Hvilken risiko lever du med i produksjonsanlegget ditt?
I mars i år skrev Thomas Tømmernes i Atea om OT-sikkerhet i innlegget «Er OT det nye gullet?». Det kan vi definitivt si at det er.
Vi som jobber med dette hver dag, møter enorm interesse og behov for kunnskap om OT-sikkerhet hos våre kunder. Det vi ser, som er skremmende, er at mange har lite eller ingen oversikt over hvilke sårbarheter og risiko som faktisk finnes i produksjonssystemene. Vil du unngå å bli angrepet, er kontroll på dette helt avgjørende.
Risikoanalyse - grunnlaget for optimal investering i OT-sikkerhet
En god innsikt i hva du har av utstyr og hvilke sårbarheter som finnes danner grunnlaget for en detaljert risikoanalyse. Ved å skaffe deg denne innsikten og samtidig ha gjort deg opp en mening om hvilken risiko som ikke kan aksepteres, har du mulighet til å optimalisere investeringene i sikkerhetstiltak slik at disse rettes inn på de stedene som gir maksimalt utbytte. Du vil sjelden kunne sikre deg 100%, derfor er denne prosessen svært viktig. Det er utarbeidet en standard for Cyber Security i industrielle kontrollsystemer – IEC62443. Denne veileder deg gjennom de ulike fasene av prosessen. Her vil jeg gå gjennom viktigste tingene du bør tenke på.
Hvilke verdier ligger i produksjonen?
Produksjonssystemene er selve hjertet i en moderne produksjonsbedrift. De sørger for å holde hjulene i gang slik at varer kan leveres og inntektene genereres. I et marked med tøff konkurranse kan det være utfordrende å oppnå ønskede marginer. Derfor jobber mange nå med digitaliseringsprosjekter hvor selv små endringer/forbedringer kan gi tydelige utslag på bunnlinja. Stoppårsaksanalyser og vrakreduksjon er typiske eksempler på dette.
Produksjonssystemene er selve hjertet i en moderne produksjonsbedrift.
En større stans i produksjonen fører ofte til store tap. De fleste bedrifter har en formening om hva en times stans i produksjon vil koste, og dersom produksjon blir stående i for mange timer kan dette få katastrofale følger for mange. Det er da et paradoks at mange bedrifter har gammelt utstyr ute i produksjonen, mens møterom og it-infrastruktur er topp moderne. Det er mye kreativitet og godt håndverk som sørger for å holde hjulene i gang, men vet man egentlig hvilken risiko det innebærer å kjøre produksjon med utdatert utstyr, systemer med sikkerhetshull, tilfeldig håndtering av back-up og utstyr som er eksponert for hackere?
Risikoanalysen av produksjonssystemene blir ofte overfladisk fordi vi mangler innsikt i hva som finnes av utstyr og hvilke sårbarheter dette utstyret innehar. Utstyr som ble installert for 10, 20 eller 30 år siden var ikke designet for å kunne håndtere dagens trusler.
Hva kan du leve med av risiko?
Så da bør spørsmålet være; kan du leve med risikoen dette innebærer, eller bør du forsøke å redusere den til et akseptabelt nivå? Med andre ord, hvilken risiko er du villig til å leve med? Ett spørsmål man bør stille seg er: Hva er det verste som kan skje? Hos mange vil svaret være relatert til produksjonen og til ukontrollert stans i produksjonen. Hos noen bedrifter vil skade på ytre miljø og mennesker stå høyt på lista, mens andre vil sette finansielle tap øverst.
For å finne din aksepterbare risiko må du ta stilling til hva du kan leve med. Vil bedriften f.eks. overleve en lengre produksjonsstans på 1 uke? Hva vil et ukontrollert utslipp av farlige stoffer til omgivelsene bety? Slik kan vi fortsette. Når denne risikovurderingen er gjort vil du sitte igjen med en oversikt over den risikoen du ikke kan akseptere. Da starter arbeidet med å finne sårbarhetene og utbedre disse med ulike tiltak.
Har jeg kontroll på sårbarhetene i produksjonen?
Det kan være krevende å vite hvilke sårbarheter som finnes.
Det kan være krevende å vite hvilke sårbarheter som finnes.
I produksjonen finnes utstyr fra mange leverandører, i ulike modeller og med ulik alder. Sikkerhetshull i software, bruk av usikre protokoller, åpne porter og usikre fjerntilkoblingsløsninger kan være vanskelig å holde oversikt over. Da er det essensielt å få på plass systemer som overvåker og analyserer dette kontinuerlig. En kontinuerlig måling vil kunne indikere hvor sårbar du er til enhver tid. Enkelte løsninger gir deg en kalkulert verdi på sårbarhet som kan benyttes som en KPI for sårbarhet i produksjonen.
Er jeg i stand til å oppdage et angrep tidlig?
Selv etter å ha investert i ulike sikkerhetstiltak vil du måtte leve med en restrisiko. Spesielt for en del gammelt utstyr vil det ikke være mulig å utbedre sårbarhetene. Det er da viktig at aktiviteten i produksjonsnettverkene overvåkes nøye og at det varsles ved unormal aktivitet. Ved flere av de kjente angrepene vi har sett i det siste, har angriperen fått lov til å operere fritt i lang tid før noe er oppdaget. Gjennomsnittstiden i et it-system er 100 dager, i produksjonssystemene kan det være opptil et år. Det å oppdage angrep tidlig er helt avgjørende for å begrense skade.
Risikostyring er ledelsens ansvar
Ansvaret for risikostyring ligger hos ledelsen, og er ikke noe som kan delegeres bort, selv om oppgaver kan tildeles andre i organisasjonen. Det hviler derfor et stort ansvar på den som sitter med den daglige ledelsen av selskapet. En kontinuerlig prosess for risikostyring bør forankres i ledelsen og det bør rettes spesiell oppmerksomhet rundt produksjonssystemene, hvor verdiene skapes. Målrettet risikostyring hvor hele organisasjonen engasjeres vil skape en kultur for sikkerhetsarbeid som vil bidra til færre uønskede hendelser i produksjon, økt trygghet, og over tid en bedret bunnlinje.