Hvordan beskytte et nettverk du ikke kan se?

OT-nettverket er selve nervesystemet i industribedrifter, men få har de nødvendige systemene på plass for å beskytte det. Har du ikke den nødvendige innsikten i nettverket, kan du heller ikke se hva som skjer der. Og, du kan ikke beskytte det du ikke kan se.

Etter hvert som industrielle systemer blir mer sammenkoblede, blir de også mer eksponert for trusler. For å beskytte virksomheten på en helhetlig og fullstendig måte, er det derfor nødvendig med synlighet inn i OT-nettverket. Har du ikke oversikt over hvilket utstyr og hvilke enheter som befinner seg i nettverket, blir det også umulig å beskytte det på en god måte.

Ikke bruk IT-systemer for sikkerhet i OT-nettverket

Når vi snakker om nettverk i industrisammenheng, er det viktig å skille mellom IT-nettverk (informasjonsteknologi) og OT-nettverk (operasjonsteknologi). OT kan defineres som det tekniske nettverket som knytter hele produksjon sammen, fra kontrollrommet og ut til den enkelte maskin eller sensor. OT-nettverket er kritisk for å holde produksjonen i gang, i tillegg til at det skal sørge for å forsyne din digitaliseringssatsing med sanntidsdata for å oppnå en smartere produksjon.

Tidligere har OT-nettverkene ofte vært 100% isolert fra IT. Med fokus på Industri 4.0 er tilgangen til data og bruk av IIoT vesentlig. Det blir derfor vanskelig å opprettholde en full isolasjon av OT-nettverkene selv om man kunne ønske det sett i lys av trusselen for cyber angrep. En sammenkobling av IT og OT er helt nødvendig for å muliggjøre den grad av informasjonsflyt som fremtidens industri er avhengig av. Sikkerheten kan likevel opprettholdes ved å benytte en iDMZ sone mellom de to nettverkene. Dette kan du lese mer om her: Hvordan bygge en iDMZ?

Når IT- og OT-nettverkene blir stadig mer sammenkoblede, er det viktig å være klar over at det er fundamentale forskjeller mellom dem. Utstyr som befinner seg i et IT-nettverk er forskjellig fra det du finner i et OT-nettverk. I et IT-nettverk handler mye om å beskytte data, i et OT-nettverk er fokus rettet mot det å unngå stans i produksjon. Derfor vil ikke IT-systemer for sikkerhet egne seg spesielt godt for å beskytte OT-nettverket. IT-baserte systemer for overvåkning av nettverk forstår primært en IT-verden, ikke en OT-verden. For disse systemene vil OT-nettverket kun fremstå som en mengde «sorte bokser», uten at du klarer å se hva dette er.

For å beskytte den mest verdifulle delen av bedriften din – selve produksjonen, anbefaler vi derfor at du tilegner deg bedre kontroll på hva som foregår i ditt OT-nettverk.  Vi har tatt frem fire fundamentale steg du bør ta tak i :

• Skaff deg innsikt i OT-miljøet
• Etabler en «baseline» for normal kommunikasjon
• Få kontroll på sårbarheter
• Legg en plan for å håndtere hendelser og utbedre svakheter

La oss ta dem for oss, én etter én.

Les også: Slik hindrer du hackere i å komme inn på produksjonsnettet ditt

Skaff deg innsikt i OT-miljøet

Det første du bør gjøre, er å skaffe deg den nødvendige innsikten i OT-miljøet ditt. En dyp og presis forståelse av OT-nettverket er et fundamentalt krav for at det skal være sikkert. Først og fremst handler dette om å kartlegge hvilket utstyr som befinner seg i OT-nettverket. Eksempler på utstyr som bør kartlegges:

• Programmerbar Logisk Styring (PLS): PLS er en slags spesialdatamaskin som brukes til å styre alle typer automasjonsoppgaver i industrien. PLS-er kobles for eksempel til sensorer, motorer og ventiler slik at nivået i tanker eller temperaturene i ovner kan styres automatisk. PLS kan betraktes som selve hjernen i en automatisert produksjon.

• Human-Machine Interface (HMI): Dette er en skjerm spesialtilpasset for industrien, som visualiserer status i produksjonen. Dette kan blant annet være nivåer i tanker, trykk, pumper og lignende.

• Input/Output (I/O): Dette er utstyr som interfacer mot prosessen, innganger som måler signaler fra sensorer og utganger som styrereks. motorer og ventiler. En PLS er avhengig av I/O for å operere.

• Motorstyringer: Elektromotoren er ryggraden i dagens moderne industri. Den har i prinsippet 4 ulike styringsformer, direktestart, softstart, frekvensomformer eller en servo styring. Alt avhengig av hvilken oppgave motoren har. Alle de 4 styringsformene kan ta i bruk nettverk for kommunikasjon mot PLS.

• Industriswitcher: Produksjonsnettverket er nervesystemet i en moderne produksjon. Switchene knytter det hele sammen og utgjør en viktig del av styre- eller automasjonssystemet. Det er viktig at switchene behandles som en del av selve kontrollsystemet og overvåkes på lik linje med annet automasjonsutstyr som PLSer og IO. Et utfall på en switch vil fort kunne stoppe hele produksjonen.

• Gateways: Dette er kommunikasjonsenheter som hjelper deg til å hente data ut fra maskiner og utstyr på en relativt enkel måte. Disse kan for eksempel konvertere fra en seriell port slik at dataene blir leselige.

I tillegg til å kartlegge selve utstyret, er det viktig å identifisere produsent, typenummer, versjonsnummer, og ikke minst hvilken firmware-versjon utstyret ditt har. Samtidig må du kartlegge hva slags utstyr som kommuniserer med hva, hva de kommuniserer om og hvilket utstyr som hører naturlig sammen.

Les også: Kontroll og overvåking av produksjonsnettverket – en forutsetning for å lykkes med digitalisering

Etabler en «baseline» for normal kommunikasjon

Når du har kartlagt hva slags utstyr som befinner seg i OT-nettverket, er det nødvendig å etablere en oversikt over hva som er den normale trafikken og kommunikasjonen i nettverket. Dette kaller vi en «baseline». Denne legger grunnlaget for å detektere unormale hendelser på OT-siden av bedriften din.

I praksis handler dette om å overvåke nettverkstrafikken i produksjonsnettet ditt. I og med at dette er en krevende operasjon å gjennomføre manuelt, er du avhengig av en løsning som kan hjelpe deg med monitoreringen. Gode monitoreringsløsninger vil over en gitt periode identifisere alt utstyret som befinner seg i nettverket og lære seg hvordan kommunikasjonen foregår mellom de ulike enhetene. Dermed sitter du igjen med et bilde av hvordan den normale trafikken ser ut, og straks det kommer trafikk som avviker fra normalen vil du kunne handle på informasjonen.

Sikkerhets- og teknologifirmaet Claroty tilbyr en løsning som monitorerer OT-nettverk. Løsningen gir en sanntidsoversikt av nettverkstopologien, koblinger og trafikkflyt for både Ethernet og serielle nettverk. Dens kontinuerlige utstyrsovervåkning gir detaljert informasjon om hver enkelt enhet og hvordan de kommuniserer på nettverket og gir tilnærmet lik 100 prosent synlighet inn i OT-miljøet. Den etablerer en baseline-modell av OT-nettverket og utnytter avansert, atferdsbasert avviksidentifisering kombinert med verktøy for å identifisere kjente og ukjente trusler. Les mer om løsningen her.

Les også: Overvåking av nettverkstrafikk er kritisk for cyber security i industrielle nettverk

Få kontroll på sårbarheter

Med dyp innsikt i OT-nettverket har du et godt utgangspunkt for sårbarhetsanalysen. Informasjon om installert firmware-versjon er svært verdifull med tanke på at man kan sammenligne informasjon fra leverandør om det finnes kjente sikkerhetshull i den versjon som benyttes. Denne type informasjon legges ofte ut i åpne databaser som er tilgjengelig for alle. Leverandører av utstyr som er medlem får tildelt et såkalt CVE- (Common Vulnerability and Exposures) nummer ved hver sårbarhet som oppdages. Du kan sjekke om ditt utstyr er omfattet av slike sikkerhetshull ved å søke dem opp her. En manuell håndtering av dette blir ofte svært omfattende, derfor benyttes systemer til å ivareta en kontinuerlig vurdering av sårbarhet. Claroty har dette innebygd.

Legg en plan for å håndtere uønskede hendelser

Teknologi hjelper deg godt på vei til å skaffe dyp innsikt i og sikre OT-miljøet ditt. Men teknologi er ene og alene ikke nok. Du må også ha prosedyrer og kompetansen til å håndtere unormale og uønskede hendelser. I tillegg til å lene deg på teknologi, bør du derfor også vurdere å gjennomføre følgende tiltak:

• Bestem hvem som er ansvarlig: En tendens er å plassere sikkerhetsansvaret for OT-nettverket hos IT-sjefen, men det er ikke gitt at vedkommende har OT-kompetansen som kreves for denne oppgaven. Uten et dypere skille mellom IT og OT, risikerer man at de IT-ansvarlige behandler OT-utstyret som nettopp IT-utstyr, noe som kan få alvorlige konsekvenser for produksjonen. For eksempel kan en ukritisk oppdatering av OT-utstyr, fort føre til stans i produksjon. Uansett hvem dere definerer som ansvarlig, vil det være nyttig å utveksle mer kompetanse mellom IT- og OT-miljøene i bedriften. En god ide kan være å etablere et team bestående av både IT og OT personell.

• Implementer de nødvendige prosedyrene: Lag planer for hva som skal gjøres dersom en hendelse inntreffer og gjennomfør øvels Det øker sannsynligheten for at dere klarer å stanse en uønsket hendelse raskere og dermed redusere skaden. Det man trener på blir man god på. Det er også viktig å ha gode prosedyrer på plass med tanke på backup og recovery av software og firmware. Ved å ha god kontroll på dette vil dere være raskere tilbake i normal produksjon.

• Jobb med kontinuerlig forbedring av sikkerheten: Dersom du har valgt å sette cyber security som en KPI for bedriften, vil du oppdage at sårbarheten endrer seg med tiden. Leverandører som melder om nye sårbarheter i utstyr og endringer i produksjon som fører til nye sikkerhetshull er typiske eksempler på faktorer som kan føre til økt sårbarhet. Når dette oppdages er det viktig å ha innarbeidede rutiner for forbedringsarbeid slik at nye sårbarheter blir tatt tak i og utbedret.

• Bruk et Security Operations Center (SOC): Det finnes flere sikkerhetssentre som tilbyr overvåking 24 timer i døgnet, syv dager i uken. NTT Security har et slikt senter lokalisert I Arendal, der analytikere jobber døgnet rundt, hele året, for å sikre at organisasjoner er så trygge som mulig. Ved hjelp av avanserte analysemetoder, inkludert maskinlæring og modellering av trusselatferd, er de godt rustet til å oppdage potensielle sikkerhetstrusler som mer tradisjonelle oppdagelsesmetoder ikke klarer å fange opp. Er organisasjonen din rigget for det, kan du naturligvis også etablere et slikt senter internt.

Les også: Cyber security som en KPI for bedriften

Konklusjon: Kontinuerlig trusselovervåking i OT-nettverk

Uten dyp innsikt i OT-nettverket har du et dårlig utgangspunkt for å beskytte din viktigste ressurs, selve produksjonen der verdiene skapes. Ved å bruke løsninger som gir deg dyp innsikt i nettverkstrafikken og etablere gode sikkerhetspolicyer, vil du skaffe deg kontroll og god oversikt over OT-nettverkene. Ved målrettet forbedringsarbeid basert på den innsikt du har skaffet deg, vil sårbarheten reduseres og oppetiden i anlegget øke som følge av reduksjon i antall uønskede stopp.