OT-sikkerhet har lenge vært et underprioritert tema i mange virksomheter. Mens IT har fått både oppmerksomhet og ressurser, har systemene som faktisk holder produksjonen i gang ofte blitt stående igjen med utdaterte løsninger og uklare rutiner. Resultatet er økt risiko og et stadig mer attraktivt mål for cyberangrep.
Heldigvis begynner flere å forstå alvoret. OT-sikkerhet får endelig den plassen det fortjener, og for mange sikkerhetssjefer er tiden inne for å ta grep. Spørsmålet er: Hvor starter du?
OT-sikkerhet kan ikke bare skyves nedover i organisasjonen og “rusle og gå” nede i produksjonsmiljøet. Trusselbildet utvikler seg stadig og nye krav er på vei gjennom digitalsikkerhetsloven, som vil pålegge virksomheter i samfunnskritiske sektorer å ha dokumenterte styringssystemer, risikovurderinger, tekniske tiltak og klare rutiner for rapportering av hendelser. Manglende etterlevelse kan gi store økonomiske konsekvenser. Loven vil også trolig stille toppledelse personlig ansvarlig for at disse kravene tas på alvor.
Les også: Digitalsikkerhetsloven: På tide å ta ansvar for cybersikkerhet
For å lykkes med OT-sikkerhet må ledelsen forstå hva som står på spill, og ta eierskap til sikkerhetsarbeidet. Det betyr å se OT som en kjerneverdi for virksomhetens drift og inntekter – ikke bare et teknisk anliggende for IT-avdelingen. Strategiske beslutninger og prioriteringer må tas på toppnivå, og strategien må forankres i hele organisasjonen.
Når ledelsen er innforstått med behovet for OT-sikkerhet er neste steg å vurdere konkrete sikkerhetstiltak. Her kan det være lett å gå seg vill i kartlegginger, risikovurderinger og lange diskusjoner om hvilke tiltak man skal innføre.
Å bruke for lang tid på å gjøre noe utgjør en risiko i seg selv. Basert på erfaring fra en rekke OT-sikringsprosesser vet vi at det er fem tiltak som alltid lønner seg å starte med. Uansett bransje eller modenhet gir disse tiltakene umiddelbar verdi og et godt grunnlag for videre arbeid. Disse tiltakene baserer seg på 5 critical controls fra SANS Institute:
Les også: Implementering av en kultur for cybersikkerhet i hele organisasjonen
OT-angrep skjer ikke bare «der ute» – de rammer norske virksomheter. Et vellykket angrep kan stoppe produksjonen i dager eller uker, med enorme kostnader som resultat. For mange handler det ikke lenger om hvis det skjer, men når. Når vi i tillegg får et lovpålagt ansvar for å sikre OT, blir det å handle nå enda viktigere.
Vi har laget en guide som går nærmere inn på disse fem tiltakene, og gir en innføring på hvordan og hvorfor alle bedrifter burde innføre disse som et minimum i OT-strategien sin. Last den ned gratis her: