Fjärranslutningstekniker för industriella informations- och styrsystem
Publiceringsdatum: 2019-04-26
Rapportnummer: FOI-R--4751--SE
Sidor: 49
Skriven på: Svenska
Forskningsområde:
- Informationssäkerhet
Nyckelord:
- fjärranslutning
- säkerhetspolicy
- säkerhetsanalys
- industriella informations- och styrsystem
Sammanfattning
Möjlighet att fjärransluta till interna resurser är en nödvändig del av den dagliga verksamheten för många organisationer. Upprättandet och hanteringen av sådan funktionalitet kan dock vara en komplex process när det finns flera olika kategorier av användare, både interna och externa, som från distans behöver tillgång till interna resurser av varierande skyddsvärde. För organisationer som saknar intern kompetens att kravställa och hantera fjärranslutning blir problemet än mer svårt att lösa. Denna rapport ämnar förse intressenter med säkerhetsrelaterad information kring fjärranslutningar vilken kan användas som kompetensgrund när beslut kring fjärranslutning ska fattas. Rapporten illustrerar arbetsprocessen för att upprätta fjärranslutningsfunktionalitet samt visar vilka frågor och beaktanden organisationen bör kunna besvara genom hela processen. Vidare beskrivs de vanligaste formerna av teknik för fjärranslutning som också exemplifieras i form av tre olika användningsscenarier. I scenarierna diskuteras olika hot och risker samt beskrivs hur olika tekniker och kompletterande mekanismer kan appliceras för att minska sannolikheten för hoten och mildra effekterna av de konsekvenser som kan uppstå därav. Rapportens resultat visar att de allra flesta hot och risker som relaterar till fjärranslutningar kan motverkas med hjälp av de tekniker som rapporten beskriver. Samtidigt är det viktigt att påpeka att dessa tekniker generellt måste kompletteras med ytterligare säkerhetsfunktionalitet för att risker effektivt ska kunna minimeras. Resultatet visar också att en del risker inte kan motverkas eller mildras med hjälp av teknikerna. I dessa fall är det istället viktigt att minimera effekterna av de relaterade konsekvenserna. Rapporten avslutas med ett antal rekommendationer för aspekter som bör uppfyllas innan processen med att upprätta fjärranslutning påbörjas, vilket bland annat inkluderar identifiering av behov, genomförande av säkerhetsanalys och applicering av relevanta säkerhetspolicyer.