airplanebooksbriefcase business cogs cross election entertainment fish house law lockmedicalpeopleselfservices socialtax

OT-sikkerhed: 10 råd til beskyttelse af det fysiske produktionsapparat

Cybersikkerhed i industrien og ved kritisk infrastruktur bliver i takt med nye trusler og angrebsflader et fortsat vigtigere indsatsområde. Men hvad er det, virksomhederne med et produktionsapparat skal have fokus på? Her får du ti gode råd, som styrker OT-sikkerheden i din virksomhed, altså de systemer, der styrer produktion og andre driftskritiske funktioner i virksomheden.

Faktaboks:

Hvad er forskellen på OT og IT?

  • IT-systemer: håndterer data.
  • OT-enheder: styrer noget i den fysiske verden (typisk IACS - Industrial Automation & Control Systems).

Sikkerhed i industrien handler primært om oppetid og fortsat drift af produktionsapparatet uden afbrydelse, pga. de omfattende konsekvenser, et funktionssvigt kan medføre. Herunder finder du 10 gode råd, som hjælper din virksomhed med at få styr på sikkerheden i OT-netværk, også kaldet industrielle netværk. 

  1. Risikovurdering og risikoanalyse er alfa og omega

    Vær bevidst om risici og prioriter dem, så man ved, hvor man skal fokusere kræfterne og mitigere risici. 

  2. Foranstaltninger der passer

    Det handler om at kvalificere og udpege de handlinger og foranstaltninger, fx nødplaner og backup, der er nødvendige for den aktuelle virksomhed. 

  3. Sikkerhed er en løbende proces ikke et endeligt mål

    Man skal holde risikovurderingen opdateret og løbende vurdere om ens forretning har ændret sig, og om verdenen ser anderledes ud. Medicinalproduktion under en pandemi får fx måske en anden sikkerhedsprofil end tidligere.  

  4. Passwords og validering

    Anvend stærke passwords. OT-systemers passwords skal kun kendes af dem, der bør have adgang, og de bør, så vidt muligt, læne sig op ad organisationens øvrige password politik med mulighed for at modificere i forhold til risici.

  5. Hold styr på produktionsnetværket

    Det er afgørende at have et klart og detaljeret billede af virksomhedens infrastruktur, og hvilke enheder der er forbundet i organisationens netværk, hvordan de er forbundet, og om de er sat op som ønsket, for at virksomheden kan implementere de nødvendige autorisationsniveauer og anskaffe sig et passende cyberforsvar. 

  6. Opdateringsprocesser – tag oplyste beslutninger

    Der er store sikkerhedsrisici forbundet med ikke at opdatere programmer og styresystemer til tidssvarende systemer. Samtidig kan der være andre risici forbundet ved softwareopdateringer af OT, f.eks. kan en genstart af systemer have indflydelse på kritiske systemer og i sidste ende være dyrt. Derfor er det vigtigt, at man tager beslutninger om opdateringer på et oplyst grundlag.  

  7. Stil krav til de produkter, der findes i virksomhedens installationer

    Man kan med fordel anvende standarder til at opsætte krav til de produkter, der findes i éns installation. Hvis man fx benytter IEC 62443 som reference, er det lettere at påpege overfor en leverandør, hvilke krav deres produkter skal leve op til, og man mindsker derved problematikken omkring, hvornår et produkt er ’sikkert nok’. 

  8. Medarbejderadfærd

    De mennesker, der anvender OT-systemerne, er lige så centrale som firewalls og overvågningsløsninger, og det er derfor vigtigt, at de er trænet i sikker adfærd. Fysisk sikkerhed er fundamentalt for produktionssystemer, og der vil som oftest være implementeret procedurer for fysisk sikkerhed, hvilket betyder at OT-medarbejdere er vant til processer for sikkerhed, som så blot skal overføres til cybersikkerhedsarbejdet. Ligesom man skal have hjelm og høreværn på, er det vigtigt, at medarbejderne fx ikke oplader deres mobil i OT-anlægget eller tilslutter maskiner til internettet ifm. service og glemmer at få dem af igen. 

  9. Supply chain management

    Hav styr på leverandørkæderne og sørg for, at leverandører kun kan tilgå deres dele af anlægget, så de kun har adgang til det mest nødvendige. Det er også en god idé at vælge en leverandør, der integrerer sikkerhedsstandarder for virksomhedens specifikke forretningsområde, som eksempelvis IEC 62443 til industrielle automatiserings- og produktionssystemer.  

  10. Lag på lag beskyttelse

    Man kan ikke nøjes med én slags beskyttelse. Hvis man skal beskytte mod ildebrand, nøjes man jo heller ikke med at bygge med brandsikre materialer, man sætter fx også brandalarmer op og installerer branddøre, ligesom man har beredskabsplaner klar. Denne lag-på-lag beskyttelse eller ”Defense-in-Depth”, hvor alle organisationslag og afdelinger bidrager til cybersikkerhed, er et centralt element i standardserien IEC 62443. Forskellen på OT og IT
    IT har ofte fokus på hurtige agile løsninger, mens OT's systemer og udstyr er mere statiske. OT-enheder har ofte stor kontaktflade til operatører, servicepersonale, osv., - evt. over landegrænser.    

Konsekvenserne af cyberangreb og funktionsfejl er forskellige mellem OT og IT – ved OT vil der være en fysisk effekt, fx nedbrud eller produktionsstop og dermed ofte enorme økonomiske konsekvenser, så længe systemet er nede. Der kan også være tale om kritisk infrastruktur og dermed alvorlige trusler mod offentligheden. Genoprettelsesfasen er særlig vigtig i OT mht. at sikre optimal oppetid/tilgængelighed. 

Inden for cybersikkerhed opererer man med begreberne fortrolighed, integritet og tilgængelighed, som et perspektiv på, hvordan data skal beskyttes. Inden for IT vil det ofte være individet, der er i fokus og dermed også fortroligheden, der vægtes højest. Inden for OT vil man oftest have det primære fokus på tilgængeligheden og dermed pålidelig drift.

Digitaliseringsstyrelsen Postboks 1078 Imaneq 4 3900 Nuuk E-mail: digitalisering@nanoq.gl Telefon (+299) 34 50 00 CVR-nummer: 39350610

Nanoq_Tekst

Denne side bruger cookies for at gemme nogle informationer på din computer. Acceptér eller læs mere her