Vi hører stadig i nyhetene om selskaper som blir utsatt for cyber-angrep. Konsekvensen er dramatisk for dem det gjelder. For noen selskaper kan det i ytterste konsekvens bety konkurs.
Cybersikkerhet i kritisk infrastruktur har de siste årene fått større oppmerksomhet grunnet det geopolitiske trusselbildet. Industrielle kontrollsystemer finnes i alt av kritisk infrastruktur som for eksempel vann- og avløpsanlegg til strømforsyning og transport. Disse systemene blir omtalt som OT (operasjonell teknologi). Konsekvensene av et cyberangrep på OT i kritisk infrastruktur vil være store og potensielt ramme mange mennesker.
Ofte uteglemt
Mange private selskaper, for eksempel innen matvareindustri, er ikke kategorisert som kritisk infrastruktur, men likevel av stor betydning for samfunnet for øvrig. Disse selskapene har mange maskiner og produksjonslinjer med OT-utstyr. Dersom store matvareprodusenter blir rammet av cyberangrep, kan konsekvensen være betydelige for samfunnet.
Nøkkelen til å beskytte seg mot cyberangrep, er kunnskap. Min påstand er at kunnskapen om cybersikkerhet i OT hos bedriftsledere og styrene i selskapene er altfor dårlig. Det investeres store summer i både IT-sikkerhet og -systemer, men cybersikkerhet knyttet til kjernevirksomheten er ofte uteglemt. OT er kjernevirksomheten i disse selskapene. Det er i produksjonen at verdiskapningen skjer, ikke i IT.
Uten cybersikkerhet i tankene
Det er klare forskjeller på IT og OT, og det er noen unike utfordringer knyttet til OT. OT-systemer har lengre levetid. OT består ofte av eldre utstyr med begrensede sikkerhetsfunksjoner. Mange OT-systemer ble designet uten cybersikkerhet i tankene, noe som gjør de mer sårbare for angrep. I tillegg er det ofte uklart eierskap og ansvar mellom IT- og OT-team, noe som kompliserer arbeidet. Det er større utfordringer knyttet til livssyklus i OT.
Et havari knyttet til et utgått kontrollsystem på en maskin kan ha like stor konsekvens som et cyberangrep og medføre stans i lang tid. Plutselig står bedriften ovenfor et stort oppgraderingsprosjekt hvor styringssystemet må redesignes og programmeres.
Kjøper reservedeler på eBay
En bedriftsleder jeg snakket med, sa til meg: «Vi har gjort mange risikovurderinger for selskapet rundt IT-sikkerhet, men OT er uteglemt i denne sammenhengen.»
Slik tror jeg det er for mange.
Jeg har besøkt utallige produksjonsbedrifter i Norge og i utlandet. Jeg har selv vært produksjonssjef i en papirfabrikk i Norge. Jeg overraskes ikke lenger av den tekniske tilstanden på utstyret i produksjonen hos bedriftene. Levetiden på maskiner forlenges langt ut over det som er forsvarlig. Styringssystemene er ofte utgått, og reservedeler er ikke lenger tilgjengelig. Vi ser tilfeller hvor bedriftene kjøper reservedeler for kontrollsystemene sine på eBay, uten garanti for tilstanden. Dette er i sterk kontrast til tilstanden på både kontorlokalene og investeringsviljen på IT og andre støttesystemer.
Hvorfor er det slik?
Distansert fra kjernevirksomheten
Min personlige mening er at toppledere er blitt for distansert fra sin egen kjernevirksomhet. De er ofte lokalisert andre steder enn produksjonen, som oftest i en stor by. IT er som oftest samlokalisert med konsernledelsen. Derfor er IT-systemer oftere på agendaen hos konsernledelsen enn OT-systemer. Det er også et stort trykk på bruk av kunstig intelligens og digital transformasjon som driver investeringer innen IT-segmentet. Oppfatningen er at dette skal levere store og raske gevinster.
Kompetansen på OT-teknologi hos produksjonsenhetene er skåret ned til benet for å spare penger. Det er knapt kompetanse igjen ute hos enhetene. De som er igjen, har kun ressurser til å håndtere det mest akutte. Langsiktig planlegging og vedlikehold er derfor ofte mangelfullt. De få som sitter med kompetansen om teknologien, er antakelig ikke flinke nok til å kommunisere risiko knyttet til utgåtte systemer og cybersikkerhet.
Det er på høy tid at konsernledelsen tar ansvar for operasjonell sikkerhet og OT-cybersikkerhet i egen virksomhet. Vektskåla bør veie tyngst for kjernevirksomheten. IT er tross alt støttesystemer i denne sammenhengen. Det er lett å være etterpåklok når konsekvensen av et ransomware-angrep har medført at bedriften står i sju steiner, hvor basale sikkerhetstiltak kunne redusert konsekvensene betydelig, eller forhindret angrepet. Det er bedre å investere i enkle sikkerhetstiltak nå. Kostnadene ved å rydde opp i etterkant er langt større.
Hvordan bør man gå frem?
Min anbefaling er at konsernledelsen og styret ruster opp egen kompetanse om OT, både med hensyn til operasjonell sikkerhet og cybersikkerhet. De bør rett og slett gå på et «OT Cyber Awareness»-kurs. Det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT.
Ta aksjon raskt for å redusere risiko. Ikke bruk mange måneder eller år på papirøvelser. Gjør noe nå! Gjør grovarbeidet først, og finjuster strategien senere. SANS' anbefalinger «5 Critical Controls for ICS Cyber Security» er et glimrende rammeverk. Her følger noen anbefalinger, basert på egne erfaringer og fra SANS:
- Sørg for tilstrekkelige reservedeler til utgått utstyr.
- Forsikre deg om at det finnes backup av konfigurasjoner for OT-utstyret.
- Legg en langsiktig plan for oppgradering av det mest kritiske utstyret i produksjonen.
- Etabler en «Incident Response Plan» som inkluderer OT.
- Opprett en beskyttende nettverksarkitektur hvor IT og OT er skilt fra hverandre.
- Få på plass gode løsninger for sikker fjerntilkobling til OT.
- Overvåk trafikk i OT for å oppdage unormal aktivitet.
- Etabler et system for risikobasert håndtering av sårbarheter i OT.
Heldigvis er det slik at «Defence is doable!»