Siemens – Produktions- og industrisystemer er den nye slagmark mellem hackere og virksomheder

Traditionelt angribes virksomheder gennem netværk og IT-systemer, men i dag er den operationelle teknologi (OT), som bruges i produktionen, den nye slagmark. Modsvaret er et forsvar i dybden, hvor man arbejder med flere forsvarsrækker med udgangspunkt i den internationale securitystandard IEC 62443.

I dag er spørgsmålet ikke, om man bliver ramt af cyberangreb – for det gør man. Spørgsmålet er, hvilke systemer der bliver ramt, og hvordan man håndterer det. Derfor er det afgørende at gå metodisk til værk i sit forsvar af virksomhedens systemer fra administration og til produktion. Den internationale securitystandard IEC 62443 til automations- og produktionssystemer er et godt fundament at bygge sine forsvarslinjer ud fra.

”Cyberkriminalitet er nu en meget reel trussel mod produktionen på fabriksgulvet. Derfor er det vigtig at sætte ind nu, hvis man ikke allerede er i gang – og foretage en skanning af sit systemsetup for at få et overblik over devices og deres sårbarheder og dermed trusler,” siger Technology Specialist Morten Kromann hos Siemens og fortsætter:

“Når man har dannet sig et overblik, kan man vurdere risici og prioritere indsatsområder. Det absolut vigtigste er at få adskilt de administrative systemer fra produktionssystemerne. Langt den største del af cyberkriminalitet er målrettet virksomheders traditionelle IT-systemer – og hvis produktionssystemer er koblet sammen med disse uden securitytiltag, er det en åben dør for de cyberkriminelle.“

Forsvar i dybden

Standarden IEC 62443 er en generel tilgang til OT-security, som er uafhængig af teknologi-platform. I den anbefales en række securityniveauer, som man kan definere sit forsvar ud fra. Tilgangen til security er baseret på sandsynlighed, påvirkning og en prioriteret indsats.

”Metoden er risikoorienteret. Man ser på, hvordan man kan blive angrebet, fx et firewallnedbrud eller et angreb på et SCADA-system, sandsynligheden for det sker og om mulige konsekvenser af et angreb fx et spildevandslæk eller udslip af kemikalier. De gradueres herefter på forskellige niveauer,” fortæller Morten Kromann og fortsætter:

”Et eksempel kan være produktion af en PLC’er. Her er processen, at man laver printkortet, pakker plast omkring, lægger kode ned på printkort og pakker i emballage. Her er det kodningen på printkortet, der kræver det højeste securityniveau, for hvis den kode, der lægges på kortet, er inficeret, kan det have alvorlige konsekvenser for virksomhed og kunder.  Her bør man sætte et særlig sikret område op med ekstra adgangs- og security-krav, fx i form af et metalbur.”

Hos Siemens arbejder man med tre områder i forsvaret af OT:  security i produktion/anlæg, netværkssecurity og systemintegritet.

Ved security i produktionen arbejdes med en række metoder for at forhindre, at uautoriserede personer får fysisk adgang til kritiske komponenter – det kan både være den almindelige adgang til bygninger eller sikring af særlig følsomme områder ved hjælp af nøglekort. For at sikre netværk er det vigtigt at etablere beskyttelse af de systemer, der er lette at få adgang til og beskytte automationsnetværk mod uautoriseret adgang. For sikring af systemintegritet kan man opbygge integrerede securityfunktioner, som beskytter mod uautoriserede ændringer i konfigurationer. Funktionerne forhindrer, at man kan kopiere konfigurationsdata og gør det lettere at opdage, hvis der er forsøg på at manipulere filer.

Krav om komplette kompetencer

Generelt er det vigtig for industri- og produktionsvirksomheder at matche op med partnere, som har bredden og dybden til at håndtere de ofte komplekse problemstillinger inden for OT.

”Der er typisk mange aktører med i økosystemet, når produktion og teknologi integreres i det industrielle økosystem: OEM’er som producerer maskiner, integratorer som kombinerer til ERP-system – og alt skal samtidig fungere godt på selve den fysiske lokation,” siger Morten Kromann.

”Her er det en stor hjælp, at samarbejdspartnere har kompetencer inden for alle faktorer. Siemens har fx et certificeret CERT-team, som er dedikeret til konstant at overvåge alle produkter og opdateringer, så man kan gribe ind, hvis sårbarheder bliver eksponeret og sikre, at alle patches er installerede.”

Siemens serviceteknikere er i stand til at gennemgå og sikre produktionsmiljøer fra de helt store som atomkræftværker til produktions- og industrivirksomheder.

”Vi lever i turbulente tider – og vi har tidligere set, hvordan fx Ukraines elproduktion er blevet lukket ned af hackere eller Stuxnet, som angreb bl.a. Irans atomprogram.  Ansvarlig drift af industri- og produktionsvirksomheder kræver, at man ikke sidder disse trusler overhørig, men tager action nu for at imødegå truslen,” slutter Morten Kromann.

Nyt NIS2-direktiv fra EU med skærpede krav

Et nyt EU-direktiv, kaldet NIS2, vil:

• styrke sikkerhedskravene i EU-landenes kritiske infrastruktur og deres forsyningskæder
• strømline kravene til indberetning af sikkerhedshændelser
• øge kravene til at håndhæve reglerne
• ensrette sanktionerne i hele EU.

NIS2 kommer til at omfatte private virksomheder i it-, energi-, transport-, sundheds-, finans- og fødevaresektoren samt den offentlige sektor. Direktivet er p.t. på vej igennem EU’s lovgivningsproces og forventes vedtaget i juni 2022. Når direktivet er vedtaget, vil man få 18 måneder til at sikre, at de kan overholde de nye regler. Virksomheder og organisationer, der ikke overholder lovkravene i NIS2, kan potentielt få store bøder på to procent af en virksomheds globale omsætning eller 10 mio. euro.

For mange danske virksomheder vil de kræve en stor indsats at leve op til de særligt skærpede forpligtelser inden for risikostyring og rapportering til myndighed. Derfor skal man i gang med interne projekter for både at leve op til de nye krav i NIS 2 og efterfølgende sikre at vedligeholde de nye procedurer. For ledelsen i danske virksomheder er det derfor nødvendigt at afsætte tid og midler til at komme i gang – og få projekter i mål.