Cybersikkerhet i OT – hvordan komme igang

De industrielle kontrollsystemene er selve hjertet i de fleste produksjonsbedrifter, men de færreste har de nødvendige rutinene på plass for å beskytte dem mot uønsket aktivitet. Har du ikke den nødvendige innsikten i OT kan det være utfordrende å få kontroll på risiko. Her er noen av de viktigste tiltakene du bør starte med.  

Vi lever i en tid hvor verden rundt oss er i stor forandring. Vår avhengighet til digitale systemer gjør oss sårbare og mange bedriftsledere begynner å innse at Cyber Security må være en del av ledelsens fokus. Det handler om å senke risikoen ned til et nivå man kan leve med – men hvordan gjør man det?

Nasjonal Sikkerhetsmyndighet (NSM) har utarbeidet Grunnprinsipper for IKT sikkerhet som en veileder for bedrifter som ønsker å starte arbeidet med å sikre seg mot Cyberangrep. Veilederen er basert på en rekke internasjonale standarder, men tilpasset norske bedrifters størrelse og lokale forhold. Fokus er lagt på IT, men mye av det du finner her er også relevant for de industrielle kontrollsystemene (OT). Du kan laste ned både veilederen og en detaljert liste over prioriterte tiltak fra NSM sine hjemmesider.

Gratis kurs i oktober – Grunnprinsipper for IKT sikkerhet (NSM) 

De fleste har allerede mye på plass når det gjelder IT sikkerhet. Når det kommer til OT er situasjonen en annen. Her ser vi ofte mye gammelt utstyr som ikke har vært oppgradert på mange år og heller ikke er bygd for å motstå et Cyberangrep. Produksjonen er der hvor verdiene skapes, og uønskede stopp her kan fort medføre store tap. Vi må derfor ta spesielle hensyn til hvordan vi går frem i OT.

Når du har kommet til det skritt at du innser at noe må gjøres også på OT siden kan vi anbefale seks prioriterte steg du bør ta tak i:  

  1. Forankring i ledelsen
  2. Skaff deg innsikt i OT-miljøet og identifiser sårbarheter
  3. Lag et skille mellom IT og OT
  4. Ta kontroll på hvem som får tilgang og hva de har tilgang til
  5. Etabler et overvåkingssystem som varsler unormal aktivitet
  6. Legg en plan for kontinuerlig sikkerhetsarbeid 

 La oss ta dem for oss, én etter én. 

1. Forankring i ledelsen

Det overordnede ansvaret for risikohåndtering i en bedrift ligger hos øverste leder, derfor bør også arbeidet med Cybersikkerhet inngå som en del av ledelsessystemet. En klar strategi for hva man ønsker å oppnå og en oppfølging av denne er en forutsetning. Det starter ofte med en overordnet risikoanalyse hvor man finner ut hvilken risiko som er akseptabel for bedriften og hvilken risiko man ikke kan leve med. Dette setter føringer for hvor store investeringene i tiltak og ressurser må være. Når en strategi er vedtatt og forankret i ledelsen kan arbeidet med å sikre produksjonen begynne.



2. Skaff deg innsikt i OT-miljøet og identifiser sårbarheter

Det første du bør gjøre, er å skaffe deg den nødvendige innsikten i OT-miljøet ditt. En dyp og presis forståelse av hva som finnes av utstyr i produksjon er basis for å kunne jobbe målrettet og strukturert med Cybersikkerhet. Først og fremst handler dette om å kartlegge hvilket utstyr som befinner seg i OT-nettverket. Eksempler på utstyr som bør kartlegges:  

  • Servere og klienter: Det finnes mye tradisjonelt IT utstyr i et OT miljø. SCADA servere og klienter, historian servere, arbeidsstasjoner, MES servere og spesielle produksjonsservere for å nevne noe. Som en regel kan man si at alt utstyr som er nødvendig for å holde produksjon i gang plasseres i OT.

  • Programmerbar Logisk Styring (PLS): PLS er en slags spesialdatamaskin som brukes til å styre alle typer automasjonsoppgaver i industrien. PLS-er kobles for eksempel til sensorer, motorer og ventiler slik at nivået i tanker eller temperaturene i ovner kan styres automatisk. PLS kan betraktes som selve hjernen i en automatisert produksjon.  
  • Human-Machine Interface (HMI): Dette er en skjerm spesialtilpasset for industrien, som visualiserer status i produksjonen. Dette kan blant annet være nivåer i tanker, trykk, pumper og lignende.  
  • Input/Output (I/O): Dette er utstyr med grensesnitt mot prosessen; innganger som måler signaler fra sensorer og utganger som styrer f.eks. motorer og ventiler. En PLS er avhengig av I/O for å operere. 
  • Motorstyringer: Elektromotoren er ryggraden i dagens moderne industri. Den har i prinsippet 4 ulike styringsformer, direktestart, softstart, frekvensomformer eller en servo styring. Alt avhengig av hvilken oppgave motoren har. Alle de 4 styringsformene kan ta i bruk nettverk for kommunikasjon mot PLS.  
  • Industriswitcher: Produksjonsnettverket er nervesystemet i en moderne produksjon. Switchene knytter det hele sammen og utgjør en viktig del av styre- eller automasjonssystemet. Det er viktig at switchene behandles som en del av selve kontrollsystemet og overvåkes på lik linje med annet automasjonsutstyr som PLSer og IO. Et utfall på en switch vil fort kunne stoppe hele produksjonen.  
  • Gateways: Dette er kommunikasjonsenheter som hjelper deg til å hente data ut fra maskiner og utstyr på en relativt enkel måte. Disse kan for eksempel konvertere fra eldre serielle protokoller over til ethernet slik at dataene blir lettere tilgjengelig.  

I tillegg til å kartlegge selve utstyret, er det viktig å identifisere produsent, typenummer, versjonsnummer, og ikke minst hvilken firmware-versjon utstyret ditt har. Når du kjenner til dette kan du finne frem til alle kjente sårbarheter som er knyttet til det enkelte utstyret. Kjente sårbarheter legges ofte ut i åpne databaser som er tilgjengelig for alle. Leverandører av utstyr som er medlem får tildelt et såkalt CVE-nummer (Common Vulnerability Exposures) ved hver sårbarhet som oppdages. Du kan sjekke om ditt utstyr er omfattet av slike sårbarheter ved å søke dem opp f.eks. på CVE.

Dette er en jobb som må automatiseres for å kunne utføres på kontinuerlig basis. Det finnes spesialtilpasset software for OT som hjelper deg med å finne denne informasjonen og holde den oppdatert. Risikoprofilen til det enkelte utstyr er dynamisk og endrer seg etter hvert som nye sårbarheter oppdages og eksisterende sårbarheter utbedres.

Vi løser overvåkning ved å bruke Claroty - les mer og ta kontakt.

 

3. Lag et skille mellom IT og OT

Segmentering av systemer og streng kontroll med dataflyt er et av tiltakene man iverksetter for å senke risiko. Det første man begynner med er som regel å skille IT systemene fra OT. I hovedsak gjøres dette for å hindre at et angrep på IT siden skal forplante seg ned i OT og forårsake produksjonsstans, men det gjøres også for å hindre interne feil og uhell som vil kunne få samme konsekvens. Det finnes fremdeles mange bedrifter som opererer med et felles IT og OT nettverk og som opplever at feil på IT siden forårsaker stans i produksjon.

En slik segmentering av IT og OT gjøres ved å etablere en iDMZ (industriell Demilitarisert Sone). Du kan lese mer om hvordan du etablerer en iDMZ i et av våre tidligere blogginnlegg.

 

4. Ta kontroll på hvem som har tilgang og hva de har tilgang til

De industrielle kontrollsystemene krever spesialkompetanse for å kunne opereres. Mange av dem innbefatter sikkerhetssystemer som skal passe på at mennesker ikke kommer til skade eller at prosesser kommer ut av kontroll og kan forårsake skade på mennesker, miljø, utstyr og omgivelser. Det er derfor svært viktig at tilgangen til disse systemene kontrolleres nøye. Dette gjelder fysisk tilgang, intern tilgang innenfor fabrikken og ekstern tilgang i form av fjerntilkoblinger.

Du som eier av produksjon må ha kontroll på hvem som har tilgang, hva de har tilgang til og når de har denne tilgangen. Du bør til enhver tid vite hvem som er inne og jobber og ha mulighet til å avbryte oppdrag dersom hendelser oppstår. Spesielt er dette viktig for fjerntilkoblinger. Her bør i tillegg 2 faktor autentisering benyttes. Du kan lese mer om dette i vår blogg 

 

5. Etabler et overvåkingssystem som varsler unormal aktivitet

Når du har kartlagt hva slags utstyr som befinner seg i OT, er det nødvendig å etablere en oversikt over hva som er den normale aktiviteten. Hvem snakker med hvem og hva snakker de om? Dette kaller vi en «baseline». Denne legger grunnlaget for å oppdage unormal aktivitet. Det kan være sikkerhetshendelser, men det kan også være hendelser knyttet til feil operasjoner og uhell.  

I praksis handler det om å overvåke nettverkstrafikken i produksjonsnettet. Det finnes løsninger for dette som er spesialtilpasset et OT miljø. Denne type løsninger vil i første rekke kun lytte passivt til all kommunikasjon som passerer forbi sentral knutepunkter i et OT nettverk og analysere denne trafikken inngående. På denne måten påvirkes ikke produksjonen. Alle data settes i system og sorteres slik at detaljer om utstyr, hvem som snakker med hvem og hva de snakker om fremkommer på en forståelig måte. Vi ser da hvilket utstyr som kommuniserer sammen og hvilke protokoller som benyttes.

Et overvåkingssystem vil kreve justeringer i starten slik at falske alarmer fjernes. Når denne justeringen er foretatt vil systemet gjøre jobben og passe på når unormale hendelser oppstår. Det kan likevel være krevende å analysere de alarmer som kommer dersom man ikke besitter denne kompetansen selv. Mange vil derfor koble denne type systemer inn til et Sikkerhetssenter (SOC) som er bemannet med spesialkompetanse døgnet rundt.

 

6. Legg en plan for kontinuerlig sikkerhetsarbeid

Teknologi hjelper deg godt på vei til å skaffe dyp innsikt i og sikre OT-miljøet ditt. Men teknologi er ene og alene ikke nok. Du må også ha prosedyrer og kompetansen til å håndtere hendelser og utbedre svakheter. Du bør derfor iverksette rutiner for et kontinuerlig sikkerhetsarbeid:  

  • Utbedring av sårbarheter – organiser arbeidet med å følge opp sårbarheter i OT. Noe kan utbedres raskt mens andre sårbarheter må planlegges nøye og kanskje inngå i en revisjonsstans.
  • Test av sikkerhetsfunksjoner – lag en plan for hvordan sikkerhetsfunksjoner inn mot kontrollsystemene skal testes regelmessig. Bruk ev. en etisk hacker til å bistå.
  • Kompetansebygging hos alle ansatte - å etablere en sikkerhetskultur i bedriften er noe man gjør over tid. Det kommer ikke av seg selv og må derfor jobbes med kontinuerlig. Ved å øke bevisstheten gjennom jevnlig kompetansedeling, korte kurs, tester osv. vil du gradvis bygge opp en sikkerhetskultur hvor de ansatte er mer bevist sin rolle i det totale bildet.
  • Lag planer for hendelseshåndtering og øv på disse – hvem gjør hva når uhellet først er ute.       De som har utarbeidet en plan og gjennomført øvelser klarer seg bedre.
  • Gode backup rutiner – når uhellet først er ute handler det om å få produksjonen i gang igjen så snart som mulig for å redusere tap.       Gode rutiner for backup er vesentlig for å lykkes med dette. Backup bør legges offline og du bør teste om det fungerer dersom det er mulig.
  • Etabler en avtale med en partner dersom du ikke har den rette kompetansen til å håndtere Cybersikkerhet - det finnes flere sikkerhetssentre (SOC) som tilbyr overvåking 24 timer i døgnet, syv dager i uken.  Alarmer og logger fra både IT og OT sendes da kontinuerlig over til din partner som passer på for deg. Pass på at du finner en partner som forstår både IT og OT siden. Om du skulle være uheldig å få et angrep vil de også kunne bistå deg i å gjennomføre tiltak for å få stoppet angrepet og hindre videre spredning. 

 

Det virker uoverkommelig…

Ja, det kan du kanskje tenke, men ved å bygge stein for stein i din sikkerhetsgrunnmur vil du til slutt sitte på et godt fundament som vil sikre deg inn i fremtiden. Ved å kombinere gode automatiserte verktøy med gode rutiner og riktig kompetanse har du all mulighet til å lykkes. Gi deg selv et klapp på skuldra når et tiltak er gjennomført, det skaper motivasjon til å ta neste steg. Legg en strategi og start arbeidet, du har ingen tid å miste.

Gratis e-guide - cyber security i produksjonen

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering rettet mot industri, bygg og forskning. De siste 17 årene har han jobbet i Triple-S med salg og forretningsutvikling mot norsk industri og offentlig sektor. Her har han levert teknologi for optimalisert drift i form av automasjon, nettverk og digitalisering. Knut-Erik brenner for lønnsom og sikker produksjon i Norge gjennom økt bruk av automatisering og digitalisering.

Topics: Cyber security, Nettverk

Abonnér på bloggen