Har du et strategisk skille mellom IT og OT?

Store bedrifter har tapt titalls millioner kroner etter å ha blitt rammet av cyberangrep. Det bør være et varsel til alle som jobber med IT og OT (operativ teknologi).

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep. Foto: Pressefoto

Del

Kommenter

Joachim Stenhjem, ingeniør i Sopra Steria

12. juli 2024 - 13:57

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Bedrifter av alle størrelser er avhengige av teknologiske systemer for å opprettholde effektiviteten og sikkerheten. Vi ser stadig flere eksempler på at det å skille IT- og OT- systemer gir gode resultater. Det bidrar til å sikre tilgjengelighet og stabilitet i bedriftskritiske systemer, i tillegg er det et viktig grep for å begrense sjansen for cyberangrep for de viktigste systemene.

Vi har tidligere lest om aktører i detaljhandelen som har blitt utsatt for hacking med løsepengevirus, hvor butikkene har måttet gå over til penn og papir. Dette er et eksempel på at også i bransjer som detaljhandel, er det viktig å ta grep for å sikre sømløs drift og begrense risiko for nedetid og for cybertrusler. Hendelsen understreker behovet for å skille forretningskritiske systemer fra andre systemer. Og selv om betalingsterminaler ikke nødvendigvis klassifiseres som OT-systemer, er systemet likevel kritisk for driften – slik at de kan dra nytte av paralleller fra OT-sikringen.

En viktig standard

For at virksomheter skal sikre oppetid, pålitelighet og konfidensiell informasjon i kritisk infrastruktur, er det viktig med en strategisk bygge- og driftsprosess. Her er det tilnærmingen fra rammeverket IEC 62443 kommer til sin rett. IEC 62443-standarden er skrevet for bruk i industri, og gir retningslinjer og beste praksis for å sikre industrielle kontrollsystemer og nettverk. Den understreker behovet for å skille IT- og OT-miljøer, for å minimere sjansen for å bli utsatt for kritiske cyberangrep. Systemstans medfører fort markante tap. Selv om standarden er mest brukt i industrimiljø, gir den svært gode retningslinjer som også kan brukes for andre systemer som er spesielt kritiske for bedriften.

Artikkelen fortsetter etter annonsen

annonsørinnhold

Her har de bygd Norges sterkeste IT-miljø: – De beste ønsker å jobbe med de beste

Vis mer

Konsekvens av feil design

Det er ikke lenge siden et fiberbrudd lammet flytrafikken i mange timer. Det viser konsekvensen av feil i design og feil i evaluering av risiko. Gjennom IEC 62443-standarden beskrives gode retningslinjer for design, prosjektering, drift, overvåking og vedlikehold. Analysen som beskrives i standarden, består av å identifisere risiko og sårbarhetsgrad for de forskjellige systemene i virksomheten. For eksempel hvor mye nedetid er akseptert og hvilke rutiner er det for å vedlikeholde programvare. Dette gir ofte en matrise med forskjellige behov, grovt skilt i IT- og OT-systemer. Effekten av å skille IT- og OT-systemer, er at det vil gi bedre sikkerhet for begge systemkategoriene.

Bendik Witzøe og Mattias Røstad Jørum deler i kronikken råd om hvordan virksomheter kan komme i gang med kunstig intelligens på en strukturert og målrettet måte.

Les også

En strategisk tilnærming til KI

Identifisere årsaker til avvik

Alle bedrifter med kritiske krav til tjenester, bør aktivt og kontinuerlig vurdere sine teknologiske infrastrukturer og iverksette passende sikkerhetstiltak for å beskytte både IT, OT og forretningskritiske systemer mot mulige trusler. Det er ikke bare god praksis, men en nødvendighet. Så, ved å evaluere selskapets datatjenester basert på IEC 62443-standarden, kan investeringene fort lønne seg – dersom en trussel eller en designfeil treffer din virksomhet.