<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Cyber security som en KPI for bedriften

Postet av Knut-Erik Tovslid den 31. oktober 2018

Tiltak og fokus på cyber security er å anse som en forsikring. Det er på tide å putte cyber security der det hører hjemme, i styrerommet. Det gjør du ved å etablere cyber security som en KPI for bedriften.

Smarte fabrikker, eller Industri 4.0, bærer bud om en ny æra av moderne produksjonsteknikker, virtualisering, datadrevne produksjonsprosesser og sømløs informasjonsflyt. Med teknologier som Industrial Internet of Things (IIoT), robotikk, kunstig intelligens (AI) og utvidet virkelighet (AR), forsøker Industri 4.0 å koble sammen den digitale verden med den fysiske for å muliggjøre en mer effektiv produksjon.

Men lovnaden om en mer effektiv industri har sine skyggesider. Med sammenkoblede forsyningskjeder, fabrikker, kunder og driftsprosesser, følger også økte sikkerhetsrisikoer. Dagens industrielle nettverk er som nervesystemet i en moderne produksjon, og et stabilt og sikkert industrielt nettverk er en forutsetning for at man skal lykkes med digitalisering.

 

Nåsituasjonen innen norsk produksjonsindustri

Cyber security har kommet på radaren til flere og flere bedriftsledere. Ifølge PwCs «Cyber Crime Survey 2017» bekymrer cybertrusler flere enn tidligere. Blant annet anser de intervjuede bedriftslederne, IT-lederne og sikkerhetsspesialistene i undersøkelsen organisert kriminalitet og ansattes ubevisste handlinger som de største cybertruslene i fremtiden. Samtidig øker investeringer i medarbeidere med kompetanse innenfor cyber security.

Men selv om cyber security flytter seg lenger og lenger frem i bevisstheten til bedriftsledere, er det mye som tyder på at alvoret ved cybertrusler ikke har sunket helt inn for samtlige. Ifølge en fersk rapport gjennomført av Vanson Bourne på vegne av NTT Security kommer det fram at 40 av 100 intervjuede beslutningstakere i norske virksomheter med over 500 ansatte, ville vurdert å betale løsepenger til en hacker fremfor å investere penger i sikkerhet. Det er en kortsiktig strategi.

 

Risiko og konsekvenser ved angrep

Det er til en viss grad forståelig at cyber security ikke blir prioritert av alle. Stadig mer avanserte tjenester og systemer gjør det tross alt langt vanskeligere for bedriftsledere å holde seg oppdatert om sårbarheter, de ulike delene av infrastrukturen og hva som kreves av bedriften for å beskytte infrastrukturen. Men, det gjør det ikke bærekraftig å overlate cyber security til tilfeldighetene – konsekvensene kan bli betydelige:

  • Stopp i produksjonen: Et nettverk som går ned som følge av et cyberangrep, vil føre til tap. Hvor store tapene blir, og i hvilken form, avhenger av hvor lang nedetiden blir og hvor store eller vesentlige deler av produksjonen nedetiden påvirker. Men du kan være sikker på at det vil bli tap.
  • Tyveri av intellektuelle data og produksjonshemmeligheter: Intellektuelle data er livsnødvendig for flere bedrifter. Det driver innovasjon, fremmer vekst og sørger for differensiering. Legemiddelindustrien, for eksempel, er en bransje med mye penger i omløp, hvor produsentene lever av patenter og hemmelige oppskrifter. Kommer dette på avveie, kan konsekvensene bli ødeleggende. Bedrifter som opererer med hemmelig eller sensitiv informasjon må ha et større fokus på informasjonssikkerhet enn bedrifter som jobber med åpen informasjon. Hemmelig informasjon i dette tilfellet, kan både dreie seg om bedriftshemmeligheter som oppskrifter og fremgangsmåter, og om informasjon som skal være unntatt offentligheten eller loven.
  • Pengeutpressing: Pengeutpressing, hvor midlertidig produksjonsstans er et mulig pressmiddel, kan være ett motiv for hacking. WannaCry, et løsepengevirus som spredde seg fra maskin til maskin gjennom et sikkerhetshull i Microsofts operativsystem, er ett eksempel. Microsoft, vel vitende om sikkerhetshullet, hadde sendt ut en oppdatering to måneder før angrepet for å tette det. Likevel ble flere hundre tusen privatpersoner og bedrifter rammet av angrepet fordi de ikke hadde kjørt oppdateringen.
  • Tap av omdømme: En mindre synlig konsekvens av tapt produksjonstid er tapt omdømme. Ifølge den ovennevnte rapporten av NTT Security, frykter hver tredje respondent skade på merkevare eller omdømme dersom virksomheten blir utsatt for databrudd.

Les også: Slik hindrer du hackere å komme inn på produksjonsnettet ditt

 

«Det skjer ikke meg»

Det er interessant at en typisk fremtidsrettet produksjon sitter på data om effektivitet, hvor mye man produserer og andre typiske KPIer, men ikke har noen oversikt over cyber security. De kan ha stålkontroll på råvarepris, men sikkerheten kartlegges gjerne ad hoc med noen års mellomrom.

Mye av årsaken kan tildeles et ensidig fokus på IT-avdelingen. Tradisjonelt har industrien vært flinke til å sikre informasjon, men i flere bedrifter er det på produksjonsgulvet verdiene skapes. Det er her hemmelighetene ofte ligger, i form av resepter og oppskrifter.

Sikkerheten i produksjonsdelen av en bedrift kaller vi ofte OT-sikkerhet, i motsetning til IT-sikkerhet som omhandler de administrative systemene. Dersom OT-sikkerheten ikke ivaretas, vil dette være en stor risiko med tanke på utilsiktet nedetid i produksjon.

Tenker du at hacking eller utilsiktede hendelser ikke kan skje deg, bør du tenke om igjen. Det kan absolutt skje deg og bedriften din, med mindre du tar noen forholdsregler og gjør de nødvendige endringene. Vi mener følgende bør prioriteres:

  • Sikkerhetsstandarder: I industrien er IEC 62443 kanskje den mest relevante standarden. Standarden, som er sikkerhetsstandarden for OT-sikkerhet, har som hovedoppgave å definere prosedyrer for implementering av sikre industriautomatisering- og kontrollsystemer.
  • Policy: Effektiv beskyttelse mot trusler krever en sikkerhetspolicy. Det handler om å utvikle strategier, etablere prosedyrer og bevisstgjøre organisasjonen om cyber security, fysisk sikre utstyr, etablere nettverks-, server- og klient-, applikasjonssikkerhet og utstyrssikkerhet.
  • Kulturendring: Forståelsen for den digitale sårbarheten og viljen til å innføre tiltak for å beskytte seg mot trusler er relatert til bedriftens øvrige kultur. Hos mange bedrifter er det et manglende fokus på sikkerhetskultur, som ofte skyldes manglende oversikt over trusler.

Aldri nedprioriter sikkerhetstiltak fordi det virker usannsynlig at et cyberangrep vil ramme akkurat dere. Historien er full av bedrifter som har tenkt det samme og senere blitt motbevist.

 

Cyber security, en kontinuerlig prosess

Cyber security eksisterer aldri i et vakuum, løsrevet fra tidens tann. Teknologi og digitale løsninger vil alltid utvikle seg videre og hackere vil alltid følge etter og finne nye angrepsflater. For å imøtekomme denne raskt endrende tilværelsen, er det viktig å etablere og implementere følgende tiltak:

  • Ledelsen må ha eierskapet: Regelmessige diskusjoner om cyber security i ledelsesmøter og kommunikasjon utover i organisasjonen, bidrar til å sette cyber security på dagsordenen i hele bedriften. Det overordnede ansvaret ligger imidlertid hos administrerende direktør. Som overordnet ansvarlig for en produksjonsbedrift, bør vedkommende kunne dokumentere hvor sikker bedriften faktisk er overfor styret.
  • Kontinuerlig overvåking av sårbarheter: Et godt sikret nett må overvåkes. I et produksjonsnett som er i full drift må man vite hva som foregår til enhver tid. I praksis handler det om å ta i bruk et system som kontinuerlig måler hvor utsatt du er og gir deg en helserapport, aller helst i sanntid. Det finnes flere cyber security- og overvåkningsløsninger på markedet, som gir dyp innsikt i all unormal trafikk som opptrer i et kjørende produksjonsnettverk.
  • Kontinuerlig plan for tiltak og utbedringer: Teknologien utvikler seg hele tiden. Dermed må også strategien for hvordan teknologien skal utnyttes og sikres, tilpasses og fornyes.
  • Sett cyber security som en KPI for bedriften: Du kan ikke styre det du ikke kan måle, er et kjent begrep for mange. Har du allerede et cyber securityprogram eller forsøker å etablere et, er etableringen av cyber security som en KPI for bedriften essensielt for suksessen til produksjonsbedriftens sikkerhet og suksess. Å inkludere «key performance indicators» (KPIer) knyttet til cyber security bidrar til å skape den nødvendige oppmerksomheten rundt cyber security og fungerer ansvarliggjørende overfor vedkommende som får oppgaven med å følge det opp.

Cyber security bør være en sentral del av enhver produksjonsbedrifts nettverksstrategi, etter hvert som fabrikkene våre blir stadig mer sammenkoblede og sårbare. Ta gjerne en kikk i  e-boken vår om nettverksstrategi for flere råd om hvordan du kan minimere sårbarheten i ditt nettverk.

Gratis e-bok:  Bygg en solid nettverksstrategi

Knut-Erik Tovslid

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering rettet mot industri, bygg og forskning. De siste 17 årene har han jobbet i Triple-S med salg og forretningsutvikling mot norsk industri og offentlig sektor. Her har han levert teknologi for optimalisert drift i form av automasjon, nettverk og digitalisering. Knut-Erik brenner for lønnsom og sikker produksjon i Norge gjennom økt bruk av automatisering og digitalisering.

Om Triple-S

Triple-S leverer kompetanse og teknologi innenfor automatisering, digitalisering og nettverk og OT-sikkerhet. Vi representerer verdensledende produsenter innenfor disse fagområdene, hvor Rockwell Automation er den største.

Besøk oss på triple-s.no