SIKKERHET

Sikring av OT – tiden er inne for målrettet innsats

Dagens trusselsituasjon krever at vi skreddersyr tiltak for å unngå alvorlige konsekvenser.

Nina Hesby Tvedt er kommersiell direktør i Secure-NOK. Her svarer hun på et tidligere innlegg fra Magnar Barsnes i Conscia Norge om manglende sikkerhet innen operasjonell teknologi (OT).
Nina Hesby Tvedt er kommersiell direktør i Secure-NOK. Her svarer hun på et tidligere innlegg fra Magnar Barsnes i Conscia Norge om manglende sikkerhet innen operasjonell teknologi (OT). Foto: Ingar Sørensen
Nina Hesby Tvedt, Chief Commercial Officer i Secure-NOK
31. des. 2023 - 14:38

I debattinnlegget «Utfordringar med OT-sikkerheit: Frå kaos til kontroll» beskriver Magnar Barsnes sikkerhetsmessige cowboytilstander i norske OT-systemer (operativ teknologi). På en billedlig måte får vi vite hva som venter dem med sikkerhetsambisjoner for sitt OT-miljø. For eksempel produksjonslinjer satt sammen av flere leverandører med hver sin tilnærming til sikkerhet. Likeså en flora av løsninger for å gi tilgang ved feilretting. Alt gjort med gode intensjoner for at produksjonen skal gå sin gang, men uten overordnede sikkerhetsføringer. I mange tilfeller er det sikkerheten til vår kritiske infrastruktur som blir overlatt til tilfeldighetene. 

Hva er sikkert nok i dag?

Barsnes foreslår å begynne med synligheten. Skaffe oversikt over miljøet. Bruke denne informasjonen til å planlegge sikkerhetsforbedringer dag for dag. Jeg mener dette er en god tilnærming, men langt fra nok sett i lys av dagens trusselsituasjon.

Vi har en geopolitisk situasjon som tilsier at norske interesser er et mål. «Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser», sier Nasjonal sikkerhetsmyndighet (NSM). I mai i år ble dansk infrastruktur for kraftforsyning og fjernvarme angrepet i et koordinert angrep. 100.000 dansker kunne mistet strøm eller varme. Løsepengeangrep rammer i økende grad også OT, enten direkte eller gjennom tilkoblede IT-systemer.

Blue Screen of Death på en storskjerm i Newark International Airport i USA.
Les også

Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting

Rett innsatsen mot indrefileten

Dersom vi har skaffet oss oversikt over OT-miljøet og startet et forbedringsprogram, hva bør være neste skritt? Målrettede angrep mot OT er svært alvorlige, både for virksomheten og samfunnet som helhet. Enhver bør derfor kartlegge sine «worst case»-scenarier. På den måten kan overvåkning og strakstiltak prioriteres til å beskytte de mest kritiske systemene.

I de fleste vellykkede angrep på kritiske systemer har angriper vært til stede i offerets infrastruktur over tid uten å bli oppdaget. Siden kritiske systemer til en viss grad er skjermet fra internett, må angripere trenge gjennom flere lag med beskyttelse.

Utnyttelse av nulldagssårbarheter (zero days) eller bruk av såkalt «living off the land»-taktikk er populært, blant annet fordi det er vanskelig å oppdage. Sistnevnte innebærer å misbruke maskiner, systemer og funksjonalitet som allerede finnes i infrastrukturen. På den måten slipper angriper å laste ned skadevare eller bruke andre velkjente teknikker. For å beskytte seg mot slike angrep, trenger man god oversikt over OT-systemets oppførsel i en normalsituasjon. Deteksjonsverktøy, logging og prosedyrer for overvåkning bør derfor skreddersys infrastrukturen. Dette vil øke sjansen for å oppdage mistenkelige avvik i tide. 

Det er urovekkende hva et bilde kan avsløre, ifølge Svein Bekkevold, administrerende direktør i Gritera Security.
Les også

IT-ekspert: Skremmende hva et teknisk bilde kan røpe av sårbarheter

Still krav til leverandørene

Videre mener jeg det bør stilles tydelige krav til leverandører. Eier av industrielle anlegg må formidle hvilket sikkerhetsnivå som forventes fremover. Vi i Secure-NOK har god erfaring med å benytte internasjonale konsensusstandarder som for eksempel IEC 62443.

Anskaffelse av nye systemer er en gyllen anledning til å utforme sikkerhetskrav til OT som står seg i fremtiden. En bør også utfordre leverandørene på hvordan bedre sikkerhet kan «ettermonteres» i eksisterende anlegg. For eksempel kan en større del av infrastrukturen være felles og styres sentralt etter klare krav til sikkerhet. 

Styrket regelverk er rett rundt hjørnet

Som et svar på trusselbildet har EU strammet til lovverket på digital sikkerhet gjennom NIS1- og NIS2-direktivene. I Norge ble digitalsikkerhetsloven nylig vedtatt av Stortinget. Når den trer i kraft, sluttfører det vår NIS1-implementering. Regjeringen jobber med innføring av NIS2. Dette lovverket vil stille krav om et basisnivå for sikkerhet for en rekke sektorer. Herunder mange som til nå har operert uten eksplisitte lovkrav til cybersikkerhet.

God OT-sikkerhet er noe en oppnår ved systematisk arbeid over tid. Begynn i dag – det er ingen grunn til å vente!

− Jo mer selskapet brukte KI og automatisering, jo lavere ble kostnaden for datainnbruddene. Korrelasjonen er tydelig og et av de viktigste funnene i årets rapport, skriver IBM.
Les også

Datainnbrudd blir dyrere

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.