Frågor och svar om NIS

Närbild på vatten som fylls i ett glas

Kan mobilnätet användas för kommunikation till ytterstationer och hur ökar vi motståndskraften mot ransomware? På den här sidan får du svar på vanliga frågor om NIS. 

Kan mobilnätet användas för kommunikation till ytterstationer?

Hantera risker förknippade med kommunikation via mobilnätet

NIS-lagen ställer inte specifika krav på vilka teknologier som får användas för kommunikation med ytterstationer, mellan ytterstationer och med centrala system. Det centrala är att riskerna förknippade med den valda teknologin identifieras, värderas och hanteras med lämpliga säkerhetsåtgärder.

När mobilnätet används i syfte att hantera denna typ av kommunikation kan risker ofta hanteras genom att man enbart tillåter betrodda enheter. I praktiken är det vanligt att detta åstadkoms med hjälp av aktiv utrustning med stöd för VPN och brandväggsregler.

Många teleoperatörer erbjuder möjligheten till eget företagsspecifikt privat APN. Dessa marknadsförs ibland som en ersättning för VPN där abonnentens rättighet till åtkomst i nätverket verifieras av teleoperatören. Ett eget APN kan dock kompletteras med ett krypterat och behörighetskontrollerat VPN, eller motsvarande, för ökad kontroll. Ett eget APN kan fortfarande ha stora fördelar, även om det endast används som bärare för ett VPN, då det korrekt konfigurerat ger större kontroll över mobila enheter, det är separerat från Internet och har fasta och ofta helt valbara IP-adresser för alla ändpunkter.

Reglera trafiken med en brandvägg

Vid kommunikation med ytterstationer via 3G/4G (eller motsvarande teknik) bör kommunikationen regleras så att endast de trafikflöden som är nödvändiga för verksamheten accepteras. Normalt regleras detta i en brandvägg så att ytterstationer endast kan kommunicera på de portar, med de protokoll och i de riktningar som är avsett.

En ytterstation ansluten via en mobiloperatör kan betraktas som en sammankoppling med ett annat nätverk oavsett om sammankopplingen sker via VPN eller via ett eget APN. Syftet med att reglera trafiken in från mobilanslutna ytterstationer oavsett hur anslutningen är upprättad är att även skydda mot den händelse att utrustningen (inklusive moden, VPN-utrustning och SIM-kort) stjäls.

Hur ökar vi motståndskraften mot ransomware?

Ett framträdande hot mot verksamheter är skadlig programvara som, när den tagit sig in i en IT- eller OT-miljö, krypterar vital data och kräver en lösensumma för att den ska återställas, så kallad ”ransomware”. Även VA-organisationer och dess IT- och OT-system kan drabbas av effekterna av ransomware, och att detta hot bör bedömas i respektive leverantörs riskanalys. Den ökade digitaliseringen och integrationen med andra system gör att hotet från ransomware är högst reellt och gör att även VA-organisationer behöver ha en hög medvetenhet om risken för att drabbas.

Nedan finns förslag på  åtgärder som kan vara värda att ta i beaktande i VA-sammanhang.

  • Öva bortfall av IT och ha en plan för en eventuell fysisk rondering. VA-verksamheter bör analysera vilka IT- och OT-system som kan påverkas av ett eventuellt ransomware-angrepp och hur ett bortfall i så fall påverkar dricksvattenproduktionen och distributionen. Vidare behöver bortfallet övas och kontinuiteten i dricksvattenproduktionen planeras. Om fysisk rondering krävs är det fördelaktigt att ha en färdig plan eftersom det är resurskrävande.
  • Beräkna vad som är en acceptabel återställningstid för system som används för produktion och distribution av vatten, exempelvis utifrån hur länge det är praktiskt möjligt att rondera, och planera återställningsplaner därefter.
  • Ta fram återställningsplaner. Även återställning av IT och styrsystem behöver planeras och övas för att på bästa sätt komma tillbaka till ett normalläge. VA-verksamheter bör analysera vilket eventuellt stöd som behövs, till exempel konsultstöd eller IT-stöd, och hur långa återställningstiderna kan vara med tanke på att eventuell manuell övervakning är resurskrävande.
  • Säkerställ backup-hantering och dess förvaring. VA-verksamheter bör analysera hur ransomware kan påverka backuper, hur egna backuper tas samt hur de förvaras. Till exempel kan offline-backuper minska risken att även backuperna drabbas av ett ransomware.

Säkra nätverk och informationssystem för dricksvatten (NIS)

Senast granskad 2022-12-06