Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
De fleste virksomheder har efterhånden udarbejdet omfattende planer for at beskytte deres it-systemer mod cyberangreb.
Når det kommer til Operational Technology (OT), er situationen dog en anden. OT, som især omfatter den kritiske infrastruktur, der styrer fysiske enheder inden for produktion, el, gas, vand og varme, har ikke været prioriteret i samme grad som it-sikkerhed.
En sårbarhed kan være yderst kritisk, hvilket SektorCERT beskrev i november sidste år, da de afværgede angreb på energisektoren, der kunne have efterladt 100.000 danskere uden strøm og varme.
Sikring af OT er derfor afgørende både for samfundet og virksomhedernes sikkerhed og lige nu er truslen høj.
Således svarer syv ud af ti respondenter i SANS ICS/OT Cybersecurity Survey, at de vurderer cybersikkerhedstruslen mod OT som høj eller kritisk – et tal, der stiger år for år.
Oftest er det forskellige afdelinger, der håndterer henholdsvis OT-sikkerhed og it-sikkerhed.
De opererer typisk med forskellige mål og prioriteter, og derfor kræver det et tæt samarbejde mellem de to for at opnå optimal sikkerhed.
Kløften mellem it og OT
I store forsyningsvirksomheder eller produktionsvirksomheder har organisationen for cybersikkerhed som regel flere interessenter, når det handler om at styrke sikkerheden på OT-området.
Den første gruppe er OT-teknikere og -ingeniører. De har et klart fokus på at sikre sensorer, controllere og andet udstyr, der påvirker fysiske processer og systemer.
De er desuden meget fokuserede på fysisk sikkerhed, og på at alle produktionssystemer, overvågningssystemer med videre er tilgængelige altid.
Det står i kontrast til den klassiske it-sikkerhedsorganisation, der fokuserer på at beskytte data og information, forhindre uautoriseret adgang til it-infrastrukturen, beskytte virksomheden mod datatab og uddanne medarbejdere for blandt andet at forhindre phishing-angreb.
Den anden målgruppe for it-sikkerhedsorganisationen er direktionen og sågar bestyrelsen, der som oftest har haft øjnene rettet mod it-sikkerhed.
De skal nu til fulde forstå behovet for også at beskytte den operationelle teknologi, hvor der skal skabes forståelse for at udvikle integreret sikkerhed hos både OT-teknikere samt direktion og bestyrelse.
Derfor er det afgørende at kunne kommunikere OT-sikkerhedsrisici effektivt for at sikre forståelse og de nødvendige investeringer.
Vis, hvor galt det kan gå
Uanset om målet er at få bestyrelsen til at indse behovet for investeringer i OT-sikkerhed eller at overtale OT-teknikere og ingeniører til at tillade en vurdering af deres programmerbare logikkontrollere, handler det om at indramme risikoen i en større forretningsmæssig kontekst.
Det kan gøres ved at gennemføre simuleringer, der tydeligt viser, hvordan en kompromittering af OT-infrastrukturen vil påvirke virksomhedsdriften og fastslå præcist, hvor stor risikoen er, og hvordan den kan nedbringes.
Dialogen med OT-teknikere og -ingeniører bør for eksempel omhandle, hvordan en digital hændelse kan tage en programmerbar logikkontroller offline, hvilket så resulterer i nedetid i produktionen.
Og når disse forstyrrelser præsenteres for ledelsen, bør fokus i højere grad være, hvordan et nedbrud i forretningsaktiviteterne kan påvirke omsætningen.
Simuleringerne kan fungere som argumenter for at øge beredskabet, når det kommer til at beskytte OT-systemerne, idet der identificeres sårbarheder i den kritiske infrastruktur, der kan have flere årtier på bagen.
Udfordringen med OT-systemer er deres kompleksitet, hvilket gør opdateringer og udskiftninger mere tidskrævende end inden for it.
Mange OT-leverandører udruller ikke nye opdateringer, før de er godkendt, hvilket kan tage både uger og måneder.
Desuden kører mange OT-miljøer i døgndrift med få vedligeholdelsesvinduer, hvilket betyder, at det kan tage måneder og endda år, inden en opdatering kan udrulles på disse ofte forældede legacy-systemer.
Virksomhederne bør derfor segmentere deres netværk, så muligheden for at bevæge sig fra it- til OT-netværket bliver reduceret.
Den stigende digitalisering af driftsprocesserne sender en masse data mellem it og OT – data der bruges til at optimere ydeevne og reducere omkostninger. Derfor er det afgørende at have et robust forsvar, der kan overvåge og begrænse anormal adfærd effektivt.
Identitetsstyring bør være centrum for OT
I den tidligere omtalte SANS-undersøgelse identificeres kompromitterede it-systemer og arbejdsstationer som de primære angrebsvektorer i OT-miljøer.
Sikring af bruger- og adgangsrettigheder er derfor afgørende for at opfylde adgangspolitikker for mennesker og udstyr i både it- og OT-miljøer.
Identitetsoplysninger er værdifulde for hackere, der kan udnytte dem til at få adgang til OT-systemer direkte eller it-infrastrukturen.
Derfor gør sikkerhedsteams klogt i at sikre opbevaringen af identitetsoplysninger og administrationssystemet. For 90 procent er dette Active Directory, der skal beskyttes både lokalt og i skyen.
Da Active Directory blev introduceret med Windows 2000, var nøglen til systemets succes åbenhed. Systemets åbenhed gjorde det let for virksomhedens brugere at identificere bruger- og gruppeinformationer, så de kunne finde ud af, hvordan de kunne opnå adgang.
Det modsatte er dog tilfældet i dag. På selvsamme måde kan en hacker let afdække de tildelte rettigheder til hver enkelt bruger og identificere konti, der har de nødvendige rettigheder til at trænge ind i systemet.
Desuden kan de også gennemskue, hvilke konti, der ikke har skiftet adgangskoder i lang tid. Bevæbnet med disse oplysninger er det nemt for hackerne at vælge, hvilken konto de skal angribe.
En anden sårbarhed, som vi ofte opdager i vores sikkerhedsanalyser, er fejlagtigt konfigurerede ”certificate templates”. Disse åbner muligheden for, at hackere kan udgive sig for at være en hvilken som helst bruger – herunder en AD-administrator.
Problemer her er, at virksomhederne ofte slet ikke er klar over, at de disse sårbarheder eksisterer, og det derfor kan være en vej ind til både it- og OT-miljøer.
Som vi senest har set i SektorCERTs rapport, vokser hackernes interesse for OT-miljøer, og virksomheder bør øge sikkerhedsindsatsen.
Selvom angreb på OT-systemer er sjældne, bør et angreb på danske forsyningsvirksomheder skabe ekstra opmærksomhed.
Identitetsstyring er kernen i at være operationel modstandsdygtig, og omfanget af angreb vil kun vokse i fremtiden, hvilket understreger behovet for at handle nu.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.