Cyberangreb på produktionsapparat kan få store konsekvenser

Der er god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Farerne fra cyberspace lurer nemlig i høj grad også, når det kommer til produktionsmaskiner, industrirobotter og andre fysiske produktionsapparater.

”Der er en del gamle maskiner ude i virksomhederne, som ikke tager højde for det niveau af beskyttelse, der er nødvendigt i dag. Dermed kan et sikkerhedsbrud hurtigt sprede sig til andre dele af organisationen”, siger Jeppe Pilgaard Bjerre. Foto: 123rf.com..

14.04.2023

Poul Breil-Hansen, SCM.dk

Risikoen for cyberangreb på virksomheders fysiske produktionsapparat - også kaldet operationel teknologi (OT), som for eksempel industrirobotter, ventilationsanlæg, kontrolcenteret på et kraftvarmeværk eller en vandpumpe på et spildevandsanlæg, er stigende. Tendensen er, at flere og flere OT-enheder kobles på internettet hvilket skaber nye og flere muligheder for cyberkriminelle med øget risiko for produktionsstop og nedbrud som følge.

Derfor er der ifølge Jeppe Pilgaard Bjerre, specialist hos FORCE Technology, god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Et angreb kan nemlig få store konsekvenser, ikke mindst, hvis det rammer de kontrolsystemer, der betegnes som kritisk infrastruktur, men også hvis det rammer virksomheders centrale produktionsudstyr. Det kan nemlig tage måneder - eller år i alvorlige tilfælde - at få driften i gang igen og koste en formue at erstatte, hvis der for eksempel er tale om et stort elværk eller lignende.

Hvis maskinerne står stille…
”OT er det, der interagerer med den fysiske verden; mens IT er det, der interagerer med information. OT er altså den teknologi, vi bruger til at udføre en operation og holde maskineriet kørende. Derfor er oppetid alfa og omega, for hvis maskinerne står stille, taber vi penge. Samtidigt er OT-produkter ofte omkostningstunge, for eksempel store produktionsmaskiner med en lang levetid, hvor udstyret ikke nødvendigvis kan udskiftes. Det betyder, at der er en del gamle maskiner ude i virksomhederne, som ikke tager højde for det niveau af beskyttelse, der er nødvendigt i dag. Dermed kan et sikkerhedsbrud hurtigt sprede sig til andre dele af organisationen”, siger Jeppe Pilgaard Bjerre.

Læs også: Top 10 over banebrydende supply chain teknologier

En anden udfordring er, at det kan tage lang tid at genstarte maskinerne. Derfor er der også større risici forbundet ved for eksempel softwareopdateringer af OT-enheder end ved andre typer udstyr.

”Hvorfor skal jeg lave en softwareopdatering og risikere, at min maskine ikke virker bagefter eller er flere dage om at genstarte, mens produktionen står stille? Det er en af de overvejelser, mange virksomheder med produktionsapparater gør sig. Samtidig bliver mere og mere udstyr koblet på nettet, fordi man dermed kan forudsige behovet for servicetjek, så man undgår utilsigtet nedbrud, ligesom nye forretningsmodeller, hvor virksomheder lejer maskiner i stedet for at købe dem (servitization), betyder, at flere og flere producenter af produktionsmaskiner har behov for at maskinerne kan serviceres via nettet. Og det øger selvfølgelig risikoen for hacking og andre cyberangreb”, siger Jeppe Pilgaard Bjerre. 

Det er dog ikke kun udstyr, der er koblet på internettet, der er i farezonen. Også OT-enheder i et lukket netværk kan hackes, som man blandt andet så i forbindelse NSA’s angreb på det iranske atomvåbenprogram i 2010 (Stuxnet).

En anden potentiel risiko kan være, at ens udstyr er havnet utilsigtet på nettet, så hackere kan overtage kontrollen med udstyret eller via OT-enheden få adgang til virksomhedsnetværket.

”Der har været flere eksempler på OT-systemer, der pludselig har været frit tilgængeligt på nettet ved en fejl – for eksempel et vandværk, der dermed kunne styres af uvedkommende. Det samme kunne risikere at ske, for eksempel når en tekniker udfører service på en OT-enhed, såsom en fabriksrobot, hvis man glemmer at koble OT-enheden fra internettet efter endt service”, fortæller Jeppe Pilgaard Bjerre. 

Standarder giver overblik
Men hvordan sikrer virksomheder med et produktionsapparat sig så mod de farer, der lurer fra cyberspace? Det allervigtigste er ifølge Jeppe Pilgaard Bjerre risikovurdering og risikoanalyse:

”Hvad er det vigtigste i vores butik, som vi ikke kan undvære? Det handler om at være bevidst om risici, prioritere dem, så man ved, hvor man skal fokusere kræfterne, og have en plan klar, hvis det sker. Og så skal man fjerne de ubekendte – det værste er, hvis man bliver ramt af noget, man ikke vidste kunne ske. Jo mere overblik man har, jo bedre kan man mitigere på den mest kosteffektive måde”.

Og her er standarder, blandt andet IEC 62443-serien, der har til formål at adressere cybersikkerhed på et industrielt niveau, et effektivt værktøj.

”Standarderne giver et fælles sprog, så man undgår misforståelser, og så man kan snakke sammen på tværs af funktioner fra sikkerhedsfolk til OT- og driftsfolk. De skaber et overblik over systemets ansvarsområder og klarlægger rollefordelingen og konkretiserer, hvad man skal gøre og hvordan man gør det. Og ikke mindst giver de værktøjer til risikoanalyse og håndtering af risici”, slutter Jeppe Pilgaard Bjerre.

Om standardserien IEC 62443

IEC 62443-serien introducerer metoder, begreber, systemer og værktøjer til at højne cybersikkerheden i den industrielle sektor med primært fokus på driftssikkerhed og tilgængelighed. Standarderne opererer med et livscyklusperspektiv, der betyder, at alle processer og funktioner i et industrielt kontrolsystem adresseres og de indeholder designanbefalinger til, hvordan man opbygger og vedligeholder et kontrolsystem med fokus på cybersikkerhed; herunder risikoanalyse, håndtering af risici, overvågning og forbedring. Læs mere om standarderne her.

Descartes

Sponseret

Toldbehandling fra Descartes – øg resiliensen i forsyningskæden

AGR

Sponseret

Er dit ERP nok til lagerstyring? Sådan lukker AGR hullerne i forsyningskæden

Denne artikel er del af et tema:

Tema om resiliens & it-sikkerhed 2023

Relateret indhold

20.12.2024SCM.dk

Kunstig intelligens vil ikke fjerne behovet for medarbejdere

19.12.2024SCM.dk

Virksomheders hardwarehåndtering er fuld af sikkerhedshuller

18.12.2024SCM.dk

Al analyser sparer robotstartup for en halv million i udvikling

17.12.2024SCM.dk

Identitetstyveri kan være en af de største cybersikkerhedstrusler i 2025

11.12.2024SCM.dk

2025 kan byde på tættere integration mellem produktionsteknologi og it

09.12.2024SCM.dk

Cybersikkerhedstiltag giver konkurrencefordele

09.12.2024SCM.dk

Det digitale er godt i gang med at revolutionere forsyningskæden

09.12.2024Columbus

Sponseret

Right to Repair - Revenue Streams

Jobmarked

Se alle

Hold dig opdateret med SCM.dk

Tilmeld dig nyhedsbrevet og følg med i alt som rører sig indenfor ledelse af forsyningskæden, Nyhedsbrevet kommer kun to gange pr. uge.

Se flere temaer

Events

Se alle
Bureau Veritas
Webinar
Jorden under pres: “De Planetære Grænser”

Sådan lyder en af flere spændende overskrifter på BV Talks

Dato

09.01.2025

Tid

14:00

Sted

Online på MS Teams

Bureau Veritas
Webinar
Jagten på at skabe en bedre fremtid

Sådan lyder én af mange spændende overskrifter på BV Talks

Dato

09.01.2025

Tid

14:00

Sted

Online på MS Teams

Bureau Veritas
Webinar
BV Talks - Om Bæredygtighed

BV Talks er en helt ny webinarrække, hvor du kan høre engagerede fagpersoner med noget på hjerte fortælle om deres passion og dele ud af erfaringer, visioner og måske endda praktiske løsninger.

Dato

09.01.2025

Tid

14:00

Sted

Online på MS Teams

Bureau Veritas
Webinar
Mere sikkerhed - mindre aftryk

Sådan lyder en af flere spændende overskrifter på BV Talks

Dato

09.01.2025

Tid

14:00

Sted

Online på MS Teams

DTU Learn for Life
Efteruddannelse
Projektledelse – metoder og værktøjer - dag

Vil du være projektleder – eller ønsker du at opkvalificere dine projektlederkompetencer? Så tilmeld dig dette kursus, som også er et diplom modul, og styrk dine evner til at planlægge, styre og følge op på projekter.

Dato

27.01.2025

Tid

09:00

Sted

Lautrupvang 15. 2750 Ballerup

DTU Learn for Life
Efteruddannelse
Grundlæggende objektorienteret programmering

Vil du opkvalificere dine evner inden for objektorienteret programmering? Så tilmeld dig dette kursus, som også er et diplommodul, og få kompetencer til at designe objektorienterede programløsninger for din virksomhed.

Dato

27.01.2025

Tid

17:00

Sted

Lautrupvang 15. 2750 Ballerup