Cybertrusler mot produksjonsmiljøer og operasjonell teknologi (OT) øker i omfang og alvorlighet. Bedrifter innen kritisk infrastruktur, som kjemisk industri, produksjonsanlegg og kraftverk, må være klar over at konsekvensene kan bli alvorlige, inkludert risiko for store materielle skader eller i verste fall, tap av menneskeliv. Derfor er det avgjørende å være godt forberedt før et angrep inntreffer.
Den viktigste forskjellen mellom bedrifter som håndterer cyberangrep effektivt og de som mislykkes, er hvor godt forberedt de er. Bedrifter bør derfor ha en tydelig responsplan på plass, basert på reelle scenarier som har rammet lignende bedrifter. En effektiv plan innebærer regelmessig øvelse og oppdateringer, slik at alle involverte er kjent med sine roller og ansvarsområder når situasjonen inntreffer. Uten grundige forberedelser blir veien tilbake etter et angrep både lang og krevende.
Les også: Forbered bedriften på cyberangrep: Slik lager du en responsplan
Når et cyberangrep oppdages, gjelder det å handle raskt. Har bedriften forberedt seg og jobbet strukturert med cybersikkerhet, er det “bare” å iverksette responsplanen med en gang. I denne planen skal det komme frem hvem som har ansvar for hva og hvordan de bør sette i gang.
For bedrifter som ikke har en klar responsplan vil det naturligvis være en uoversiktlig og stressende situasjon. Likevel er det viktig å holde hodet kaldt, samtidig som man handler raskt. Det er lett å gjøre feil om man ikke har oversikt over hvilke systemer som er i bruk, hvilke risikoer som finnes i de ulike systemene og hvordan disse skal prioriteres.
Derfor er det avgjørende å handle raskt, systematisk og kontrollert for å begrense skadevirkningene mest mulig:
Kontakt umiddelbart leverandørene av maskinene og OT-systemene, eller eksterne eksperter på OT-cybersikkerhet. Forhastede beslutninger tatt uten riktig kunnskap kan føre til store skader og gjøre situasjonen verre. Eksterne eksperter vil kunne hjelpe dere gjennom de neste stegene.
Hvilke konsekvenser en bedrift står ovenfor ved et cyberangrep varierer i stor grad. For noen bedrifter er den verste konsekvensen at dokumenter og persondata kommer på avveie, mens andre risikerer lekkasjer og eksplosjoner. I verste fall kan liv gå tapt.
Det er derfor viktig å være bevisst på potensielle konsekvenser, for å kunne ta en vurdering på om hele produksjonen må stenges ned – og eventuelt hvordan.
Uten gode nok systemer for cybersikkerhet vil det være vanskelig å identifisere hva og hvor trusselen befinner seg. Da må du manuelt søke etter tegn som kan indikere et angrep. Undersøk avvik i maskin- og systemaktivitet, se etter unormal nettverkstrafikk eller unormale maskinvarefeil.
Hensikten er å finne ut om det dreier seg om en teknisk feil eller en sikkerhetstrussel, og hvor dypt angriperen har kommet seg inn i systemet. Det er avgjørende å raskt forstå skadeomfanget og motivasjonen bak angrepet.
Når en trussel er identifisert, er neste steg å isolere den for å forhindre at den sprer seg videre til andre systemer. Dette krever ofte tekniske tiltak, som å blokkere nettverkstrafikk eller gjøre systemendringer. En grundig analyse fra identifikasjonsfasen gir innsikt i skadeomfanget og hva trusselen forsøker å oppnå, noe som er avgjørende for å kunne iverksette riktige isolasjonstiltak.
Når trusselen er identifisert og isolert, må neste steg være å fjerne skadevaren fra systemene. Dette kan innebære å slette infiserte filer, fjerne kompromittert programvare eller utføre andre tekniske tiltak for å nøytralisere trusselen.
I OT-miljøer, hvor systemene styrer kritiske fysiske produksjonsprosesser, er det imidlertid viktig å vurdere nøye når og hvordan man skal utføre fjerningen. En full nedstengning av OT-systemer vil medføre driftsstans og betydelige kostnader. Mange produksjonsprosesser kan heller ikke stenges ned øyeblikkelig. De må stenges ned kontrollert. Nedstenging kan ta lang tid og må følge en helt bestemt prosess for å gjøre det sikkert.
Det er derfor viktig å vurdere om trusselen er godt nok innkapslet og ikke utgjør en umiddelbar fare for sikkerheten eller driften, slik at den eventuelt kan bli værende i systemene frem til neste planlagte vedlikeholdsstans.
Når trusselen er fjernet, gjelder det å komme tilbake til normal drift så raskt som mulig, uten å bringe skadevaren tilbake i prosessen. Prioritering av hvilke systemer som gjenopprettes først er avgjørende. Da gjelder det å ha oversikt over hvordan systemene jobber sammen, og hvilke som er mest kritiske for å få i gang produksjonen igjen.
Når krisen er håndtert, er det viktig å bruke erfaringene aktivt for å styrke virksomhetens sikkerhet fremover. Gå gjennom og dokumenter nøye hva som skjedde, hvilke tiltak som fungerte, og hvor det sviktet. Analyser også hvorfor angrepet lyktes, og hva dere kan gjøre annerledes for å unngå lignende situasjoner i fremtiden. Grundig dokumentasjon og evaluering sikrer at virksomheten lærer av feilene og er bedre forberedt neste gang.
Ikke alle cyberangrep blir oppdaget umiddelbart. Uten gode overvåkningssystemer og rutiner kan angrep pågå ubemerket over lang tid. I verste fall oppdager bedriften først angrepet når kritiske systemer plutselig stopper opp. Derfor er kontinuerlig overvåkning og dokumentasjon avgjørende for å oppdage hendelser tidlig og unngå store økonomiske tap, materielle skader og omdømmetap.
Å prioritere grundige forberedelser og klare rutiner i forkant gir deg et betydelig fortrinn dersom angrepet først rammer. God forberedelse kan være forskjellen mellom rask gjenoppretting og langvarige konsekvenser.