Industriella styr- och kontrollsystem (ICS) för samhällsviktig infrastruktur – inom exempelvis transportsektorn, banker och sjukvård – byggs ofta av komponenter från många leverantörer, inte sällan från flera länder. Ibland är systemen dessutom en blandning av skräddarsydda komponenter och kommersiella standardkomponenter. Det skapar komplicerade leverantörskedjor vilket leder till risker för de operatörer som ska driva systemen och den verksamhet som systemen ska styra, menar FOI.

Riskfaktorer är exempelvis att komponenter kan komma från leverantörer i länder som kan ha intresse av att hota eller störa Sverige, där myndigheter kan kräva tillgång till hemlig kod. Men även naturkatastrofer kan också stoppa leveranser. Lägg till att ICS har också ofta en lång livstid, och ska leva över flera generationer traditionella it-system. Den kan innebära att teknisk kunskap om komponenter kan försvinna i samband med it-systemskiften, uppköp, företagskonkurser eller pensionering av nyckelpersoner.

De skador som uppstå kan vara fysiska skador på den infrastruktur som systemen styr, exempelvis genom att komponenter överhettas. Ett exempel är Stuxnet, som skadade centrifuger i iranska kärnkraftverk. Systemen kan också öppna för rena it-sabotage, som Notpetya där en leverantör för skattebokföring i Ukraina utsattes för virus som spreds till deras kunder.

– Notpetya skapade även konsekvenser utanför Ukraina. Exempelvis ledde det till att Maersk fick problem med sina transporter. I Sverige fick Timrå kommun ett hundratal datorer otillgängliga, med effekter på äldreomsorg och hemtjänst, berättar Erik Zouave, analytiker vid FOI, som skrivit till rapporten tillsammans med Margarita Jaitner.

Det är MSB som har gett FOI i uppdrag att ta fram ett förslag på hur säkra leverantörskedjor till industriella styr- och kontrollsystemsystem kan skapas. Detta som ett kompletterande underlag för MSB:s arbete med en vägledning för industriella styr- och kontrollsystem.

En viktig inledning var att reda ut ansvarsförhållandet mellan operatörer och leverantörer av samhällskritisk infrastruktur. För i vissa fall hanterar operatörerna all verksamhet, i andra kan leverantörer även driva systemen.

– Men grundantagandet har varit att det är operatören som äger systemen och är bäst på att respondera vid attacker. Det innebär att det är operatören som bär huvudansvaret, säger Erik Zouave.

Med det antagandet i botten rekommenderar rapporten ett ramverk baserat på it-rätt och branschpraxis som vägs in redan vid kontraktsskrivning mellan leverantör och operatör. Ramverket kan delas in i fyra kategorier: att förhållandet mellan operatör och leverantör utreds. Det ska göra det tydligt hur operatören uppfattar leverantörens inflytande över operatörens system och vilka risker det innebär, genomförande av relevanta analyser: operatörerna ska analysera hot, sårbarhet och risker samt kräva relevant information av leverantörer. De två sista kategorierna är etablering av policys och åtgärdsplaner – operatörer måste skapa interna regler för ansvar och roller samt planer för hur incidenter ska hantera, samt specificering av säkerhetskrav. Dessa specifikationer ska tas med i en upphandling.