En risikovurdering er en udmærket måde for en virksomhed at finde ud af, hvad deres nuværende sikkerhedsniveau er, og hvilke områder der bør fokuseres på nu og i fremtiden.
3 Sikkerheds-To-Dos i OT-miljøer
March 29, 2021 at 08:58
Tre er et magisk tal. Det gælder både for Kinder-æg og i eventyr. Men det gælder altså også inden for it-sikkerhed – i hvert fald i dette blog-indlæg om sikkerhed i OT-miljøer. OT dækker jo mest over den it, der kører stille og roligt af sig selv i en produktion eller en overvågningsfunktion. En OT-løsning er designet til stort set at klare sig selv og gerne i rigtig mange år frem. Så hvorfor skulle it-sikkerhed være et issue her? Du har med garanti allerede fuld fokus på driftssikkerhed, stabilitet og oppetid, som jo er det, det hele primært handler om. I øvrigt er OT-miljøet jo et lukket miljø, der ikke er koblet på hverken internettet eller virksomhedens andre it-systemer. Adgangen til OT-miljøet er desuden meget begrænset. Bortset fra den eller de ansvarlig for driften, er der kun ganske få andre fra organisationen, der har adgang til miljøet som for eksempel medarbejdere, der har brug for rapporter og data til statistik og lignende.
Ingen ekstern adgang?
Men det er måske netop det, der er en fejlantagelse. Det er korrekt, at I kun er ganske få fra organisationen, der har den daglige adgang. Men lad os kigge på et par eksempler, hvor der eventuelt er blevet åbnet døre for flere adgange. Du er måske begyndt at benytte nogle cloud-løsninger, fordi det er lettere at dele data med andre afdelinger via skyen, end at du hele tiden skal aflæse og rapportere. Eller det har vist sig nødvendigt, at du kan tilgå systemet hjemmefra, eller når du er på farten. Eller hvad med de årlige eller halvårlige opdateringer af softwaren? Hvem fikser dem? Jeg gætter på, at der kommer en leverandør udefra med en fremmed computer og gennemfører opdateringen for dig. Er denne computer ’ren’? ja, det er den da med stor sandsynlighed. Men du ved det reelt ikke, medmindre altså at du har tjekket eller har indgået en aftale med leverandøren om, at hans computer er compliant med alle gældende forordninger og i øvrigt overholder alle virksomhedens interne sikkerhedspolitikker. Har du det? Alle disse ting er ensbetydende med åbninger udadtil, der potentielt er lig med sårbarheder i dit OT-miljø. Hvis du er bevidst om alle disse sårbarheder og har overblik over dem, kan de naturligvis fjernes. Her har du dit første To Do! √
Din it-afdeling forstår dig ikke
Det er en gammel joke, at din livsledsager ikke forstår dig. I tillæg til den kendsgerning må jeg desværre skuffe dig med, at det gør din it-afdeling heller ikke. De fleste interne it-afdelinger er klædt på til at håndtere de it-udfordringer, der opstår i virksomhedens administration. De ved alt om onboarding af nye medarbejdere, tildeling af passwords, opsætning af nye computere, sikker it-adfærd og administratorrettigheder. Men hvis du fortæller dem, at du er stødt på en udfordring med hensyn til iFix eller SIMATIC WinCC, så vil du med meget stor sandsynlighed blive mødt af en flok uforstående miner. Det hører nemlig i almindelige it-kredse ind under området specialviden. Du er derfor nødt til selv til en vis grad at være klædt på til at kunne håndtere it-sikkerhedsudfordringer. En anden mulighed er at indgå i dialog med din it-afdeling om de udfordringer og behov, der er omkring et OT-miljø. Du kan måske søge sparring uden for virksomheden hos konkollegaer, der sidder med de samme udfordringer. Eller du kan søge professionel hjælp hos eksperter, der er specialiseret i netop sikkerhed omkring OT-miljøer. Her har du dit andet To Do! √
Prisen for et hackerangreb?
For nylig blev et vandværk i USA hacket. Heldigvis blev angrebet, der langsomt var i gang med at forgifte vandet, opdaget i tide og angrebet blev stoppet. Og jeg siger ’heldigvis’ for der var vitterlig tale om held. Angrebet blev kun opdaget, fordi en vågen tilsynsførende fik øje på problemet med stigende mængder af natriumhydroxid i vandet og anmeldte det. Her har helt sikkert været tale om adgang udefra til et system, som man opfattede som lukket. Risikoen var i dette tilfælde at 15.000 borgeres drikkevand ville være blevet forgiftet. Risikoen handlede her ikke om penge, men om mennesker. Hvilken risiko løber du, hvis et angreb rammer dit system? Du er nødt til at kende risikoen for din organisation ved et eventuelt brud, og hvis det er muligt sætte en værdi på den. Først når du ved, hvor meget et potentielt databrud kan komme til at koste organisationen, kan du vurdere, hvor meget en sikkerhedsindsats må koste. Her har du dit tredje To Do! √
Her er lidt at tage fat på. Sig endelig til, hvis vi skal hjælpe.