Cyberangreb er giftige for produktionsapparatet

Risikoen for cyberangreb på virksomheders fysiske produktionsapparat - også kaldet operationel teknologi (OT), som for eksempel industrirobotter, ventilationsanlæg, kontrolcenteret på et kraftvarmeværk eller en vandpumpe på et spildevandsanlæg, er stigende. Tendensen er, at flere og flere OT-enheder kobles på internettet, hvilket skaber nye og flere muligheder for cyberkriminelle med øget risiko for produktionsstop og nedbrud.

Derfor er der ifølge Jeppe Pilgaard Bjerre, specialist hos FORCE Technology, god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Et angreb kan nemlig få store konsekvenser, ikke mindst, hvis det rammer de kontrolsystemer, der betegnes som kritisk infrastruktur, men også hvis det rammer virksomheders centrale produktionsudstyr. Det kan nemlig tage måneder - eller år i alvorlige tilfælde - at få driften i gang igen og koste en formue at erstatte, hvis der for eksempel er tale om et stort elværk eller lignende.

”OT er det, der interagerer med den fysiske verden, mens IT er det, der interagerer med information. OT er altså den teknologi, vi bruger, til at udføre en operation og holde maskineriet kørende. Derfor er oppetid alfa og omega, for hvis maskinerne står stille, taber vi penge. Samtidigt er OT-produkter ofte omkostningstunge, for eksempel store produktionsmaskiner og så videre med en lang levetid, hvor udstyret ikke nødvendigvis kan udskiftes, og det betyder, at der er en del gamle maskiner ude i virksomhederne, som ikke tager højde for det niveau af beskyttelse, der er nødvendigt i dag. Dermed kan et sikkerhedsbrud hurtigt sprede sig til andre dele af organisationen”, siger Jeppe Pilgaard Bjerre.

En anden udfordring er, at det kan tage lang tid at genstarte maskinerne. Derfor er der også større risici forbundet ved for eksempel softwareopdateringer af OT-enheder end ved andre typer udstyr.

”Hvorfor skal jeg lave en softwareopdatering og risikere, at min maskine ikke virker bagefter eller er flere dage om at genstarte, mens produktionen står stille? Det er en af de overvejelser, mange virksomheder med produktionsapparater gør sig. Samtidig bliver mere og mere udstyr koblet på nettet, fordi man dermed kan forudsige behovet for servicetjek, så man undgår utilsigtet nedbrud, ligesom nye forretningsmodeller, hvor virksomheder lejer maskiner i stedet for at købe dem (servitization), betyder, at flere og flere producenter af produktionsmaskiner har behov for at maskinerne kan serviceres via nettet. Og det øger selvfølgelig risikoen for hacking og andre cyberangreb”, siger Jeppe Pilgaard Bjerre. 

Det er dog ikke kun udstyr, der er koblet på internettet, der er i farezonen. Også OT-enheder i et lukket netværk kan hackes, som man blandt andet så i forbindelse NSA’s angreb på det iranske atomvåbenprogram i 2010 (Stuxnet).
En anden potentiel risiko kan være, at ens udstyr er havnet utilsigtet på nettet, så hackere kan overtage kontrollen med udstyret eller via OT-enheden få adgang til virksomhedsnetværket.

”Der har været flere eksempler på OT-systemer, der pludselig har været frit tilgængeligt på nettet ved en fejl – for eksempel et vandværk, der dermed kunne styres af uvedkommende. Det samme kunne risikere at ske, for eksempel når en tekniker udfører service på en OT-enhed, såsom en fabriksrobot, hvis man glemmer at koble OT-enheden fra internettet efter endt service”, fortæller Jeppe Pilgaard Bjerre. 

Læs også: Digitale forsyningskæder skærper SMV’ers behov for it-sikkerhed

Men hvordan sikrer virksomheder med et produktionsapparat sig så mod de farer, der lurer fra cyberspace? Det allervigtigste er ifølge Jeppe Pilgaard Bjerre risikovurdering og risikoanalyse:

”Hvad er det vigtigste i vores butik, som vi ikke kan undvære? Det handler om at være bevidst om risici, prioritere dem, så man ved, hvor man skal fokusere kræfterne, og have en plan klar, hvis det sker. Og så skal man fjerne de ubekendte – det værste er, hvis man bliver ramt af noget, man ikke vidste kunne ske. Jo mere overblik man har, jo bedre kan man mitigere på den mest kosteffektive måde”.

Og her er standarder, blandt andet IEC 62443-serien, der har til formål at adressere cybersikkerhed på et industrielt niveau, et effektivt værktøj.

”Standarderne giver et fælles sprog, så man undgår misforståelser, og så man kan snakke sammen på tværs af funktioner fra sikkerhedsfolk til OT- og driftsfolk. De skaber et overblik over systemets ansvarsområder og klarlægger rollefordelingen og konkretiserer, hvad man skal gøre og hvordan man gør det. Og ikke mindst giver de værktøjer til risikoanalyse og håndtering af risici”, slutter Jeppe Pilgaard Bjerre.

- PiB