SIKKERHET

Har du et strategisk skille mellom IT og OT?

Store bedrifter har tapt titalls millioner kroner etter å ha blitt rammet av cyberangrep. Det bør være et varsel til alle som jobber med IT og OT (operativ teknologi).

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep. Foto: Pressefoto
Joachim Stenhjem, ingeniør i Sopra Steria
12. juli 2024 - 13:57

Bedrifter av alle størrelser er avhengige av teknologiske systemer for å opprettholde effektiviteten og sikkerheten. Vi ser stadig flere eksempler på at det å skille IT- og OT- systemer gir gode resultater. Det bidrar til å sikre tilgjengelighet og stabilitet i bedriftskritiske systemer, i tillegg er det et viktig grep for å begrense sjansen for cyberangrep for de viktigste systemene.

Vi har tidligere lest om aktører i detaljhandelen som har blitt utsatt for hacking med løsepengevirus, hvor butikkene har måttet gå over til penn og papir. Dette er et eksempel på at også i bransjer som detaljhandel, er det viktig å ta grep for å sikre sømløs drift og begrense risiko for nedetid og for cybertrusler. Hendelsen understreker behovet for å skille forretningskritiske systemer fra andre systemer. Og selv om betalingsterminaler ikke nødvendigvis klassifiseres som OT-systemer, er systemet likevel kritisk for driften – slik at de kan dra nytte av paralleller fra OT-sikringen. 

En viktig standard  

For at virksomheter skal sikre oppetid, pålitelighet og konfidensiell informasjon i kritisk infrastruktur, er det viktig med en strategisk bygge- og driftsprosess. Her er det tilnærmingen fra rammeverket IEC 62443 kommer til sin rett. IEC 62443-standarden er skrevet for bruk i industri, og gir retningslinjer og beste praksis for å sikre industrielle kontrollsystemer og nettverk. Den understreker behovet for å skille IT- og OT-miljøer, for å minimere sjansen for å bli utsatt for kritiske cyberangrep. Systemstans medfører fort markante tap. Selv om standarden er mest brukt i industrimiljø, gir den svært gode retningslinjer som også kan brukes for andre systemer som er spesielt kritiske for bedriften.

Vis mer

Konsekvens av feil design

Det er ikke lenge siden et fiberbrudd lammet flytrafikken i mange timer. Det viser konsekvensen av feil i design og feil i evaluering av risiko. Gjennom IEC 62443-standarden beskrives gode retningslinjer for design, prosjektering, drift, overvåking og vedlikehold. Analysen som beskrives i standarden, består av å identifisere risiko og sårbarhetsgrad for de forskjellige systemene i virksomheten. For eksempel hvor mye nedetid er akseptert og hvilke rutiner er det for å vedlikeholde programvare. Dette gir ofte en matrise med forskjellige behov, grovt skilt i IT- og OT-systemer. Effekten av å skille IT- og OT-systemer, er at det vil gi bedre sikkerhet for begge systemkategoriene.

Nordea i Danmark har hatt utfordringer med å teste kritiske IT-systemer, avdekker en hemmelig rapport fra 2020, som Version2 har sett. Bildet er fra bankens kontor i Oslo.
Les også

Lekket rapport: Nordea klarte ikke å katastrofeteste IT-systemene

Identifisere årsaker til avvik

Alle bedrifter med kritiske krav til tjenester, bør aktivt og kontinuerlig vurdere sine teknologiske infrastrukturer og iverksette passende sikkerhetstiltak for å beskytte både IT, OT og forretningskritiske systemer mot mulige trusler. Det er ikke bare god praksis, men en nødvendighet. Så, ved å evaluere selskapets datatjenester basert på IEC 62443-standarden, kan investeringene fort lønne seg – dersom en trussel eller en designfeil treffer din virksomhet.

Tøyenbadet åpner mot slutten av året. Prislappen ligger på rundt 2,4 milliarder kroner.
Les også

Tøyenbadet sikres mot hacking

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.