Cyberattacker inom energisektorn

Energisektorn är identifierat som ett riskområde där cyberattacker kan få allvarliga konsekvenser. Därför måste beredskapen och den övergripande säkerhetsnivån höjas för att motverka brister och sabotage. 

Energisektorn är samhällsviktig och beroende av att systemen fungerar även under attack eller intrång Det är alltmer vanligt med cyberattacker som förhindrar användaren att komma åt sina nätverk och informationssystem. Energimyndigheten är tillsynsmyndighet för energisektorn. 

Starkare integration mellan IT och OT (Operativ Teknik)   

Att vi pratar om IT som digital informationsteknik är vi bekanta med. Men det finns också digital teknik som är direkt kopplad till fysiska processer. Den tekniken sammanfattas som OT. Det är OT-systemen som styr stora samhällsviktiga processer i till exempel energisektorn. OT-systemet lagrar, bearbetar information och styr fysiska förlopp.  

Traditionellt har OT-systemen varit fysiskt isolerade och byggt på specialutvecklad teknik. Men i takt med den tekniska utvecklingen har gränserna mellan OT och IT blivit mindre tydliga. Den ökade digitaliseringen innebär att även cyberriskerna mot OT ökar.  

Motverka cyberattacker  

Det bästa sättet att motverka angrepp är att ha ett kontinuerligt säkerhetsarbete för att förebygga och hindra intrång i IT- och OT-miljön. Det ökar också skyddet mot skadan som ett angrepp kan åstadkomma.  

Som aktör inom energisektorn förväntas ni ha ordning på:

  • Systematiskt riskarbete med riskanalyser och säkerhetspolicys
  • Rutiner för incidenthantering, både förebyggande och hanterande 
  • Kontinuitetsplanering och krishantering 
  • Säkerhet kopplat till leverantörer, upphandling, utveckling, underhåll och sårbarhetshantering 
  • Mätning och kontroll av hur effektiva säkerhetsåtgärderna är 
  • Rutiner för rapportering av hot och sårbarheter även om det inte ledde till skada. 

Rekommenderade säkerhetsåtgärder 

Det finns rekommenderade säkerhetsåtgärder för att motverka cyberattacker. Råden ersätter inte ett systematiskt säkerhetsarbete utan är ett stöd i arbetet med att prioritera vad som behöver göras. Rekommendationerna hittar ni på MSB:s webbplats.

+

Installera säkerhetsuppdateringar så snart det går

Prioritera att uppdatera informationssystem som exponeras mot internet. Framför allt de som är verksamhetskritiska och de där sårbarheterna riskerar att utnyttjas. Ha som målsättning att installera säkerhetsuppdateringar snarast efter att de publicerats.

+

Förvalta behörigheter och använd starka autentiseringsfunktioner

Ha kontroll på alla konton i IT-miljön, inaktivera de som inte används. Var strikt med de behörigheter som är tilldelade. Använd flerfaktorsautentisering på alla publikt exponerade tjänster, för åtkomst till information med högt värde och för konton med systemadministrativa behörigheter. Där flerfaktorsautentisering inte stöds använda unika och långa lösenord.

+

Begränsa och skydda användningen av systemadministrativa behörigheter

Systemadministrativ behörighet är rättigheter som ger möjlighet att förändra grundläggande funktioner och säkerhetsfunktioner i ett informationssystem. Avgränsa behörigheten till uppgifter, roller och delar av systemet. Tilldela inte vanliga användare behörighet som de inte ska ha.

+

Inaktivera oanvända tjänster och protokoll (härda systemen)

Säkerställ att funktioner som inte behövs för önskvärd funktionalitet i informationssystemen stängs av, blockeras eller avinstalleras.

+

Gör säkerhetskopior och testa om informationen går att läsa tillbaka

Skapa säkerhetskopior på information utifrån verksamhetens behov. Hantera säkerhetskopiorna säkert och testa periodiskt att det går att återställa informationen utifrån tagna säkerhetskopior.

+

Tillåt endast godkänd utrustning i nätverket

Endast tillåten utrustning får kopplas till nätverket. Otillåten utrustning behöver upptäckas och åtkomst till tjänster och information i IT-miljön förhindras.

+

Säkerställ att endast godkänd mjukvara får köras (vitlistning)

Endast tillåten mjukvara får köras i IT-miljön. Förhindra att otillåten programvara körs.

+

Segmentera nätverken och filtrera trafiken mellan segmenten

Upprätta olika nätverkssegment och skapa kontrollerade trafikflöden mellan segmenten med hjälp av filtreringsfunktioner som skyddar mot att oönskad trafik kan flöda fritt i nätverket.

+

Uppgradera mjuk- och hårdvara

Byt ut och ersätt föråldrad hård- och mjukvara för att motverka sårbarheter och för att få avsedd funktion och tillräcklig säkerhet.

+

Säkerställ en förmåga att upptäcka säkerhetshändelser

Skaffa förmågan att upptäcka säkerhetshändelser i så tidigt som möjligt. Övervaka händelser i IT-miljön med manuella, tekniska och automatiska åtgärder. Skapa säkerhetsloggar som kan användas för övervakningen och som skyddas mot obehörig åtkomst eller förändring.

Vid ett misstänkt intrång 

Om ni upptäcker ett misstänkt intrång ska ni snarast vidta nödvändiga åtgärder. Därefter måste incidenten rapporteras till MSB.   

Mer information om hur ni rapporterar incidenten finns på MSB:s webbplats om IT-incidenter.  

Rapportera IT-incidenter, msb.se

Behöver ni stöd för att hantera en pågående IT-incident, vänd er till CERT-SE på 010- 240 40 40 eller skicka e-post till ce...@cert.se.

CERT- SE uppgift är att stödja samhället med att hantera och förebygga IT- incidenter. För mer information se www.cert.se  

Rapportering av incidenter för leverantörer av samhällsviktiga tjänster gör ni enligt anvisning på MSB:s webbplats.  

Incidentrapportering för leverantörer av samhällsviktiga tjänster, msb.se

Vägledningar för cybersäkerhet   

Informationssäkerhet, cybersäkerhet och säkra kommunikationer, msb.se 

Metodstöd för systematiskt informationssäkerhetsarbete, msb.se

Föreskrifter och vägledningar, msb.se

Rådgivningstjänst för systematiskt informationssäkerhetsarbete, msb.se

Preparing for cyber attacks in the energy sector (pdf)

+

Vanliga cyberangrepp

Några av de vanligaste cyberangreppen är ransomware, nätfiske och överbelastningsattacker.

  • Vid en ransomware-attack gör en hackare intrång och kapar delar av en verksamhets it-system.
  • Nätfiske, phishing på engelska, är en metod som angriparen använder för att komma åt lösenord eller bank- och kortuppgifter.
  • En överbelastningsattack är ett angrepp riktat mot ett nätverk, en webbplats, ett datorsystem eller en webbtjänst med målet att slå ut en webbplats eller en server.  

MSB har identifierat tre olika grupper av gärningspersoner: Nationer eller grupper som med stöd av en nation utför spionage, kriminellt drivna grupper och aktivister av olika slag.

Källa: MSB

+

NIS-direktivet

Kortfattat ställer NIS-direktivet krav på säkerhet i nätverk och informationssystem.

Bedriver ni verksamhet i Sverige inom energisektorn och är leverantör av samhällsviktig tjänst?

Då ska ni anmäla er till Energimyndigheten. Om en incident inträffar i ert nätverk eller informationssystem som påverkar kontinuiteten i tillhandahållandet av tjänsten är ni också skyldiga att rapportera den.

Säkerhet i nätverk och informationssystem (NIS)

Träffas er verksamhet även av säkerhetsskyddslagen?

Då ska ni uppdatera er om vad som gäller.

Säkerhetsskyddslagen