Triple-S Blogg

Har du en angriper på innsiden av ditt OT miljø uten å vite om det?

Skrevet av Knut-Erik Tovslid | 5. oktober 2022

Industrien digitaliseres. Ny teknologi introduseres, avanserte analysemetoder tas i bruk og IT- og OT-nettet bindes tettere sammen. Sammen vil det generere helt nye muligheter for norsk og internasjonal industri. Men etter hvert som industrien digitaliseres, øker forekomsten av hacking og cyberangrep.

Industrielle kontrollsystemer utgjør selve hjertet i enhver produksjonsbedrift. De opererer i bakgrunn og sørger for at produksjonen går som den skal. Vi finner dem i kraftproduksjon, olje og gass, næringsmiddel, metallindustri, kritisk infrastruktur og innenfor en rekke andre områder. Fra de ble introdusert på begynnelsen av 70 tallet og frem til i dag har vi hatt en enorm utvikling, spesielt med tanke på datakraft og kommunikasjonsmuligheter. Systemene var fra starten av lukkede proprietære løsninger som krevde spesialkompetanse, men er i dag basert på åpen kommersiell teknologi som gjør det enkelt å koble dem sammen med de administrative systemene. I den digitaliseringsbølgen vi nå opplever er tilgangen til de data som befinner seg i produksjon avgjørende for å kunne hente ut verdi. Utfordringen kommer når vi åpner opp tilgangen ned til det aller helligste – selve kontrollsystemet.

Når vi beveger oss ned i selve produksjon, eller OT som det kalles, er kontinuitet og oppetid vesentlig. Det er her verdiene skapes, og en uønsket stans kan fort forårsake store tap i form av nedetid og tapt produksjon. Det er derfor svært viktig å ha kontroll på disse miljøene. Kun personer med riktig kompetanse og godkjent tilgang bør få slippe inn. Det kan være en stor utfordring for mange å håndheve dette i praksis. Hvem har tilgang, hva har de tilgang til, hvem er inne i anlegget for øyeblikket og hva driver de med er spørsmål man gjerne vil ha svar på.


 
Viktigheten av å oppdage tidlig.

Industrielle kontrollsystemer har tradisjonelt ikke blitt overvåket med tanke på unormal aktivitet. Redselen for at systemer som skanner utstyr for sårbarheter og virus skal forårsake en stopp er stor. Konsekvensen er at angripere som kommer seg på innsiden ofte får operere i fred over lang tid, mye lengre enn det vi typisk ser i et IT system.

I desember 2015 ble store deler av den vestlige delen av Ukraina offer for det første bekreftede strømbruddet som følge av cyberangrep. Etter måneder med forberedelser, utforskning, saumfaring og ulovlig tilgang på innloggingsinformasjon, angrep hackere det Ukrainske strømnettet. Med stjålet VPN-tilgang tok hackerne kontroll over nettverket og koblet ut høyspentbrytere og kritiske IT-komponenter og oversvømte kundeservicesenteret med falske telefonoppringninger for å begrense tilgangen på informasjon for kundene deres.

Med et varslingssystem på plass ville trolig dette angrepet blitt oppdaget tidlig og skadeomfanget ville blitt kraftig redusert om ikke eliminert.

 
Hvordan kan vi overvåke et OT system uten å forstyrre produksjon?

I 2014-15 ble flere selskap etablert med det som mål å utvikle systemer for passiv overvåking av industrielle kontrollsystemer. Mange av dem var IT Cyber eksperter som gikk i samarbeid med de store leverandørene av industrielle kontrollsystemer. De ville utvikle løsninger som kontrollsystemleverandørene kunne akseptere, og passiv overvåking var første steg på veien. Dette baserer seg på å kun lytte til trafikken i nettverket på sentrale plasser og analysere den for å danne seg et bilde av hva som er normal trafikk. Hvem som snakker med hvem og hva de snakker om er grunnlaget for det som omtales som baseline i et anlegg. Når vi kjenner til dette kan vi alarmere på unormal aktivitet, dvs. det som ikke ligger i baseline. Etterhvert kom det til flere metoder som også omfatter mer aktiv inngripen i systemene. Disse ble da utviklet i tett samarbeid med kontrollsystem leverandørene for å sikre at ikke systemene ble påvirket.

 

Trenger nødvendigvis ikke å være cyber relatert

Ved å overvåke de industrielle kontrollsystemene vil vi få en innsikt som også hjelper til med å sikre prosess integriteten og verifisere at selskapets policies overholdes. F,eks. vil systemene kunne varsle at noen utfører operasjoner på anleggsdeler det ikke er gitt arbeidstillatelse på, at eksterne partnere benytter egne laptops i produksjonsnettverket eller at en benytter en USB stick i en engineering stasjon. Slike brudd på policies er normalt ikke så lett å oppdage.

Med bedre innsikt i produksjon vil man også kunne verifisere om nye leveranser overholder de krav som er satt til cybersikkerhet i OT. Har leverandør patchet løsningen til siste versjon før den blir overlevert? Er switcher og PLSer herdet i henhold til de krav som er satt? Benyttes usikre protokoller i nettverket osv.

 

Økt fokus bedrer din bunnlinje

Investering i et overvåkingssystem for OT er et av tiltakene som er anbefalt i IEC-62443 – Cyber Security for Industrial Control Systems. Et viktig tiltak som bidrar til økt innsikt og oppmerksomhet for å senke risiko til noe du kan akseptere. Investeringer i sikkerhet er en forsikring som medfører økte kostnader. Mange velger derfor å prioritere dette ned og tar sjansen på at det går bra. Dersom man samtidig ser på effekten av bedre innsikt og kontroll vil mange oppleve å få et positivt utslag direkte på bunnlinjen. Færre uønskede stopp, bedre regularitet, mindre vrak og stabil kvalitet er eksempler på «bivirkningene». Størst effekt får man når teknologi, mennesker og prosesser fungerer optimalt sammen.