Etter hvert som vi går inn i «den fjerde industrielle revolusjonen», blir stadig mer avanserte IT-systemer i større grad integrert i alle deler av virksomheten – også i samhandling med leverandører. Å sikre at samarbeidspartnere ikke utgjør en sikkerhetsrisiko er derfor kritisk.

I de sene nattetimer i mai 2014 opplevde Equinor at sikkerheten hadde blitt satt i fare av en av sine underleverandører. Samtidig som en last med bensin var i ferd med å blandes for å lastes over til et tankskip på raffineriet på Mongstad, var en IT-ansatt ved det indiske storselskapet HCL i ferd med å utføre vedlikehold på en server i Norge.

Under arbeidet kom IT-konsulenten i skade for å trykke på feil knapp, en tastefeil som ledet ham inn i en server han ikke skulle hatt adgang til. IT-konsulenten hadde havnet bak brannmuren til raffineriet og inn i produksjonsanlegget. Han forstod ikke hvor han hadde havnet og restartet PCen for å løse problemet. Serveren gikk ned og produksjonen stanset.

Feilen førte til at Equinor stod i fare for å tape 30-40 millioner kroner og forurense den nærliggende sjøen. Takket være erfarne medarbeidere avverget selskapet det verst tenkelige utfallet. Hendelsen ved Mongstad er likevel et eksempel på farene ved å gi mennesker med utilstrekkelig kompetanse tilgang til forretningskritiske systemer.

Sikkerhetsrisiko fra samarbeidspartnere

Virksomheter står i dag overfor en rekke nye trusler som en følge av en økende digitalisering i bransjen. Konsulentfirmaet Deloitte forteller at overgangen til Industri 4.0 utgjør den største økningen i cyberrisiko i produksjonsindustrien til dags dato. Etter hvert som stadig mer infrastruktur og utstyr kobles til nettet, blir angrepsflaten for hackere og organiserte kriminelle større.

Det er likevel utilsiktede hendelser som følge av svake interne rutiner som utgjør den største andelen av registrerte sikkerhetsbrudd. Utro tjenere, organiserte kriminelle og fremmede stater utgjør utvilsomt en stor trussel, men i de fleste tilfellene er det tilfeldige feil og menneskelig svikt som fører til brudd på sikkerheten. Outsourcing og manglende kontroll på samarbeidspartnere er en betydelig årsak.

Outsourcing og sikkerhetsbrudd

Outsourcing utgjør en betydelig sikkerhetsrisiko for virksomheter. Faktisk kan nærmere to tredjedeler av datasikkerhetsbrudd spores tilbake til outsourcing.

Årsakene til dette kan være flere. For det første får kostnadsbesparelser ofte det største fokuset i en outsourcing-prosess, mens man sjelden eller aldri tar hensyn til hvilke sikkerhetsrisiko man potensielt introduserer. For det andre bruker flere bedrifter leverandører av drifts- og systemutviklingsoppgaver fra land h vor regelverket eller praksisen kan avvike fra norske krav til drift og personvern. For det tredje kan manglende kontroll på systemrettigheter og generelt svak IT-kultur utgjøre en stor risiko.

NSM påpeker i sin rapport Risiko 2022 at sårbarheter i verdikjeder nå utnyttes mer målrettet og løftes frem som ett av de 3 mest alvorlige utviklingstrekkene vi ser innenfor cyber risiko. Verdikjedene må kartlegges, og sikkerhetsstyringen av leverandører og underleverandører må prioriteres høyere.

Uansett årsak blir konsekvensene ofte de samme om uhellet først er ute. Stopp i produksjonen, redusert kvalitet på varer, vrak og tapt sporbarhet er de mest typiske.

Viktigheten av sikkerhetsklarering

Uansett om det er snakk om outsourcing av IT-drift og -vedlikehold eller annen type kompetanse, er det viktig at alle som har tilgang til systemene og anleggene dine har den nødvendige sikkerhetsklareringen.

Det lønner seg å sikre at virksomheten du outsourcer til og medarbeiderne som jobber der, har den riktige kompetansen og god kunnskap om anlegget, inkludert instrukser og rutiner. Har tredjeparter fjerntilgang til anlegget ditt, bør du definere hvem som skal få tilgang til hva, og hvordan de skal få tilgang. 

Ikke glem samarbeidspartnere med fysisk tilgang til anleggene dine

I tillegg til sikkerhetsklarering av konsulenter som har fjerntilgang til systemer og utstyr, bør du også stille krav til alle eksterne aktører som har tilgang til de fysiske anleggene dine, som leverandører og vedlikeholdsarbeidere.

Hvem skal få lov til å komme inn i anleggene og lokalene dine? Hvilken kompetanse har de? Trenger de sikkerhetskursing? Hva har de lov til å gjøre? Skal de ha tilgang til intellektuell eiendom, som resepter? Slike og andre spørsmål bør du stille deg selv og definere en tydelig policy på hva du mener er akseptabelt for dine anlegg.

For eksempel kan du stille krav om at de ikke har lov til å ta med og koble til eget utstyr i anlegget for å unngå utilsiktet overføring av ondsinnet programvare. Du kan også implementere autentisering av mennesker som kommer og går i lokalene. Dokumentasjon av hva som har blitt utført i systemene og anleggene dine, for eksempel etter vedlikeholdsarbeid, er også fornuftig.

Beskytt virksomheten med en sikkerhetspolicy

Uansett hvem du samarbeider med, må du sørge for at alle som har tilgang til dine anlegg og systemer har tilstrekkelig kompetanse og forstår konsekvensen av de ulike valgene de tar. Og skulle man være uheldig, må du sørge for at feilen de gjør ikke får negative konsekvenser for driften din.

For å få til dette kan du bruke en modell som kalles «Defence in Depth», en av de beste måtene du kan beskytte virksomheten din mot trusler. Denne modellen kalles ofte en løkmodell og har seks nivåer, eller lag, alle like viktige for sikkerheten:

• Strategi prosedyrer og bevisstgjøring
• Fysisk sikkerhet
• Nettverkssikkerhet
• Server- og klientsikkerhet
• Applikasjonssikkerhet
• Utstyrssikkerhet
  
  

Ønsker du å jobbe strukturert med Cyber Sikkerhet innenfor OT vil vi anbefale å benytte IEC 62443 standarden som et rammeverk.  Vi har utarbeidet en e-guide på norsk som gir deg et raskt innblikk i standarden med fokus på risiko og tiltak.  E-guiden er gratis og kan lastes ned ved å følge lenken nedenfor.