fokuserar på att kartlägga vilka beroenden studerad organisations förläggning har av andra infrastrukturer. Analysen baseras på intervjuer med nyckelpersoner. För detta finns det antal checklistor som stöd för genomförandet av dessa intervjuer.

7.3.10 Använda resultaten från stegen ovan för att göra en riskkarakterisering Riskkarakteriseringen tillhandahåller ett ramverk för att prioritera rekommendationer över alla möjliga åtgärdsområden. De uppgifter om existerande hot, sårbarheter och möjliga konsekvenser som tagits fram i tidigare element utgör underlag för denna analys.

7.4 Slutsatser för svenska förhållanden av metodik-beskrivningen

Metodiken ovan benämns Vulnerability Assessment vilket bör översättas med ordet sårbarhetsanalys. Dock framgår det av beskrivningen att det snarare handlar om en riskanalys som domineras av sårbarhetsanalysmoment. Sannolikhetsbedömningar av utfallet av ett specifikt hot synes göras på en övergripande nivå i elementet riskkaraktärisering. Detta torde vara karaktäristiskt för säkerhetsanalyser inom samhällsviktig infrastruktur eftersom man oftast berör hot som är svåra att beskriva med sannolikheter och där konsekvenserna av utfallna hot blir mycket stora. 87 U. S. Department of Energy, Office of Energy Assurance, September 30, 2002, Vulnerability Assessment Methodology. Electric Power Infrastructure. Appendix C: Vulnerability Survey Methodology

FOI-R--1350--SE

62(114)

Den presenterade metodiken synes vara mycket fullständig och omfattande men därmed också mycket tids- och kostnadskrävande att genomföra. På detaljnivå ger dessa analyser resultat som troligtvis blir inaktuella relativt snabbt. Det är inte heller klart om det spelar någon roll i vilken ordning de olika elementen genomförs och hur resultatet från delmomenten integreras och leder till formulering av åtgärdsförslag. Fördelen med att ha en uttömmande metodik är att man kan göra medvetna avsteg från den och därmed också veta vad man inte behandlar i genomförda analyser. Av denna anledning kan formuleringen av en svensk motsvarande metodik vara motiverad. Det är viktigt att notera hur integrerad analysen av informationstekniska resurser och sårbarheter är med analysen av fysiska resurser och sårbarheter. Exempel på detta är att ”social engineering” kan användas i penetrationstester och att hänsyn tas till både fysiska och informationstekniska resurser vid verkansanalysen. Även förekomsten av enskilda element är noterbart som t.ex. kartläggning av nätverksarkitektur och penetrationstester. Dessa verksamheter har hittills förekommit mycket sparsamt i den svenska infrastrukturen. Resultaten från de genomförda analyserna har genererat slutsatser om vad organisationer inom elkraftsinfrastrukturen skall göra för att förbättra sin säkerhet. Slutsatserna är på två nivåer. På en högre aggregeringsnivå genereras rekommendationer till elkraftsinfrastrukturen rörande organisation, utbildning samt personalförsörjning. Slutsatser som direkt kopplar till respektive delelement av sårbarhetsanalysen identifierar specifika omständigheter som råder inom infrastrukturen. Dessa slutsatser inom olika delelement i sårbarhetsanalysen kan sammanföras för ett sakområde och generera rekommendationer inom detta. Ett exempel på detta är troligtvis framtagandet av rekommendationer avseende IT-säkerheten för styr- och reglersystem.88 Slutsatserna som man drog av genomförda analyser presenterades i en rapport.89 Detta sammanfattas i appendix A. För svenska förhållanden är det ytterligt viktigt att skapa en medveten strategi vid ett eventuellt användande av en liknande metodik. Dels för att

88 U.S. Department of Energy: Office of Energy Assurance. (2003). 21 Steps to Improve Cyber Security of SCADA Networks. 89 U. S. Department of Energy, Office of Energy Assurance, September 28, 2001, Vulnerability Assessment and Survey Program: Lessons Learned and Best Practices.

FOI-R--1350--SE

63(114)

det är rimligt att tro att hotbilden mot den svenska infrastrukturen inte går att jämföra med den amerikanska, dels för att svenska resurser för dylika analyser är väsentligt mindre. En svensk strategi kan vara att genomföra ett mycket litet antal relativt fullständiga analyser och därefter dra slutsatser och sedan genomföra ett större antal fokuserade men mindre tids- och kostnadskrävande analyser inom ett par prioriterade områden. Den initiala analysen visar på eventuella behov av ytterligare analys för att kunna generalisera resultat. Ett ytterligare område av metodiken som är av vikt att studera är det underlag (request for information, RFI) som man anser skall besvaras av studerade organisationer. Detta kan tjäna som mall för vad en organisation bör ta fram före genomförandet av sårbarhetsanalyser.

FOI-R--1350--SE

64(114)

8 British Telecoms informationssäkerhetsprogram British Telecom (BT) är en mycket stor kommersiell aktör inom telekommunikationssektorn med ett världsomspännande komplext nät av IT-system, kommunikationsnätverk och plattformar som utgör grunden för företagets nyckelprocesser. Inom BT:s verksamhet för informationssäkerhet finns det två olika verksamheter, nämligen en som syftar mot att hantera hot från antagonister med låg förmåga och en verksamhet som syftar mot att belysa och i bästa fall hantera hot från en antagonist med stor förmåga.90 Den första brukar normalt beskrivas som BT:s normala, kommersiella IT-säkerhetsfunktion medan den andra verksamheten benämns informationssäkerhetsprogrammet (Information Assurance Program, IAP).91 Informationssäkerhetsprogrammet, som startades 1997, syftar till att förbättra beredskapen hos BT för att möta hotet mot BT:s kritiska tillgångar från ”kvalificerade elektroniska attacker” utförda av angripare med motiv och förmåga att genomföra dessa. BT anser sig ha ett stort antal väletablerade och effektiva processer för att hantera informationssäkerhetsrelaterade analyser. Detta sträcker sig från kvantitativa analyser av potentiella ekonomiska förluster till tekniska IT-säkerhetsanalyser. Programmet är uppbyggt kring nämnda kommersiella IT-säkerhetsfunktion som finns inom British Telecom. Dock grundar sig dessa processer ofta på historiska data och kunskap om traditionella hot (t.ex. bedrägeri) vilket har lett till att informationssäkerhetsprogrammet har använt sig av delvis nya angreppssätt för att belysa detta potentiella hot som saknar historiska data. Informationssäkerhetsprogrammet utmärker sig av att begränsa sina studier till sådana som karakteriseras av:

• Angripare med stor förmåga i en vid bemärkelse, med avseende på t.ex. kompetens, utrustning, underrättelser.

• Studerade angrepp måste få stora konsekvenser t.ex. för brittisk infrastruktur eller brittisk ekonomi.

90 R. Temple, J. Regnault (Eds.), BTexact Communications Technology Series. Internet and Wireless Security, 2002, (ISBN 0852961979) Kapitel 13 (s 215-228), C. J. Colwill, M. C. Todd, G. P. Fielder, C. Natanson, Information Assurance 91 Pege Gustafsson, dåvarande chef för TeliaCERT bedömer att BT IAP:s arbete håller mycket hög kvalité och utförs av mycket kvalificerad personal.

FOI-R--1350--SE

65(114)

• Studerade attacker saknar väsentligen historiska data eller bevis. • Frånvaron av tydliga indikationer på hotet som skulle kunna

motivera investering av skyddsåtgärder. • Stor samverkan med ett flertal myndigheter t.ex. polis och

underrättelsetjänst. Syftet med informationssäkerhetsprogrammet är att påvisa att BT har processer och personal som förstår ovan nämnda hot samt att rättfärdiga de rekommendationer som programmet kommer fram till.

8.1 Riskanalysmodell BT anser att den riskanalysmodell som de tillämpar inom informationssäkerhetsprogrammet gör avsteg i vissa avseende från deras normala säkerhets- och riskanalyser. Detta görs genom att man försöker förstå hotet från potentiella angripares perspektiv och man utgår inte från BT:s egen syn på var man har identifierat för kritiska verksamheter och sårbarheter. Detta betyder att man inte nöjer sig med att identifiera en kritisk sårbarhet som kan leda till mycket allvarliga konsekvenser. Man försöker gå vidare och identifiera en realistisk angripare som kan och vill utnyttja sårbarheten för att uppnå sina mål. Figur 8.1 beskriver den använda riskanalysmodellens delar.

FOI-R--1350--SE

66(114)

Figur 8.1 BT:s riskanalysmodell inom IAP

Sår

barh

ets-

mod

ell

Ver

ksam

hets

-m

odel

l

Vär

derin

g av

sa

nnol

ikhe

t för

at

tack

Ana

lys

av v

ilken

ko

nsek

vens

en

sårb

arhe

t led

er ti

ll

Ram

verk

för r

isk-

anal

ysA

nsva

rig fö

rve

rksa

mhe

t

Prio

riter

inga

r Åtg

ärde

rS

igna

ture

r av

atta

cker

Sår

barh

ets-

mod

ell

Ver

ksam

hets

-m

odel

l

Vär

derin

g av

sa

nnol

ikhe

t för

at

tack

Ana

lys

av v

ilken

ko

nsek

vens

en

sårb

arhe

t led

er ti

ll

Ram

verk

för r

isk-

anal

ysA

nsva

rig fö

rve

rksa

mhe

t

Prio

riter

inga

r Åtg

ärde

rS

igna

ture

r av

atta

cker

Sår

barh

ets-

mod

ell

Sår

barh

ets-

mod

ell

Ver

ksam

hets

-m

odel

l

Vär

derin

g av

sa

nnol

ikhe

t för

at

tack

Vär

derin

g av

sa

nnol

ikhe

t för

at

tack

Ana

lys

av v

ilken

ko

nsek

vens

en

sårb

arhe

t led

er ti

ll

Ram

verk

för r

isk-

anal

ysR

amve

rk fö

r ris

k-an

alys

Ans

varig

för

verk

sam

het

Prio

riter

inga

r Åtg

ärde

rS

igna

ture

r av

atta

cker

FOI-R--1350--SE

67(114)

Elementen i riskanalysen beskrivs kortfattat nedan. • Verksamhetsmodell

Arbetet i detta element syftar till att identifiera kritiska tillgångar och processer för att sedan specificera mål som är potentiellt intressanta för en angripare.

• Sårbarhetsmodell Arbetet i detta element syftar till att bryta ned BT:s kritiska tillgångar och processer för att identifiera sårbarheter. Penetrationstester utförs också inom ramen för denna verksamhet. Resultatet är en mängd klassificerade sårbarheter som är parameteriserade av mått som t.ex. effekt av utnyttjad sårbarhet, potentiellt sätt att utnyttja sårbarheten, signatur från utnyttjandet av attacken samt möjlighet till återhämtning. Hur väl dessa mått är definierade beskrivs inte. I detta element lämnas rekommendationer för hur dessa sårbarheter skall åtgärdas.

• Antagonistmodell Arbetet i detta element syftar till att värdera hoten genom att bedöma sannolikheten (i någon mening) för att specificerade angripare har BT som mål och genomför attacker mot BT. Denna sannolikhet är en funktion av angriparens motivation, tillfälle och förmåga att genomföra attacker. För ändamålet har man bildat ett Threat modeling team som samverkar med polis, underrättelsetjänst och industri.

Resultaten från dessa element integreras inom ramen för riskanalysramverket. Slutprodukten blir relativa riskvärden som används för att prioritera mellan olika åtgärder. På detta sätt får man en konsistent process för att göra prioriteringar mellan t.ex. system och processer. Det som BT betraktar som en central del i sin riskanalysprocess och som dessutom är specifikt för informationssäkerhetsprogrammet är antagonistmodellen.

8.2 Antagonistmodell Informationssäkerhetsprogrammets antagonistmodell syftar mot att förstå och differentiera potentiella grupper av antagonister genom att profilera dem med avseende på motivation, möjlighet och förmåga. Dessa profileringar görs mer i detalj enligt figur 8.2.

FOI-R--1350--SE

68(114)

Figur 8.2 Antagonistprofilering Det är viktigt att poängtera att detta arbete utgår från mycket bristfällig och osäkra data, särskilt med avseende på antagonisternas aktiviteter inom den informationstekniska sfären men syftet är just att göra så kvalificerade bedömningar av detta som möjligt. Det är också viktigt att poängtera att antagonistmodellarbetet utgår från stor kunskap om verkliga effekter i skarpa system. Utgångspunkten i antagonistmodellarbetet är ett fåtal generiska klasser av angripare som kriminella, konkurrenter, stater, terrorister, hackers samt missnöjd personal. Denna nivå är den första beskrivningsnivån. Sedan kan dessa brytas ned i mer specificerade profiler som dessutom kan samverka. Varje antagonistprofil kan ha ett antal givna ingångsvärden beroende på deras arbetsmetodik (modus operandi) med avseende på attacker och teknisk förmåga. Efter generering av mer eller mindre detaljerade antagonistmodeller formuleras specifika scenarier för att ytterligare analysera sannolikheten för attacker, givet ett mål med en uppsättning sårbarheter. Detta görs för att även om en svaghet finns kan det vara ett mycket litet antal antagonister som kan utnyttja denna svaghet och av dessa är det ingen som är intresserad av att genomföra attacken. Dessa analyser genomförs i form av arbetsgrupper där attackscenarier utvecklas och där olika perspektiv används. Arbetsgrupper består av både säkerhetsexperter och systemexperter. Analyserna av attackscenarierna

Motiv• Finansiellt• Politiskt• Hämnd• Tillfredställelse

Hämmande faktorer• Risk för upptäckt

Andra faktorer• Grad av behov• Riskbenägenhet

Motivation

Tillgänglighet• Fysiskt• Elektroniskt

Målets egenskaper• Arkitektur• Protokoll

Vägar till målet• Kommunikations-

säkerhet

Tillfälle

Kunskap• Utbildningsnivå• Underrättelser• Erfarenheter

Tekniskt• Utrustning• Finansiella resurser

Psykologiskt• Social engineering• Påhittighet• Planeringskunnig

Förmåga




Motivation




Motivation




säkerhet

Tillfälle




säkerhet

Tillfälle




Förmåga




Förmåga

FOI-R--1350--SE

69(114)

omfattar såväl elektroniska, fysiska och psykologiska perspektiv samt kopplingar mellan dem. Informationssäkerhetsprogrammets riskanalysmodell och dess associerade processer utvärderas efter varje analys för att förbättra modellen. BT:s tidigare arbete med sårbarhets- och säkerhetsanalyser har haft ett fokus på sårbarhetsperspektivet som nu kompletterats med informations-säkerhetsprogrammets fokus på ett hotperspektiv. Detta kan framhäva nya faktorer som baseras på kunskap om en avancerad antagonists planerings- och underrättelseprocesser, som är viktiga för sårbarhetsanalyserna.

8.3 Slutsatser för svenska förhållanden av denna metodikbeskrivning

Troligtvis är det koncernens storlek och hotbilden i de länder där koncernen verkar som lett till att ett kommersiellt företag som British Telecom kan investera tid och mycket kvalificerad personal i denna typ av verksamhet. Det är föga troligt att ett svenskt kommersiellt företag skulle kunna göra något liknande vilket kan motiveras med att den svenska hotbilden inte alls är i paritet med den som brittiska företag är utsatt för. Konceptet att bilda ett threat modeling team kunde möjligen vara lämpligt att införa inom den svenska statsförvaltningen för att stödja inte bara en organisation utan flertalet organisationer inom den kritiska infrastrukturen som inte själva har resurser att göra detta. Detta kunde vara ett kostnadseffektivt sätt att hantera problematiken med att belysa kvalificerade angripare vid risk- och sårbarhetsanalyser på ett adekvat sätt. En komplikation med en sådan lösning är att en sådan grupp måste besitta kunskap om många organisationers verksamheter och system. Detta skulle delvis kunna avhjälpas om man kan skapa tillräckligt goda generiska verksamhets- och systembeskrivningar av de verksamheter som är tänkta att studeras. Dessa beskrivningar skulle underlätta denna grupps arbete. Ytterligare en intressant iakttagelse från BT:s metodik är att i sårbarhetsmodellen används penetrationstester vilket också var fallet i amerikanska energidepartementets sårbarhetsanalysmetodik som presenterades i föregående kapitel. I båda dessa metodiker har penetrationstester varit delar av större processer så resultatet från testerna har med nödvändighet integrerats i dessa större processer. Hur detta har gjorts har inte redovisats men det är viktigt att notera att penetrationstester inte används som separata verksamheter de tidigare verksamheterna.

FOI-R--1350--SE

70(114)

9 Informationssäkerhetsanalys genom experiment

9.1 Allmänt I de två föregående kapitlen har aktiviteten penetrationstest ingått på ett eller annat sätt i säkerhetsanalyserna. Av detta skäl är det motiverat att utförligare beskriva detta. För att få en uppfattning av säkerheten i ett skarpt IT-system i en viss verksamhet är det viktigt att studera inte bara hur systemet är konstruerat utan också hur det är installerat och hur det sköts. Den mest rättframma metodik, som åtminstone i teorin, skulle kunna belysa alla dessa aspekter är utförandet av experiment på det studerade systemet. Med experiment avses i detta fall någon form av kontrollerad, sanktionerad angripare som attackerar det skarpa systemet eller en representation av det t.ex. en speciellt uppsatt testanläggning. Det som praktiskt begränsar är att man har en begränsad tid och tillgång till tekniska och mänskliga resurser för att testa alla tillstånd som systemet (personal inkluderat) kan befinna sig i. Detta kapitel behandlar experiment av olika slag eftersom dessa troligtvis kommer att fylla en stor funktion vid säkring av viktiga IT-system i samhällsviktig infrastruktur. I en rapport från Post- och telestyrelsen beskrivs praktiska prov av säkerheten i IT-system (jämställs här med begreppet aktiv IT-kontroll) på följande sätt:

Aktiv IT-kontroll används idag som benämning på ett stort antal skilda aktiviteter, som alla på något sätt är relaterade till praktiska prov av säkerheten. Vid aktiv IT-kontroll försöker kontrollanten i praktiska prov ta sig förbi de uppsatta skydden för att därigenom påvisa brister i säkerheten. … Ibland kan aktiv IT-kontroll även benämnas ”penetrationstester”, ”intrångsanalyser”, ”Red Team verksamhet”, ”Tiger Team verksamhet” eller ”Attack and Penetration”. 92

Av detta framgår det att det finns olika aktiviteter som är att betrakta som praktiska prov av säkerheten i IT-system. Dessa benämns också på olika sätt. I föreliggande rapport anses därför viktigt att belysa dessa begrepp och innehållet i verksamheterna. Till exempel kommer begreppen penetrationstest och aktiv IT-kontroll att skiljas åt och behandlas var för sig. Penetrationstester anses här utgöra en viktig delmängd av experimenten av typen aktiv IT-kontroll. En möjlig tolkning är att penetrationstester är

92 Aktiv IT-kontroll och Telelagen (1993:597) (PTS dokument 02-2930/23)

FOI-R--1350--SE

71(114)

relativt teknikstyrda och förutsätter inte att det finns en angripare med ett övergripande mål eller strategi för att uppnå sina mål. Vid penetrationstester används oftast en uppsättning datorverktyg för att kartlägga nätverk och hitta sårbarheter Dessa verktyg kan användas separat och ge upphov till rekommendationer för att öka informationssäkerheten i verksamheten. Samma verktyg används vid aktiva IT-kontroller men då ett i sammanhang som definieras av angriparens strategiska mål. När sårbarheter väl identifierats utnyttjas de. Detta innebär att ingen fullständig sårbarhetsskanning görs. Utgångspunkterna kan också variera, att penetrationstestarna har all tillgänglig information om systemet (white box testing) eller ingen information alls (black box testing). Det övergripande syftet med penetrationstester och aktiva IT-kontroller är att demonstrera att säkerhetsskyddet av systemet har svagheter.93 Penetrationstester och aktiv IT-kontroll kan beskrivas som konsten att finna ”en öppen dörr”.94 I dess mest strikta bemärkelse kan det aldrig bli en vetenskap eftersom detta kräver strikta falsifierbara hypoteser. Penetrationstester kan i bästa fall utgöra en vetenskapsmetodik för att ”beskriva och identifiera osäkerhet (insecurity)” och inte en vetenskapsmetodik för att ”beskriva och identifiera säkerhet”. Vid studier av kritiska system kan det vara mer korrekt att studera vad som absolut inte får hända istället för att studera om valda säkerhetsskyddsfunktioner är rätt implementerade vilket motiverar användandet av penetrationstester inom kritisk infrastruktur. Penetrationstester och aktiv IT-kontroll representerar omdebatterade metodiker inom IT-säkerhetsområdet. Experiment i skarpa system skapar av naturliga skäl känslig information vilket leder till att det är sällan som experiment kan analyseras öppet. Av denna anledning förekommer det sällan en kritisk ”vetenskaplig” analys av hur experimenten har utförts. I avsnitt 9.3.3 presenteras Sandia National Laboratories verksamhet inom området delvis eftersom de har publicerat rapporter om sin verksamhet. Den övergripande fördelen med experiment är att alla aktiviteter i systemet och dess miljö är dokumenterbara (åtminstone i teorin).95 Detta innebär att såväl mänskliga som tekniska systemaktiviteter kan noteras och analyseras. 93 Fred Cohen, Managing Network Security: Penetration Testing? http://all.net/journal/netsec/1997-08.html 94 D. Geer, J. Harthorne, Penetration Testing: A Duet, Proceedings of the 18 th Annual Computer Security Applications Conference (2002) 95 J. Lowry, K. Theriault, Experimentation in the IA Program, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 134-140

FOI-R--1350--SE

72(114)

Detta kan resultera i allt från direkt identifiering av sårbarheter i skarpa system till möjligheten att formulera modeller och hypoteser om t.ex. antagonisters beteende. Det finns också en relativt stor mängd kritik mot experiment av detta slag:

• Resultatet utgör i bästa fall bara en momentan bild av verkligheten. • Experimenten i skarpa produktionssystem kan påverka systemen på

mer eller mindre kända sätt vilket är särskilt allvarligt just vid skarpa kritiska system.

• Resultatet är mycket beroende på kompetens hos deltagare i experiment.

• Utförandet av experimenten är kostnads- och tidskrävande. 96 Det ovannämnda tjänar som allmän bakgrund för sårbarhetsanalyser med hjälp av experiment. Nedan beskrivs först kortfattat penetrationstester p.g.a. att dessa ingår som en viktig komponent i aktiv IT-kontroll och dessutom är det en relativt vanlig konsulttjänst. Därefter följer ett längre avsnitt av de öppna och mer vetenskapligt inriktade aktiviteterna som relaterar till aktiv IT-kontroll.

9.2 Säkerhetsanalyser genom penetrationstester Penetrationstester är som tidigare nämnts ofta av teknisk karaktär och resultaten av dessa blir därför känsliga eftersom de innehåller information om de skarpa systemen. Detta leder till att det inte finns speciellt mycket öppen information om resultat från dessa. Penetrationstester är något som ofta tillhandahålls som konsulttjänst av IT-säkerhetsföretag. Företagens metodiker samt beskrivningar av dessa är av mycket skiftande kvalité och omfång.97 I Storbritannien är penetrationstester inom samhällsviktig infrastruktur reglerade genom att privata företag måste certifieras innan de får genomföra testerna.98 Certifieringen görs av Communications-Electronics Security Group (CESG99) vid Government Communications Headquarters (GCHQ). För speciellt känsliga system används uteslutande personal från CESG. 96 A. Helsinger, W. Ferguson, R. Lazarus, Exploring Large-Scale, Distributed System Behavior with a Focus on Information Assurance, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 273-285 97 Hans Husman, Säkerhetstester av ditt IT-system, Säkerhet & Sekretess, 6, sidan 29, 2001 samt Mikael Simovits, Säkerhetsanalys på gott och ont, Säkerhet & Sekretess, 7, sidan 18-20, 2002 98 benämns där IT Health Checks 99 http://www.cesg.gov.uk/index.cfm

FOI-R--1350--SE

73(114)

Det finns ingen reglering eller statliga rekommendationer för hur eller vem som skall genomföra penetrationstester i Sverige. Inom statsförvaltningen kan teknikenheten vid Försvarets Radioanstalt (FRA) tillhandahålla tjänsten penetrationstester och stödja sådana statliga myndigheter och statligt ägda bolag som hanterar information som bedöms vara känsliga ur sårbarhetssynpunkt eller ur ett säkerhets- eller försvarspolitiskt avseende. Ett sätt att använda penetrationstester vid sårbarhetsanalyser av nätverk presenteras i figur 9.1.100 Den tvådelade sårbarhetsanalysen består initialt av analyser av säkerhetsrutiner och säkerhetspolicys. Denna del av metodiken går till så att man analyserar det faktiska läget med avseende på säkerhetspolicy och organisationens uppfattade säkerhetskultur. Detta används sedan tillsammans med ”best practices” som utgångspunkt för att bedöma hur väl detta är implementerat vilket görs i den andra delen av sårbarhetsanalysen med hjälp av tekniska penetrationstester.

Figur 9.1 Metod för sårbarhetsanalys av nätverk

Det amerikanska näringslivsdepartementets forskningsinstitut National Institute of Standards and Technology har givit ut riktlinjer101 för hur

100T. R. Peltier, J. Peltier, J. A. Blackley, Managing a Network Vulnerability Assessment, Auerbach publications 2003, CRC Press LLC. ISBN 0-8493-1270-1 101 J. Wack, M. Tracey, DRAFT Guideline on Network Security Testing (NIST Special Publication 800-42, February 2002)

• Policy granskning• Intervjuer• Värdering av säkerhetskultur

Resultat

Sårbarhetsanalys av nätverk

Topp-botten analys Penetrationstester• Tekniskt granska nätverk• Använda datorverktyg

• Kartlägga nätverk• Hitta sårbarheter

• Generera rapport

Botten-topp analys

Allmän indata• ISO 17799• Regelverk• ”Best practices”

• Hot• Sårbarheter• Motåtgärder

• Policy granskning• Intervjuer• Värdering av säkerhetskultur

Resultat

Sårbarhetsanalys av nätverk

Topp-botten analys Penetrationstester• Tekniskt granska nätverk• Använda datorverktyg

• Kartlägga nätverk• Hitta sårbarheter

• Generera rapport

Botten-topp analys





• ISO 17799• Regelverk• ”Best practices”


FOI-R--1350--SE

74(114)

säkerhetstester102 av nätverk skall ske samt vilka verktyg som kan användas och vilka för- och nackdelar dessa har. Framförallt berörs system såsom brandväggar, routrar, switchar, intrångsdetekteringssystem, web- och emailservrar samt domännamns- och registerservrar. Med säkerhetstester av nätverk menas aktiviteter som genererar information om systemintegriteten (okränkbarheten) av en organisations datornätverk och associerade system. Det rekommenderas starkt att integrera säkerhetstester av nätverk i organisationens säkerhetsarbete dels för att utvärdera systemens säkerhetsmekanismer, dels för att bekräfta att hanteringen och funktionen hos systemet följer organisationens säkerhetspolicy och säkerhetskrav. Testverksamheten bör följa en strukturerad process där den testande organisationen prioriterar tester av systemen med utgångspunkt från systemens kriticitet för verksamheten, kostnad för testerna och användbarheten av resultaten för organisationen. Säkerhetstester anses kunna generera viktig information som kan användas inom flera säkerhetsrelaterade områden. Exempel på detta är t.ex. referensunderlag för ett riktigt handhavande, formulering av åtgärder för att avhjälpa identifierade sårbarheter och lönsamhetsanalys. Vid säkerhetstester av nätverk förekommer bl. a följande typer av deltester:

• Kartläggning av nätverk (network mapping). • Sårbarhetsavsökning (vulnerability scanning). • Granskning av loggfiler (log reviews). • Identifiering av modemuppkopplingar (war dialing). • Åka runt för att hitta öppna trådlösa nätverk (war driving).

Det finns mängder av verktyg och metodiker inom respektive deltestområde med olika styrkor och svagheter i relation till den totala analysen av systemet.103

9.3 Säkerhetsanalyser genom aktiv IT-kontroll

9.3.1 Historik I USA har man i mer än fyrtio år använt ”syntetiska” angripare för säkerhetsanalyser inom vissa hotområden. På amerikanska används begreppet ”Red Teaming” rent allmänt för denna typ av verksamhet. Under 102 här används detta begrepp eftersom det i rapporten använda är security testing 103 Tabellen på sidan 27 i DRAFT on Guideline on Network Security Testing (NIST Special Publication 800-42, February 2002) utgör en enkel översikt över dessa styrkor och svagheter.

FOI-R--1350--SE

75(114)

senare år har konceptet Red Teaming uppmärksammats som särskilt användbart för att belysa t.ex. terroristhot. Denna typ av hot anses svårare att belysa med normal underrättelseverksamhet som fungerade väl under det kalla kriget.104 Ett tidigt exempel på Red Teaming kan hämtas från mitten av 1960-talet då det amerikanska nationella laboratoriet Lawrence Radiation Laboratory (sedermera Lawrence Livermore National Laboratory, LLNL) genomförde ett experiment som gick under benämningen The N:th country experiment.105

Syftet med The N:th country experiment var att undersöka om en atombomb kunde konstrueras med modesta insatser av ett fåtal kompetenta personer utan tillgång till hemligt underlag. De förutsättningar som deltagarna i experimentet fick var att de skulle konstruera en atombomb, som om den producerades i ett mindre antal skulle det ge den tillverkande nationen avsevärd effekt på det säkerhetspolitiska läget i den regionen som forskarnas simulerade uppdragsland låg i. Det faktiska utförandet av experimentet The N:th Country Experiment gick ut på att låta tre ”normalbegåvade”, disputerade fysiker (ej inom för experimentet relevanta områden t.ex. kärnfysik, detonationsfysik) med enbart tillgång till öppna källor försöka konstruera en atombomb. Efter tre personårs arbete presenterades en rapport som vid den externa bedömningen, som utfördes av riktiga konstruktörer av kärnvapen, ansågs beskriva ett fungerande koncept för framtagning av en fissionsbomb. Det som karakteriserade The N:th country experiment var att det skulle belysa

• ett hot från en angripare som utgjordes av en välutbildad liten grupp med ett strategiskt säkerhetspolitiskt mål.

• en angripare som teoretiskt sätt kunde arbeta i lönndom. • vilka förmågor i form av planering och strukturerade processer som

krävdes av en angripare. • vilken kompetens och skicklighet angriparen behövde inom ett antal

komplicerade områden som t.ex. kärnfysik, explosiva material, detonationsfysik och hydrodynamik. Detta ledde också automatiskt till en identifikation av vilka öppna källor som innehöll känslig information.

104 The Role and Status of DoD Red Teaming Activities, Defense Science Board Task Force (September 2003) 105 D. Stober, No experience necessary, Bulletin of Atomic Scientists, March/April 2003 samt Summary Report of the Nth country experiment, UCRL-50249, March 1967 (declassified)

FOI-R--1350--SE

76(114)

Eftersom LLNL hör till det amerikanska energidepartementet har det varit naturligt för laboratorier som LLNL att använda och utveckla denna metodik även inom frågor som rör t.ex. strategisk informationssäkerhet. Då det gäller informationssäkerhet skulle denna aktivitet på svenska kunna kallas för aktiv IT-kontroll.106 De första tre punkterna kan vara aspekter man vill belysa vid strategisk IT-säkerhet. Den sista punkten kan modifieras enligt nedan:

• vilken kompetens och skicklighet angriparen behöver inom ett antal komplicerade områden som t.ex. mjukvara, hårdvara, nätverksteknik, säkerhetsteknik, fysisk säkerhet, kunskap om olika infrastrukturer och vilka konsekvenser som kan uppnås med angrepp på IT-infrastrukturen.

En avsevärd skillnad mellan kärnvapenfallet och informationssäkerhetsfallet är att det är mycket mer som faktiskt och tekniskt kan provas med experiment i det senare fallet. Detta gynnar både försvarare och antagonist men troligtvis har antagonisten en större fördel av detta eftersom han har ett specifikt mål med sin verksamhet och kan därför bättre specificera sina experiment. Att genomföra projekt av typen N:th country när det gäller informationssäkerhet och samhällsviktig infrastruktur kan vara mycket värdefullt vid studier av kvalificerade angripare eftersom det inte finns någon erfarenhet från inträffade händelser med denna typ av antagonist. Troligtvis behövs speciella anläggningar där denna typ av experiment kan genomföras vilket berörs i avsnitt 9.4. Nedan beskrivs några olika typer av metodiker för aktiv IT-kontroll.

9.3.2 Metoder för aktiv IT-kontroll Bland amerikanska myndigheter används minst två koncept för aktiv IT-kontroll.107 Dessa koncept skiljer sig framförallt i vad man mäter i olika experiment och till vad dessa experiment syftar. Det ena konceptet är framtaget vid energidepartementets nationella laboratorium Sandia. Konceptet har använts dels inom flera typer av kritisk

106 För författaren är det inte känt om det finns en officiell svensk definition av begreppet aktiv IT-kontroll. Se begreppsdiskussion som inleder detta kapitel 107 J. Connolly, Information Assurance Operational Readiness Metrics, vid Workshop on Information-Security-System Rating and Ranking, maj 2001

FOI-R--1350--SE

77(114)

teknisk infrastruktur men också inom flera olika experiment finansierade av Defense Advanced Research Project Agency (DARPA).108 Det andra konceptet är framtaget av flera parter inom det amerikanska försvaret. Framförallt används detta koncept vid övningar inom rent militära system. Dock anses det ur ett nationellt strategiskt säkerhetsperspektiv vara viktigt att använda lärdomar som dragits från dessa övningar till att hjälpa samhällsviktiga infrastrukturer med deras kritiska IT-system.109 Sandia National Laboratories (SNL) använder sig av Information Design Assurance Red Team (IDART) metodik. Vid användandet av denna metodik insamlas vid experimenten t.ex. information om olika attacker ur framförallt angriparens perspektiv. Detta kan vara t.ex. hur lång tid attacker tar att implementera, vilken kompetens och skicklighet som angriparen behöver, sannolikhet för framgång och vilka resurser som angriparen behöver. Viktigt att notera här är att denna metodik inte primärt belyser den försvarande sidans beredskap och förmåga och de använda måtten framförallt är av kvantitativa slag. Amerikanska försvarsdepartementet och organisationen MITRE110 har utvecklat en metodik kallad Defense-IA Red Team (D-IART) 111 för amerikanska försvarsorganisationers behov. Denna metodik använder sig både av kvantitativa och kvalitativa mått relaterade till både angripare och försvare vid genomförda övningar. Metodiken, som finns beskriven i Information Assurance Red Team Handbook, anses av den amerikanska försvarsmakten vara lämplig för användning inom hela statsapparaten. En svensk översättning av den definition D-IART använder för Red Teaming skulle kunna vara:112

Ett oberoende och hotbaserat försök, från en interdisciplinär, simulerad angripare (det röda laget), som efter att lämpliga säkerhetsåtgärder har vidtagits, utnyttjar både aktiva och passiva förmågor. Detta för att på ett formellt sätt och under en tidsbegränsad period identifiera och utnyttja sårbarheter i informations-säkerheten hos försvararen (det blå laget) för att förbättra beredskapen hos det amerikanska försvarsdepartementets olika komponenter.

108 En intervju med Michael Skroch, chef för IORTA angående säkerhet i SCADA-system finns på följande sida: http://www.pbs.org/wgbh/pages/frontline/shows/cyberwar/interviews/skroch.html 109 Gregory Ratray, Office of Cyberspace Security, Air Force Information Warfare Center vid Infowarcon 2002 110 http://www.mitre.org/ 111 Department of Defense Chief Information Officers Assurance Report, April 2000. 112 A Management Process for a Defense-wide Information Assurance Program (DIAP), November 1997.

FOI-R--1350--SE

78(114)

Enligt definitionen ovan är denna typ av övningar inte begränsade till nätverksburna attacker. Angriparen kan också utnyttja fysiska attacker, ”social engineering”, operationell säkerhet och andra typer av attacker. Vidare säger definitionen att sårbarheter skall utnyttjas men det röda laget kan stödja allt från dolda, oförberedda övningar till öppna, träningsövningar. Omfattningen på övningarna kan vara allt från att angripa flera stora system inom DoD till att göra enskilda systemtester. Det finns tyvärr ingen öppen information om denna metodik eller resultat från användningen av den. Nedan följer en utförligare beskrivning av den specifika metodik som IDART använder, resultat från vissa aktiviteter samt en riskanalysmetod för styr- och reglersystem inom vattenförsörjningen man har tagit fram med utgångspunkt från sina erfarenheter. Att denna verksamhet beskrivs beror på framförallt två orsaker. Dels för att Sandias arbete med IT-säkerhet håller hög kvalité samt utförs med flera metoder, dels för att de är de enda som faktiskt publicerat artiklar om sitt arbete med aktiv IT-kontroll.113

9.3.3 Beskrivning av Information Design Assurance Red Team (IDART) På Sandia National Laboratories arbetar man med informationssäkerhet inom ramen för programmet Information Operations Red Team and AssessmentsTM Program (IORTATM).114 Enligt IORTA-deltagarnas erfarenhet är ett betraktelsesätt, en teknik eller en metodik inte tillräckligt för att skapa underlag för beslutsfattare med avseende på ett systems informationssäkerhet. Därför tillämpar man ett spektrum av värderingsmetoder och verktyg vid varje analys. När man planerar en analys görs ett antal överväganden av parametrar som t.ex. den analyserade verksamhetens mål, hur mogen säkerheten är, var i systemets livscykel man befinner sig i och vilka avgränsningar som analysen måste göra. IORTA har analyserat system inom den amerikanska infrastrukturen som t.ex. system för produktion och transmission av el, finanssystem, vattensystem, telekommunikationssystem och transportsystem. Den mest använda metodiken inom IORTA är IDARTTM-metodiken som kan sägas utgöra IORTA:s komponent för aktiva IT-kontroll. Även när analyser som genomförs inom IORTA inte kräver aktiv IT-kontroll influeras processen för att analysera en verksamhet eller ett system av IDART-metodiken d v s angreppssättet med en simulerad angripare. Vid framtagningen av en riskanalysmetod av SCADA system i

113 Sandias arbete refereras till av flera kvalificerade aktörer inom informationssäkerhetsområdet. 114 http://www.sandia.gov/iorta/

FOI-R--1350--SE

79(114)

vattenförsörjningen betonas vikten av att tillgodogöra sig erfarenheter från aktiva IT-kontroller vid genomförandet av riskanalysen.115 9.3.3.1 Övergripande metodikbeskrivning116 IDART:s analys med hjälp av aktiv IT-kontroll bygger på ett antal antaganden:

• Att det tänkta hotet existerar • Att användandet av multipla perspektiv är fundamentalt för att

analysen skall vara så fullständig som möjlig och att användandet av flera perspektiv vid konstruktion av attacker ger en mer realistisk avbildning av verkligheten

• Att det går att formulera relevanta mått t.ex. framgång för det röda laget (red team work factor, RTWF)

En grupp experter konstituerar det röda laget som modellerar angriparen. Typen av angripare som det röda laget skall modellera beror på det existerande eller upplevda hotet mot det studerade systemet. IDART har i sina studier utgått från en ”angripare med en grundkompetens” som på en övergripande nivå kan beskrivas som en mindre stat med politiska eller militära avsikter. Detta medför att angriparen karakteriseras av följande egenskaper:

• Angriparen har stora ekonomiska resurser vilket gör att han kan köpa kompetens för att utveckla ny och unik teknik

• Angriparen har aggressiva processer för att få tillgång till ”insiders” • Angriparen har specifika strategiska mål med att angripa systemet • Angriparen är riskobenägen, begåvad och kreativ

Det enda som inte är tillgängligt för denna typ av angripare är sofistikerade tekniska hjälpmedel som endast en större nation har tillgång till. Vad detta betyder exemplifieras inte. Inför varje övning formeras gruppen med utgångspunkt från målet med övningen. Alla experter i gruppen är inte nödvändigtvis IT-säkerhetsexperter. Om ett rött lag skall studera ett lagringssystem för olja engageras såväl IT-säkerhetsexperter som experter med kunskap av det aktuella lagringssystemet.

115 W. F. Young and J. M. DePoy, Relative Risk Assessment for Water Utility SCADA systems (SAND2003-1772C) 116 B. J. Wood and R. A. Duggan, Red Teaming of Advanced Information Assurance Concepts, SAND99-2590C eller Proceedings of the DARPA Information Survivability Conference & Exposition 2000 (DISCEX I), Volume II, IEEE Computer Society, Hilton Head, SC, 25-27 January 2000, pp 112-118

FOI-R--1350--SE

80(114)

IDART-metodiken kan enligt IORTA beskrivas enligt figur 9.2. Det framgår med tydlighet att ett stort antal perspektiv, i figuren benämnt vyer, belyses med metodiken och av naturliga skäl krävs expertis från flera områden. De grundläggande utgångspunkterna för analysen identifieras som beskrivning på systemnivå, förståelse för funktionalitet samt identifiering av röda lagets mål.

Figur 9.2 IDART-metodiken Det är viktigt att notera vilka aktiviteter som metodiken resulterar i. Man talar om demonstrationer, fältförsök samt experiment. IDART:s verksamhet skall med nödvändighet resultera i någon aktivitet men det behöver inte nödvändigtvis involvera skarpa system.117 Beskrivningarna av metodiken är kortfattade i nämnda artiklar och därför blir beskrivningen här kortfattad.

117 B. J. Wood and R. A. Duggan, Red Teaming of Advanced Information Assurance Concepts, SAND99-2590C eller Proceedings of the DARPA Information Survivability Conference & Exposition 2000 (DISCEX I), Volume II, IEEE Computer Society, Hilton Head, SC, 25-27 January 2000, pp 112-118

Informationom målsystem

Beskrivning på systemnivå

Förståelseför funktionalitet

Identifiera röda lagets mål

Formella vyer

Formell tolkning

System

Livscykel

FysiskRumslig

FunktionellLogisk

Temporal

Konsekvens

Attack-beskrivningar

Attraktiva sårbarheter

Attackträd

Trovärdighetsbedömning och prioritering

Aktiviteter

Expertis från erforderliga områden

Beskrivning av system





Formella vyer

Formell tolkning

System

Livscykel

FysiskRumslig

FunktionellLogisk

Temporal

Konsekvens



Attackträd


Aktiviteter






Formella vyer

Formell tolkning

System

Livscykel

FysiskRumslig

FunktionellLogisk

Temporal

Konsekvens



Attackträd


Aktiviteter






Formella vyer

Formell tolkning

System

Livscykel

FysiskRumslig

FunktionellLogisk

Temporal

Konsekvens



Attackträd


AktiviteterInformationom målsystem




Informationom målsystemInformationom målsystem

Beskrivning på systemnivå Beskrivning på systemnivå

Förståelseför funktionalitetFörståelseför funktionalitet

Identifiera röda lagets målIdentifiera röda lagets mål

Formella vyer

Formell tolkning

System

Livscykel

FysiskRumslig

FunktionellLogisk

Temporal

Konsekvens

SystemSystem

LivscykelLivscykel

FysiskRumsligFysiskRumslig

FunktionellLogiskFunktionellLogisk

TemporalTemporal

KonsekvensKonsekvens



Attackträd


Attackträd


Aktiviteter


Beskrivning av system

FOI-R--1350--SE

81(114)

9.3.3.2 Verksamheter och resultat IORTA:s personal i allmänhet och IDART-personalen i synnerhet har deltagit i flera verksamheter. En viss del av verksamheten har skett inom programmet The DARPA Information Assurance (IA) Program som sedan övergått i The DARPA Operational Partners in Experimentation (OPX) Program. Organisationer som deltagit i programmen är förutom Sandia National Laboratories t.ex. National Security Agency (NSA), SRI International, Air Force Research Laboratory (AFRL), Network Associated Inc., Boeing och BBN Technologies.118 DARPA IA programmet syftade till att integrera ett antal DARPA-utvecklade tekniker i system som skulle användas av det amerikanska försvaret t.ex. Global Command and Control System (GCCS). Inriktning låg på värdering av arkitektur på systemnivå. Initialt fokuserade man på att integrera multipla defensiva tekniker i stora IT-system som man sedan använde för att utföra obegränsade, interaktiva ”cyberkrig” mellan mänskliga ”cyberangripare” och ”cyberförsvarare”.119 Efter en tid insåg man att detta angreppssätt inte ökade förståelsen för vilka generella principer som ökar informationssäkerheten i stora system. Experimenten vara av allt för omfattande karaktär för att ge hållbara resultat. På grund av detta övergick man till en annan programmatisk inriktning som byggde på utförandet av vetenskapligt utförda experiment för att belysa en uppsättning hypoteser som berör antaganden och påståenden rörande informationssäkerhet i ”stora” system.120 Exempel på dessa hypoteser är:

• Tillförlitliga system (system med hög säkerhet mot angripare) kan byggas av ”icke-tillförlitliga” komponenter.

• System för försvar i flera lager (layered defenses) ökar säkerheten hos hela systemet.

• Dynamiskt försvar (dynamic defenses) ökar säkerheten i systemet.

118 D. Levin, Lessons Learned in Using Live Red Teams in IA Experiments, Proceedings of the DARPA Information Survivability Conference & Exposition 2003 (DISCEX III). 119 J. Lowry and K. Theriault, Experimentation in the IA Program, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), Volume II, IEEE Computer Society, Anaheim, CA, 12-14 June 2001, ss 134 -140 120 Med vetenskapligt avses härmed att experimenten avsåg att belysa välgrundade hypoteser och att det finns klara kvantitativa mått för att antingen falsifiera eller bevisa hypoteserna. I detta ingår att experimenten skall vara relevanta (korrelera till problem som finns i verkligheten), tydligt formulerade, innehålla mätbara entiteter och vara i någon mening reproducerbara.

FOI-R--1350--SE

82(114)

Falsifieringen eller bevisandet av dessa hypoteser är relevanta för fler informationssystem än de som behövs och används av den amerikanska militären och det är högst troligt att IDART använt erfarenheter från DARPA-projektet i aktiviteter de genomfört inom den amerikanska infrastrukturen. Det bör noteras att dessa hypoteser dock inte kan vara lika strikt formulerade och därmed är inte heller bevisen av dem strikta på det sätt som de hypoteser som förekommer inom t.ex. naturvetenskapen.

Det är slutligen viktigt att klargöra att det ”röda laget” i dessa experiment skiljer sig från de röda lag som vanligtvis används inom aktiv IT-kontroll. Det röda lagens aktiviteter inom vanlig aktiv IT-kontroll syftar till att hjälpa systemägare att identifiera konfigureringsfel i systemen så att dessa kan säkras för vissa specifika hot. Denna typ av verksamhet har IDART troligtvis deltagit i men i andra sammanhang. I DARPA-projektet har fokus legat på att realisera en realistisk angripare snarare än identifiera svagheter i de studerade systemen. Detta har lett till att man i experimenten hellre använder sig av begreppet modellerad angripare snarare än ett rött lag utan restriktioner från antaganden som bottnar om kunskap en verklig angripare. Detta har fått den praktiska konsekvensen att den modellerade angriparen deltar fullt ut i formuleringen av hypoteser och experimentutförande. Hur experimenten konstruerades, utfördes och vilka resultat som erhölls beskrivs i en rad artiklar förutom de som redan nämnts tidigare.121, 122, 123 Konstruktionen av experimenten involverade en stor mängd intressenter och experimentförslagen genomgick omfattande granskningar innan de genomfördes. Resultaten har karaktären av att stödja eller undergräva studerade övergripande hypoteser men de har också lett till formuleringen av underhypoteser om vilka processer, metodiker och beslutspunkter som en angripare använder och ställs inför. Även tidsåtgång för att utveckla attacker under olika förutsättningar (t.ex. med och utan vissa typer av skydd) har ”mätts”.

121 D. Kewley, R. Fink, J. Lowry, M. Dean, Dynamic Approaches to Thwart Adversary Intelligence Gathering , Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), Volume II, IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 176 -184. 122 B. J. Wood, J. F. Bouchard, D, E. Farrell, Evaluating the Effects of Adversary Behavior on Dependapble Systems , Proceedings from the Dependable Systems and Network 2001, Gothenburg, Sweden, pp C-29 – C-34. 123 J. Lowry, An Initial Foray into Understanding Adversary Planning and Courses of Action , Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), Volume II, IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 123 -133.

FOI-R--1350--SE

83(114)

Ett exempel på resultat är uppskattningen av hur lång tid en ”cyber-terrorist” lägger på olika komponenter i attackprocessen och var i hela attackprocessen dessa komponenter läggs.124 Detta redovisas i figur 9.3. Denna typ av resultat kan vara av stor nytta vid studier av vilka möjliga signaturer en kvalificerad angripare kan lämna efter sig.

Figur 9.3 Tidsåtgång för antagonist för olika steg i attacker Resultat som det ovan tjänar som beslutsunderlag för vilka tekniker och policys som man skall använda sig av för att försvåra för angriparen så mycket som möjligt. Resultaten kan också användas för att ytterligare inrikta studieverksamheter för framtida behov. Det ger dock inga resultat i form av absoluta säkerhetsåtgärder. Syftet med resultaten är att visa på att man kan använda aktiva IT-kontroller som metodik för att på ett ”vetenskapligt” sätt belysa hypoteser man har inom IT-säkerhetsområdet. IDART har deltagit i ett antal verksamheter relaterade till kritisk infrastruktur. Formen för detta arbete och specifika systemnära resultat har dock inte publicerats. Däremot har generiska slutsatser dragits från dessa studier och dessa har presenterats eller kommer att presenteras i någon

124 G. Schudel and B. Wood, Modeling Behavior of the Cyberterrorist, proceedings from Countering Cyber Terrorism Workshop, June 22-23, 1999, University of Southern California, Information Sciences Institute.

[1]

[2]

[3]

[4]

[5]

[1]

[2][3]

[4][5]

[1]

[2]

[3]

[4]

[5]

[1]

[2][3]

[4][5]

FOI-R--1350--SE

84(114)

form.125 IDART har t.ex. sammanställt de allvarligaste och vanligaste sårbarheterna som man har upptäckt i styr- och reglersystem i de delar av den amerikanska kritiska infrastrukturen som man studerat. Dessa slutsatser sammanfattas i appendix B av denna rapport för att exemplifiera vilka typer av resultat som man har fått med bland annat IDART-metodiken. Ett annat exempel på resultat är den riskanalysprocessmetodik som Sandia utvecklat för styr- och reglersystem inom vattenförsörjningen.

9.3.4 Riskanalysprocess för styr- och reglersystem inom vattenförsörjningen Den övergripande utgångspunkten vid formuleringen av denna riskanalysprocess var att SCADA-system inom vattenförsörjningen i dag allt väsentligt är en del i verksamhetens normala IT-system (med avseende på komponenter, protokoll, arkitektur, koppling till andra system). Några krav och restriktioner som identifierades innan formuleringen av riskanalysprocessen var:

• Metodiken skulle vara tillämplig på system som försörjer mer än 300 000 personer vilket egentligen ger krav på vilken komplexitet som metoden skall kunna behandla under restriktioner på analysens resurser. I USA finns det fler än trehundra vattensystem som uppfyller detta kriterium.126

• Processen måste effektivt kunna integrera kunskap från dels säkerhetsexperter, dels systemägare och systemanvändare.

• Processen måste leda till säkerhetshöjande åtgärder inom SCADA-systemet samt mer säkerhetsmedvetna systemanvändare.

Ytterligare utgångspunkter vid metodikframtagandet var:

125 Vid e-mailkommunikation med Jennifer Depoy vid Information Operations Red Team and Assessments Department (IORTA) vid Sandia National Laboratories redovisades följande rapporteringsläge:

1. W. Young, J. DePoy, Relative Risk Assessment for Water Utility SCADA systems (SAND2003-1772C)

2. J. Stamp, J. Dillinger, W. Young, Common Vulnerabilities in Critical Infrastructure Control Systems (SAND2002-0435C)

3. J. Stamp, P. Campbell, J. Depoy, J. Dillinger, W. Young, Sustainable Security for Infrastructure SCADA (SAND2003-4670C)

4. Framework for SCADA Security Policy (trolig publicering) 5. Best Practices for Secure SCADA Platforms (trolig publicering) 6. Best Practices for Secure SCADA Networks (trolig publicering) 7. Security Enforcement and Assessment for SCADA Systems (osäkert om

publicering) 8. Integration of Physical Security and Alarms in SCADA (osäkert om publicering) 9. Framework for SCADA Security Plans (osäkert om publicering) 10. Best Practices for Personnel Security in SCADA Systems (osäkert om publicering)

126 I artikeln beskrivs detta som att metoden måste vara ”…applicable to 300+ sites”

FOI-R--1350--SE

85(114)

• SCADA-system inom vattenförsörjningen fokuserar på funktionalitet i handhavandet och tillgänglighet och inte på säkerhet.

• Absoluta ”riskvärden” är inte realistiska att erhålla medan relativa riskbedömningar kan erhållas och kan ge värdefulla insikter om säkerheten hos systemet. Systemets tillgångar delas in i två klasser, tekniska tillgångar och operativa/policy tillgångar.

• Processen måste inkludera en angripares synsätt balanserat mot systemets funktionalitet.

Den grundläggande strukturen för den framtagna riskanalysprocessen består av en styrd topp-botten process (guided top-down) som integrerar en uppsättning metodiker som används av Sandia. Utgångspunkten för värderingen är en modell av ett ”säkert” generiskt vatten-SCADA-system127 (system, teknik och policy) samt ett amerikanskt riktlinjeramverk (se avsnitt 6.2) inom informationsteknik kallad CobiT

(Control Objectives for Information and related Technologies)128. Riktlinjeramverket syftar bl. a till att med utgångspunk från verksamhetens krav balansera de till buds stående medlen med kraven på säkerhet och på ett strukturerat sätt ta fram lämpliga åtgärdsförslag. Karakteristiskt för riskanalysprocessen är att den är mycket beroende av växelverkan mellan experter på olika värderingsmetoder av IT-säkerhet och kunniga systemanvändare. Sandias expertis i metodiker för att värdera IT-system har kunskap:

• om att göra systemvärderingar på hög nivå med avseende på kritiska tillgångar, sårbarheter, hot och konsekvenser.

• om processer för hantering av IT-system. • om teknisk och organisatorisk IT-säkerhet. • om genomförandet av penetrationstester och aktiv IT-kontroll.

Figur 9.4 beskriver på en övergripande nivå riskanalysprocessen. Den initiala delen av processen består av en modell av ett säkert generiskt SCADA-system som man kan relatera till under analysarbetet. Den är 127 Denna modell av ett säkert generiskt SCADA-system för vattendistribution är hemlig (privat kommunikation med William Young vid Networked Systems Survivability and Assurance Department vid Sandia National Laboratories) 128 Detta riktlinjeramverk bygger bl. a på ISO/IEC 17799. Det finns flera ramverk för att strukturera och hantera en organisations arbete med IT-säkerhet som t.ex. ISO/IEC 17799. CobiT anses av Sandia som ett brett ramverk, utformad för att förenkla revisioner samt att en stor fördel är att det underhålls av en icke-vinstdrivande organisation. Tidigare värderingar gjorda av Sandia har identifierat behovet av att anlägga ett verksamhetsperspektiv vid sina bedömningar vilket CobiT anses tillhandahålla.

FOI-R--1350--SE

86(114)

framtagen av Sandia. Med utgångspunkt från det studerade systemet och modellen gör Sandias experter en bedömning av vilka angreppsmål i det studerade systemet som är attraktiva samt vilken förmåga en angripare troligtvis har. Dessa bedömningar grundar sig troligtvis till största del på de erfarenheter som Sandia har från penetrationstester och aktiva IT-kontroller. Därefter utför Sandias personal tillsammans med representanter från systemägarna en bedömning av det studerade systemets sårbarheter. De två ovannämnda aktiviteterna leder till en prioritering av vilka attacker som är mest troliga. Parallellt med dessa aktiviteter gör representanter från systemägarna en bedömning och prioritering av oönskade konsekvenser. Detta utgör sedan tillsammans med listan över mest troliga attacker grunden för den relativa riskbedömningen av säkerhetsrisker som sedan formuleras. Ett exempel på en sådan återges i figur 9.6.

FOI-R--1350--SE

87(114)

Figur 9. 4. Riskanalysprocess för styr- och reglersystem inom vattenförsörjningen

Mod

ell a

v sä

kert

gen

eris

kt

vatte

n SC

ADA

syst

em, t

ekni

k oc

h po

licy

(fram

tage

n av

San

dias

expe

rter)

Bedö

mni

ngav

st

uder

at s

yste

ms

sårb

arhe

tjäm

fört

med

ge

neris

kt S

CA

DA

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Angr

ipar

ens

mål

och

förm

åga

bedö

ms

med

utgå

ngsp

unkt

från

gen

eris

kt

SC

AD

A s

yste

m(g

enom

förs

av

San

dias

expe

rter)

Bedö

mni

ngav

ic

ke-ö

nskv

ärda

ko

nsek

vens

eri s

tude

rat

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

)

Upp

skat

tnin

g av

san

nolik

het

att a

ttack

gen

omfö

rs(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Fram

stäl

lnin

g av

en

rela

tivris

kbed

ömni

ng a

v ty

pen

hög,

mel

lan

och

låg

risk

(gen

omfö

rs a

v pe

rson

al fr

ånst

uder

at s

yste

m o

ch

expe

rter f

rån

San

dia)

Låg

Bra

ndvä

ggar

Låg

Kab

lar

Låg

Fysi

skt s

kydd

Låg

Rem

ote

Term

inal

Uni

t (R

TU)

Mel

lan

Inte

rnet

ansl

utni

ngar

Hög

Ser

ver f

ör S

CA

DA

-sys

tem

Rel

ativ

sä

kerh

etss

årba

rhet

Slut

lig

rela

tiv ri

skbe

döm

ning Exe

mpe

l på

resu

ltat f

rån

riska

naly

s

Mod

ell a

v sä

kert

gen

eris

kt

vatte

n SC

ADA

syst

em, t

ekni

k oc

h po

licy

(fram

tage

n av

San

dias

expe

rter)

Mod

ell a

v sä

kert

gen

eris

kt

vatte

n SC

ADA

syst

em, t

ekni

k oc

h po

licy

(fram

tage

n av

San

dias

expe

rter)

Bedö

mni

ngav

st

uder

at s

yste

ms

sårb

arhe

tjäm

fört

med

ge

neris

kt S

CA

DA

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Bedö

mni

ngav

st

uder

at s

yste

ms

sårb

arhe

tjäm

fört

med

ge

neris

kt S

CA

DA

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Angr

ipar

ens

mål

och

förm

åga

bedö

ms

med

utgå

ngsp

unkt

från

gen

eris

kt

SC

AD

A s

yste

m(g

enom

förs

av

San

dias

expe

rter)

Angr

ipar

ens

mål

och

förm

åga

bedö

ms

med

utgå

ngsp

unkt

från

gen

eris

kt

SC

AD

A s

yste

m(g

enom

förs

av

San

dias

expe

rter)

Bedö

mni

ngav

ic

ke-ö

nskv

ärda

ko

nsek

vens

eri s

tude

rat

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

)

Bedö

mni

ngav

ic

ke-ö

nskv

ärda

ko

nsek

vens

eri s

tude

rat

syst

em(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

)

Upp

skat

tnin

g av

san

nolik

het

att a

ttack

gen

omfö

rs(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Upp

skat

tnin

g av

san

nolik

het

att a

ttack

gen

omfö

rs(g

enom

förs

av

pers

onal

från

stud

erat

sys

tem

och

San

dias

expe

rter)

Fram

stäl

lnin

g av

en

rela

tivris

kbed

ömni

ng a

v ty

pen

hög,

mel

lan

och

låg

risk

(gen

omfö

rs a

v pe

rson

al fr

ånst

uder

at s

yste

m o

ch

expe

rter f

rån

San

dia)

Fram

stäl

lnin

g av

en

rela

tivris

kbed

ömni

ng a

v ty

pen

hög,

mel

lan

och

låg

risk

(gen

omfö

rs a

v pe

rson

al fr

ånst

uder

at s

yste

m o

ch

expe

rter f

rån

San

dia)

Låg

Bra

ndvä

ggar

Låg

Kab

lar

Låg

Fysi

skt s

kydd

Låg

Rem

ote

Term

inal

Uni

t (R

TU)

Mel

lan

Inte

rnet

ansl

utni

ngar

Hög

Ser

ver f

ör S

CA

DA

-sys

tem

Rel

ativ

sä

kerh

etss

årba

rhet

Slut

lig

rela

tiv ri

skbe

döm

ning Exe

mpe

l på

resu

ltat f

rån

riska

naly

s

FOI-R--1350--SE

88(114)

9.4 Testanläggningar för studier av säkerhet i styr- och reglersystem

En viktig beståndsdel i experimenten som diskuteras ovan är anläggningen som skall testas, eller som experimentet skall genomföras på. När det gäller skarpa anläggningar är det ofta inte möjligt att använda dessa mer än för mycket avgränsade och säkra experiment. För att hantera detta har man i USA byggt upp ett antal testanläggningar som skall utgöra representationer av de datorsystem som används inom den amerikanska infrastrukturen. I juli 2003 höll amerikanska energidepartementet en konferens med nya Department of Homeland Security samt nationella laboratorier och myndigheter med ansvar för att säkra styr- och reglersystem i den amerikanska infrastrukturen.129 Där diskuterades tre testanläggningar för studier av sårbarheter i SCADA –system som finns i USA. Nedan beskrivs dessa kortfattat.

9.4.1 National Institute of Standards and Technology National Institute of Standards and Technology (NIST) har initierat utvecklandet av en försöksanläggning för studier av IT-säkerhet i styr- och reglersystem som förekommer i samhällviktig infrastruktur.130 Försöksanläggningen består av flera implementeringar av typiska styr- och reglersystem (programvara, nätverkselement, sensorer, regulatorer, säkerhetsprodukter etc.). Anläggningen används för att utprova metoder för att undersöka hur verkningsfulla olika säkerhetslösningar är i de representerade styr- och reglersystem. Försöksanläggningen används också för att identifiera sårbarheter i den här typen av system samt för att utarbeta bästa möjliga riktlinjer för hur systemen skall konfigureras och hanteras för att största möjliga säkerhetsnivå skall uppnås. I figur 9.5 visas en översiktlig bild över den på NIST existerande försöksanläggningen där några delsystem är beskrivna på svenska. En uppskattning av kostnaden för just denna anläggning är någonstans mellan 0,5-1 miljon svenska kronor vilket utgör materialkostnaden.131 För närvarande utför man tester av antivirusprogramvara på olika delar i systemet.132 Bland annat designar man tester som skall vara repeterbara,

129U. S. Department of Energy, Office of Energy Assurance, Meeting brief: DOE/DHS SCADA Metting July 16, 2003. http://www.ea.doe.gov/pdfs/scada.pdf 130PCSRF (Process Control Security Requirements Forum) http://www.isd.mel.nist.gov/project/processcontroll/members/documents/Equipment_list_small.ppt (kräver medlemskap i forumet) 131 Privat kommunikation 031113 med Arne Vidström, Institutionen för Systemanalys och IT-säkerhet, FOI 132 Privat kommunikation med Ketih Stouffer, NIST 031121 samt dragning Performance Testing: The Effects of Antivirus Software on the Operation of PC Based HMI Software, Joe Falco vid Manufacturing Engineering Laboratory , NIST (040218).

FOI-R--1350--SE

89(114)

man jämför belastningen på styr- och reglersystemen med och utan antivirusprogramvara, man injicerar testvirus samt loggar systemens prestanda under virusuppdateringar. Dessutom arbetar man med att koppla ihop sin testanläggning med en säker elektronisk kommunikationslösning till amerikanska nationella SCADA-testanläggningen vid Idaho National Engineering and Environmental Laboraory (INEEL) (se avsnitt 9.4.3).133 Figur 9.5 NIST:s försöksanläggning för IT-säkerhet i processkontrollsystem.

9.4.2 Sandia National Laboratories Energidepartementets nationella laboratorium Sandia har en testanläggning, SCADA Security Development Laboratory (SSDL) som utgör en miljö för att utvärdera sårbarheter i kommersiella SCADA-system och för att utprova nya säkerhetsteknologier.134, Sandia anser att den flexibla arkitekturen hos SSDL tillåter snabba konfigureringar av olika SCADA-element för att kunna modellera en mängd olika system. SSDL består av kommersiella mjuk- och hårdvarukomponenter med standard operativsystem och protokoll. SCADA-elementen utgör representativa komponenter i system som används i den amerikanska kritiska infrastrukturen. Detta kan sedan

133 http://www.inel.gov/nationalsecurity/critical_infrastructure_protection_program/ 134 Faktablad Sandia National Laboratories SCADA Initiatives, http://www.sandia.gov/

Vattenförsörjningssystem Angripare

brandväggar

Trådlöskommunikation

Industriellproduktionsprocess

Vattenförsörjningssystem Angripare

brandväggar

Trådlöskommunikation

Industriellproduktionsprocess

FOI-R--1350--SE

90(114)

kopplas ihop med andra resurser som t.ex. avancerade beräkningsdatorer och laboratorier för kryptografisk forskning.

9.4.3 Idaho National Engineering and Environmental Laboratory (INEEL) Programmet Critical Infrastructure Protection Program genomförs vid Idaho National Engineering and Environmental Laboraory (INEEL) som är ett av amerikanska energidepartementets nationella laboratorier.135 Huvudkomponenten i detta är den stora testanläggningen (Critical Infrastructure Test Range, CITR) som delvis utgör en avbildning av den amerikanska tekniska infrastrukturen.136 På den cirka 2500 kvadratkilometer stora ytan finns kärnreaktorer, transmissions- och distributionsnät för el, vägar och järnvägssystem, vattensystem, olika typer av elektroniska kommunikationssystem samt styr- och reglersystem för ovanstående enheter. Ursprunget till anläggningen är den 50-åriga verksamhet som inledningsvis bestod av utprovning av kommersiella kärnreaktorer samt marinens kärnreaktorer. Vid CITR kan, enligt INEEL, teknologier, system och policys som skyddar den amerikanska tekniska infrastrukturen utvecklas och provas. INEEL utvecklar tillsammans med SNL den amerikanska nationella SCADA- testanläggningen (National SCADA test bed).137 Vid INEEL används en mängd SCADA- system som används i realtid vid INEEL:s skarpa system. Detta inkluderar bland annat ett SCADA-system för att hantera transmission och distribution av el inom testområdet. Tillgången till denna typ av system och möjligheten att genomföra sårbarhetsstudier anses vara av stor vikt för att avsevärt förbättra säkerheten i denna typ av system. Den nationella SCADA-testanläggningen finansieras av det amerikanska energidepartementet under en åtta- årsperiod. Budgeten under dessa åtta år uppgår till ca 1,1 miljard svenska kronor.138 Syftet är att inte bara personal från SNL och INEEL skall delta i specifika projekt utan även experter från andra myndigheter, universitet och industri skall kunna ingå i projektgrupper.

9.4.4 Aspekter på experiment i testanläggningar Det finns både för- och nackdelar med att använda sig av testanläggningar vid IT-säkerhetsanalyser för kritisk infrastruktur. De dominerande

135 http://www.inel.gov/nationalsecurity/critical_infrastructure_protection_program/ 136http://www.inel.gov/nationalsecurity/critical_infrastructure_protection_program/pdfs/critical_infrastructure_test_range.pdf 137http://www.inel.gov/nationalsecurity/critical_infrastructure_protection_program/pdfs/scada_test_bed.pdf 138 http://www.inel.gov/featurestories/03-03scada-test-bed.shtml

FOI-R--1350--SE

91(114)

nackdelarna torde vara att större anläggningar är dyra både med avseende på initiala investeringar och sedan det kontinuerliga underhållet av dem. Dessutom kan det potentiellt sett samlas mängder med mycket känslig information i anslutning till dessa anläggningar. Fördelarna med att sätta upp testanläggningar för SCADA-system är på en övergripande nivå att:

• Det troligtvis är lätt att bygga upp system som är representativa för flera. infrastrukturer och därmed uppnås ett effektivt utnyttjande av resurser.

• Det torde vara lätt att få gehör för denna lösning även bland affärsdrivande verksamhet eftersom man inte behöver peka ut någon speciell organisation när resultat skall redovisas.

• SCADA-system har oftast lång livslängd i skarpa verksamheter eftersom det får stora konsekvenser om dessa måste bytas ut. Därför blir det ekonomiskt lönsamt att bygga upp dessa testanläggningar.

På en rent experimentell nivå visar IDART:s erfarenheter från DARPA IA på att de bästa resultaten av aktiv IT-kontroll uppnås vid kontrollerade experiment. Testanläggningar som anses utgöra goda representationer av kritisk infrastruktur (åtminstone ur ett tekniskt och delvis operationellt och organisatoriskt perspektiv) leder till att man kan formulera hypoteser som är relevanta för infrastrukturen. Det kan t.ex. vara relativt grundläggande frågor som att studera betydelsen av att följa eller inte följa ”best practices” som t.ex. KBM:s BITS och att inte tillämpa dessa. Detta skulle kunna vara en typ av hypotes att testa. Nu har man troligtvis ganska dålig uppfattning om vad dessa rekommendationer har för betydelse. Kontrollerade experiment av typen penetrationstester och aktiv IT-kontroll vid testanläggningar kan innebära att man kan använda alla typer av verktyg vid såväl anfall som försvar. Dessa kan vara på utvecklingsstadium eller helt färdigutvecklade. Konsekvenser som inte är acceptabla i skarpa system kan tillåtas. Man kan samla in information från alla relevanta system och verksamheter under kontrollerade former. Om man har anläggningar som är tillräckligt goda avbildningar av verkliga system, med avseende på teknik och organisation kan man även tänka sig att använda anläggningarna för utbildning av operatörer från delar av den samhällsviktiga infrastrukturen. Det kan jämföras med den utbildning av operatörer av kärnkraftverk som sker vid Studsvik där det finns exakta kopior på kontrollrum för samtliga svenska kärnreaktorer.

9.5 Slutsatser för svenska förhållanden av denna metodikbeskrivning

Inom den svenska infrastrukturen har experiment av typen penetrationstester och aktiva IT-kontroller hittills förekommit mycket sparsamt. Dessutom

FOI-R--1350--SE

92(114)

tyder den tillgängliga informationen om denna typ av experiment att innehållet och syftet med dem inte är helt klart definierat bland svenska organisationer. Experiment kan användas för övning av personal och identifiering av vissa sårbarheter i skarpa system. När detta görs är det viktigt att experimenten genomförs i system som är tillräckligt mogna för att experimenten skall ge något. I en av IORTA:s rapporter anförs tre komponenter som särskilt viktiga att arbeta med för att skapa en hållbar informationssäkerhet för SCADA-system.139 Komponenterna är: säkerhetsadministration, säkerhetstekniker och penetrationstester/aktiva IT-kontroller. Den tredje komponenten anses dock i dagsläget av IORTA att vara relativt ointressant eftersom de flesta infrastrukturer befinner sig på en allt för låg IT-säkerhetsnivå för att penetrationstester/aktiva IT-kontroller skall ge något värdefullt bidrag i säkerhetsarbete. Om penetrationstester/aktiva IT-kontroller skall användas är det av stor vikt att kompetent och pålitlig personal används. Eftersom kompetent IT-säkerhetspersonal är en stor bristvara är det troligt att ägare av infrastruktur kommer att behöva anlita privata konsulter för visa typer av tester. I Storbritannien måste konsulter certifieras för att kunna anlitas för att utföra visa typer av penetrationstester i statsapparaten. Detta kan vara ett sätt att delvis garantera kompetens och pålitlighet hos utförare av penetrationstester. Minst lika viktigt är det att använda aktiv IT-kontroll som ett analytiskt angreppssätt för att belysa ett antal kritiska frågor rörande informationssäkerhet i infrastrukturen. Detta kan göras i rigoröst uppsatta experiment med välformulerade hypoteser som skall falsifieras eller bevisas. Detta bör genomföras i för ändamålet byggda experimentanläggningar. Inom samhällsviktig infrastruktur finns ofta samma typ av system i flera verksamheter vilket betyder att resultat från experiment, om dessa är välformulerade, kan vara giltiga för flera infrastrukturer. Detta kan sedan generera skräddarsydda rekommendationer på olika systemnivåer. Amerikanska energidepartementet har t.ex. tagit fram en lista på åtgärder som bör genomföras av ansvariga för styr- och reglersystem inom infrastrukturen för produktion och distribution av el.140

139 I J. Stamp, P. Campbell, J. Depoy, J. Dillinger, W. Young, Sustainable Security for Infrastructure SCADA (SAND2003-4670C) 140 U.S. Department of Energy: Office of Energy Assurance. (2003). 21 Steps to Improve Cyber Security of SCADA Networks.

FOI-R--1350--SE

93(114)

Aktiv IT-kontroll är en metodik som ger en möjlighet att generera underlag rörande kvalificerade angripare. Dock är all verksamhet där människor utgör en viktig komponent behäftat med subjektiva bedömningar och resultaten är sällan reproducerbara. Dessutom är kvalitén på resultaten d v s hur väl en kvalificerad angripare avbildas beroende på kompetensen hos utförarna. Med avsaknad av historiska data av attacker från kvalificerade angripare kan olika typer av aktiva IT-kontroller vara ett av få sätt att skapa någon form av underbyggt underlag för detta hot. En grupp som IDART som dels bedriver forskning i laboratorium, dels arbetar med riktiga system är väsentlig för att både kunna utveckla teknik och strategi med avseende på IT-säkerhet inom samhällsviktig infrastruktur. Ytterligare en viktig komponent är att kunna ha testanläggningar där man kan smälta ihop erfarenheter från dessa områden.

FOI-R--1350--SE

94(114)

10 Diskussion och slutsatser I detta kapitel genomförs en övergripande diskussion under fyra rubriker som kan anses representera de områden som identifierats som särskilt viktiga att bedriva kunskapsutveckling inom. Områdena är Metodiker för informationssäkerhetsanalyser och deras inbördes relation, Kunskap om kvalificerat antagonistiskt hot, Säkerhetsanalyser genom experiment samt Säkerhetsanalyser av styr- och reglersystem.

10.1 Metodiker för informationssäkerhetsanalyser och deras inbördes relation

I kapitel 6 beskrivs olika befintliga modeller och analysmetoder för IT-säkerhet och i figur 6.1 relateras dessa modeller och metoder till varandra med hjälp beskrivningsparametrarna systemnivå samt vilket grad av belysning av antagonistiskt hot som metoden klarar. I figur 10.1 beskrivs en i någon mening önskvärd situation med avseende på metoder och relationen mellan dessa.

När det kvalificerade antagonistiska hotet skall belysas, t.ex. hotet från underrättelsetjänster mot samhällsviktig infrastruktur, är det troligtvis motiverat att ett nationellt säkerhetsarbete måste bedrivas. Detta är representerat i figur 10.1 med begreppet nationellt säkerhetsarbete som utgörs av metoderna A till F. Detta kan t.ex. betyda att befintliga metoder som redan används av organisationer, vilket i figur 10.1 benämns metod 1 till 6 kompletteras för att även kvalificerade antagonistiska hot kan belysas. Att vissa metoder som organisationer använder är streckade i figur 10.1 skall tolkas som att vissa metoder inte rimligtvis är av intresse eller kompetensnivå för enskilda infrastrukturorganisationer som t.ex. lägsta nivån, komponentnivån eller högsta nivån, infrastrukturnivån.

Ett exempel på hur nationellt säkerhetsarbete kan implementeras är t.ex. engelska statens reglering av penetrationstester. I Storbritannien är penetrationstester inom samhällsviktig infrastruktur reglerade med att privata företag måste certifieras innan de får genomföra vad som kallas IT Health Checks. Certifieringen görs av Communications-Electronics Security Group (CESG141) vid Government Communications Headquarters

141 http://www.cesg.gov.uk/index.cfm

FOI-R--1350--SE

95(114)

(GCHQ142). För speciellt känsliga system kommer dock personal från CESG att användas. CESG certifierar också andra typer av IT-säkerhetsspecialister inom ramen för CESG:s Listed Adviser Scheme som skapat en sammanslutning av mycket kompetenta konsulter som kan arbeta inom myndigheter. När det gäller t.ex. den lägsta nivån, komponentnivån, är det intressanta att identifiera att trenden i USA är att olika sektorer inom den kritiska infrastrukturen arbetar med att modifiera metodiken med Common Criteria. Modifieringen syftar till att få metodiken att bli mer lättanvänd för respektive sektor samt att man frångår komponentnivån till att mer omfatta hela system, både med avseende på teknik och på organisation.

Ytterligare en egenskap hos metoderna är att det skall vara naturligt att integrera resultat eller erfarenheter från en metod med motsvarande från en annan metod. Om man t.ex. genomför aktiva IT-kontroller (metod D) skall denna information kunna integreras i metoder som SBA (metod E). För det nationella säkerhetsarbetet kan det vara särskilt viktigt att få övergripande resultat där resultat från alla eller flera nivåer integreras (metod F) på något sätt för att beslut om strategi för tillsyn eller kunskapsutveckling skall kunna ske på ett effektivt sätt.

Figur 10.1 Önskvärd situation med avseende på metodiker

Exempel på resultat från integrerade analyser är de övergripande resultat och erfarenheter man tagit fram från de genomförda analyserna med metoden som presenteras i kapitel 7.143 Dessa resultat och erfarenheter sammanfattas kortfattat i appendix A. Dessa har genererat slutsatser om vad

142 http://www.gchq.gov.uk/ 143 U. S. Department of Energy, Office of Energy Assurance, September 28, 2001, Vulnerability Assessment and Survey Program: Lessons Learned and Best Practices.

Grad av belysning av kvalificeratantagonistiskthot

Komponent Införandeprocess System System av system Organisation Infrastruktur

Metod A Metod B Metod C Metod D Metod E Metod F

Metod 1 Metod 2 Metod 3 Metod 4 Metod 5 Metod 6

Organisationens metoder

Nationellt säkerhetsarbete

Integrerat resultat

Grad av belysning av kvalificeratantagonistiskthot

Komponent Införandeprocess System System av system Organisation InfrastrukturKomponent Införandeprocess System System av system Organisation Infrastruktur

Metod A Metod B Metod C Metod D Metod E Metod FMetod A Metod B Metod C Metod D Metod E Metod F

Metod 1 Metod 2 Metod 3 Metod 4 Metod 5 Metod 6Metod 1 Metod 2 Metod 3 Metod 4 Metod 5 Metod 6

Organisationens metoder

Nationellt säkerhetsarbete

Integrerat resultat

FOI-R--1350--SE

96(114)

organisationer inom elkraftsinfrastrukturen skall göra för att förbättra sin säkerhet. Slutsatserna presenteras på två nivåer. På en högre aggregeringsnivå genereras rekommendationer till elkraftsinfrastrukturen rörande organisation, utbildning och personalförsörjning. När det t.ex. gäller utbildning identifieras vikten av att både ledningen av verksamheten samt personer med praktiskt ansvar för IT-säkerhetsfrågor måste vidareutbildas kontinuerligt. Slutsatser som direkt kopplar till respektive delelement av sårbarhetsanalysen identifierar specifika omständigheter som råder inom elkraftsinfrastrukturen. En lärdom från t.ex. elementet penetrationstester är vikten av att värdera och klassificera den information som verksamheten använder. Slutsatser inom olika delelement i sårbarhetsanalysen kan sammanföras för ett sakområde och generera rekommendationer inom detta. Ett exempel på detta är troligtvis framtagandet av rekommendationer144 avseende IT-säkerheten för styr- och reglersystem. Ytterligare exempel på integrerade resultat är de aggregerade slutsatser som presenteras från den verksamhet som Sandia National Laboratories har haft inom den amerikanska kritiska infrastrukturen med inriktning mot informationssäkerhet i styr- och reglersystem. Metoderna sträcker sig i princip från metoderna A till E i figuren 10.1. Inom ramen för KBM:s forskningsprogram Säkring av viktig infrastruktur har en studie genomförts som syftar mot att ta fram en metod145 som delvis länkar samma resultat från olika nivåer i spektrumet i figur 10.1. Syftet med studien var att från en grundläggande nivå undersöka hur incidenter (inträffade eller inducerade) kan användas för att identifiera bakomliggande orsaker till säkerhetsbrister för att på så sätt kunna konstruera lämpliga åtgärdsprogram. Detta resulterade i en formulering av ett ramverk för att kunna kartlägga beslut som påverkat eller påverkar IT-säkerhetsfrågor, d v s säkerhetsbristerna som hanteras är på nivåerna system, system av system samt organisation. I figuren 10.1 motsvarar detta resultat från metoderna C-E (3-5). Figur 10.1 skulle kunna kompletteras med ytterligare en dimension nämligen en tidsaxel som går vinkelrätt mot pappret. Här skulle information från inträffade incidenter (verkliga eller inducerade) kunna placeras. Dessa

144 U.S. Department of Energy: Office of Energy Assurance. (2003). 21 Steps to Improve Cyber Security of SCADA Networks. 145 A. Vidström, L. Westerdahl, A. Hunstad, J. Hallberg, Spårning – från IT-säkerhetsbrister till bakomliggande orsaker, FOI-R--1215—SE (januari 2004)

FOI-R--1350--SE

97(114)

incidenter borde beskrivas på flera beskrivningsnivåer för att kunna användas vid framtagande av rekommendationer som metoden ovan belyser. Traditionellt sett har man med incidenter menat angrepp medelst virus, maskar eller trojaner som utnyttjar specifika kända sårbarheter. Även detta kan användas för att diskutera åtgärder t.ex. när man beskriver en livscykelmodell för sårbarheter med bl.a. utgångspunkt från intrångsstatistik för att sedan använda modellen för att ge rekommendationer för säkerhetsadministrationen av systemen.146 Avslutningsvis är det också viktigt att nämna att bör man noga tänka igenom livslängden hos resultat från olika metoder när man lägger upp en strategi för hur man skall genomföra en kedja som A till F.

10.2 Kunskap om kvalificerade antagonistiska hot Det blir alltmer viktigt att realistiskt modellera de kvalificerade antagonistiska hoten för att genomföra effektiva riskanalyser som har bäring mot nationell säkerhet. Man behöver kunskap från områden som IT-incidentanalyser, penetrationstester, aktiva IT-kontroller, nulägesanalyser och underlag från underrättelsetjänster. Det är svårt för enskilda organisationer inom samhällsviktig infrastruktur att besitta denna kompetens om hotet eftersom detta inte är kärnverksamhet och den kräver dessutom att intern och extern kompetens som samverkar. En grupp som Sandias IDART deltar i varierande verksamheter t.ex. experiment där fokus ligger på att ta fram underlag om antagonisten men som också studerar skarpa IT-system eller representationer av IT-system inom kritisk infrastruktur. Denna typ av grupp bör besitta viktig information om den kvalificerade hotbilden mot dessa system. Det som är avgörande är hur deras kunskap kan integreras i andra metodiker när beskrivningar av ett kvalificerat hot behövs. All verksamhet där människor utgör en viktig komponent är behäftat med subjektiva bedömningar och resultaten är sällan reproducerbara. Dessutom är kvalitén på resultaten d v s hur väl en kvalificerad angripare avbildas vid experiment beroende på kompetensen hos utförarna. Avsaknad av historiska data av attacker från kvalificerade angripare leder dock till att olika typer av aktiva IT-kontroller kan vara ett av få sätt att skapa någon form av underbyggt underlag för detta hot.

146 W. Arbaugh, W. Fithen, J. McHugh, Windows of Vulnerability: A Case Study Analysis, IEEE Computer (December 2000)

FOI-R--1350--SE

98(114)

Konceptet som används inom BT IAP, nämligen att bilda ett threat modeling team kunde möjligen vara lämpligt att införa inom det svenska nationella säkerhetsarbetet. Detta för att kunna stödja inte bara en organisation utan flertalet organisationer inom den kritiska infrastrukturen som inte själva har resurser att sätta ihop denna typ av grupp. Detta kunde vara ett kostnadseffektivt sätt att hantera problematiken med att belysa kvalificerade angripare vid risk- och sårbarhetsanalyser på ett adekvat sätt. En komplikation med en sådan lösning är att en sådan grupp måste besitta kunskap om många organisationers verksamheter och system. Detta skulle delvis kunna avhjälpas om man kan skapa tillräckligt goda generiska verksamhets- och systembeskrivningar av de verksamheter som är tänkta att studeras.

10.3 Säkerhetsanalyser genom experiment Experiment kan användas för övning av personal och identifiering av vissa sårbarheter i skarpa system. När detta görs är det viktigt att experimenten genomförs i system som är tillräckligt mogna för att experimenten skall ge något. I en av IORTA:s rapporteranses dock i dagsläget vara relativt ointressant att genomföra penetrationstester/aktiva IT-kontroller eftersom de flesta infrastrukturer befinner sig på en allt för låg IT-säkerhetsnivå för att dessa aktiviteter skall ge något värdefullt bidrag i säkerhetsarbete.147 Om penetrationstester/aktiva IT-kontroller skall användas är det av stor vikt att kompetent och pålitlig personal används. Eftersom kompetent IT-säkerhetspersonal är en stor bristvara är det troligt att ägare av infrastruktur kommer att behöva anlita privata konsulter för visa typer av tester. För detta kan det krävas att certifiering införs. Detta kan vara ett sätt att delvis garantera kompetens och pålitlighet hos utförare av penetrationstester. Minst lika viktigt är det att använda aktiv IT-kontroll som ett analytiskt angreppssätt för att belysa ett antal kritiska frågor rörande informationssäkerhet i infrastrukturen. Detta kan göras i rigoröst uppsatta experiment med välformulerade hypoteser som skall bevisas. Detta bör genomföras i för ändamålet byggda experimentanläggningar. Inom samhällsviktig infrastruktur finns ofta samma typ av system i flera verksamheter vilket betyder att resultat från experiment, om dessa är välformulerade, kan vara giltiga för flera infrastrukturer. Detta kan sedan generera skräddarsydda rekommendationer på olika systemnivåer.

147 I J. Stamp, P. Campbell, J. Depoy, J. Dillinger, W. Young, Sustainable Security for Infrastructure SCADA (SAND2003-4670C)

FOI-R--1350--SE

99(114)

En grupp som IDART som dels bedriver forskning i laboratorium, dels arbetar med riktiga system är väsentlig för att kunna utveckla både teknik och strategi med avseende på IT-säkerhet inom samhällsviktig infrastruktur. Ytterligare en viktig komponent är att kunna ha testanläggningar där man kan smälta ihop erfarenheter från dessa områden.

10.4 Säkerhetsanalyser av styr- och reglersystem Medvetenhet om sårbarheter i styr- och reglersystem som kan utnyttjas av en antagonist anses som låg hos dem som äger dessa system samtidigt som den traditionella IT-säkerhetsindustrin har begränsad kunskap om styr- och reglersystem.148 Marknaden för IT-säkerhet i styr- och reglersystem har varit mycket liten. Vad som kommer att krävas är att myndigheter börjar ställa krav på IT-säkerhet i styr- och reglersystem men också tillhandahålla ekonomiska medel för att IT-säkerhetskompetens (forskning och industri) skall kunna avdelas för lösa dessa problem. Viktiga områden är

• Forskning och utveckling av säkerhet i styr- och reglersystem. • Upprättandet av experimentanläggningar för studier av intrång i styr-

och reglersystem.149 • Utveckling av procedurer och standarder för IT-säkerhet i styr- och

reglersystem. Konvergensen på den tekniska nivån som skapar sårbarheter i sig leder samtidigt till fördelen att staten kan ta ett ansvar för metodutveckling samt stöd vid genomförande av riskanalyser av IT-system i samhällsviktig infrastruktur. Många steg i risk- och sårbarhetsanalyser kan initialt vara kostsamma men kan troligtvis vara beständiga under lång tid t.ex. konsekvensanalyser. Ett annat område där detta kan gälla är kartläggning av infrastrukturer, tekniskt och organisatoriskt. Detta kan leda till att man kan bygga upp generiska testanläggning och där man t.ex. kan utarbeta riktlinjer för säkerhetsarbetet inom flera infrastrukturer.

148 Control system cyber security – maintaining the reliability of the critical infrastructure. Testimony of J. Weiss, control system security expert before the Committee Government Reform's Subcommittee on Government Efficiency, Financial Management, and Intergovernmental Relations, U.S. House of Representatives on July 24, 2002. 149 SANDIA National Laboratories SCADA Initiative. http://www.sandia.gov/CIS/doc/factsheetscada.doc

FOI-R--1350--SE

100(114)

11 Referenser R. Andersson, A. Hunstad, J. Hallberg, Evaluation of the Security of Components in Distributed Information Systems, FOI-R—1042—SE (november 2003) F. Björck. Security Scandinavian Style – Interpreting the Practice of Managing Information Security in Organisation, Licentiate thesis, DSV, Stockholm University/ Royal Institute of Technology, No 01-017 (2001) D. Bodeau, Information Assurance Assessment: Lessons-Learned and Challenges,Workshop on Information-Security-System Rating and Ranking (maj 2001) M. Berg, P. Campbell, T. Draelos, D. Duggen, M. Torgerson, B. Vav Leeuwen, W. Young, Distributed Denial-of-Service Characterization, SAND 2003-1866 S. Borg, The Economics of Cyber-Attacks, presentation vid Infowarcon 2003. Rolf Carlson, High-Security SCADA LDRD Final, SAND2002-0729 (april 2002) T. Cegrell, U. Sandberg, Industriella Styrsystem, SIFU Förlag/Läromedel, ISBN 91-88330-00-1 (1994) H. Christiansson, Jonas Hallberg, Riitta Räty, Arne Vidström, Anläggningsändring vid ett kärnkraftverk, FOI MEMO H 151 (januari 2004) C. J. Colwill, M. C. Todd, G. P. Fielder, C. Natanson, Information Assurance, , Internet and Wireless Security, R. Temple, J. Regnault (Eds.), BTexact Communications Technology Series, ISBN 0852961979 (2002) J. Connolly, Information Assurance Operational Readiness Metrics, Workshop on Information-Security-System Rating and Ranking (maj 2001) Effektivitetsrevisionen RRV, Riskhantering i statliga myndigheter, RRV 2002:25 (2002) J. W. Freeman, T. C. Darr and R. B. Neely, Risk assessment for Large Heterogeneous Systems,13 th Annual Computer Security Application Conference, pp 44-52 (1997)

FOI-R--1350--SE

101(114)

H. Fridheim, J. Hagen, S. Henriksen, En sårbar kraftforsyning - Sluttrapport etter BAS3, FFI/RAPPORT-2001/02381

M. Fylkner, H. Carlsen, B. Lewerentz, Det kvalificerade IT-hotet - vad säger experterna? En empirisk studie om samtida hot och sårbarheter i nätverkssamhället, FOI-R--1105—SE, (2003). D. Geer, J. Harthorne, Penetration Testing: A Duet, Proceedings of the 18 th Annual Computer Security Applications Conference (2002) D. Herrmann, Common Criteria Cleared for Take Off at FAA, internt arbetsdokument vid FAA (2004). A. Helsinger, W. Ferguson, R. Lazarus, Exploring Large-Scale, Distributed System Behavior with a Focus on Information Assurance, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 273-285 Å. Holmgren, Riskbegrepp inom systemsäkerhetsforskning och företagsekonomi, FOI Underlagsrapport, FOI-R—0966—SE (oktober 2003) Hans Husman, Säkerhetstester av ditt IT-system, Säkerhet & Sekretess 6 (2001) ISO/IEC 177 99. Ledningssystem för informationssäkerhet – Del 1: Riktlinjer för ledning av informationssäkerhet. (2001) D. Kewley, R. Fink, J. Lowry, M. Dean, Dynamic Approaches to Thwart Adversary Intelligence Gathering, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), Volume II, IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 176 -184. Krisberedskapsmyndigheten, Basnivå för IT-säkerhet (BITS), Krisberedskapsmyndighetens utbildningsserie 2003:5 (2003) D. Levin, Lessons Learned in Using Live Red Teams in IA Experiments, Proceedings of the DARPA Information Survivability Conference & Exposition 2003 (DISCEX III). U. Lindquist, T. Olavsson, E. Jonsson, An Analysis of a Secure System Based on Trusted Components, Proceedings of the Eleventh Annual

FOI-R--1350--SE

102(114)

Conference on Computer Assurance (COMPASS 96), pp. 213-223, Gaithsburg, Maryland, June 17-21, 1996 J. Lowry, K. Theriault, Experimentation in the IA Program, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 134-140 J. Lowry, An Initial Foray into Understanding Adversary Planning and Courses of Action, Proceedings of the DARPA Information Survivability Conference & Exposition 2001 (DISCEX II), Volume II, IEEE Computer Society, Anaheim, CA, 12-14 June 2001, pp 123 -133. E. Mittermaier, H. Christiansson, U. Pettersson, M. Persson, PM Sårbarheter med avseende på logiska, IT-relaterade sårbarheter inom Banverkets område, (2000).

E. Mittermaier, H. Christiansson, M. Persson, Sårbarheter med avseende på logiska IT-relaterade hot mot verksamheter inom Banverkets område – förstudie, FOA-R—00-01697-240—SE (2000) National Security Telecommunications Advisory Committee, Electric Power Information Assurance Risk Assessment. Information Assurance Task Force (1997). http://www.securitymanagement.com/library/iatf.html B. Nelson, R. Choi, M. Iacobucci, M. Mitchell, G. Gagnon, Cyberterror – Prospects and implications, Center for the Study of Terrorism And Irregular Warfare (oktober 1999) T. R. Peltier, Information Security Risk Analysis, ISBN 0-8493-0880-1, Auerbach publications 2001, CRC Press LLC T. R. Peltier, J. Peltier, J. A. Blackley, Managing a Network Vulnerability Assessment, ISBN 0-8493-1270-1, Auerbach publications 2001, CRC Press LLC Process Control Security Requirements Forum, System Protection Profile for Industrial Control Systems, version 0.88 (december 2003) http://www.isd.mel.nist.gov/project/processcontroll/members/documents/ Process Control Security Requirements Forum, Security Capabilities Profile for Industrial Control Systems, DRAFT (september 17 2003)

FOI-R--1350--SE

103(114)

http://www.isd.mel.nist.gov/project/processcontroll/members/documents/ PTS, Aktiv IT-kontroll och Telelagen (1993:597), PTS 02-2930/23 (2002) M. R. Randazzo, D. Cappelli, M. Keeney, A. Moore och Eileen Kowalski, Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector (augusti 2004) http://www.cert.org/archive/pdf/bankfin040820.pdf R. Räty, H. Christiansson, G. Fischer, IT-relaterade sårbarheter mot drivmedelslogistiken – förstudie, FOI-R--0983—SE (november 2003) G. Schudel and B. Wood, Modeling Behavior of the Cyberterrorist, Proceedings from Countering Cyber Terrorism Workshop, June 22-23, 1999, University of Southern California, Information Sciences Institute. G. Schudel and B. Wood, Adversary Work Factor as a Metric for Information Assurance, Proceedings from New Paradigms in Security Workshop, 2000, Bally Cotton, Irland. E. Shaw, K. G. Ruby, J. M. Post, The Insider Threat to Information Systems: The Psychology of the Dangerous Insider, Security Awareness Bulletin No. 2-98 (1998) Mikael Simovits, Säkerhetsanalys på gott och ont, Säkerhet & Sekretess 7 (2002) Tillförlitlighet – Ordlista. Svensk standard SS 441 05 05, SIS Förlag AB, Stockholm (2000) SSEN 627799-2 Ledningssystem för informationssäkerhet - Specifikation med vägledning för användning (2003) Swedish Standards Institute (SIS) handbok 550 Terminologi för informationssäkerhet (2003) J. Stamp, J. Dillinger, W. Young, Common Vulnerabilities in Critical Infrastructure Control Systems, SAND2002-0435C (2002) J. Stamp, P. Campbell, J. Depoy, J. Dillinger, W. Young, Sustainable Security for Infrastructure SCADA, SAND2003-4670C (2003) D. Stober, No experience necessary, Bulletin of Atomic Scientists, March/April 2003

FOI-R--1350--SE

104(114)

G. Stoneburner, A. Goguen, and A. Feringa , Risk Management Guide for Information Technology Systems, NIST Special Publication 800-30 (oktober 2001) J. Städje, Klart Krylbo för Banverkets spår, Nätverk&Kommunikation 8 (2001) J. Städje, Atomernas dans styrs med fiberoptik, Nätverk&Kommunikation 14 (2001) M. Swanson, Security Self-Assessment Guide for Information Technology Systems. NIST Special Publication 800-26 (november 2001) L. P. Swiler, C. Philips, A Graph-Based System for Network-Vulnerability Analysis, SAND—98-1127C (1998) The President's National Security Telecommunications Advisory Committees, Network Security/Vulnerability Assessments Task Force Report (mars 2002) http://www.ncs.gov/nstac/NSVATF-Report-(FINAL).htm D. Torstensson, M. Wedlin, IT-relaterade sårbarheter inom vattenförsörjningen, FOI-RH--0240—SE (oktober 2003) Transition Office of the President´s Commission on Critical Infrastructure Protection and the Critical Infrastructure Assurance Office, Preliminary Research and Devlopment Roadmap for Protecting and Assuring Critical National Infrastructures (juli 1998) Roland Trice, Risk Analysis for MANs (februari 2000) U. S. Department of Energy, Office of Energy Assurance, Vulnerability Assessment and Survey Program: Lessons Learned and Best Practices (september 2001) U. S. Department of Energy, Office of Energy Assurance, Vulnerability Assessment Methodology. Electric Power Infrastructure (september 2002) U.S. Department of Energy, Office of Energy Assurance, 21 Steps to Improve Cyber Security of SCADA Networks (2003) A. Vidström, L. Westerdahl, A. Hunstad, J. Hallberg, Spårning – från IT-säkerhetsbrister till bakomliggande orsaker, FOI-R--1215—SE (januari 2004)

FOI-R--1350--SE

105(114)

Vita huset, Critical Foundations Protecting America’s Infrastructure. The Report of the President’s Commission on Critical Infrastructure Protection (oktober 1997) Vita Huset, Presidential Decision Directive (PDD) – 63: Protecting America’s Critical Infrastructures (1998). Vita Huset, The National Strategy to Secure Cyberspace (febrauri2003). http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf J. Wack, M. Tracey, DRAFT Guideline on Network Security Testing, NIST Special Publication 800-42 (februari 2002) J. Weiss, Control system cyber security – maintaining the reliability of the critical infrastructure. Testimony before the Committee Government Reform's Subcommittee on Government Efficiency, Financial Management, and Intergovernmental Relations, U.S. House of Representatives on July 24, 2002 J. Wood and R. A. Duggan, Red Teaming of Advanced Information Assurance Concepts, SAND99-2590C (1999) B. J. Wood, J. F. Bouchard, D, E. Farrell, Evaluating the Effects of Adversary Behavior on Dependapble Systems , Proceedings from the Dependable Systems and Network 2001, Gothenburg, Sweden, pp C-29 – C-34. W. F. Young and J. M. DePoy, Relative Risk Assessment for Water Utility SCADA systems, SAND2003-1772C (2003)

FOI-R--1350--SE

106(114)

Appendix A. Lärdomar från metodiken Vulnerability Assessment Methodology. Electric Power Infrastructure I kapitel 7 beskrivs amerikanska energidepartementets sårbarhetsanalysmetod som tillämpats skarpt på visa anläggningar. Efter cirka tre års verksamhet dokumenterade man de erfarenheter man haft av metodiken vilket presenterades i en rapport150. En sammanfattande beskrivning av dessa lärdomar presenteras i detta appendix. Det inleds med rekommendationer till organisationer inom elkraftsinfrastrukturen med avseende på vad dessa bör göra i sitt säkerhetsarbete. Rekommendationerna är grupperade i tre kategorier: organisation, utbildning och medvetenhet samt personalförsörjning. Efter detta följer specifika lärdomar från respektive element i sårbarhetsanalysen. Rekommendationer och lärdomar är ursprungligen motiverade med mer detaljerade erfarenheter. För dessa hänvisas till ovan nämnda rapport. Rekommendationer rörande organisatoriska frågor 1. Utveckla en för organisationen övergripande säkerhetsmodell som är

utförlig, stämmer överens med organisationens verksamhet samt är allmänt accepterad inom organisationen.

2. Utarbeta tydliga ansvar- och befogenhetsförhållanden för personal med ansvar för säkerhet. Se också till att säkerhet blir en integrerad del av den normala verksamheten. En trovärdig och av organisationen accepterad förespråkare för säkerhetsfrågor på direktionsnivå är absolut nödvändigt.

3. Integrera säkerhetsanalysen i den normala riskhanteringsprocessen. 4. Utfärda strukturerade säkerhetskrav på leverantörer av kritiska produkter

och tjänster. För in krav om säkerhetsgranskningar som ett element i kontrakt och att dessa genomförs med jämna mellanrum.

5. Utveckla tydliga beskrivningar och värderingar av kritiska tillgångar, framförallt med avseende på informationstekniska tillgångar.

6. Noggrant analysera säkerhetsfrågor som åtföljer organisatoriska förändringar och kommunicera dessa med berörd personal - gör säkerhetsperspektivet till en del av organisationskulturen och en del av organisationens mål.

7. Kontrollera om säkerhetsarbetet inom organisationen är tillräckligt effektivt och att strategier för att öka produktiviteten inte undergräver säkerhetsarbetet.

150 U. S. Department of Energy, Office of Energy Assurance, September 28, 2001, Vulnerability Assessment and Survey Program: Lessons Learned and Best Practices.

FOI-R--1350--SE

107(114)

8. Uppdatera och värdera beredskapsplaner för att kunna integrera kunskap om aktuella hot och sårbarheter. Det är också viktigt att pröva dessa planer regelbundet (om möjligt).

9. Utfärda lämpliga hanteringsanvisningar för konfiguration av organisationens IT-system. Särskild uppmärksamhet bör riktas mot IT-system som gränsar mot kritiska system.

Rekommendationer rörande utbildning och medvetenhet 1. Öka personalens medvetenhet om hot mot organisationens säkerhet för

att personalen skall kunna agera proaktiv i sitt säkerhetsarbete. Etablera procedurer för att kontrollera och godkänna tilldelningen av säkerhetsinformation.

2. Utveckla och utnyttja metoder för att främja att verksamhetens krav på tillförlitighet och säkerhet tillgodoses samt att personalen förstår dessa aspekters inbördes roll för en framgångsrik verksamhet.

3. Företagsledningen bör med jämna mellanrum orienteras och utbildas om säkerhetsaspekter på informationsteknik samt metoder och verktyg för verksamheter relaterade till riskhanteringsprocessen.

Rekommendationer rörande personalförsörjning Energisektorn lider av samma brist på skicklig IT-säkerhetspersonal som andra organisationer. Därför har man vidarutbildat vissa delar av den ordinarie personalen till IT-säkerhetspersonal. (Detta kan även gälla ansvariga för fysisk säkerhet). Denna personal är ofta engagerade och kunniga inom sina ursprungsområden men kan dock ha betydande kunskaps- och erfarenhetsbrister inom säkerhetsområdet. Därför är det av största vikt att denna typ av personal får omfattande utbildning av olika slag samt möjlighet att samverka med andra organisationer och sammanslutningar som arbetar för att höja kunskapen om säkerhetsproblematiken. Lärdomar av genomförda sårbarhetsanalyser Dessa lärdomar är relaterade till de element som konstituerar sårbarhetsanalysen av energiinfrastrukturen. Lärdomar från analyser av nätverksarkitektur

• Dagens moderna dator- och kommunikationsnätverk i infrastrukturen har flera externa kopplingar till andra nätverk. Dessa används bl. a för att presentera information eller för att utföra transaktioner. Varje organisation måste formulera sin egen organisationstäckande IT-säkerhetsarkitektur.

• Nätverks- och systemarkitektur för LAN och WAN måste dokumenteras fullständigt

• Trenden inom många verksamheter är att låta någon utanför organisationen ta hand om delar av hanteringen av IT-verksamheten.

FOI-R--1350--SE

108(114)

Ansvaret för IT-säkerheten måste dock vara en funktion inom organisationen.

• Kritiska IT-system måste identifieras och dessa system skall regelbundet avsökas efter icke-legitim aktivitet. Ytterligare säkerhetsfunktioner bör tillföras dessa kritiska system.

Lärdomar från analyser av hot • Desillusionerade anställda och avskedade före detta anställda utgör

ofta ett allvarligt hot mot verksamheten • Hot från kriminella bör alltid beaktas • Personkontroller av nyanställda och periodiska uppdateringar av

kontroller på tillsvidaranställda • Ett ökat samarbete med rättsvårdande myndigheter bidrar till en

ökad förståelse för hotbilden mot organisationen Lärdomar från penetrationstester (aktiva IT-kontroller)

• Känslig och hemlig information skall inte finnas tillgänglig på webbsidor. Lämplig granskning och klassificering av information samt kontroll av tillgängligheten av den måste implementeras. Detta gäller alla typer av information och format den finns i.

• Alla typer av teknisk IT-säkerhet (trafikfiltrering, kryptering, accesskontroll, bortkoppling av onödiga applikationer, viruskontroller, brandväggar etc.) bör införas.

Lärdomar från analyser av den fysiska säkerheten • Det är av stor vikt att organisationen har ett formellt program för att

förbättra och underhålla den fysiska säkerheten. Lärdomar från genomförande av sårbarhetsanalys av fysiska tillgångar

• Investeringar för att höja säkerheten bör jämföras på ett realistiskt sätt med andra investeringar

• Organisationer bör anpassa sina hanteringsprocedurer (operations procedures) med existerande rekommendationer (best practices)

Lärdomar från analyser av operationell säkerhet • En viktig grund för säkerhetsarbetet i en organisation är

välinformerad personal som agerar på ett ansvarsfullt sätt • En formell process bör etableras för att värdera och klassificera all

information som görs publik • Säkerhetsutbildning av personalen måste genomföras regelbundet • Säkerhetsgranskningar av den totala säkerheten hos organisationen

(anläggningen) måste genomföras varje år. Lärdomar från analyser av policys och procedurer för säkerhetsarbetet

• Policys och procedurer för säkerhetsarbetet måst spridas och integreras i hela organisationen. Dessa måste uppfylla kriterier som t.ex. att de är

FOI-R--1350--SE

109(114)

o Motiverade o Realistiska o Tydliga o Strukturerade o Enkla

• Om det uppstår olika typer av policys och procedurer utan att det finns en medvetenhet hos den som har det övergripande ansvaret för säkerheten kan allvarliga säkerhetsluckor uppstå.

• I säkerhetsutbildningen skall kunskap om policys och procedurer ingå

• Policys och procedurer måste prövas (både att de efterlevs och att de är relevanta) kontinuerligt

Lärdomar från analyser av beroendet av andra infrastrukturer • Beroenden mellan infrastrukturer varierar både storlek och

komplexitet. Ofta berörs många systemkomponenter. Processen att identifiera och analysera dessa kopplingar kräver en detaljerad kunskap om hur komponenter i varje infrastruktur och de funktioner som beror av dessa komponenter samverkar.

• Vid formuleringen av beredskapsplaner måste till stor del ske ur ett beroende- perspektiv och en koordination och samverkan med andra infrastrukturer måste ske

Lärdomar från riskkarakterisering • Det finns ett behov av en större förståelse för risker och

riskhantering på alla organisatoriska nivåer • En riskhanteringsprocess måste behandla kostnader, fördelar och

osäkerheter som rör rekommendationer för att avhjälpa identifierade sårbarheter.

FOI-R--1350--SE

110(114)

Appendix B. Vanligt förekommande sårbarheter i industriella styrsystem inom kritisk infrastruktur Följande text sammanfattar det resultat som Sandia National Laboratories arbetat fram via de sårbarhetsanalyser de genomfört av styr- och reglersystem inom den amerikanska infrastrukturen151. Det som också är viktigt att poängtera är att de har använt sig av erfarenheterna de fått från DARPA-projektet. Detta appendix tjänar därför som ett exempel på det resultat man har erhållit från gruppen i Sandia. Sandiagruppens tolkning av termen styr- och reglersystem (processkontrollsystem, SCADA) består av de system som mäter och reglerar processen. Väsentligen innebär det att alla delsystem som elektroniskt mäter processtillstånd, ändrar processens kontrollparametrar, presenterar/lagrar/kommunicerar data eller drift och förvaltning av de ovannämnda delsystemen inordnas i de säkerhetsanalyser som görs av styr- och reglersystem. Flera olika typer av element utgör helheten av ett processkontrollsystem men man har funnit det lämpligt att dela upp resultaten av sårbarhetsanalysen i fem heterogena kategorier för att underlätta säkerhetsanalysen. Dessa är:

1. Information (data) i processkontrollsystemet 2. Administrering av säkerhetshöjande aktivteter. Säkerhetspolicyn är

grunden till dessa i form av t.ex.. a. Säkerhetsplan b. Anvisningar för implementering c. Hantering av konfiguration d. Kontroll av efterlevnad och granskning

3. Processkontrollsystemets arkitektur t.ex. hierarkin för kontrollfunktioner och lagring av data eller fördelningen mellan automatik och operatörskontroll

4. Nätverken som processkontrollsystemet nyttjar 5. Plattformar. Dessa utgörs av både hård- och mjukvara.

Nedan listas kortfattat de sårbarheter som Sandia identifierat vid sina analyser av processkontrollsystem. Sårbarheterna grupperas enligt de kategorier som anges ovan. Information (data) i processkontrollsystemet Sandia har under sina analyser inte en enda gång funnit att olika information i systemen har varit klassificerade i känslighetskategorier. Utan denna

151 J. Stamp, J. Dillinger, W. Young, J. DePoy, Common Vulnerabilities in Critical Infrastructure Control Systems (SAND2002-0435C)

FOI-R--1350--SE

111(114)

fundamentala klassificering är det mycket svårt och dessutom meningslöst att formulera lämpliga skyddsåtgärder. Frånvaron av denna klassificering är en konsekvens av otillräckligt genomförda administrativa åtgärder med avseende på processkontrollsystemens säkerhet. Administration av säkerhetshöjande aktiviteter Tabellen nedan sammanfattar de vanligaste sårbarheterna som rör administrationen av säkerhetshöjande aktiviteter för processkontrollsystem. Underkategori Sårbarhet

Policy Ofta saknas det ett specifikt säkerhetspolicydokument för processkontrollsystemet. Denna övergripande sårbarhet leder till mångfaldigandet av sårbarheter rörande både teknik och processer.

Ofta finns det ingen dokumenterad säkerhetsplan. Icke-befintliga eller ofullständiga anvisningar för implementeringar av komponenter eller system Det saknas administrativa mekanismer för kontroll av efterlevnad av regler för hela systemets livscykel

Procedurer

Säkerhetsgranskningar (revisioner) utförs sällan om alls

Utbildning Det saknas ofta såväl formell säkerhetsutbildning som formella dokumenterade säkerhetsprocedurer

Konfigurationshantering

Vanligtvis saknas formella konfigurationsanvisningar eller procedurer för detta. Härav saknas det både formella krav och en konsistent synsätt på konfigurationshanteringen.

Processkontrollsystemets arkitektur Arkitekturmässigt har många processkontrollsystem en centraliserad karaktär. På grund av detta uppstår det då lätt kritiska noder som gör processkontrollsystemet känsligt för bortfall av dessa noder. En sårbarhet som har identifierats är att man ofta samlokaliseras signalhantering för annan övervakning till processkontrollsystemet. Till exempel kopplas larmet för en dörr till processkontrollsystemets nät som en sensor. Eftersom säkerheten i processkontrollsystemet oftast är mycket bristfällig kan detta då leda till att man kan, i detta fall, koppla bort dörrlarmet om man penetrerat processkontrollsystemet.

FOI-R--1350--SE

112(114)

Nätverken som processkontrollsystemet nyttjar Tabellen nedan sammanfattar de vanligaste sårbarheterna som rör nätverken som processkontrollsystemen nyttjar. Underkategori Sårbarhet

Oftast registreras inte vilka personer som kopplar upp sig mot resurser. Konfigurationsinställningar lagras eller säkerhetskopieras inte. Lösenord krypteras inte vid överföring. Lösenord ändras inte under överskådliga tider.

Administration

Lösenord delas av flera användare. Otillräcklig fysiskt skydd av nätverkselement. Hårdvara Icke-behöriga har tillträde till utrustning. Inga skyddszon har definierats för systemet där accesspunkter som måste säkras har identifierats. Antingen finns inga brandväggar uppsatta i systemen eller så är brandväggarna dåligt konfigurerade gentemot det övriga nätverket.

Skydd av skyddszon

Nätverket för processkontrollsystemet används för trafik som inte har med processkontrollsystemet att göra. Loggar från brandväggar och routrar sammanställs eller analyseras inte.


Det finns oftast ingen säkerhetsövervakning av processkontroll-systemets nätverk. Förbindelser som är kritiska för övervakning och styrning är ofta inte identifierade vilket försvårar planering för införande av redundans och formulering av beredskapsplaner

Säkerhet hos fasta förbindelser

Trafik för processkontrollsystemet som går över oskyddade förbindelser krypteras inte Autenticering vid fjärruppkopplingar förekommer väldigt sällan.

Fjärråtkomst

Vid fjärruppkopplingar till processkontrollsystemet används ofta gemensamma konton och lösenord.

Säkerhet hos trådlösa förbindelser

Trådlösa lokala nätverk (LAN) används i processkontrollsystem utan stark autenticering och/eller kryptering mellan klienter och accesspunkter.

FOI-R--1350--SE

113(114)

Plattformar Tabellen nedan sammanfattar de vanligaste sårbarheterna som rör de plattformar som processkontrollsystemen nyttjar. Underkategori Sårbarhet

Lagningar (patchar) av operativsystem utförs inte. Konfigurationsinställningar lagras eller säkerhetskopieras inte för viktiga plattformar. Grundinställningar i operativsystem används vilket medför icke-säkra och onödiga tjänster. Lösenord lagras ofta oskyddade i närhet av plattform.Lösenord för t.ex. skärmsläckare används sällan. Lösenord är inte krypterade vid överföring Samma lösenord används av flera användare Inga krav på hur länge lösenord är giltiga, hur långa dessa skall vara eller krav på typer av tecken som skall ingå i lösenorden Minimala administrativa rutiner för accesskontroll tillämpas

Administration

Användare har ofta administratörsrättigheter Otillräcklig fysiskt skydd av kritiska plattformar Icke-behöriga har fysiskt tillträde till plattformar

Hårdvara

Modemkopplingar är möjliga till individuella arbetsstationer inom SCADA-nätverket


Loggar från systemet samlas, sammanställs eller analyseras inte.

Skydd mot fientlig programkod

Viruskontroller är antingen inte installerade, används inte eller inte uppdaterade.

FOI-R--1350--SE

114(114)

Appendix C. Lista över akronymer BAS Beskyttelse av samfunnet BITS Basnivå för IT-säkerhet BT British Telecom DCS Distributed Control System DoE Department of Energy CC Common Criteria CERT CC Computer Emergency Respons Team Coordination Center CESG Communications-Electronics Security Group CobiT Control Objectives for Information and related Technologies COTS Computer (products) of the shelf DARPA Defense Advanced Research Project Agency D-IART Defense-IA Red Team FFI Norska Forsvarets Forskningsinstitutt FHM Flaw Hypothesis Methodology FRA Försvarets Radioanstalt GCHQ Government Communications Headquarters HMI Human-Machine Interface IAP Information Assurance Program ICS Industrial Control System IDART Information Design Assurance Red Team IEC International Electrotechnical Commission INEEL Idaho National Engineering and Environmental Laboraory IORTA Information Operations Red Team and AssessmentsTM

Program LAN Local Area Network LLNL Lawrence Livermore National Laboratory NERC North American Electric Reliability Councils NIAP National Information Assurance Partnership NIST National Institute of Standards and Technology NSA National Security Agency NSTAC National Security Telecommunications Advisory Committee OEA Office of Energy Assurance PCCIP President’s Commission on Critical Infrastructure Protection PCSRF Process Control Security Requirements Forum PLC Programmable Logic Controller PP Protection Profiles RTU Remote Terminal Unit SCADA Supervisory Control And Data Acquisition System SNL Sandia National Laboratories SSDL SCADA Security Development Laboratory WAN Wide Area Network

Utgivare Rapportnummer, ISRN Klassificering Totalförsvarets Forskningsinstitut - FOI FOI-R--1350--SE Användarrapport

Forskningsområde 1. Analys av säkerhet och sårbarhet Månad, år Projektnummer Augusti 2004 E 1740 Verksamhetsgren 5. Forskning, kompetens och resursutveckling… Delområde

Försvarsanalys 172 90 Stockholm

13 Stöd till säkerhet och beredskap

Författare/redaktör Projektledare Henrik Christiansson Henrik Christiansson Godkänd av E Anders Eriksson Uppdragsgivare/kundbeteckning Krisberedskapsmyndigheten Tekniskt och/eller vetenskapligt ansvarig Rapportens titel Värdering IT-säkerhetsanalysmetoder inom samhällsviktig infrastruktur

Sammanfattning (högst 200 ord) I denna rapport ligger fokus på att studera olika verksamheter som syftar till att analysera IT-system i samhällsviktig infrastruktur ur ett säkerhetsperspektiv. Detta ingår i det förebyggande informationssäkerhetsarbetet. Aktiviteter som är av intresse i detta sammanhang ingår i verksamheter som går under benämningar såsom riskanalyser, säkerhetsanalyser eller sårbarhetsanalyser. Ett antal metoder för detta beskrivs och värderas med avseende på vad de skulle kunna bidra med i det svenska nationella IT-säkerhetsarbetet inom samhällsviktig infrastruktur.

Nyckelord IT-säkerhetsanalys, samhällsviktig infrastruktur, IT-system, risk- och sårbarhetsanalys

Övriga bibliografiska uppgifter Språk Svenska

ISSN 1650-1942 Antal sidor: 120 s.

Distribution enligt missiv Pris: Enligt prislista

FOI1

003

Utg

åva

12 2

002.

11 w

ww

.sig

non.

se S

ign

On

AB

Issuing organization Report number, ISRN Report type FOI – Swedish Defence Research Agency FOI-R--1350--SE User report

Programme Areas 1. Security, safety and vulnerability analyses Month year Project no. August 2004 E 1740 General Research Areas 5. Research and development of knowledge … Subcategories

Defence Analysis SE-172 90 Stockholm

13 Support to Security, Safety and Preparedness

Author/s (editor/s) Project manager Henrik Christiansson Henrik Christiansson Approved by E Anders Eriksson Sponsoring agency Swedish Emergency Management Agency Scientifically and technically responsible Report title (In translation) Assessments of IT security analysis methods in critical infrastructure

Abstract (not more than 200 words) This report is concerned with the study of differerent activities related to the analysis of IT-systems in critical infrastructure from a security perspective. These kind of activities are relevant in the preventive security work. Relevant activities are for instance termed risk analysis, security analysis and vulnerability analysis. A set of methods are considered and assessed in relation to their importance to Swedish national IT security work within the Swedish critical infrastructure.

Keywords IT security assessments, critical infrastructure, IT systems, risk- and vulnerability assessment

Further bibliographic information Language Swedish

ISSN 1650-1942 Pages 120 p.

Price acc. to pricelist

Documents

Värdering IT-säkerhetsanalysmetoder inom samhällsviktig infrastruktur