Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I denne uge vil jeg stille skarpt på virksomhedernes produktionsmiljøer eller OT-miljøer.
Jeg er dog ikke ekspert i OT-miljøer, derfor har jeg hentet input fra et par kollegaer til klummen.
Hvad er OT?
OT, eller operationel teknologi, er hardware, software og infrastruktur til at styre industrielt udstyr, og det interagerer ofte med den fysiske verden.
OT omfatter normalt miljøer, der indeholder industrielle kontrolsystemer (ICS), såsom tilsynskontrol og dataindsamling (SCADA) systemer, distribueret kontrolsystem (DCS), remote terminal units (RTU) og programmerbare logiske controllere (PLC) samt dedikerede netværk.
Mens it-systemer primært bruges til administration eller for at løse forretningsproblemer for slutbrugere, så bruges OT-systemer primært til at interagere med den fysiske verden.
Kort sagt administrerer, overvåger og kontrollerer OT med fysiske maskiner og har fokus på driftssikkerhed, mens it beskæftiger sig med information og data.
OT-miljøer overvåger for eksempel fysiske processer såsom fremstilling, energi, medicin, bygningsforvaltning og økosystemer inden for andre industrier.
Hidtil har vi oftest gemt vores OT væk
Mange OT-miljøer er "født" til at være offline, men de er senere koblet til internettet og dermed udsat for traditionelle cybertrusler.
Omvendt har det muliggjort en remote-overvågning og -fejlretning, hvilket har mindsket recovery-/fejlretningstider da ingeniører tidligere først skulle fysisk tilstede inden fejlretning kunne påbegyndes.
Problemet med OT er mange steder er, at de enkelte enheder ikke bare kan opdateres på samme måde, som man kan opdatere software på servere og klienter eller firmware på de forskellige enheder.
For OT kræver det ofte en godkendt version af den software, som skal køre på det.
Denne godkendelse er en tidskrævende proces, så leverandører af OT kan ikke gøre som Microsoft og automatisk udsende nye patches for sårbarheder på Patch-Tuesday.
Når man så har noget OT-hardware, som bruger software, der ikke er blevet opdateret længe, så har den hidtidige beskyttelse været at gemme det af vejen, ofte gennem segmentering af netværket, således at OT-delen ikke umiddelbart er tilgængelig fra organisationens it-miljø eller fra internettet.
Det kræver i stedet, at man bruger dedikerede maskiner, som står på organisationens OT-miljø.
Denne sikkerhed fungerer på mange måder fint, men det betyder ikke, at OT ikke bliver angrebet, som Stuxnet er det nok bedst kendte eksempel på.
NIS2 rammer OT
Det vigtigste formål med NIS2-direktivet er, at de tjenester, som er vigtige for samfundet, skal beskyttes.
Dette kan både være elektricitet, vandforsyning, togrejser, fødevarer, MitID eller lignende tjenester.
Således forbliver de tilgængelige for samfundet, og dermed reduceres eventuelle risici for samfundet, som tjenesternes fravær kunne forårsage.
Dermed har OT-miljøet pludselig fået en helt central plads i arbejdet med at blive NIS2-compliant.
For langt de fleste virksomheder vil store dele af deres produktionsmiljø bestå af OT-systemer og OT-enheder, og disse skal nu beskyttes mod cyberrisici, så de opnår større grad af modstandsdygtighed og robusthed.
Der kan være tale om OT-enheder, der udfører hele eller dele af en produktion, men OT-udstyr kan lige så vel være pumper, transformere, ventiler, termostater og andet måleudstyr, så længe dette er vigtigt for, at tjenesten kan forblive tilgængelig for samfundet.
At det er en god ide at beskytte de systemer og enheder, som er grundlaget for produktionen, tænker jeg ikke, at nogen kan være uenig i. Produktionsmiljøet for de fleste virksomheder vil være selve hjertet af deres forretning.
Dermed kan NIS2 koges ned til, at EU nu siger, at sikkerheden i de omfattede organisationers kerneforretning nu skal løftes til et højt fælles niveau.
Det skal den, fordi de omfattede organisationers forretning anses som værende vigtig for samfundet.
Det er dog samtidig vigtigt ikke at glemme it-miljøet og de systemer, som kører på det, da disse også kan være nødvendige for at levere en tjeneste.
Hvis der ikke er styr på lager eller logistik, kan det godt være, at produktionen ikke er ramt, men dette kan stadig påvirke tjenestens tilgængelighed for kunderne, borgerne og dermed samfundet.
Det vigtige er bare at huske, at det er alle de systemer og alt det hardware, som er nødvendigt for at kunne levere tjenesten.
Hvad skal man så gøre med sit OT?
OT er jo ofte segmenteret væk i sit eget netværk, men samtidig behandles det også lidt som en blackbox. Vi ved, at det er organisationens OT, men så længe det virker, så er der ingen der må røre ved det.
Det skyldes, at man mange steder ikke helt har styr på, hvad der rent faktisk er nede i den kasse, som er organisationens OT, uanset om denne driftes af organisationen selv eller om ansvaret er outsourcet til en tredjepart.
Så hvordan kan man få lov til at åbne denne kasse og få indblik i OT-miljøet?
Ofte er det et spørgsmål om først at etablere et redundant miljø, som kan sikre, at organisationen kan fortsætte med at producere, eller i det mindste komme hurtigt tilbage, hvis det oprindelige OT-miljø fejler.
Det er dog mange steder sådan, at organisationerne ikke har selv så basale sikkerhedsforanstaltninger på deres OT.
De arbejder ud fra et mantra om, at hvis det virker, så piller vi ikke ved det. Det skyldes, at det nærmest er det værste, der kan ske, at deres OT går ned, fordi det kan betyde, at hele produktionen går ned.
Hvis/når man så får lov til at se ind i OT-miljøet, efter man har etableret et fail-over-miljø, er det ikke usædvanligt, at der begynder et arbejde med at afdække, hvad der rent faktisk er af systemer i OT-kassen.
Ofte har organisationerne ikke selv det fulde overblik over, hvilke OT-systemer de har, eller også kan de have flere OT-miljøer, og de ved ikke præcist, hvilke systemer der er i hvilket miljø.
Organisationer skal passe meget på med at være for bange til at gøre noget ved deres OT-miljø/produktionsmiljø, fordi det oftest vil være det vigtigste i forhold til deres leverance af services, som er vigtige for samfundet.
Når organisationerne har fået åbnet deres OT-kasse og kortlagt deres forskellige systemer, samt hvordan disse hænger sammen, og hvilke der er kritiske for, at de kan forsætte med at levere deres tjeneste til samfundet, skal der laves risikovurderinger for at finde ud af, hvilke sikkerhedsforanstaltninger de skal implementere.
Det er dog organisationernes egen villighed, der definerer, hvor meget de tør kigge på, pille ved og ændre på ved deres OT-miljø.
Så disse risikovurderinger er nødt til at være baseret på, hvilken risiko nedbrud af deres tjenester kan have for samfundet.
Her er det værd at bemærke, at der kan være forskel på risikoens størrelse for organisationen selv i forhold til risikoens størrelse for samfundet.
Her slår NIS2 klart, at det er risici i forhold til samfundet, som skal danne udgangspunkt for sikkerhedsforanstaltningerne.
Hvilke sikkerhedsforanstaltninger er så relevante at bruge på jeres OT-miljø?
Mine kollegaer har givet mig nedenstående liste over sikkerhedsforanstaltninger, som især er brugbare på OT-miljøer, og det er et godt sted at begynde:
- Generelt bedre hardning af infrastrukturen.
- Bedre og mere logisk segmentering.
- Bedre Read/Write beskyttelse.
- Muligvis Zero-trust.
- Fjerne unødige rettigheder.
- Fjerne gamle protokoller.
- Fjerne overflødig funktionalitet.
- Etablere overvågning og log-indsamling.
Tak til mine kollegaer Peder Lind Sørensen og Iben Lunding.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.