Industrigiganter erkender: It-sikkerhed skal ind på fabriksgulvet
more_vert
close

Få de daglige nyheder fra Version2 og Ingeniøren. Læs mere om nyhedsbrevene her.

close
By signing up, you agree to our Terms & Conditions and agree that Teknologiens Mediehus and the IDA Group may occasionally contact you regarding events, analyzes, news, offers, etc. by telephone, SMS and email. Newsletters and emails from Teknologiens Mediehus may contain marketing from marketing partners.

Industrigiganter erkender: It-sikkerhed skal ind på fabriksgulvet

Industrielle kontrolsystemer bliver i stigende grad fjernstyret over internettet. Det stiller nye krav til cybersikkerhed i industrien Illustration: Siemens

IT-kriminelle og statslige hackere er ved at få øjnene op for de mange sårbarheder og sikkerhedshuller der findes industriens mange kontrolsystemer. Det sker i takt med at flere industrivirksomheder forbinder deres produktion og produkter med internettet, også kendt som Internet of Things(IoT). Derfor er store industri- og it-virksomheder nu gået sammen i et nyt it-sikkerhedskonsortium, der skal udvikle nye bindende standarder for cybersikkerhed i industrien.

Blandt andet er Siemens, Airbus, IBM, Daimler og Allianz en del af konsortiet.

»Et centralt element i digital transformation er at tilliden til, at data og netværkssystemerne bag er sikre. Derfor skal vi gøre den digitale verden mere sikker og mere troværdig. Håber flere partnere vil slutte sig til vores initiativ,« siger Joe Kaeser, administrerende direktør i Siemens i en pressemeddelelse.

Malware vokser

Mængden af ondsindet malware der er rettet direkte på industriens kontrolsystemer som fx Scada-systemer, er hastigt stigende. Det fortalte ejer og direktør i det store cybersikkerhedsvirksomhed Kaspersky Lab, Eugene Kaspersky for nyligt på en Internet of Things-konference i Berlin.

»Internet of Things bliver det næste område, der udsættes for angreb i stor stil. Vi lever allerede i en smart verden, hvor der er flere IoT-enheder end mennesker,« fortæller Eugene Kaspersky.

Læs også: Internettet gør industrirobotter til mål for hackere

Kaspersky Lab registrerede I 2013 bare 46 eksempler på malware målrettet IoT-enheder, mens de lokaliserede 7.242 malware-eksempler i 2017.

Mange kontrolsystemer i industrien har en del år på bagen og er slet ikke designet til at kunne styres online eller til at eksportere data fra produktionen og op i skyen, blandt andet fordi standard-password ikke kan ændres, ligesom mange enheder sender data over åbne usikre kanaler.

Læs også: Kaspersky: Internet of Things bliver snart ramt af angreb i stor stil

10 regler styrer

Centralt i det nye it-sikkerhedskonsortium er et charter med 10 regler, der blandt andet beskriver hvordan virksomheder skal sikre, at forbundne enheder har sikker autentifikation, så det kun er autoriserede brugere der kan tilgå dem, hvordan data skal kunne krypteres og sendes fortroligt, ligesom virksomheder skal tilbyde sikkerhedsopdateringer af deres udstyr i en rimelig periode og via en sikker og tilgængelig opdateringsmekanisme.

Industrivirksomhederne bag vil også gå sammen om at arbejde for fælles international lovgivning på området. Ifølge chartret skal virksomhederne:

»Fremme multilateral samarbejde om lovgivning og standardisering på et niveau der matcher det globale omfang af WTO, og få inkluderet regler for it-sikkerhed i frihandelsaftaler,« står der i chartret.

Det nye konsortium blev præsenteret på den årlige sikkerhedskonference i München, der blev afholdt for nyligt. Her var der både opbakning til chartret, og en opsang til politikerne.

»Regeringer skal tage lederskab når det handler om transaktionsregler i cyberspace. Men virksomhederne der udvikler og designer fremtidens cyberspace, skal udvikle og implementere standarderne. Derfor er dette charter også så vigtigt, «siger Wolfgang Ischinger, formand for sikkerhedskonferencen i München.

Læs også: Opråb til industrivirksomhederne: Kom nu i gang med cybersikkerheden

Jeg tror ikke internationale standarder er optimale her. Er en langt bedre, billigere, hurtigere og simpler løsning ikke, at lade være med at tilslutte industrimaskiner til internettet?

Hold dem på et internt netværk, evt. med et velsikret WiFi netværk hvis trådløs adgang er essentielt.

  • 1
  • 0

KISS

Jeg tror ikke internationale standarder er optimale her. Er en langt bedre, billigere, hurtigere og simpler løsning ikke, at lade være med at tilslutte industrimaskiner til internettet?

Hold dem på et internt netværk, evt. med et velsikret WiFi netværk hvis trådløs adgang er essentielt.

I nogle tilfælde er det hensigtsmæssigt at kunne tilslutte et industrielt system til nettet, f.eks. for at kunne aflæse logs, data, og meget andet.

Ofte kan man gøre det sikkert, ved at opdele det industrielle system i flere systemer, hvoraf de fleste er uden netopkobling. Et system kan sikkert sende data ud - og ikke modtage data. Det kan f.eks. bruges, til at sende data til et netværksmodul, der giver mulighed for logning, af de data som sendes ud. Men, det vil ikke være muligt at styre computeren der sender data ud, da den ikke har nogen input. F.eks. kan bruges en RS232 protokol, uden nogen handshake. Det er kun en output. Ingen input. Der kan også bruges SPI og lign. Man bør altid - om muligt - vælge en protokol, hvor man kan verificere i hardware, at der ikke er et sikkerhedsproblem. Det vil sige kun outputs, evt. dataoutput, og dataklok. Men begge i samme retning. Et klok signal i den modsatte retning, kan medføre sikkerhedsproblemer, f.eks. er set at systemer der har været interruptdrevne er blevet spammet/jammet af for høj klok.

I visse tilfælde er således ganske simpelt, at kunne overvåge et system uden mulig sikkerhedsrisiko. Det kræver bare, at systemet har et output, og ingen input, til det modul, som tilkobler nettet.

Det begrænser naturligvis mulighederne, men de er større end ingen netværkstilslutning, da f.eks. overvågning, alarmering, og logning er muligt.

  • 1
  • 1