Allvarlig SkADA

2017-12-29

Dags att summera året och blicka fram mot ett nytt. Jag vågar påstå att 2017 var året då ingen längre kunde undvika ord som informationssäkerhet och IT-säkerhet.

Dags att summera året och blicka fram mot ett nytt. Jag vågar påstå att 2017 var året då ingen längre kunde undvika ord som informationssäkerhet och IT-säkerhet. Media har fortfarande en hel del att lära kring ordvalen. Det var ingen IT-säkerhetsskandal på Transportstyrelsen, ej heller någon informationssäkerhetsskandal, utan rätt och slätt klara brister i ledningens engagemang och dess förståelse för hur ogenomtänkta beslut påverkade annars goda ansatser till ett relativt strukturetat informations- och IT-säkerhetsarbete.

Flera journalister har nu börjat lära sig att använda verktyg som Shodan (https://www.shodan.io/) för att leta rätt på skyddsvärda system som inte skyddats i relation till dess skyddsvärde. Det är skönt att vi börjar få en skara av mer grävande journalister i jämförelse med dåtidens så kallade IT-journalister som fick färdigskrivna reklamartiklar för publicering. De mer grävande journalisternas arbete ger bra resultat. Exempelvis börjar experterna på SCADA (Supervisory Control And Data Acquisition) äntligen förstå att det är långt ifrån klokt att exponera styrsystemen direkt på Internet utan några som helst skydd i relation till dess skyddsvärde. Det behövs inte många knapptryckningar för att exempelvis överdosera kemikalierna i dricksvattnet.

Det är oundvikligt att ibland tänka att SCADA kanske borde stavats med ”k” istället för ”c” med tanke på vilka konsekvenser exponeringen medför.

Det är mer än hög tid för NIS-direktivet att göra entré. Om Dataskyddsförordningen (GDPR) fick fart på informations- och IT-säkerhetsarbetet så är det förhoppningsvis bara en försmak på hur NIS-direktivet kommer att inverka på samhällsviktig verksamhet. Som grädde på moset vilar en ny säkerhetsskyddslagstiftning runt hörnet som inte längre bara andas anläggnings- och personsäkerhet utan också välbehövliga doser av informationssäkerhet i alla dess aspekter.

Jag tycker att det känns rent ut sagt euforiskt att vi äntligen börjar se hur det hänger ihop.

Skyddsvärda tillgångar ska över tid skyddas i relation till dess skyddsvärde. Det spelar inte någon större roll längre vilka regulatoriska krav som omfamnar tillgången. Metodiken för att identifiera skyddsvärdet och omsätta det till rätt tekniska och administrativa skyddsåtgärder är i stort sett densamma. Receptet är inte oväntat ett strukturerat informationssäkerhetsarbete, från ax till limpa, som leder till rätt tekniska och organisatoriska skyddsåtgärder över tid.
Äntligen behöver vi inte ägna mer tid åt att fundera över hur, utan nu är det faktiskt bara att skrida till verket!

Det finns massor med ogjort arbete och det går inte längre att hitta några ursäkter till att inte sätta spaden i marken. Det må vara tjäle på sina håll, men det är å andra sidan priset att betala för att inte spaden satts i marken tidigare. Väl genom tjälen är utmaningen inte längre överväldigande utan rätt och slätt välbehövlig.

Om 2017 bäddade för informations- och IT-säkerhet på alla tänkbara vis så är det min förhoppning att år 2018 är året då dåliga samveten blir till goda minnen när vi närmar oss nästa nyår.

Jag tar tillfället i akt och tillönskar ett riktigt riktigt Gott Nytt År och ser med längtan fram mot 2018.