Vi hører stadig i nyhetene om selskaper som blir utsatt for cyberangrep. Konsekvensen er dramatisk for de det gjelder. For noen selskaper kan det i ytterste konsekvens bety konkurs. Trusselbildet er økende, men dessverre øker ikke tiltakene hos bedriftene i samme tempo. Er det virkelig slik at det må lovmessige krav til før bedriftene reagerer?
Cybersikkerhet i kritisk infrastruktur har de siste årene fått større oppmerksomhet grunnet det geopolitiske trusselbildet. Industrielle kontrollsystemer finnes i alt av kritisk infrastruktur som for eksempel vann- og avløpsanlegg, strømforsyning, transport, med mer. Disse systemene blir omtalt som OT (Operasjonell Teknologi). Konsekvensene av et cyberangrep på OT i kritisk infrastruktur vil være store og potensielt ramme mange mennesker.
Mange private selskaper, for eksempel innen matvareindustri, er ikke kategorisert som kritisk infrastruktur, men likevel av stor betydning for samfunnet for øvrig. Disse selskapene har mange maskiner og produksjonslinjer med OT-utstyr. Dersom store matvareprodusenter blir rammet av cyberangrep, kan konsekvensen være betydelig for samfunnet.
Nøkkelen for å beskytte seg mot cyberangrep er kunnskap. Min påstand er at kunnskapen om cybersikkerhet i OT hos bedriftsledere og styrene i selskapene er altfor dårlig. Det investeres store summer i både IT cyber-sikkerhet og systemer, men cybersikkerhet knyttet til kjernevirksomheten er ofte glemt. OT er kjernevirksomheten i disse selskapene. Det er i produksjonen at verdiskapingen skjer, ikke i IT.
Les også: NIS2 – Det holder ikke lenger med en cyberforsikring
Det er klare forskjeller mellom IT og OT, og noen unike utfordringer knyttet til OT. OT-systemer har lenger levetid. OT består ofte av eldre utstyr med begrensede sikkerhetsfunksjoner. Mange OT-systemer ble designet uten cybersikkerhet i tankene, noe som gjør de mer sårbare for angrep. I tillegg er det ofte uklart eierskap og ansvar mellom IT- og OT-team som kompliserer arbeidet.
Det er større utfordringer knyttet til livssyklus i OT. Et havari knyttet til et utgått kontrollsystem på en maskin kan ha like stor konsekvens som et cyberangrep, og medføre stans i lang tid. Plutselig står bedriften ovenfor et stort oppgraderingsprosjekt hvor styringssystemet må redesignes og programmeres.
En bedriftsleder jeg snakket med sa til meg: “Vi har gjort mange risikovurderinger for selskapet rundt IT-sikkerhet, men OT er uteglemt i denne sammenhengen”. Slik tror jeg det er for mange. Jeg har besøkt utallige produksjonsbedrifter i Norge og i utlandet.
Jeg har selv vært produksjonssjef i en papirfabrikk i Norge, og overraskes ikke lenger av den tekniske tilstanden på utstyret i produksjonen hos bedriftene. Levetiden på maskiner forlenges langt ut over det som er forsvarlig. Styringssystemene er ofte utgått, og reservedeler er ikke lenger tilgjengelig. Vi ser tilfeller hvor bedriftene kjøper reservedeler for kontrollsystemene sine på eBay, uten garanti på tilstanden. Dette er i sterk kontrast til tilstanden på både kontorlokalene og investeringsviljen på IT og andre støttesystemer.
Hvorfor er det slik?
Min personlige mening er at toppledere er blitt for distansert fra sin egen kjernevirksomhet. De er ofte lokalisert andre plasser enn produksjonen, som oftest i en stor by. IT er som oftest samlokalisert med konsernledelsen. Derfor er IT-systemer oftere på agendaen hos konsernledelsen enn OT-systemer. Det er også et stort trykk på bruk av kunstig intelligens og digital transformasjon som driver investeringer innen IT-segmentet. Oppfatningen er at dette skal levere store og raske gevinster.
Kompetansen på OT-teknologi hos produksjonsenhetene er skåret ned til benet for å spare penger. Det er knapt kompetanse igjen ute hos enhetene. De som er igjen, har kun ressurser til å håndtere det mest akutte. Langsiktig planlegging og vedlikehold er derfor ofte mangelfullt. De få som sitter med kompetansen om teknologien er antakelig ikke flinke nok til å kommunisere risiko knyttet til utgåtte systemer og cyber-sikkerhet.
Det er på høy tid at konsernledelsen tar ansvar for operasjonell sikkerhet og OT cyber-sikkerhet i egen virksomhet. Vektskåla bør veie tyngst for kjernevirksomheten. IT er tross alt støttesystemer i denne sammenhengen. Det er lett å være etterpåklok når konsekvensen av et ransomware-angrep har medført at produksjonen stopper opp, hvor basale sikkerhetstiltak kunne redusert konsekvensene betydelig, eller forhindret angrepet. Det er bedre å investere i enkle sikkerhetstiltak nå. Kostnadene ved å rydde opp i etterkant er langt større.
Les også: Sikkerhet og overvåking i produksjonsnettverket gir mindre produksjonsstans
Min anbefaling er at konsernledelsen og styret ruster opp egen kompetanse om OT, både med hensyn til operasjonell sikkerhet og cybersikkerhet. De bør rett og slett gå på et OT Cyber Awareness-kurs. Det er kritisk at ledelsen i produksjonsbedrifter vet forskjellen på IT og OT.
Ta grep raskt for å redusere risiko. Ikke bruk mange måneder eller år på papirøvelser. Gjør noe nå! Gjør grovarbeidet først, og finjuster strategien senere. SANS sine anbefalinger “5 Critical Controls for ICS Cyber Security” er et glimrende rammeverk. Her følger noen anbefalinger, basert på egne erfaringer og SANS “5 Critical Controls”:
Heldigvis er det slik at «Defence is doable!»