När Stuxnetmasken upptäcktes fick säkerheten i inbyggda system välbehövlig uppmärksamhet.

Det ryska säkerhetsföretaget Virus Blokada avslöjade i juni 2010 att Stuxnet lyckats infiltrera Siemens industrisystem Scada, Supervisory control and data acquisition.

Det gick då upp för världen vilka risker systemen faktiskt stod inför. Övergången från stängda specialprotokoll till tcp/ip fortsätter och allt fler styrsystem kopplas upp mot det publika nätet, fortfarande utan att säkerhetsaspekterna tas på allvar.

– Modernt skyddstänkande är företagen många gånger ljusår i från. Industrin måste inse att det inte finns någon verksamhet som klarar sig utan it-stöd, säger Robert Malmgren.

De industriella styrsystemen är ofta avgörande för samhällskritiska funktioner. Elnät, telekommunikation och vattenledningssystem är bara några exempel. Drivkrafterna bakom utvecklingen är effektivitets- och samordningsvinster. Varningarna från säkerhetsexperter ignoreras konsekvent och säkerhetsfrågorna prioriteras ner. Leverantörerna hävdar att deras system är säkra och kunderna tar inte hoten på allvar.

– Leverantörerna kommer naturligtvis säga att de har ett säkert system, men i industrin tror många fortfarande inte att någon typ av mjukvaruuppdateringar behövs. De kan köra på system som inte är uppdaterade på flera år. Ingen vill att elnätet ska släckas för att ett system måste startas om, säger Robert Malmgren.

Exemplet med elnätet hade, enligt Robert Malmgren, kunnat undvikas med en två- eller tre-datorlösning, där en dator kan ta över driften medan den första startar om. En till synes enkel operation men perspektivet saknas helt inom industrin.

– Som det ser ut nu så kommer it-säkerheten långt ner i prioriteringslistan, men då händer ingenting. Det måste vara en av de högsta prioriteringarna, säger Robert Malmgren.

Men en motrörelse finns. Nyligen kunde CS berätta om Project Basecamp., en grupp forskare som ledsnade på att tillverkarna av industriella styrsystem inte gör något för att täppa till välkända säkerhetsbrister.

För att öppna ögonen på industrin tillverkade gruppen ett verktyg som kunde ta kontroll över och krascha industriella styrsystem genom att utnyttja ett känt säkerhetshål i ethernet/ip-protokollet, ett protokoll speciellt för kritiska styrsystem inom industrin som bland annat ABB använder.

Projektet har fått kritik för att det på ett oansvarigt sätt exponerar säkerhetshål innan företag fått tid på sig att göra något åt bristerna.

Men att något måste göras är Robert Malmgren övertygad om. Behövs det kanske en svensk Stuxnet-mask för att åstadkomma ett nödvändigt uppvaknande?

– Jag hoppas inte att det händer, men det är nog då vi får ett rejält uppvaknande, säger Robert Malmgren.

Fakta

  • Effektivitets- och samordningsvinster ligger bakom utvecklingen av standardprotokoll inom inbyggda system. Dessutom underlättas rekryteringar. Mindre specialiserad arbetskraft innebär dessutom lägre kostnader.
  • Genom att bygga system, exempelvis på protokoll som tcp/ip, finns en betydligt större kompetenspool när personal ska rekryteras. Problemet måste angripas eftersom det här, liksom i flera andra branscher, tornar upp sig stundande pensionsavgångar.
  • Bristen gör att kostnaden för att anställa någon med specialkompetens drivs upp inom industrin. Från det andra hållet kommer global konkurrens där snabba kostnadsbesparingar ofta tvingar fram kostnadsbesparingar, besparingar som ofta möjliggörs med just övergångar till standardprodukter.
  • Stuxnetmasken orsakade stora rubriker under 2010. Den Windowsbaserade masken verkade vara specialutvecklad för att angripa Siemens industrisystem Scada, ett system som används av bland annat Iran för att styra landets kärnkraftverk.
  • Masken upptäcktes i juni 2010 men förmodas ha börjat spridas redan i mitten av 2009. Masken infiltrerade fem iranska mål och enligt rapporter orsakade Stuxnet 12 000 infektioner i landet.
  • Masken slog bland annat till mot en underjordisk anrikningsanläggning i staden Natanz och en kärnreaktor i staden Bushehr i södra Iran.