Derfor bør Cyber Security være en KPI for industribedrifter

Det er på tide å plassere cyber security der det hører hjemme, i styrerommet. Det gjør du ved å etablere cyber security som en KPI for bedriften. 

Smart produksjon, eller Industri 4.0, bærer bud om en ny æra av moderne produksjonsteknikker. Med teknologier som Industrial Internet of Things (IIoT), robotikk, kunstig intelligens (AI) og utvidet virkelighet (AR), kobles den digitale verden med den fysiske for å muliggjøre en mer effektiv produksjon.  

Men lovnaden om en mer effektiv industri har sine skyggesider. Med sammenkoblede forsyningskjeder, fabrikker, kunder og driftsprosesser, følger også økte sikkerhetsrisikoer. Dagens industrielle nettverk er som nervesystemet i en moderne produksjon, og et stabilt og sikkert industrielt nettverk er en forutsetning for at man skal lykkes med digitalisering. 

Nåsituasjonen innen norsk produksjonsindustri 

Ifølge Nasjonal Sikkerhetsmyndighet (NSM), øker den digitale sikkerhetsrisikoen hvert år. Og selv om norske virksomheter har blitt mer sikkerhetsbevisste og identifiserer og iverksetter tiltak raskere enn før, finnes det betydelige digitale sårbarheter i samfunnet og hos norske virksomheter. Det er en naturlig følge av endring og videreutvikling. NSM påpeker i sine rapporter at en viss risiko må aksepteres for å få de nødvendige gevinstene av digitalisering, men at farten ofte medfører høyere risiko enn virksomhetene selv er klar over.  

Finn ut hvordan du raskt kommer i gang med innsikt i de industrielle kontrollsystemene >>

I digitaliseringsprosessen er det altså viktig å ikke overse viktigheten av fokus på Cyber Security og risikostyring. Men det er fortsatt ikke alle som tar cybertrusler like alvorlig. Ifølge en rapport gjennomført av Vanson Bourne på vegne av NTT Security i 2018 kommer det fram at 40 av 100 intervjuede beslutningstakere i norske virksomheter med over 500 ansatte, ville vurdert å betale løsepenger til en hacker fremfor å investere penger i sikkerhet. Det har nok endret seg noe siden da, men det er fortsatt for mange som velger å betale. Det er kortsiktig strategi som ikke anbefales. 

Risiko og konsekvenser ved angrep 

Med stadig mer avanserte tjenester og systemer, kan det være utfordrende for bedriftsledere å holde seg oppdatert om hva som finnes av utstyr og infrastruktur, hvilke sårbarheter som finnes, og hva som skal til for å beskytte det. Men, det lønner seg ikke å overlate Cyber Security til tilfeldighetene – det kan få betydelige konsekvenser: 

• Stopp i produksjonen: Et produksjonssystem som går ned som følge av et cyberangrep, vil føre til tap. Hvor store tapene blir, og i hvilken form, avhenger av hvor lang nedetiden blir og hvor store eller vesentlige deler av produksjonen nedetiden påvirker. Hva vil en stopp i produksjonen på 1 dag, 1 uke eller 1 måned medføre av tap for din bedrift? 

• Tyveri av intellektuelle data og produksjonshemmeligheter: Intellektuelle data er livsnødvendig for flere bedrifter. Det driver innovasjon, fremmer vekst og sørger for differensiering. Opererer dere med hemmelig eller sensitiv informasjon som for eksempel oppskrifter, fremgangsmåter eller annen informasjon som skal være unntatt offentligheten? Konsekvensene kan bli ødeleggende dersom dette kommer på avveie.  

• Pengeutpressing: Pengeutpressing, hvor midlertidig produksjonsstans er et mulig pressmiddel, kan være ett motiv for hacking. Vi har de siste årene, og spesielt mot slutten av 2021,  sett flere tilfeller av cyberangrep mot norske virksomheter hvor hackerne har ytret krav om løsepenger. Det mest kjente eksempelet er Hydro, som ble rammet av et omfattende cyberangrep 19.mars 2019. Angrepet påvirket driften i flere av Hydros forretningsområder og har kostet selskapet opptil 650 millioner kroner. 

• Tap av omdømme: En mindre synlig konsekvens av tapt produksjonstid er tapt omdømme. Ifølge den ovennevnte rapporten av NTT Security, frykter hver tredje respondent skade på merkevare eller omdømme dersom virksomheten blir utsatt for databrudd.  

«Det skjer ikke meg» 

Det er interessant at en typisk fremtidsrettet produksjon sitter på data om effektivitet, hvor mye man produserer og andre typiske KPIer, men ikke har noen oversikt over Cyber Security. De kan ha stålkontroll på råvarepris, mens sikkerheten gjerne kartlegges ad hoc med noen års mellomrom. Og da er det dessuten ofte et ensidig fokus på IT-avdelingen og informasjonssikkerhet, og lite fokus på sikkerheten i produksjonsdelen av bedriften, det vi ofte kaller OT-sikkerhet (operasjonell sikkerhet). Dersom OT-sikkerhet ikke ivaretas, vil dette være en stor risiko med tanke på utilsiktet nedetid i produksjonen. Det er her hemmelighetene ofte ligger, i form av resepter og oppskrifter.  

Tenker du at hacking eller utilsiktede hendelser ikke kan skje deg, bør du tenke om igjen. Det kan absolutt skje deg og bedriften din, med mindre du tar noen forholdsregler og gjør de nødvendige endringene. Vi mener følgende bør prioriteres:  

• Sikkerhetsstandarder: I industrien er IEC 62443 kanskje den mest relevante standarden. Standarden, som er sikkerhetsstandarden for OT-sikkerhet, har som hovedoppgave å definere prosedyrer for implementering av sikre kontrollsystemer.  

• Policy: Effektiv beskyttelse mot trusler krever en sikkerhetspolicy. Det handler om å utvikle strategier, etablere prosedyrer og bevisstgjøre organisasjonen om cyber security, fysisk sikre utstyr, etablere nettverks-, server- og klient-, applikasjonssikkerhet og utstyrssikkerhet.  

• Kulturendring: Forståelsen for den digitale sårbarheten og viljen til å innføre tiltak for å beskytte seg mot trusler er relatert til bedriftens øvrige kultur. Hos mange bedrifter er det et manglende fokus på sikkerhetskultur, som ofte skyldes manglende oversikt over trusler.  

Aldri nedprioriter sikkerhetstiltak fordi det virker usannsynlig at et cyberangrep vil ramme akkurat dere. Historien er full av bedrifter som har tenkt det samme og senere blitt motbevist.  

Les historien om den fiktive bedriften MedChem som våren 2020 ble utsatt for et alvorlig cyberangrep >>

Cyber Security, en kontinuerlig prosess 

Teknologi og digitale løsninger vil alltid utvikle seg videre og hackere vil alltid følge etter og finne nye angrepsflater. For å imøtekomme denne raskt endrende tilværelsen, er det viktig å etablere og implementere følgende tiltak:  

• Ledelsen må ha eierskapet: Regelmessige diskusjoner om Cyber Security i ledelsesmøter og kommunikasjon utover i organisasjonen, bidrar til å sette Cyber Security på dagsordenen i hele bedriften. Det overordnede ansvaret ligger imidlertid hos administrerende direktør. Som overordnet ansvarlig for en produksjonsbedrift, bør vedkommende kunne dokumentere hvor sikker bedriften faktisk er overfor styret.  

• Kontinuerlig overvåking av sårbarheter: I et produksjonsnett som er i full drift må man vite hva som foregår til enhver tid. I praksis handler det om å ta i bruk et system som kontinuerlig måler hvor utsatt du er og gir deg en helserapport, aller helst i sanntid. Det finnes flere Cyber Security- og overvåkningsløsninger på markedet, som gir dyp innsikt i all unormal trafikk som opptrer i et kjørende produksjonsnettverk.  

• Løpende plan for tiltak og utbedringer: Teknologien utvikler seg hele tiden. Dermed må også strategien for hvordan teknologien skal utnyttes og sikres, tilpasses og fornyes.  

• Sett cyber security som en KPI for bedriften: Begrepet «Du kan ikke styre det du ikke kan måle» er kjent for mange. Har du allerede et program for Cyber Security, eller vil lage et, er etableringen av Cyber Security som en KPI for bedriften essensielt. Å inkludere «Key Performance Indicators» (KPIer) knyttet til Cyber Security, bidrar til å skape den nødvendige oppmerksomheten rundt Cyber Security, og sikrer at det følges opp av de ansvarlige.  

Cyber Security bør være en sentral del av enhver produksjonsbedrifts nettverksstrategi, etter hvert som fabrikkene våre blir stadig mer sammenkoblede og sårbare. Ta gjerne en kikk i e-guiden vår om Cyber Security i produksjonen, eller kontakt oss dersom du vil ta en prat om aktuelle løsninger for din bedrift.