Power & Utilities

  • Share

OT – hvad går hackerne efter næste gang? Og hvad gør I?

30. oktober 2018

Den teknologiske udvikling går hurtigt med stigende forbundenhed via digitale løsninger, hvilket øger afhængigheden af internettet og dets muligheder. Energi- og forsyningsområdet bruger også nye teknologier, hvilket øger muligheden for sårbarheder for både it-systemer og OT, Operational Technologies, dvs. kategorien af hardware og software, der styrer, overvåger og kontrollerer, hvordan fysiske produktionssystemer fungerer.

Der er mange beviser på, at energi- og forsyningsområdet er på radaren hos både de cyberkriminelle og fjendtlige stater, og truslerne har foranlediget initiativer og regulering for fx energi- og forsyningssektoren1.

Initiativer og regulering

I maj 2018 kom regeringen med initiativet National strategi for cyber- og informationssikkerhed for at øge indsatsen for cyber- og informationssikkerhedsområdet og styrke Danmark mod cybertrusler via teknisk robusthed i den digitale infrastruktur, øget viden og kompetencer. Ultimo 2018 kommer en delstrategi for energiforsyningssektoren2.

Sikkerhed berøres pletvis i forskellige nationale regelsæt parallelt med nye EU-initierede frameworks, som myndigheder og markedet forventer, at virksomhederne er bekendte med og overholder.

  • NIS-direktivet (Directive on Security of Network and Information Systems) er nyt og har fokus på sikkerheden i net- og informationssystemer for operatører af væsentlige tjenester inden for bl.a. forsyningskritisk infrastruktur (OT), der bl.a. omfatter visse aktører inden for forsyningsvirksomhed på drikkevands-, el-, gas- og olieområdet. I Danmark er direktivet implementeret via bekendtgørelser i 2018 og indfører krav til sikkerhed i net- og informationssystemer, beredskab og underretningspligt ved hændelser.

Uanset om man er omfattet af NIS eller ej, giver bekendtgørelserne god inspiration til en risikobaseret tilgang.

OT, Operational Technology Security

 “Operational technology (OT) is hardware and software that detects or causes a change through the direct monitoring and/or control of physical devices, processes and events in the enterprise”. Gartner

EY’s nye Global Information Security Survey, GISS 2018 viser, at mange virksomheder er godt i gang med at styrke deres it-sikkerhed, mens OT-sikkerhed endnu ikke er veletableret eller anses som højrisikoområde3.

Med øget sikkerhed på de administrative netværk retter de cyberkriminelle derfor deres interesse på områder, hvor virksomhederne er mindre modne, og hvor konsekvensen af et nedbrud er stor: på produktionsteknologien, produktionsapparat, supply chain og produktionsprocesser.

Hvor it-sikkerhed primært fokuserer på at beskytte data, handler OT-sikkerhed om at sikre kontinuerlig drift.

Bevægelsen går mod at integrere it og OT, der traditionelt har været separerede. Fysisk produktionsapparat har lang levetid og har ikke tidligere været netværksbaseret, men bestået af lukkede systemer. De er ikke designet med fokus på sikkerhed endsige designet med fjernadgang for øje, hvorfor risici ved forbundenheden hidtil ikke har haft stor bevågenhed. Ofte styres den type systemer med software, der ikke regelmæssigt opdateres/patches eller har kryptering.

Integration af produktionsapparat med it-netværk er fx en følge af indtoget af IoT (Internet of Things)/sensorer, trådløse systemer m.m., hvor øget integration har åbnet muligheden for bedre dataindsamling, remote monitorering og analytics-muligheder, der kan bane vejen for fx proaktiv Predictive Maintenance frem for Condition Based vedligeholdelse.

Hvad bør alle, der har produktions-it, gøre?

Nøglen er at udvikle og gennemføre en strategisk plan for at integrere og standardisere arkitekturer og styringsstrukturer for at opnå kvantificerbare forretningsmæssige fordele og fokus på sikkerhed:

#1 Identificer: Medarbejdere ansvarlige for henholdsvis it og OT skal afdække it- og OT-infrastrukturen, de vigtigste systemer, hardware og software og skabe transparens i sammenhængen.
#2 Forstå: Forstå sårbarhedsøkosystemet via kortlægning af dataflow og dataudvekslingsmekanismer mellem it- og OT-lag, find sårbarhedsområderne, afdæk risikoniveauet og det nuværende sikkerhedssetup.
#3 Governance: Design et OT-sikkerheds-governance-rammeværk med roller og politikker til at sikre det mest effektive sikkerhedsniveau i henhold til virksomhedsprocesser, territorial udstrækning m.m.
#4 Genbrug: Analyser sikkerhedsmekanismerne i it-lagene, og evaluer, om mekanismerne matcher sikkerhedspolitikker og governance-designet for OT-lagene. I givet fald – genbrug.
#5 Implementer: Implementer de OT-specifikke sikkerhedsmekanismer, og iværksæt monitorering af afvigelser og unormal trafik.

Det er afgørende, at virksomhedens øverste ledelse sætter sig i førersædet og løfter it-sikkerhed og OT og implementerer status som en del af ledelsesrapporteringen. Hvis ikke virksomheden selv finder hullerne, er der andre, der vil gøre det – uden at fortælle jer det.

Kontakt

Peter B. Madsen, tlf. 2529 3215


1 EY Global Information Security Survey 2018
2 National strategi for cyber- og informationssikkerhed
3 EY Global Information Security Survey 2018

 

Kontakt os

Ønsker du yderligere information om Power & Utilities, er du altid velkommen til at kontakte os.
 

Connect with us

Gå i dialog med os via vores sociale medier, nyhedsbreve eller webcasts.