Når et cyberangrep rammer produksjonen, er det for sent å begynne å planlegge. Et cyberangrep kan føre med seg store konsekvenser, som kostbar stans, ødelagte ressurser og fare for liv. Likevel mangler alt for mange bedrifter en beredskapsplan for hendelser i OT-systemene sine. 

75 % av virksomhetene som blir rammet av cyberangrep, har enten ikke en OT-spesifikk responsplan eller bare et utkast. Resultatet er lenger nedetid, høyere kostnader og mer stress i organisasjonen. 

En responsplan som inkluderer OT er første steg

SANS Institute har identifisert fem kritiske tiltak for cybersikkerhet i industrielle miljøer. Det første og viktigste er å etablere en OT-spesifikk responsplan. Dette er fundamentet alt annet bygges på. 

En slik plan skal ikke bare beskrive hvordan man skal reagere når et angrep oppdages, men også sikre at organisasjonen kan håndtere hendelsen trygt og strukturert, uten å sette liv, miljø eller utstyr i fare. 

I motsetning til IT, der målet er å beskytte data, handler OT-beredskap først og fremst om trygg og stabil drift. Ved et angrep skal prosessene fortsette på en kontrollert måte. Derfor må sikkerhetsarbeidet i OT bygge på prinsipper som sikkerhet, tilgjengelighet og integritet. 

Hva bør en OT-responsplan inneholde?

En god plan er enkel å følge, tydelig på roller og ansvar, og testet i praksis. Den bør beskrive: 

• Når og hvordan en hendelse skal eskaleres. Hvem kan erklære en hendelse, og hvem tar beslutningen om å stanse produksjonen? 

• Hvordan man sikrer trygg tilgang til anlegg og systemer. For eksempel bruk av korrekt verneutstyr og adgangsprosedyrer. 

• Hvordan teamene samhandler. Erfaring viser at kommunikasjonen mellom IT og OT ofte er den største utfordringen under et angrep. 

• Hvilke data som skal samles inn. Hendelsesdata må lagres på en måte som gjør det mulig å analysere hva som faktisk skjedde. Både på nettverksnivå, i systemlogger og i selve prosessdataene. 

Et viktig poeng er at planen må være tilpasset driftsmiljøet. Et IT-rammeverk kan ikke kopieres rett over til OT. En plan som fungerer i et kontormiljø, vil ikke nødvendigvis beskytte en fabrikk, en oljeplattform eller et kraftverk. 

Øvelse gjør mester

En plan er verdiløs hvis den ligger i en skuff. Den må øves på regelmessig, med ulike nivåer av trening: 

• Strategiske øvelser for ledelse og driftsansvarlige. 

• Taktiske øvelser for sikkerhetsteam. 

• Tekniske øvelser for de som faktisk skal utføre tiltakene. 

Slike øvelser gir trygghet i organisasjonen og reduserer tiden det tar å respondere når det virkelig gjelder. 

De fleste industrielle virksomheter bør først og fremst forberede seg på ransomware. Denne typen angrep rammer bredt, ofte gjennom leverandørkjeden, og kan slå ut både IT- og OT-systemer. Angrep som direkte manipulerer fysiske prosesser er sjeldnere, men konsekvensene kan bli mye mer alvorlige. 

Mange hendelser starter også med enkle menneskelige feil, som en uheldig USB-innkobling eller feilklikk i et kontrollsystem. Det er derfor viktig å involvere hele organisasjonen i sikkerhetsarbeidet og opplyse om disse farene. 

Hvordan kommer jeg i gang med en responsplan? 

For å starte prosessen må du begynne med det noe av det mest grunnleggende: 

1. Kartlegg risiko og scenarier. Hva kan gå galt, og hvilke konsekvenser får det for sikkerhet, miljø og drift?
2. Definer roller og ansvar. Sørg for at både IT og OT vet hvem som gjør hva, og hvem som har myndighet til å ta beslutninger.
3. Lag en enkel plan. Begynn med flytskjemaer og eskaleringskriterier. Ikke la kompleksitet hindre fremdrift.
4. Test planen. Gjennomfør jevnlige øvelser og oppdater dokumentasjonen basert på erfaringer. 

Dette arbeidet legger grunnlaget for de neste fire tiltakene i SANS sin modell: motstandsdyktig arkitektur, overvåking, fjerntilgang og risikobasert sårbarhetshåndtering. 

En OT-spesifikk hendelseshåndteringsplan er ikke bare et sikkerhetstiltak. Det er et driftstiltak. Den beskytter produksjonen, ansatte og omdømmet når uhellet først er ute.