Traditionelt angribes virksomheder gennem netværk og IT-systemer, men i dag er den operationelle teknologi (OT), som bruges i produktionen, den nye slagmark. Modsvaret er et forsvar i dybden med udgangspunkt i den internationale securitystandard IEC 62443. Ny it-sikkerhedslov (NIS 2-direktivet) er på vej og stiller krav – også til industrien.
I dag er spørgsmålet ikke, om man bliver ramt af cyberangreb. Spørgsmålet er, hvilke systemer der bliver ramt, og hvordan man håndterer det. Derfor er det afgørende at gå metodisk til værk i sit forsvar af virksomhedens systemer fra administration og til produktion. Den internationale securitystandard IEC 62443 til automations- og produktionssystemer er et godt fundament at bygge sine forsvarslinjer ud fra.
”Cyberkriminalitet er nu en meget reel trussel mod produktionen på fabriksgulvet. Derfor er det vigtig at sætte ind nu og foretage en skanning af sit systemsetup for at få et overblik over devices og deres sårbarheder og dermed trusler,” siger Technology Specialist Morten Kromann hos Siemens og fortsætter:
”Når man har dannet sig et overblik, kan man vurdere indsatsområder. Det absolut vigtigste er at få adskilt de administrative systemer fra produktionssystemerne. Langt den største del af cyberkriminalitet er målrettet virksomheders traditionelle IT-systemer – og hvis produktionssystemer er koblet sammen med disse uden securitytiltag, er det en åben dør for de cyberkriminelle.”
Forsvar i dybden
Standarden IEC 62443 er en generel tilgang til OT-security, som er uafhængig af teknologi-platform. I den anbefales en række securityniveauer, som man kan definere sit forsvar ud fra.
”Man ser på, hvordan man kan blive angrebet, sandsynligheden for det sker og om mulige konsekvenser af et angreb. De gradueres herefter på forskellige niveauer,” fortæller Morten Kromann.
Hos Siemens arbejder man med tre områder i forsvaret af OT: security i produktion/anlæg, netværkssecurity og systemintegritet. Ved security i produktionen arbejdes med en række metoder for at forhindre, at uautoriserede personer får fysisk adgang til kritiske komponenter – det kan både være den almindelige adgang til bygninger eller sikring af særlig følsomme områder. For at sikre netværk er det vigtigt at beskytte de systemer, der er lette at få adgang til og beskytte automationsnetværk mod uautoriseret adgang. For sikring af systemintegritet kan man opbygge integrerede securityfunktioner, som beskytter mod uautoriserede ændringer i konfigurationer.
Krav om komplette kompetencer
Generelt er det vigtig for industri- og produktionsvirksomheder at matche op med partnere, som har bredden og dybden til at håndtere de ofte komplekse problemstillinger inden for OT.
”Der er typisk mange aktører med i økosystemet, når produktion og teknologi integreres i det industrielle økosystem: OEM’er som producerer maskiner, integratorer som kombinerer til ERP-system – og alt skal samtidig fungere godt på selve den fysiske lokation,” siger Morten Kromann.
”Her er det en stor hjælp, at samarbejdspartnere har kompetencer inden for alle faktorer. Siemens har fx et certificeret CERT-team, som er dedikeret til konstant at overvåge alle produkter og opdateringer, så man kan gribe ind, hvis sårbarheder bliver eksponeret og sikre, at alle patches er installerede. Og vores serviceteknikere er i stand til at gennemgå og sikre produktionsmiljøer.”
”Vi lever i turbulente tider. Ansvarlig drift af industri- og produktionsvirksomheder kræver, at man ikke sidder trusler overhørig, men tager action nu for at imødegå dem,” slutter Morten Kromann.
