OT-SIKKERHET

Nå må toppledelsen begynne å bry seg om OT-cybersikkerhet

Trusselbildet er økende, men dessverre øker ikke tiltakene hos bedriftene i samme tempo. Er det virkelig slik at det må lovmessige krav til før bedriftene reagerer?

Toppledere er blitt for distansert fra sin egen kjernevirksomhet, og det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT, skriver Tom-Roger Stensberg i Triple-S i denne kronikken.
Toppledere er blitt for distansert fra sin egen kjernevirksomhet, og det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT, skriver Tom-Roger Stensberg i Triple-S i denne kronikken. Foto: Pressefoto
Tom-Roger Stensberg, senior ICS/OT cyber security consultant i Triple-S
25. juli 2024 - 15:21

Vi hører stadig i nyhetene om selskaper som blir utsatt for cyber-angrep. Konsekvensen er dramatisk for dem det gjelder. For noen selskaper kan det i ytterste konsekvens bety konkurs.

Cybersikkerhet i kritisk infrastruktur har de siste årene fått større oppmerksomhet grunnet det geopolitiske trusselbildet. Industrielle kontrollsystemer finnes i alt av kritisk infrastruktur som for eksempel vann- og avløpsanlegg til strømforsyning og transport. Disse systemene blir omtalt som OT (operasjonell teknologi). Konsekvensene av et cyberangrep på OT i kritisk infrastruktur vil være store og potensielt ramme mange mennesker. 

Ofte uteglemt

Mange private selskaper, for eksempel innen matvareindustri, er ikke kategorisert som kritisk infrastruktur, men likevel av stor betydning for samfunnet for øvrig. Disse selskapene har mange maskiner og produksjonslinjer med OT-utstyr. Dersom store matvareprodusenter blir rammet av cyberangrep, kan konsekvensen være betydelige for samfunnet.   

Nøkkelen til å beskytte seg mot cyberangrep, er kunnskap. Min påstand er at kunnskapen om cybersikkerhet i OT hos bedriftsledere og styrene i selskapene er altfor dårlig. Det investeres store summer i både IT-sikkerhet og -systemer, men cybersikkerhet knyttet til kjernevirksomheten er ofte uteglemt. OT er kjernevirksomheten i disse selskapene. Det er i produksjonen at verdiskapningen skjer, ikke i IT.

Britiske datasentre vil få økt støtte fra myndighetene fremover.
Les også

Britene gjør store endringer for datasentre: – Motoren i det moderne samfunnet

Uten cybersikkerhet i tankene

Det er klare forskjeller på IT og OT, og det er noen unike utfordringer knyttet til OT. OT-systemer har lengre levetid. OT består ofte av eldre utstyr med begrensede sikkerhetsfunksjoner. Mange OT-systemer ble designet uten cybersikkerhet i tankene, noe som gjør de mer sårbare for angrep. I tillegg er det ofte uklart eierskap og ansvar mellom IT- og OT-team, noe som kompliserer arbeidet. Det er større utfordringer knyttet til livssyklus i OT.

Et havari knyttet til et utgått kontrollsystem på en maskin kan ha like stor konsekvens som et cyberangrep og medføre stans i lang tid. Plutselig står bedriften ovenfor et stort oppgraderingsprosjekt hvor styringssystemet må redesignes og programmeres.  

Kjøper reservedeler på eBay

En bedriftsleder jeg snakket med, sa til meg: «Vi har gjort mange risikovurderinger for selskapet rundt IT-sikkerhet, men OT er uteglemt i denne sammenhengen.»

Slik tror jeg det er for mange.

Jeg har besøkt utallige produksjonsbedrifter i Norge og i utlandet. Jeg har selv vært produksjonssjef i en papirfabrikk i Norge. Jeg overraskes ikke lenger av den tekniske tilstanden på utstyret i produksjonen hos bedriftene. Levetiden på maskiner forlenges langt ut over det som er forsvarlig. Styringssystemene er ofte utgått, og reservedeler er ikke lenger tilgjengelig. Vi ser tilfeller hvor bedriftene kjøper reservedeler for kontrollsystemene sine på eBay, uten garanti for tilstanden. Dette er i sterk kontrast til tilstanden på både kontorlokalene og investeringsviljen på IT og andre støttesystemer. 

Hvorfor er det slik? 

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Les også

Milliontap bør være et varsel til alle som jobber med IT og OT

Distansert fra kjernevirksomheten 

Min personlige mening er at toppledere er blitt for distansert fra sin egen kjernevirksomhet. De er ofte lokalisert andre steder enn produksjonen, som oftest i en stor by. IT er som oftest samlokalisert med konsernledelsen. Derfor er IT-systemer oftere på agendaen hos konsernledelsen enn OT-systemer. Det er også et stort trykk på bruk av kunstig intelligens og digital transformasjon som driver investeringer innen IT-segmentet. Oppfatningen er at dette skal levere store og raske gevinster.  

Kompetansen på OT-teknologi hos produksjonsenhetene er skåret ned til benet for å spare penger. Det er knapt kompetanse igjen ute hos enhetene. De som er igjen, har kun ressurser til å håndtere det mest akutte. Langsiktig planlegging og vedlikehold er derfor ofte mangelfullt. De få som sitter med kompetansen om teknologien, er antakelig ikke flinke nok til å kommunisere risiko knyttet til utgåtte systemer og cybersikkerhet. 

Det er på høy tid at konsernledelsen tar ansvar for operasjonell sikkerhet og OT-cybersikkerhet i egen virksomhet. Vektskåla bør veie tyngst for kjernevirksomheten. IT er tross alt støttesystemer i denne sammenhengen. Det er lett å være etterpåklok når konsekvensen av et ransomware-angrep har medført at bedriften står i sju steiner, hvor basale sikkerhetstiltak kunne redusert konsekvensene betydelig, eller forhindret angrepet. Det er bedre å investere i enkle sikkerhetstiltak nå. Kostnadene ved å rydde opp i etterkant er langt større. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess
Møteplasser som Arendalsuka er en ypperlig arena for å knytte til seg viktige kontakter som kan sitte på sensitiv informasjon, særlig nå når vi står overfor en stadig mer utfordrende geopolitisk situasjon, mener Dagfinn Buset i BDO.
Les også

Seks tips som beskytter deg mot etterretning

Hvordan bør man gå frem? 

Min anbefaling er at konsernledelsen og styret ruster opp egen kompetanse om OT, både med hensyn til operasjonell sikkerhet og cybersikkerhet. De bør rett og slett gå på et «OT Cyber Awareness»-kurs. Det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT. 

Ta aksjon raskt for å redusere risiko. Ikke bruk mange måneder eller år på papirøvelser. Gjør noe nå! Gjør grovarbeidet først, og finjuster strategien senere. SANS' anbefalinger «5 Critical Controls for ICS Cyber Security» er et glimrende rammeverk. Her følger noen anbefalinger, basert på egne erfaringer og fra SANS: 

  • Sørg for tilstrekkelige reservedeler til utgått utstyr. 
  • Forsikre deg om at det finnes backup av konfigurasjoner for OT-utstyret. 
  • Legg en langsiktig plan for oppgradering av det mest kritiske utstyret i produksjonen. 
  • Etabler en «Incident Response Plan» som inkluderer OT. 
  • Opprett en beskyttende nettverksarkitektur hvor IT og OT er skilt fra hverandre. 
  • Få på plass gode løsninger for sikker fjerntilkobling til OT.
  • Overvåk trafikk i OT for å oppdage unormal aktivitet.
  • Etabler et system for risikobasert håndtering av sårbarheter i OT.

Heldigvis er det slik at «Defence is doable!»

Selv om OpenAI o1 utvilsomt er et imponerende teknologisk fremskritt innen kunstig intelligens, er det viktig å forstå at denne «tenkningen» egentlig er en avansert form for mønstergjenkjenning, ikke ekte intelligens, skriver professor Michael Riegler i Simula Research Lab.
Les også

OpenAI o1: Imponerende, men ikke banebrytende

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.