Risk management in SCADA-system

NORSK: Kraftforsyningen er sårbar både overfor fysiske påkjenninger og angrep mot sine informasjonssystemer. For styring og overvåking av kraftforsyningen benyttes industrielle prosess styringssystemer eller SCADA-systemer. SCADA-systemer er properitære systemer og har inntil nå vært betraktet som isolerte systemer og dermed immune mot såkalt cyberangrep via Internet. SCADA-systemer er konstruert med tilgjengelighet og data integritet som viktigste egenskap. For å gi brukerne tilstrekkelig funksjonalitet er det imidlertid ofte opprettet en fysisk forbindelse mellom SCADAdatanettet og det administrative datanettet. Dette skyldes økende behov for utveksling av data mellom nettene. Med dette oppstår muligheten for ekstern tilgang (også fra Internet) inn mot de viktige styringssystemene i driftssentralene, selv om det i prinsippet bare er den administrative delen som er åpnet ut mot eksterne aktører. Siden systemene gjennom sine properitære løsninger har blitt ansett som lite sårbare har sikkerhet i systemene vært lavt prioritert. Dette gjør SCADA-systemene potensielt sårbare for ulike angrep både fra utsiden og innsiden. Databaserte angrep på SCADA-systemer i kraftforsyningen kan sette liv og helse på spill og forårsake alvorlige sammenbrudd i samfunnets infrastruktur. Målet med denne Masteroppgaven er å identifisere tiltak for å redusere IT sårbarheten i driftskontrollsystemene. Videre er målet å utvikle et rammeverk for risikostyring gjennom bruk av et sett med sikkerhetsindikatorer, som kan brukes til kontinuerlig evaluering av sikkerhetsnivået i SCADA-systemene. Rammeverket som baseres på teorier fra balansert målstyring, benyttes som grunnlag for å utvikle en modell for risikostyring av informasjonssikkerhet i Eidsiva energis driftskontrollsystem. *SCADA-systemer eller driftskontrollsystemer er industrielle databaserte prosess kontroll systemer for styring og overvåking. I denne oppgaven benyttes begrepene driftskontrollsystemer og SCADA-systemer synonymt.