Så lätt det verkar vara. Och så mycket verktyg det finns att ladda ner från nätet som gör det mesta jobbet. Visst, jag hade sakkunnig handledning, men jag utförde faktiskt jobbet själv. Så slutsatsen av den övning jag genomförde före jul var att jag relativt snart skulle kunna klara uppgiften på egen hand.
Det låter ju positivt att något komplicerat är lätt att lära sig. Om det nu inte varit för det faktum att målet med övningen var att liksom en hackare ta över ett plc-system, över Internet, genom brandväggar och in i ett intranät, för att styra funktionen från min egen dator.Någon utbildning för styrsystemshackare handlade det inte om, även om det kan låta så. Tvärtom var den en introduktionskurs i it-säkerhet för styrsystem. Målsättningen är att öppna kursdeltagarnas ögon för de stora risker som styrsystemen är utsatta för.
Kursen anordnas av foi, Totalförsvarets forsknings institut, på uppdrag av Myndigheten för samhällsskydd och beredskap, msb. Och här finns ett problem. För vem som helst får inte anmäla sig, vare sig till denna kurs eller fortsättningskursen där man lär sig avvärja angreppen. Det är msb som avgör vilka som bjuds in till kurserna. Och msb väljer ut folk som jobbar inom samhällskritiska funktioner som energiförsörjning, vatten och avlopp eller transporter.
Det är förstås en riktig prioritering. Hackare som tar sig in i sådana processer, kan ställa till stor skada för hela samhället. Men det hindrar inte att många från ”vanliga” industrier också skulle behöva gå sådana här kurser.
Kanske finns det andra kurser i it-säkerhet för styrsystem dit vem som helst kan anmäla sig men jag har inte hört om någon. Att det talas så lite om kurser i it-säkerhet för styrsystem beror förstås på att intresset är lågt – för lågt. Hade trycket varit större, hade fler kurser funnits. Det gäller alltså att öka intresset för it-säkerhet i styrsystem så att efterfrågan på utbildningar ökar. Då kan ögonöppnarkurser som den hos foi vara en väg. Ingen förklaring eller demonstration i världen går upp mot att själv göra intrånget och se att det är alldeles för lätt.Det är svårt att tänka sig att ett enskilt företag kan öka efterfrågan på utbildningar i it-säkerhet för styrsystem så mycket att det driver fram kurser i ämnet som alla kan gå. Istället behövs samverkan. Här borde branschorganisationer och automationsföreningar kunna bidra. Och varför inte ett samarbete mellan stora styrsystemsföretag som Siemens och abb, företag som utför tjänster inom it-säkerhet men får jobba för att övertyga kunderna om behovet. Och för den delen, nog är industrin så viktig att msb borde kunna utvidga sin målsättning så att fler företag får möjlighet att anmäla sig.
