<img height="1" width="1" src="https://www.facebook.com/tr?id=1932152440385159&amp;ev=PageView &amp;noscript=1">

Overvåking av nettverkstrafikk er kritisk for cyber security i industrielle nettverk

Postet av Knut-Erik Tovslid den 10. oktober 2018

Industrien digitaliseres. Ny teknologi introduseres, avanserte analysemetoder tas i bruk og IT- og OT-nettet bindes tettere sammen. Sammen vil det generere helt nye muligheter for norsk og internasjonal industri. Men etter hvert som industrien digitaliseres, øker forekomsten av hacking og cyberangrep.

I desember 2015 ble store deler av den vestlige delen av Ukraina offer for det første bekreftede strømbruddet som følge av cyberangrep. Etter måneder med forberedelser, utforskning, saumfaring og ulovlig tilgang på innloggingsinformasjon, angrep hackere det Ukrainske strømnettet. Med stjålet VPN-tilgang tok hackerne kontroll over nettverket og koblet ut høyspentbrytere og kritiske IT-komponenter og oversvømte kundeservicesenteret med falske telefonoppringninger for å begrense tilgangen på informasjon for kundene deres.

Året etter opplevde Ukraina sitt andre strømbrudd som følge av hacking. I 2017 spredte løsepengeviruset WannaCry seg fra maskin til maskin gjennom et sikkerhetshull i Microsofts operativsystem. Microsoft tettet sikkerhetshullet, men de som ikke hadde kjørt oppdateringen, ble offer for angrepet. Honda, som var én av de rammede, fikk produksjonsstans ved en av bilfabrikkene sine i et helt døgn. Én måned etter WannaCry kom Petya – et nytt cyberangrep som utnyttet nøyaktig det samme sikkerhetshullet. Nok en gang ble et stort antall privatpersoner og bedrifter rammet.

Gratis e-bok: Bygg en solid nettverksstrategi

Cyber security i sammenkoblede IT- og OT-nettverk

Alle disse eksemplene gir oss en kraftig påminnelse om viktigheten av cyber security i industrielle nettverk. Cyber security er et begrep for «ting som er sårbare via IKT». Det er kanskje det riktigste og mest omfattende begrepet når vi snakker om sikkerhet i industrielle miljøer. Mobile enheter har gjort oss mer sårbare, tjenestene og systemene våre blir stadig mer komplekse og integrerte, antallet trusler mot norske bedrifter øker, stadig flere systemer kobles opp mot internett og vi bruker flere enheter og flere applikasjoner parallelt.

Ikke minst blir behovet for cyber security bare større etter hvert som Industri 4.0-visjonen brer om seg i norsk og internasjonal industri. Behovet for å hente data fra produksjonen opp til IT-nettverket for å oppnå en dypere innsikt i hva som faktisk foregår i produksjonen er økende, og skillelinjene mellom IT-nettverket og OT-nettverket viskes ut i stadig større grad. Fordelen er at ledelsen får tilgang på reelle data fra produksjonen og forbedrer beslutningsgrunnlaget sitt. Ulempen er at sammenkoblingen mellom IT- og OT-nettverket introduserer nye sikkerhetsutfordringer.

 

Interne og eksterne trusler

I et slikt digitalt økosystem utsetter en manglende eller mangelfull nettverksstrategi bedriften for en rekke farer med potensielt svært alvorlige konsekvenser. På en side truer eksterne aktører, som organiserte kriminelle, fremmede stater og utro tjenere. På den andre siden finner vi interne, utilsiktede sikkerhetsbrudd. Dette utgjør langt de fleste registrerte sikkerhetsbrudd og er som oftest en konsekvens av svake interne rutiner.

 

Konsekvenser av cyberangrep

Nettverket er selve nervesystemet eller infrastrukturen til bedriften. Det er nettet av alle kommunikasjonslinjer internt i bedriften, og kommunikasjonslinjene som knytter bedriften til resten av verden. Oppgaven til bedriftens nettverk er å sørge for informasjonsflyt og informasjonssikkerhet; det vil si at administrasjonen får informasjonen de trenger fra hele fabrikken, at informasjonen er til å stole på og at den ikke havner hos uvedkommende.

Et nettverk som er nede fører alltid til tap. Hvor store tap, og i hvilken form, avhenger av hvor lang nedetiden blir og hvor store eller vesentlige deler av produksjonen nedetiden påvirker. Følgende konsekvenser er imidlertid typiske:

  • Stopp i produksjon: Full produksjonsstans fører gjerne til store økonomiske tap. Årsaken kan være både tilsiktede og utilsiktede. I 2017 førte WannaCry-angrepet til produksjonsstans i fabrikkene til flere store globale produsenter, som en følge av at de mistet tilgang til helt essensielle data.
  • Redusert kvalitet: Nedetid kan føre til stopp eller feil i deler av produksjonslinjene, noe som kan påvirke kvaliteten på produktet.
  • Vrak: Stans i produksjonen kan medføre at deler av den varebeholdingen som er i produksjon må vrakes. Temperaturer og trykk ute av kontroll, feil blandingsforhold osv. fører ofte til så store kvalitetstap at produktene må vrakes.
  • Tapt sporbarhet: Sporbarhet har blitt en viktig del av dagens kvalitetssikring av varer. Sporbarhet betyr at man kan innhente informasjon fra alle deler av produksjonen fra råvarer inn til ferdigvare ut. Hvis nedetiden fører til manglende sporbarhet, mister man også kontrollen over varenes kvalitet og lokasjon.

 

Trusselovervåking og sårbarhetsmonitorering

Det er viktig å få på plass en nettverksstrategi og gjennomføre beskyttende tiltak i henhold til denne, men man bør ikke stoppe der. Det er like viktig å etablere monitorering og overvåking av nettverkstrafikken.

Det finnes en rekke overvåkningsløsninger på markedet. De aller fleste er rettet mot IT-systemene, men det har i senere tid dukket opp løsninger som forstår OT-nettverkets «språk». Slike løsninger er i dag 100 prosent passive, lytter kun på trafikken og sender ingen meldinger for å unngå å forstyrre produksjonen. Overvåkningsløsningene for OT-nettverket analyserer hva som skjer i produksjonene din og gir deg en dyp innsikt i hvordan OT-nettverket fungerer – alt ifra hvem som snakker med hvem, hva de snakker om og hvilke sårbarheter som finnes. I tillegg vil unormal trafikk varsles umiddelbart.

De beste løsningene på markedet bærer med seg følgende funksjoner og muligheter:

  • Full innsikt i alt utstyr som befinner seg i produksjon. Du må vite hva du har før du kan begynne å overvåke / analysere.  Du bør ha en god oversikt over leverandør, typenr. og firmware versjon på alt utstyr som er installert
  • Et system bør vite hva som er normal trafikk og varsle når noe er unormalt, slik at tiltak kan settes i verk for å stoppe eventuelle trusler.
  • En sikker fjerntilkobling til anlegget med god overvåking og monitorering av hva som blir utført. Å slippe eksterne aktører inn uten å ha kontroll utgjør en stor risiko.
  • En kontinuerlig oversikt over hvilke sårbarheter som finnes i produksjon, med en prioritert liste på hva som bør gjøres for å heve sikkerheten i anlegget.

Aldri nedprioriter sikkerhetstiltak fordi det virker usannsynlig at et cyberangrep vil ramme akkurat dere. Historien er full av bedrifter som har tenkt det samme og senere blitt motbevist.  

Cyber Security bør ha høy prioritet og forankres i bedriftens ledelse.  Vi ser nå flere bedrifter som velger å sette cyber security som en KPI med kontinuerlig overvåking av sårbarhet.

Gratis e-bok:  Bygg en solid nettverksstrategi

Knut-Erik Tovslid

Skrevet av Knut-Erik Tovslid

Knut-Erik Tovslid er Head of Network & Cyber Security i Triple-S. Han har over 30 års erfaring innen automatisering rettet mot industri, bygg og forskning. De siste 17 årene har han jobbet i Triple-S med salg og forretningsutvikling mot norsk industri og offentlig sektor. Her har han levert teknologi for optimalisert drift i form av automasjon, nettverk og digitalisering. Knut-Erik brenner for lønnsom og sikker produksjon i Norge gjennom økt bruk av automatisering og digitalisering.

Om Triple-S

Triple-S leverer kompetanse og teknologi innenfor automatisering, digitalisering og nettverk og OT-sikkerhet. Vi representerer verdensledende produsenter innenfor disse fagområdene, hvor Rockwell Automation er den største.

Besøk oss på triple-s.no