Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
”Hacking – Nej, det sker ikke for os, for vi producerer jo ikke noget interessant…”
Det er en ”statement”, som jeg tit hører, når jeg taler med produktionsvirksomheder om sikkerhed og truslerne imod produktionssystemer i produktionsvirksomheder – altså den automation og teknologi, som sikrer varerne bliver produceret i fabrikshallerne. Det kaldes også for OT-infrastruktur – (operational technology).
Som udgangspunkt kan man jo godt være tilbøjeligt til at give kunden ret.
Måske er varerne, som bliver produceret ikke ”interessante” for cyber-kriminelle. Til gengæld har produktionen en stor værdi for mange: Medarbejdere, kunder og aktionærer og måske også vores samfund.
Det er den værdi, som skal være i fokus, og som rent faktisk kan være i fare på grund af et hackerangreb.
Hvad vil to timers nedetid i produktionen egentlig koste din virksomhed?
Det har konsekvenser
Hvis en produktion står stille i en periode, så har det konsekvenser – større eller mindre – og det er centralt.
Det er nødvendigt at have en viden om størrelsen om det potentielle tab. Når virksomheden har den viden, så er det muligt at vurdere, om man vil tage de rigtige forholdsregler og minimere mulige konsekvenser.
I skal begynde et sted, men hvor?
I løbet af de seneste seks-syv år er mange virksomhederne kommet til den erkendelse, at cyber-truslen imod virksomhedens forretnings-it er aktuel og relevant.
Denne accept er dog ikke lige så udbredt, når talen falder på produktionssystemer, så hvilke sten skal ryddes af vejen i produktionsvirksomhederne for, at virksomhederne tager ”hacker”-risici seriøst og kigger ind i mulige konsekvenser.
Øget ”awareness” fra top til bund i organisationen: Sikkerhed handler om ansvar og fokus. Det handler om mennesker og deres adfærd, så ”awareness” er et centralt emne, som skal bearbejdes i virksomheden.
Det gælder lige fra direktionens opfattelse og forståelse af emnet til produktionsmedarbejderens daglige gøren og laden etc..
Forankring af ansvaret for cyber-truslen imod OT-infrastruktur: Hvem har egentlig ansvaret for ”oppetiden” i produktionen?
Per tradition er det jo produktionsdirektørens område, men når spørgsmålet kommer til ”cyber-truslen” imod produktionen, så ser kigger folk væk, eller der bliver peget over på it-sikkerhed afdelingen med kommentaren: ”Det er jo ”cybersecurity!!!”, men det er rette blikket imod dem, der står for at beskytte produktionen.
Produktionsdirektøren kender værdien af produktionen og de nedetids-tolerancer, som produktionen kan tåle, så produktionsdirektøren skal spille en vigtig rolle i dette arbejde.
At lade it-sikkerhedsafdelingen tage ansvaret alene er en udfordring: Den metodik og viden, som it-afdelingen anvender fra sikkerhedsarbejdet på forretnings-it, kan ikke blot genbruges på OT-infrastrukturen.
Der er forskellige prioriteringer og forskellige metoder, som anvendes i produktionssystemer.
Af den grund er det vigtigt at få udpeget én ansvarlig for dette område og give vedkommende et passende budget og nogle beføjelser, og ”samle kræfterne” om dette område.
”…den største trussel imod OT er IT…”
I de seneste år har det være stort fokus på it-sikkerheden, hvor man beskytter sig imod ”mærkelige” mails, links og ransomware, som kan betyde at servere krypteres, eller at der stjæles personfølsomme data.
Den øgede integration imellem forretnings-it og produktionssystemer, hvor it anvendes i stor stil, øger truslen imod virksomhedens evne til at levere de varer.
Cloud-løsninger, remote adgang og digitale integrationer giver ikke kun gode og effektive værktøjer til at drive en produktion.
Det kan også åbne ”bagdøre” til virksomhedens vigtigste ressourcer - produktionen. ”Bagdørerne” skal man identificere og holdes lukket på bedst mulig vis.
Gør op med de tre aber – ikke høre - ikke se - ikke tale
Hvis man ikke kommer frem til en anerkendelse af, at ”nedetiden” rent faktisk kan gøre ”ondt” på virksomheden, så er det svært at gøre noget ved det.
Derfor bør der være en ”openminded” vurdering af konsekvens og risici, så virksomheden kan håndtere disse.
Virksomheden er nødt til at revurdere sikkerheden og ikke forblive i den tro, at ”vi har jo allerede investeret en masse penge til at sikre sig imod cyber-truslen”.
Det er ikke sikkert, at de allerede investerede pengene er rigtigt anvendt ift. beskyttelse af produktionssystemer, da trusler og risici er anderledes.
Mine pointer
Min pointe er, at din produktionsvirksomhed bør kende sine faktiske risici i produktionen.
Risici er subjektive. Risici skal afvejes og skal håndteres på 3 måder (eller en kombination af):
1. Accept af risici: Erkendelse af risikoen, men den er for lille, så den man ”lever” med den.
2. ”Transfer” af risici: Tegn for eksempel en cyber-forsikring, som kan hjælpe, hvis skaden sker.
3. Mitigere risici: Forbedring af sikkerhed igennem bedre processer, øget ”awareness”, implementering af ny teknologier eller re-designs af OT-infrastruktur.
Tag stilling nu! Opret en gruppe og brug din subjektive og specialiserede viden i din virksomhed til at sikre at I ikke bliver den næste, som må skrive en mail ud til kunder og samarbejdspartner om leverance-problemer pga. cyber kriminelle aktiviteter.
Søg inspiration til processen.
Tag fat i nælden, inden cyber-truslen måske bliver realitet.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
