Så langt i 2022 har nyhetsbildet vært preget av mange cyberangrep. Digitaliseringen av industrien gir mulighet for en mer effektiv produksjon og styrket konkurransekraft, men introduserer også økt risiko. Vil du unngå å bli angrepet, er kontroll på sårbarheter og risiko i produksjonssystemene avgjørende.
En god innsikt i hva du har av utstyr og hvilke sårbarheter som finnes danner grunnlaget for en detaljert risikoanalyse. Ved å skaffe seg denne innsikten og samtidig ha gjort seg opp en mening om hvilken risiko som ikke kan aksepteres, har du mulighet til å optimalisere investeringene i sikkerhetstiltak slik at disse rettes inn på de stedene som gir maksimalt utbytte. Du vil sjelden kunne sikre deg 100%, derfor er denne prosessen svært viktig. Det er utarbeidet en standard for Cyber Security i industrielle kontrollsystemer – IEC62443. Denne veileder deg gjennom de ulike fasene av prosessen. I denne artikkelen går vi gjennom noen av de fire viktigste tingene du bør tenke på.
Les historien og se film om MedChem - som våren 2020 ble utsatt for et cyberangrep >>
1: Hvilke verdier ligger i produksjonen?Produksjonssystemene er selve hjertet i en moderne produksjonsbedrift. De sørger for å holde hjulene i gang slik at varer kan leveres og inntektene genereres. I et marked med tøff konkurranse kan det være utfordrende å oppnå ønskede marginer. Derfor jobber mange nå med digitaliseringsprosjekter hvor selv små endringer/forbedringer kan gi tydelige utslag på bunnlinja. Stoppårsaksanalyser og vrakreduksjon er typiske eksempler på dette.
En større stans i produksjonen fører ofte til store tap. De fleste bedrifter har en formening om hva en times stans i produksjon vil koste, og dersom produksjon blir stående i for mange timer kan dette få katastrofale følger for mange. Det er da et paradoks at mange bedrifter har gammelt utstyr ute i produksjonen, mens møterom og IT infrastruktur er topp moderne. Det er mye kreativitet og godt håndverk som sørger for å holde hjulene i gang, men vet man egentlig hvilken risiko det innebærer å kjøre produksjon med utdatert utstyr, systemer med sikkerhetshull, tilfeldig håndtering av back-up og utstyr som er eksponert for hackere?
Risikoanalysen av produksjonssystemene blir ofte overfladisk fordi vi mangler innsikt i hva som finnes av utstyr og hvilke sårbarheter dette utstyret innehar. Utstyr som ble installert for 10,20 eller 30 år siden var ikke designet for å kunne håndtere dagens trusler.
2: Hva kan vi leve med av risiko?
Så da bør spørsmålet være; kan vi leve med risikoen dette innebærer, eller bør vi forsøke å redusere den til et akseptabelt nivå? Med andre ord, hvilken risiko er vi villige til å leve med? Ett spørsmål man bør stille seg er: Hva er det verste som kan skje? Hos mange vil svaret være relatert til produksjonen og til ukontrollert stans i produksjonen. Hos noen bedrifter vil skade på ytre miljø og mennesker stå høyt på lista, mens andre vil sette finansielle tap øverst.
For å finne din aksepterbare risiko må du ta stilling til hva du kan leve med. Vil bedriften f.eks. overleve en lengre produksjonsstans på f.eks. 1 uke? Hva vil et ukontrollert utslipp av farlige stoffer til omgivelsene bety? Slik kan vi fortsette. Når denne risikovurderingen er gjort vil du sitte igjen med en oversikt over den risikoen du ikke kan akseptere. Da starter arbeidet med å finne sårbarhetene og utbedre disse med ulike tiltak.
3: Har jeg kontroll på sårbarhetene i produksjonen?Det kan være krevende å vite hvilke sårbarheter som finnes.
I produksjonen finnes utstyr fra mange leverandører, i ulike modeller og med ulik alder. Sikkerhetshull i software, bruk av usikre protokoller, åpne porter og usikre fjerntilkoblingsløsninger kan være vanskelig å holde oversikt over. Da er det essensielt å få på plass systemer som overvåker og analyserer dette kontinuerlig. En kontinuerlig måling vil kunne indikere hvor sårbar du er til enhver tid. Enkelte løsninger gir deg en kalkulert verdi på sårbarhet som kan benyttes som en KPI for sårbarhet i produksjonen.
Les mer om løsninger for overvåkning >>
4: Er jeg i stand til å oppdage et angrep tidlig?Selv etter å ha investert i ulike sikkerhetstiltak vil du måtte leve med en restrisiko. Spesielt for en del gammelt utstyr vil det ikke være mulig å utbedre sårbarhetene. Det er da viktig at aktiviteten i produksjonsnettverkene overvåkes nøye og at det varsles ved unormal aktivitet. Ved flere av de kjente angrepene vi har sett i det siste, har angriperen fått lov til å operere fritt i lang tid før noe er oppdaget. Gjennomsnittstiden i et IT-system er 100 dager, i produksjonssystemene kan det være opptil et år. Det å oppdage angrep tidlig er helt avgjørende for å begrense skade.
Ansvaret for risikostyring ligger hos ledelsen, og er ikke noe som kan delegeres bort, selv om oppgaver kan tildeles andre i organisasjonen. Det hviler derfor et stort ansvar på den som sitter med den daglige ledelsen av selskapet. En kontinuerlig prosess for risikostyring bør forankres i ledelsen og det bør rettes spesiell oppmerksomhet rundt produksjonssystemene, hvor verdiene skapes. Målrettet risikostyring hvor hele organisasjonen engasjeres vil skape en kultur for sikkerhetsarbeid som vil bidra til færre uønskede hendelser i produksjon, økt trygghet, og over tid en bedret bunnlinje.
Vil du vite mer om risikoanalyse og IEC62443? Last ned vår e-guide for Cyber Security i industriell produksjon.