I debattinnlegget «Utfordringar med OT-sikkerheit: Frå kaos til kontroll» beskriver Magnar Barsnes sikkerhetsmessige cowboytilstander i norske OT-systemer (operativ teknologi). På en billedlig måte får vi vite hva som venter dem med sikkerhetsambisjoner for sitt OT-miljø. For eksempel produksjonslinjer satt sammen av flere leverandører med hver sin tilnærming til sikkerhet. Likeså en flora av løsninger for å gi tilgang ved feilretting. Alt gjort med gode intensjoner for at produksjonen skal gå sin gang, men uten overordnede sikkerhetsføringer. I mange tilfeller er det sikkerheten til vår kritiske infrastruktur som blir overlatt til tilfeldighetene.
Hva er sikkert nok i dag?
Barsnes foreslår å begynne med synligheten. Skaffe oversikt over miljøet. Bruke denne informasjonen til å planlegge sikkerhetsforbedringer dag for dag. Jeg mener dette er en god tilnærming, men langt fra nok sett i lys av dagens trusselsituasjon.
Vi har en geopolitisk situasjon som tilsier at norske interesser er et mål. «Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser», sier Nasjonal sikkerhetsmyndighet (NSM). I mai i år ble dansk infrastruktur for kraftforsyning og fjernvarme angrepet i et koordinert angrep. 100.000 dansker kunne mistet strøm eller varme. Løsepengeangrep rammer i økende grad også OT, enten direkte eller gjennom tilkoblede IT-systemer.
Sikkerhetseksperter: Vi lærer ingenting og endrer ingenting
Rett innsatsen mot indrefileten
Dersom vi har skaffet oss oversikt over OT-miljøet og startet et forbedringsprogram, hva bør være neste skritt? Målrettede angrep mot OT er svært alvorlige, både for virksomheten og samfunnet som helhet. Enhver bør derfor kartlegge sine «worst case»-scenarier. På den måten kan overvåkning og strakstiltak prioriteres til å beskytte de mest kritiske systemene.
I de fleste vellykkede angrep på kritiske systemer har angriper vært til stede i offerets infrastruktur over tid uten å bli oppdaget. Siden kritiske systemer til en viss grad er skjermet fra internett, må angripere trenge gjennom flere lag med beskyttelse.
Utnyttelse av nulldagssårbarheter (zero days) eller bruk av såkalt «living off the land»-taktikk er populært, blant annet fordi det er vanskelig å oppdage. Sistnevnte innebærer å misbruke maskiner, systemer og funksjonalitet som allerede finnes i infrastrukturen. På den måten slipper angriper å laste ned skadevare eller bruke andre velkjente teknikker. For å beskytte seg mot slike angrep, trenger man god oversikt over OT-systemets oppførsel i en normalsituasjon. Deteksjonsverktøy, logging og prosedyrer for overvåkning bør derfor skreddersys infrastrukturen. Dette vil øke sjansen for å oppdage mistenkelige avvik i tide.
IT-ekspert: Skremmende hva et teknisk bilde kan røpe av sårbarheter
Still krav til leverandørene
Videre mener jeg det bør stilles tydelige krav til leverandører. Eier av industrielle anlegg må formidle hvilket sikkerhetsnivå som forventes fremover. Vi i Secure-NOK har god erfaring med å benytte internasjonale konsensusstandarder som for eksempel IEC 62443.
Anskaffelse av nye systemer er en gyllen anledning til å utforme sikkerhetskrav til OT som står seg i fremtiden. En bør også utfordre leverandørene på hvordan bedre sikkerhet kan «ettermonteres» i eksisterende anlegg. For eksempel kan en større del av infrastrukturen være felles og styres sentralt etter klare krav til sikkerhet.
Styrket regelverk er rett rundt hjørnet
Som et svar på trusselbildet har EU strammet til lovverket på digital sikkerhet gjennom NIS1- og NIS2-direktivene. I Norge ble digitalsikkerhetsloven nylig vedtatt av Stortinget. Når den trer i kraft, sluttfører det vår NIS1-implementering. Regjeringen jobber med innføring av NIS2. Dette lovverket vil stille krav om et basisnivå for sikkerhet for en rekke sektorer. Herunder mange som til nå har operert uten eksplisitte lovkrav til cybersikkerhet.
God OT-sikkerhet er noe en oppnår ved systematisk arbeid over tid. Begynn i dag – det er ingen grunn til å vente!
Datainnbrudd blir dyrere