Varsel: Særlige opmærksomhedspunkter omkring adgang til SCADA-systemer fra hjemmearbejdspladser
-
24. marts, 2020 - Kl. 11.00
[Oprindeligt publiceret af Center for Cybersikkerhed]
Mange virksomheder har på Regeringens opfordring bedt deres medarbejdere om at arbejde hjemmefra, så de kan varetage deres arbejdsopgaver og samtidig bidrage til at bryde smittekæderne. Også virksomheder, der anvender SCADA-systemer lader i denne tid deres medarbejdere arbejde hjemmefra. SCADA-systemer bruges til drift og overvågning af kritiske produktionssystemer, som kan være særligt interessante for hackere med et politisk såvel som et økonomisk motiv.
Center for Cybersikkerhed anbefaler, at virksomheder, der anvender SCADA-systemer fortsat anlægger en risikobaseret tilgang til it-sikkerhed i SCADA-systemer og andre kritiske systemer. De systemer, der af driftsmæssige årsager skal kunne betjenes, kan i nogle tilfælde tilgås via en sikker fjernadgang. CFCS anbefaler, at fjernadgang til SCADAsystemer og andre kritiske systemer forvaltes efter følgende principper:
Vejledningen Håndtering af Industrikontrolsystemer beskriver de samlede overordnede anbefalinger til sikker brug af SCADA-systemer.
Center for Cybersikkerhed anbefaler, at de ændringer, der implementeres i forbindelse med en krise, dokumenteres omhyggeligt, så det er muligt at genetablere normaltilstanden, når krisen er overstået.
Overnævnte råd gælder alle virksomheder, der benytter sig af SCADA-systemer. Både de virksomheder, der er leverandører af samfundskritiske services som fx strøm, og alle andre produktions- og teknologivirksomheder, der ønsker at passe godt på fortroligheden og integriteten af deres data.
Mange virksomheder har på Regeringens opfordring bedt deres medarbejdere om at arbejde hjemmefra, så de kan varetage deres arbejdsopgaver og samtidig bidrage til at bryde smittekæderne. Også virksomheder, der anvender SCADA-systemer lader i denne tid deres medarbejdere arbejde hjemmefra. SCADA-systemer bruges til drift og overvågning af kritiske produktionssystemer, som kan være særligt interessante for hackere med et politisk såvel som et økonomisk motiv.
Center for Cybersikkerhed anbefaler, at virksomheder, der anvender SCADA-systemer fortsat anlægger en risikobaseret tilgang til it-sikkerhed i SCADA-systemer og andre kritiske systemer. De systemer, der af driftsmæssige årsager skal kunne betjenes, kan i nogle tilfælde tilgås via en sikker fjernadgang. CFCS anbefaler, at fjernadgang til SCADAsystemer og andre kritiske systemer forvaltes efter følgende principper:
- Oprethold en forsvarlig segmentering, således at adgangen til kritiske systemer begrænses, overvåges og logges.
- Oprethold en stram adgangsstyring for kritiske systemer, således at et minimum af medarbejdere har et minimum af rettigheder i de kritiske systemer.
- Hvis man implementer nye adgangsgivende systemer til kritiske systemer, som eksempelvis jump-host og VMware, skal der foretages en risikovurdering. I de tilfælde, hvor man har valgt at udelukkende specifikke fysiske maskiner kan etablere adgang til et kritisk system, bør man foretage en konkret risikovurdering før man afviger fra denne politik. På samme måde bør politikker for adgangsstyring til kritiske systemer ikke ændres uden en fornyet risikovurdering.
- Anvend fler-faktor autentifikation og stærke passwords til fjernadgang til alle virksomhedens systemer.
- Vær opmærksom på, at nogle systemer kan være så kritiske, at det ikke er forsvarligt at tilgå dem via fjernadgang.
Vejledningen Håndtering af Industrikontrolsystemer beskriver de samlede overordnede anbefalinger til sikker brug af SCADA-systemer.
Center for Cybersikkerhed anbefaler, at de ændringer, der implementeres i forbindelse med en krise, dokumenteres omhyggeligt, så det er muligt at genetablere normaltilstanden, når krisen er overstået.
Overnævnte råd gælder alle virksomheder, der benytter sig af SCADA-systemer. Både de virksomheder, der er leverandører af samfundskritiske services som fx strøm, og alle andre produktions- og teknologivirksomheder, der ønsker at passe godt på fortroligheden og integriteten af deres data.