Industriella styr- och kontrollsystem för samhällsviktig infrastruktur som transportsektorn, banker och sjukvård byggs ofta av komponenter från många leverantörer och flera länder.
Ibland är systemen dessutom en blandning av skräddarsydda komponenter och kommersiella standardkomponenter.
Det skapar komplicerade leverantörskedjor vilket leder till risker för de operatörer som ska driva systemen och den verksamhet som systemen ska styra. Det konstaterar Totalförsvarets forskningsinstitut, FOI.
I rapporten Säkra leverantörskedjor för styrsystem presenterar FOI ett förslag på hur säkra leverantörskedjor kan skapas.
Ramverket kan delas in i fyra kategorier:
- Att förhållandet mellan operatör och leverantör utreds. Det ska göra det tydligt hur operatören uppfattar leverantörens inflytande över operatörens system och vilka risker det innebär.
- Genomförande av relevanta analyser. Operatörerna ska analysera hot, sårbarhet och risker samt kräva relevant information av leverantörer.
- Etablering av policys och åtgärdsplaner. Operatörer måste skapa interna regler för ansvar och roller samt planer för hur incidenter ska hanteras.
- Specificering av säkerhetskrav. Dessa specifikationer ska tas med i en upphandling.
När det gäller ansvarsfördelningen hanterar vissa operatörer all verksamhet, i andra kan leverantörer även driva systemen.
– Men grundantagandet har varit att det är operatören som äger systemen och är bäst på att respondera vid attacker. Det innebär att det är operatören som bär huvudansvaret, säger Erik Zouave, analytiker vid FOI, som skrivit till rapporten tillsammans med Margarita Jaitner.
Kommentatorerna ansvarar för sina egna kommentarer