Produktions- og industrisystemer er den nye slagmark mellem hackere og virksomheder

Cybersecurity i industrien

Traditionelt angribes virksomheder gennem netværk og IT-systemer, men i dag er den operationelle teknologi (OT), som bruges i produktionen, den nye slagmark. Modsvaret er et forsvar i dybden, hvor man arbejder med flere forsvarsrækker med udgangspunkt i den internationale securitystandard IEC 62443.

I dag er spørgsmålet ikke, om man bliver ramt af cyberangreb - for det gør man. Spørgsmålet er, hvilke systemer der bliver ramt, og hvordan man håndterer det. Derfor er det afgørende at gå metodisk til værk i sit forsvar af virksomhedens systemer fra administration og til produktion. Den internationale securitystandard IEC 62443 til automations- og produktionssystemer er et godt fundament at bygge sine forsvarslinjer ud fra.

 

”Cyberkriminalitet er nu en meget reel trussel mod produktionen på fabriksgulvet. Derfor er det vigtig at sætte ind nu, hvis man ikke allerede er i gang – og foretage en skanning af sit systemsetup for at få et overblik over devices og deres sårbarheder og dermed trusler,” siger Technology Specialist Morten Kromann hos Siemens og fortsætter:

Når man har dannet sig et overblik, kan man vurdere risici og prioritere indsatsområder. Det absolut vigtigste er at få adskilt de administrative systemer fra produktionssystemerne. Langt den største del af cyberkriminalitet er målrettet virksomheders traditionelle IT-systemer – og hvis produktionssystemer er koblet sammen med disse uden securitytiltag, er det en åben dør for de cyberkriminelle.

Forsvar i dybden

Standarden IEC 62443 er en generel tilgang til OT-security, som er uafhængig af teknologi-platform. I den anbefales en række securityniveauer, som man kan definere sit forsvar ud fra. Tilgangen til security er baseret på sandsynlighed, påvirkning og en prioriteret indsats.

 

”Metoden er risikoorienteret. Man ser på, hvordan man kan blive angrebet, fx et firewallnedbrud eller et angreb på et SCADA-system, sandsynligheden for det sker og om mulige konsekvenser af et angreb fx et spildevandslæk eller udslip af kemikalier. De gradueres herefter på forskellige niveauer,” fortæller Morten Kromann og fortsætter:

 

”Et eksempel kan være produktion af en PLC’er. Her er processen, at man laver printkortet, pakker plast omkring, lægger kode ned på printkort og pakker i emballage. Her er det kodningen på printkortet, der kræver det højeste securityniveau, for hvis den kode, der lægges på kortet, er inficeret, kan det have alvorlige konsekvenser for virksomhed og kunder.  Her bør man sætte et særlig sikret område op med ekstra adgangs- og security-krav, fx i form af et metalbur.”

 

Hos Siemens arbejder man med tre områder i forsvaret af OT:  security i produktion/anlæg, netværkssecurity og systemintegritet.

 

Ved security i produktionen arbejdes med en række metoder for at forhindre, at uautoriserede personer får fysisk adgang til kritiske komponenter – det kan både være den almindelige adgang til bygninger eller sikring af særlig følsomme områder ved hjælp af nøglekort. For at sikre netværk er det vigtigt at etablere beskyttelse af de systemer, der er lette at få adgang til og beskytte automationsnetværk mod uautoriseret adgang. For sikring af systemintegritet kan man opbygge integrerede securityfunktioner, som beskytter mod uautoriserede ændringer i konfigurationer. Funktionerne forhindrer, at man kan kopiere konfigurationsdata og gør det lettere at opdage, hvis der er forsøg på at manipulere filer.

Industrial Security

Har I nok fokus på cybersecurity? I tilfælde af fremmed indtrængen i dine produktionssystemer, så er det alfa og omega at have styr på virksomhedens sikkerhed. Læs mere på vores side om industrial security for at finde ud af, hvordan du bedst ruster dig mod udefrakommende cyberangreb.

Krav om komplette kompetencer

Generelt er det vigtig for industri- og produktionsvirksomheder at matche op med partnere, som har bredden og dybden til at håndtere de ofte komplekse problemstillinger inden for OT.

 

”Der er typisk mange aktører med i økosystemet, når produktion og teknologi integreres i det industrielle økosystem: OEM’er som producerer maskiner, integratorer som kombinerer til ERP-system – og alt skal samtidig fungere godt på selve den fysiske lokation,” siger Morten Kromann.

 

”Her er det en stor hjælp, at samarbejdspartnere har kompetencer inden for alle faktorer. Siemens har fx et certificeret CERT-team, som er dedikeret til konstant at overvåge alle produkter og opdateringer, så man kan gribe ind, hvis sårbarheder bliver eksponeret og sikre, at alle patches er installerede.”

 

Siemens serviceteknikere er i stand til at gennemgå og sikre produktionsmiljøer fra de helt store som atomkræftværker til produktions- og industrivirksomheder.

 

”Vi lever i turbulente tider – og vi har tidligere set, hvordan fx Ukraines elproduktion er blevet lukket ned af hackere eller Stuxnet, som angreb bl.a. Irans atomprogram.  Ansvarlig drift af industri- og produktionsvirksomheder kræver, at man ikke sidder disse trusler overhørig, men tager action nu for at imødegå truslen,” slutter Morten Kromann. 

NIS2-direktivet stiller krav – også til industrien

Europa-Parlamentet og EU-medlemsstaterne er nu enige om NIS2-direktivet, der skal sikre et vigtigt fælles niveau af cybersecurity i EU. Så snart to medlovgivere har godkendt aftalen, træder den nye lov i kraft. Det kommer til at få stor betydning for en række sektorer, der skal have styr på de nye krav. Når aftalen er endelig godkendt, er der 21 måneder til at sikre, at reglerne overholdes.

 

Det nye EU-direktiv vil:

  • stille krav til virksomheders it-security
  • øge kravene til security i forbindelse med kritisk infrastruktur og forsyningskæder
  • skærpe og strømline kravene til risikostyring og indberetning af security-hændelser til myndighederne
  • øge kravene til at håndhæve reglerne
  • ensrette sanktionerne i hele EU.

 

NIS2-direktivet kommer til at omfatte mellemstore og store virksomheder - både i private virksomheder samt i den offentlige sektor.

 

For mange danske virksomheder vil det kræve en stor indsats at leve op til de særligt skærpede krav inden for risikostyring og rapportering til myndighed. Derfor er det vigtigt at komme i gang med det samme med interne projekter for både at leve op til de nye krav i NIS2-direktivet og efterfølgende sikre vedligeholdelsen af de nye procedurer.

For ledelsen i danske virksomheder er det nødvendigt at afsætte tid og midler til at komme i gang – og komme i mål.