skip to Main Content

NIS-direktivet för VA-branschen

Snart kommer nya regler för VA-huvudmän, det kommande NIS-direktivet rör informations- och IT-säkerhetsfrågor och införs vid årsskiftet. Reglerna omfattar bland annat infrastrukturen i VA-nät.

I många av våra kommuner finns idag en rad olika lösningar på plats för att lösa kommunikationen mellan stationer i vatten och avloppsnäten vilket av naturliga skäl inte kan ändras över en dag. Det finns många olika tekniker som spänner från allt till uppkoppling av pumpstationer via fiber, via kopparnät, stadsnät, radiolänk, radiomodem och även de publika mobilnäten.

Det ur många perspektiv mest förhastade är att kasta ut all gammalt teknik och köpa nytt. I den här artikeln tänker vi göra en genomlysning av tekniker för uppkoppling trådlöst och hur du på ett säkert sätt kan jobba med olika tekniker.

Regelverket från Livsmedelsverket

Generellt är rekommendationen att ”nätverks- och informationssystem som används för leverans och distribution av dricksvatten är logiskt eller fysiskt separerade från informationssystem eller nätverk som inte omfattas av motsvarande krav på informationssäkerhet”. Med detta avses att man har en tydlig åtskillnad mellan de vanliga IT-systemen och driftssystemen. Administrativa system och internetanvändande skall vara skilt från driftövervakningen genom separata nätverk. Detta är en approach vanlig inom industrin och som har en bevisat hög pålitlighet.

Innebär då detta att man inte kan använda befintliga radionät, stadsnät eller 4G-uppkoppling framöver? Nej, rusa inte iväg i ditt beslut här. En fysisk åtskillnad är att föredra, men även det kan ha sina brister, det är inte den automatiskt bästa lösningen. Bara för att näten är åtskilda, behöver de inte vara säkra.

Trådlös teknik i allmänhet

Första steget är att ta reda på om din kommunikationslänk erbjuder en krypterad uppkoppling. I de flesta moderna trådlösa nätverk exempelvis är trafiken krypterad, både vad gäller 4G, 5G, radiolänkar och radiomodem. Inom samtliga dessa olika tekniker så finns det krypterade lösningar idag som är säkra. Om du har ett äldre nät som inte är krypterat så fyller du egentligen kraven på åtskillnad, men ditt nät kan ändå vara sårbart. Har du ett av våra äldre radiomodemsnät kan du byta ut samtlig hårdvara mot nyare med kryptering utan att i övrigt ändra något i din infrastruktur.

Kryptering av data

Så när du kontrollerat att du har en teknik som är krypterad i luften skall du inte lita blint på det, utan se till att nätverkstrafiken över hela länken är krypterad och logiskt åtskild från annan trafik. Detta åstadkommer man genom tunnlar som skapar en punkt till punkt förbindelse mellan två punkter i nätverket. Använder du inte ett nätverk utan något av de äldre, seriella gränssnitten har du en utmaning men det går att komma runt detta. Dels finns radiomodem för egna radionät som har en krypterad uppkoppling och därmed krypterar data. Annars behöver du gå via en router som omvandlar den seriella trafiken till nätverkspaket, IP-trafik, som sedan krypteras och skickas via en nätverksuppkoppling över en tunnel. Data kan sedan dekrypteras i andra ändan.

Fysiskt skydd

Det förekommer massor av nätverksanslutningar i fält som i princip accepterar att du kopplar in en dator i nätverksporten. Här måste man tänka över det fysiska skyddet. Det handlar inte om att du skall plugga lediga nätverksportar, utan det handlar om att din hårdvara kan låsas till en viss hårdvara som en PLC eller driftsdator. Detta görs genom att programmera varje nätverksnod, router eller modem alltså, så att endast behöriga enheter kan använda nätverksporten på den aktuella kopplingspunkten.

Ett ytterligare steg som rekommenderas är att installera en avancerad brandvägg. Då pratar vi inte om en så kallad Layer 3 brandvägg som spärrar vissa portar och IP-adresser, utan en Layer 7 är det du skall använda. Dessa stänger effektivt ute nätverkstrafik i det så kallade applikationslagret och ger ett mycket gott skydd.

Redundans och backupvägar

Redundans är viktig om en uppkopplingsväg går ned, även om inte NIS-direktivets riktlinjer från Livsmedelsverket berör detta, så nämns att man skall införa åtgärder för att förebygga störningar. Har du ett eget radionät så kan redundans skapas genom att du ser till att det finns en backupväg för data att ta, kanske via mobilnäten som backupväg, om du gör detta på rätt sätt, mer om det nedan.

vrrp för redundans

Har du din egen infrastruktur så har du ganska stora krav att matcha för att säkerställa driften. Vi anser att du skall ha en övervakning av alla punkter i nätet så att du i realtid kan se driftsstatus för varje länk. Du behöver också ha rejäla batteribackuper, och så måste du sannolikt ha dubbla repeaterstationer, dubbla vägar för trafiken att ta eller en dubblerad hårdvara i basstationer om det skall vara en redundant lösning.

Med tanke på pågående pandemier så måste du också se till att din organisation inte bara förlitar sig på en eller ett par lokala experter, vad händer om dessa blir sjuka och inte kan hjälpa dig på ett par dagar, en vecka eller kanske mer? Här gäller det att ha tillräckliga säkerhetsprotokoll på plats för att garantera driften oavsett pandemier, stormar eller angrepp utifrån.

Tillgänglighet

Som vi berörde i punkten innan så handlar mycket om tillgänglighet, det gör att du direkt skall räkna bort tekniker som bygger på öppna standarder eller fria frekvenser i din infrastruktur. WiFi och LoRa är två sådana tekniker. Dessa jobbar via fria frekvenser och det finns ingen som garantera tillgängligheten i luften på fria frekvenser. LoRa omfattas av ett duty-cycle krav som innebär att man merparten av tiden måste vara tyst och passiv för att inte överlasta kanalen. Vad händer om du inte kan sända ditt meddelande på grund av att det är fullt på kanalen? För viktigt kommunikation kan inte LoRa vara ett alternativ, då det inte fyller de mest grundläggande kraven.

Eget radionät

Styrkan med ditt egna radionät är att du kan designa det som du vill. Du kan säkerställa att du har ordentliga batteribackuper där det behövs, du kan bygga backupvägar, täckning där det behövs och du kan ha en infrastruktur helt skild fysiskt från internet efter dina förutsättningar. Livsmedelsverket skriver också att ”den högsta graden av åtskildhet är fysisk separation av samtliga komponenter inklusive nätverksutrustning och driftsmiljö. Ur ett driftssäkerhetsperspektiv är fysisk separation oftast att föredra”.

Ett eget radionät kan enkelt vara fysiskt separerad från omvärlden, men det förutsätter att inga delar av transmissionssystem eller nätverksmiljön för övervakning har någon kontakt med internet.

Två andra av grundkraven som vi anser är att du har en egen frekvens och att du har en krypterad radiolänk. Tänk också på att du ser till att du har alla aspekter av driften av nätet säkrad internt så att säkerställandet av nätets tillgänglighet har redundans i organisationen.

Mobilnät

Att mobilnäten inte kan åstadkomma en helt fysisk separation från den öppna trafiken förstår du säkert. Men det är en aspekt som delas med stadsnät, fibernät och många andra publika nät som du säkert anser som ganska säkra. Till skillnad från fibernät och stadsnät så har 4G en säkerhetsnivå som anges redan i standarden för den luftburna delen av kommunikationen. Det finns två säkerhetslösningar, en reservlösning och en aktiv lösning, den ena är SNOW3G och den andra är en AES-baserad kryptering, båda ger en mycket hög säkerhet.

Samtliga operatörer vi har pratat med rekommenderar dock ett så kallat eget APN. Här handlar det om att du får en egen krypterad kanal i operatörens nät skild från annan trafik.

-Vi har möjlighet att, som exempel, leverera ett kundunikt APN där all trafik terminerar in via ett eget så kallat MPLS-nät, skyddat med VPN, där kunden kan få två separata fiberanslutningar för redundans, och ingen trafik går någonsin över internet i det fallet. Dessa förbindelser kan terminera i ett kontrollrum där bara ett fåtal datorer är anslutna. Det finns verkligen inget hinder att bygga nät med full separation från kontorsnäten, säger Pierre Cardell, Chief Architect, Telenor.

– Vill man skydda sin trafik helt från internet så görs det enkelt med ett privat APN och en privat förbindelse till nätet med en dedikerad förbindelse eller VPN. Det är den typen av lösningar som brukar användas om man har förhöjda krav på informationssäkerhet, t.ex. larmlösningar, betal- eller passersystem. Med denna lösning har man mycket hög säkerhet, säger Per Sjöström, Business Partner Manager Telia, när vi talas vi per telefon.

Hos Tele2 kan en kund ha ett dedikerat APN som kopplas mot dedikerade VPN eller fiberlösning och på så sätt ansluta sig och vara säker på att all kommunikation mellan enheter i fält och back-end passerar över en specifik kanal dedikerad till kunden.

Tre förslag på kraftfulla lösningar från operatörerna. Eget APN, en dedikerad förbindelse och en VPN-lösning, något operatörerna gemensamt rekommenderar för den som vill ha ett kraftfullt logiskt skydd.

vatten viktigt

4G-uppkopplad VA-drift
APN är en viktig aspekt

Mobilnäten routas via utländska servrar?

Har du hört att mobilnätens trafik routas genom utländska servrar? Grattis, det är fake-news, kanske inte i nivån med att 5G-nätet sprider Corona, men i alla fall ett uttalande baserat på okunskap. Exempelvis Tele2 menar att svenska kunder med back-end och enheter i Sveriges trafik inte lämnar landet.

Man måste betänka att operatörer, främst genom PTS men också i samverkan med andra myndigheter, bedöms utgöra samhällskritisk infrastruktur och hålls mot en väldigt hög standard. Så ser du uttalanden likt det ovan, dra öronen åt dig och kolla fakta.

Säkra upp din mobilnätslösning

Vi rekommenderar ett par grundläggande saker för att säkra upp din lösning om du jobbar med mobilnäten. Eget APN har operatörerna lyft i föregående stycken. En enkel aspekt är att du ser till att din hårdvara är låst till ett visst SIM-kort och att ett visst SIM-kort till en viss hårdvara. Detta innebär att om hårdvaran får ett annat SIM-kort, så kommer den inte att fungera, eller om SIM-kortet sätts i en annan hårdvara så kommer det inte heller att fungera.

Sen finns det andra inställningar du kan göra i din hårdvara för att se till att den systematiskt jobbar för att hålla uppkopplingen igång. Routrar för mobilnäten har en rad mekanismer för att starta om automatiskt vid störningar. Här har vi en track-record på 100 000-tals enheter i drift över hela världen. Vi hjälper dig ställa in dessa parametrar på rätt sätt och vi baserar det på mångårig erfarenhet av lyckade uppkopplingar.

Device management

Oavsett vilken nätverkslösning du har är det viktigt och centralt att du kan hålla koll på enheterna i ditt nätverk, varje enskild hårdvara i ditt nätverk med andra ord. Här finns många olika lösningar på gott och ont. De lösningar vi jobbar med här är helt fantastiska på att hålla automatisk kontroll över enheter i ditt nät och säga till om något avviker, detta gäller både för routrar för mobilnäten eller egna radionät. Det du bör tänka på dock, det är att många av dessa lösningar faktiskt är installerade på en molnserver som befinner sig i molnet, det vill säga en anonym adress någonstans i världen. Om du tänker att detta inte är ett bra upplägg utan vill ha all infrastruktur i Sverige, så har vi all förståelse för det. Vi har sådana lösningar för devicemanagement installerade på egen server i Sverige, fråga oss så berättar vi mera. Dock bygger mycket av dessa lösningar på att man får ett meddelande till en jourtelefon, ett mail eller liknande, men det fungerar ju tyvärr inte utan att ha en anslutning till internet.

Den största källan till problem

Det kanske vanligaste säkerhetsproblemet, historiskt sett, är användarna. Dessa är den traditionellt största källan till virus och skadlig kod, inte per definition nätverken. Läs gärna våra artiklar om säkerhet i IoT, om sökmotorn Shodan och andra relaterade inlägg i ämnet. Dessa har i allmänhet tagit sig in i näten via ett USB-minne, en dator som uppdateras via internet eller en användare som laddar ned en fil från internet och kopierar över till den aktuella datorn. Dessa är de vanligaste källorna till skadlig kod.

vattentorn

Stora säkra nät
För viktiga överföringar

Oavsett teknik som används idag i VA-nätet så kan säkert merparten av infrastrukturen som kan användas på ett säkert sätt i åratal framöver. Nu är dock ett bra tillfälle att göra en opartisk genomlysning. Vi genomför löpande ett begränsat antal workshops i ämnet, vill du diskutera igenom era behov, helt kostnadsfritt, så anmäl dig i formuläret nedan, inga förpliktelser, bara mervärden för er!

Induos logo
Induo AB
08-659 43 00

www.induo.com
[email protected]

Mer information:

Fyll i formuläret nedan med namn, e-post och kanske ett meddelande så hör vi av oss så snart vi kan, tack!

* Genom att skicka in formuläret samtycker du att vi lagrar dina uppgifter för att hjälpa dig med din förfrågan.

Läs mer om:

Leverantörer
Produkter

Socialt:

Följ oss i sociala medier:

linkedinfacebooktwitteryoutube

Back To Top
×Close search
Sök