<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Industriell cyber security: Har du kontroll på samarbeidspartnerne dine?

Postet av Knut-Erik Tovslid den 11. september 2019

Etter hvert som vi går inn i «den fjerde industrielle revolusjonen», blir stadig mer avanserte IT-systemer i større grad integrert i alle deler av virksomheten – også i samhandling med leverandører. Å sikre at alle samarbeidspartnere ikke utgjør en sikkerhetstrussel er derfor kritisk. 

I de sene nattetimer i mai 2014 opplevde Equinor at sikkerheten hadde blitt satt i fare av outsourcing. Samtidig som en last med bensin var i ferd med å blandes for å lastes over til et tankskip på raffineriet på Mongstad, var en IT-ansatt ved det indiske storselskapet HCL i ferd med å utføre vedlikehold på en server i Norge.

Under arbeidet kom IT-konsulenten i skade for å trykke på feil knapp, en tastefeil som ledet ham inn i en server han ikke skulle hatt adgang til. IT-konsulenten hadde havnet bak brannmuren til raffineriet og inn i produksjonsanlegget. Han forstod ikke hvor han hadde havnet og restartet PCen for å løse problemet. Serveren gikk ned og produksjonen stanset.

Feilen førte til at Equinor stod i fare for å tape 30-40 millioner kroner og forurense den nærliggende sjøen. Takket være erfarne medarbeidere avverget selskapet det verst tenkelige utfallet. Hendelsen ved Mongstad er likevel et eksempel på farene ved å gi mennesker med utilstrekkelig kompetanse tilgang til forretningskritiske systemer.

Sikkerhetstrusler fra samarbeidspartnere

Virksomheter står i dag overfor en rekke nye trusler som en følge av en økende digitalisering i bransjen. Konsulentfirmaet Deloitte forteller at overgangen til Industri 4.0 utgjør den største økningen i cyberrisiko i produksjonsindustrien til dags dato. Etter hvert som stadig mer infrastruktur og utstyr kobles til nettet, blir angrepsflaten for hackere og organiserte kriminelle større.

Webinar: Hva gjør jeg når angrepet kommer? 26.september kl 10.00. Påmelding her.

Det er likevel utilsiktede hendelser som følge av svake interne rutiner som utgjør den største andelen av registrerte sikkerhetsbrudd. Utro tjenere, organiserte kriminelle og fremmede stater utgjør utvilsomt en stor trussel, men i de fleste tilfellene er det tilfeldige feil og menneskelig svikt som fører til brudd på sikkerheten. Outsourcing og manglende kontroll på samarbeidspartnere er en betydelig årsak.

Outsourcing og sikkerhetsbrudd

Outsourcing utgjør en betydelig sikkerhetstrussel for virksomheter. Faktisk kan nærmere to tredjedeler av datasikkerhetsbrudd spores tilbake til outsourcing.

Årsakene til dette kan være flere. For det første får kostnadsbesparelser ofte det største fokuset i en outsourcing-prosess, mens man sjelden eller aldri tar hensyn til hvilke sikkerhetstrusler man potensielt introduserer. For det andre bruker flere bedrifter leverandører av drifts- og systemutviklingsoppgaver fra land hvor regelverket eller praksisen kan avvike fra norske krav til drift og personvern. For det tredje kan manglende kontroll på systemrettigheter og generelt svak IT-kultur utgjøre en stor risiko.

Uansett årsak blir konsekvensene ofte de samme om uhellet først er ute. Stopp i produksjonen, redusert kvalitet på varer, vrak og tapt sporbarhet er de mest typiske.

Viktigheten av sikkerhetsklarering

Uansett om det er snakk om outsourcing av IT-drift og -vedlikehold eller annen type kompetanse, er det viktig at alle som har tilgang til systemene og anleggene dine har den nødvendige sikkerhetsklareringen.

Det lønner seg å sikre at virksomheten du outsourcer til og medarbeiderne som jobber der, har den riktige kompetansen og god kunnskap om anlegget, inkludert instrukser og rutiner. Har tredjeparter fjerntilgang til anlegget ditt, bør du definere hvem som skal få tilgang til hva, og hvordan de skal få tilgang. 

Ikke glem samarbeidspartnere med fysisk tilgang til anleggene dine

I tillegg til sikkerhetsklarering av konsulenter som har fjerntilgang til systemer og utstyr, bør du også stille krav til alle eksterne aktører som har tilgang til de fysiske anleggene dine, som leverandører og vedlikeholdsarbeidere.

Hvem skal få lov til å komme inn i anleggene og lokalene dine? Hvilken kompetanse har de? Trenger de sikkerhetskursing? Hva har de lov til å gjøre? Skal de ha tilgang til intellektuell eiendom, som resepter? Slike og andre spørsmål bør du stille deg selv og definere en tydelig policy på hva du mener er akseptabelt for dine anlegg.

For eksempel kan du stille krav om at de ikke har lov til å ta med og koble til eget utstyr i anlegget for å unngå utilsiktet overføring av ondsinnet programvare. Du kan også implementere autentisering av mennesker som kommer og går i lokalene. Dokumentasjon av hva som har blitt utført i systemene og anleggene dine, for eksempel etter vedlikeholdsarbeid, er også fornuftig.

Beskytt virksomheten med en sikkerhetspolicy

Uansett hvem du samarbeider med, må du sørge for at alle som har tilgang til dine anlegg og systemer har tilstrekkelig kompetanse og forstår konsekvensen av de ulike valgene de tar. Og skulle man være uheldig, må du sørge for at feilen de gjør ikke får negative konsekvenser for driften din.

For å få til dette kan du bruke en modell som kalles «Defence in Depth», en av de beste måtene du kan beskytte virksomheten din mot trusler. Denne modellen kalles ofte en løkmodell og har seks nivåer, eller lag, alle like viktige for sikkerheten:

  • Strategi prosedyrer og bevisstgjøring
  • Fysisk sikkerhet
  • Nettverkssikkerhet
  • Server- og klientsikkerhet
  • Applikasjonssikkerhet
  • Utstyrssikkerhet

Vi har utarbeidet en guide om hvordan du kan utarbeide en nettverksstrategi for virksomheten din. Der behandler vi denne løkmodellen i detalj. Om du er interessert, kan du laste ned e-boken helt gratis ved å følge lenken nedenfor.

New call-to-action

Knut-Erik Tovslid

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering rettet mot industri, bygg og forskning. De siste 17 årene har han jobbet i Triple-S med salg og forretningsutvikling mot norsk industri og offentlig sektor. Her har han levert teknologi for optimalisert drift i form av automasjon, nettverk og digitalisering. Knut-Erik brenner for lønnsom og sikker produksjon i Norge gjennom økt bruk av automatisering og digitalisering.

Om Triple-S

Triple-S leverer kompetanse og teknologi innenfor automatisering, digitalisering og nettverk og OT-sikkerhet. Vi representerer verdensledende produsenter innenfor disse fagområdene, hvor Rockwell Automation er den største.

Besøk oss på triple-s.no

Følg oss: