Cyberangreb er giftige for produktionsapparatet

Der er god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Farerne fra cyberspace lurer nemlig i høj grad også, når det kommer til produktionsmaskiner, industrirobotter og andre fysiske produktionsapparater.

Der er god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Farerne fra cyberspace lurer nemlig i høj grad også, når det kommer til produktionsmaskiner, industrirobotter og andre fysiske produktionsapparater. Foto: 123rf.com..

16.03.2023

SCM.dk

Risikoen for cyberangreb på virksomheders fysiske produktionsapparat - også kaldet operationel teknologi (OT), som for eksempel industrirobotter, ventilationsanlæg, kontrolcenteret på et kraftvarmeværk eller en vandpumpe på et spildevandsanlæg, er stigende. Tendensen er, at flere og flere OT-enheder kobles på internettet, hvilket skaber nye og flere muligheder for cyberkriminelle med øget risiko for produktionsstop og nedbrud.

Derfor er der ifølge Jeppe Pilgaard Bjerre, specialist hos FORCE Technology, god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Et angreb kan nemlig få store konsekvenser, ikke mindst, hvis det rammer de kontrolsystemer, der betegnes som kritisk infrastruktur, men også hvis det rammer virksomheders centrale produktionsudstyr. Det kan nemlig tage måneder - eller år i alvorlige tilfælde - at få driften i gang igen og koste en formue at erstatte, hvis der for eksempel er tale om et stort elværk eller lignende.

”OT er det, der interagerer med den fysiske verden, mens IT er det, der interagerer med information. OT er altså den teknologi, vi bruger, til at udføre en operation og holde maskineriet kørende. Derfor er oppetid alfa og omega, for hvis maskinerne står stille, taber vi penge. Samtidigt er OT-produkter ofte omkostningstunge, for eksempel store produktionsmaskiner og så videre med en lang levetid, hvor udstyret ikke nødvendigvis kan udskiftes, og det betyder, at der er en del gamle maskiner ude i virksomhederne, som ikke tager højde for det niveau af beskyttelse, der er nødvendigt i dag. Dermed kan et sikkerhedsbrud hurtigt sprede sig til andre dele af organisationen”, siger Jeppe Pilgaard Bjerre.

En anden udfordring er, at det kan tage lang tid at genstarte maskinerne. Derfor er der også større risici forbundet ved for eksempel softwareopdateringer af OT-enheder end ved andre typer udstyr.

”Hvorfor skal jeg lave en softwareopdatering og risikere, at min maskine ikke virker bagefter eller er flere dage om at genstarte, mens produktionen står stille? Det er en af de overvejelser, mange virksomheder med produktionsapparater gør sig. Samtidig bliver mere og mere udstyr koblet på nettet, fordi man dermed kan forudsige behovet for servicetjek, så man undgår utilsigtet nedbrud, ligesom nye forretningsmodeller, hvor virksomheder lejer maskiner i stedet for at købe dem (servitization), betyder, at flere og flere producenter af produktionsmaskiner har behov for at maskinerne kan serviceres via nettet. Og det øger selvfølgelig risikoen for hacking og andre cyberangreb”, siger Jeppe Pilgaard Bjerre. 

Det er dog ikke kun udstyr, der er koblet på internettet, der er i farezonen. Også OT-enheder i et lukket netværk kan hackes, som man blandt andet så i forbindelse NSA’s angreb på det iranske atomvåbenprogram i 2010 (Stuxnet).
En anden potentiel risiko kan være, at ens udstyr er havnet utilsigtet på nettet, så hackere kan overtage kontrollen med udstyret eller via OT-enheden få adgang til virksomhedsnetværket.

”Der har været flere eksempler på OT-systemer, der pludselig har været frit tilgængeligt på nettet ved en fejl – for eksempel et vandværk, der dermed kunne styres af uvedkommende. Det samme kunne risikere at ske, for eksempel når en tekniker udfører service på en OT-enhed, såsom en fabriksrobot, hvis man glemmer at koble OT-enheden fra internettet efter endt service”, fortæller Jeppe Pilgaard Bjerre. 

Læs også: Digitale forsyningskæder skærper SMV’ers behov for it-sikkerhed

Men hvordan sikrer virksomheder med et produktionsapparat sig så mod de farer, der lurer fra cyberspace? Det allervigtigste er ifølge Jeppe Pilgaard Bjerre risikovurdering og risikoanalyse:

”Hvad er det vigtigste i vores butik, som vi ikke kan undvære? Det handler om at være bevidst om risici, prioritere dem, så man ved, hvor man skal fokusere kræfterne, og have en plan klar, hvis det sker. Og så skal man fjerne de ubekendte – det værste er, hvis man bliver ramt af noget, man ikke vidste kunne ske. Jo mere overblik man har, jo bedre kan man mitigere på den mest kosteffektive måde”.

Og her er standarder, blandt andet IEC 62443-serien, der har til formål at adressere cybersikkerhed på et industrielt niveau, et effektivt værktøj.

”Standarderne giver et fælles sprog, så man undgår misforståelser, og så man kan snakke sammen på tværs af funktioner fra sikkerhedsfolk til OT- og driftsfolk. De skaber et overblik over systemets ansvarsområder og klarlægger rollefordelingen og konkretiserer, hvad man skal gøre og hvordan man gør det. Og ikke mindst giver de værktøjer til risikoanalyse og håndtering af risici”, slutter Jeppe Pilgaard Bjerre.

- PiB

N.C. Nielsen A/S

Sponseret

Linde 1251 – én el-truck, flere energikilder

Apport Systems A/S

Sponseret

Lagerstyring på autopilot - få dit lager til at tænke selv

Relateret indhold

13.05.2025Slimstock Nordic

Sponseret

An opinion Making Artificial Intelligence (AI) land in supply chain practice

12.05.2025SCM.dk

AI og cybersikkerhed sætter dagsordenen på Technomania 2025

09.05.2025SCM.dk

Danmark tager næste skridt mod menneskelignende robotteknologi

07.05.2025SCM.dk

Nordjysk virksomhed vinder stor ordre fra Maersk

01.05.2025SCM.dk

Indspark: AI i supply chain kræver aktiv styring – erfaringer fra Boozt

28.04.2025Brother Nordic A/S

Sponseret

Linerless labels: En lille teknologi med store fordele

22.04.2025SCM.dk

Nyt projekt og 40 millioner skal styrke produktionen med AI og robotter

22.04.2025SCM.dk

Mangel på kompetencer og lovgivning bremser AI i virksomheder

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Bureau Veritas
Kursus
ISO 9001:2015 - Lead Auditor Refresher

Opdater din viden om ISO 9001:2015

Dato

13.05.2025

Tid

08:30

Sted

Vejle

DNV Business Assurance Denmark
Kursus
NIS2 Foundation

Lær hvordan direktivets krav implementeres effektivt med afsæt i ledelsesstandarderne ISO 27001 og ISO 22301

Dato

14.05.2025

Sted

København

DNV Business Assurance Denmark
Kursus
Intern audit af ledelsessystemer baseret på ISO 14001 og ISO 45001

Formålet med kurset er at give dig viden om hele auditprocessen og masser af træning i at levere effektive interne audits, der skaber værdi i virksomheden.

Dato

14.05.2025

Sted

Odense

Apport Systems A/S
Seminar
Commerce Excellence 2025: Lagerstyring på autopilot – få dit lager til at tænke selv

Automatisering er fantastisk. Dit lager kører måske allerede glat på flere områder. Men hvad nu hvis lageret kunne tage beslutninger helt selv? Forudse problemer, før de opstår? Alt dette vil vi kigge nærmere på til CE2025, hvor du får viden og inspiration til at sætte dit lager på autopilot.

Dato

14.05.2025

Tid

14:00

Sted

Hotel Nyborg Strand

DNV Business Assurance Denmark
Kursus
OHSMS Auditor/Lead Auditor course based on ISO 45001 | CQI IRCA Certified Course ID: 1877

This course is designed to develop a clear understanding of safety management in the modern era and provide those involved in audit conduct and management with the skills to fulfil their role.

Dato

19.05.2025

Sted

Odense

Bureau Veritas
Kursus
EMS ISO 14001:2015 Lead Auditor Miljø (CQI IRCA-certificeret)

Ved succesfuld gennemførelse af vores CQI and IRCA-certificeret EMS ISO 14001:2015 Lead Auditor Miljøkursus vil du være i stand til at planlægge, gennemføre og afrapportere effektive 1., 2. og 3. parts audits af miljøledelsessystemer i henhold til kravene i ISO 14001:2015.

Dato

19.05.2025

Tid

08:30

Sted

Kongens Lyngby