Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

Industrial Cyber Security, Part I

30. august 2015 kl. 18:002
person
Frank Faurholt
Artiklen er ældre end 30 dage
person
Frank Faurholt

Lad os begynde sådan lidt oppefra, altså på CxO niveauet

Hvorfor?

Fordi Industrial Cyber Security skal ses som en væsentlig del af hele virksomhedens samlede strategi og trusselsbillede.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

Vis denne video til din CxO.

Artiklen fortsætter efter annoncen

Cyber Security er i sidste ende et spørgsmål om virksomhedens overlevelse, og for industrivirksomheder er Industrial Cyber Security, Industrial IT Security, eller på dansk Industriel IT Sikkerhed, et tema som fortsat har behov din bevågenhed.

Du er bestemt ikke i mål endnu

Illustration: Privatfoto.

IT sikkerhed er ikke et nyt begreb, men et emne som dog fortsat skaber både udfordringer og usikkerhed i vores branche.

Vi er som branche simpelthen endnu ikke modne til hverken, at erkende problemets omfang eller til, at implementere de nødvendige løsninger.

Hvad er problemet?

Sagen er at der ikke blot er tale om et problem, ja faktisk er der mange forskellige problemer involveret, når du skal fokusere på industriel it sikkerhed.

Kan du stole på dine masterdata?

Udgangspunktet for moderne produktionsanlæg er, at de typisk arbejder ud fra digitaliserede masterdata.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Det være sig batch eller kontinuerlige processer (recepter etc.) eller diskrete processer (maskinstyringer etc.).

Hvis uvedkommende får adgang til, at slette eller manipulere dine masterdata, har du selvfølgelig et stort problem.

Spørgsmålet er bare om du ved, at du har et problem?

Ved du om dine masterdate er manipulerede?

Hvis du ikke kan stole på dine masterdate, mister du evnen til at kunne producere korrekte produkter.

Kan du dokumentere din produktion og dine produkter?

Særligt indenfor phamaindustrien, men også fx fødevareindustrien, er der store krav omkring sporbarhed og dokumentation.

Hvis du ikke kan dokumenterer, at dine masterdata er korrekte og at dine produkter opfylder alle kvalitetskravene, mister produkterne deres værdi og må i værste fald kasseres.

Hvis dine kvalitetsdata manipuleres eller slettes, tja så er du virkelig på den.

Hvis du ikke kan dokumentere din produktion og dine produkter, mister du muligheden for at kunne sælge dine producerede produkter.

Kan du stole på dit styringsprogram?

Stuxnet er et meget kendt eksempel på et angreb, der gik målrettet efter at påvirke selve styringsprogrammet, det være sig i PLC’erne og/eller SCADA systemet.

Herved mistede operatørerne altså evnen til, at kunne betjene og drive anlægget korrekt.

Hvis du ikke kan stole på dit styringsprogram, mister du evnen til at kunne producere optimalt.

Hvem har stjålet mine produkt- og produktionshemmeligheder?

Ofte er der investeret enorme ressourcer i udvikling af nye produkter og produktionsprocesser.

Investeringer der skal sikre lanceringen af nye og innovative produkter, og dermed i sidste ende virksomhedens konkurrenceevne.

Kommer disse informationer på ulovlig vis i hænderne på dine konkurrenter, så kan din virksomhed komme i alvorlige vanskeligheder.

Hvis du ikke kan holde på en hemmelighed, mister du i længden evnen til at kunne fremstille produkter der kan sælges.

Har du et tilgængeligt produktionsapparat?

Typisk investeres der betydelige penge i redundante industrielle netværk, I/O systemer, PC-Servere etc.

Investeringer der skal sikre en stabil og pålidelig drift, selv i tilfælde af tekniske fejl på komponenterne i automationssystemet.

Men hvad hjælper et redundant system, hvis komponenterne er inficeret med en virus der umuliggør normal drift?

Hvis du ikke har et tilgængeligt produktionsapparat, kan din virksomhed ikke producere og levere de produkter som den har solgt.

Kan du stole på dine medarbejdere og kollegaer?

Selv hvis du teknologisk set har gjort alt i din virksomhed for at sikre dig i forhold til industriel IT sikkerhed, har du eventuelt fortsat mindst et stort problem.

En af de største risikofaktorer er den menneskelige faktor.

Hvis du ikke har en kultur og har gennemført træning blandt din virksomheds medarbejdere omkring emnet, ja så er teknologien værdiløs.

Hvis du ikke kan stole på dine kollegaer, så mister du evnen til at opbygge og opretholde en organisation, der kan arbejde i en verden med Cyber Crime.

Kan du stole på dine eksterne leverandører?

Eksterne leverandører kan være din it-leverandør, der hoster dine cloud baserede produktions it systemer.

Er dine date i sikre hænder?

En ekstern leverandør kan også være serviceteknikeren fra en maskineleverandør, der under et servicebesøg hos dig, skal have en online forbindelse til sin egen serviceorganisation.

Har han åbnet en bagdør?

En ekstern leverandør kan også være din teknologileverandør.

Har du valgt en teknologileverandør der tager industriel IT sikkerhed alvorligt?

Har din teknologileverandør tænkt IT sikkerhedsaspekterne ind i hans produkter, og stiller han ydelser til rådighed i forhold til den løbende håndtering af IT sikkerhed?

Hvis du ikke har focus på, at dine eksterne leverandører også lever op til de nødvendige IT sikkerhedskrav og normer, tja så er det hele jo lidt ligegyldigt og du har fortsat et stort problem.

Første skridt er at erkende at du har et problem

I mange forhold her i livet, er erkendelsesfasen ofte den vanskeligste.

Det at erkende at du og din virksomhed har et IT sikkerheds problem, og måske skal investere betydelige økonomiske ressourcer, samt ikke mindst ændre interne processer og arbejdsgange, er ofte en både vanskelig og ”smertefuld” proces.

Og det går jo meget godt, så hvorfor..?

Udfordringen er jo netop at erkende, at selvom det (måske) går meget godt lige nu, så er risikoprofilen problematisk.

Det er ligesom at køre i bil uden sikkerhedssele.

[video: https://youtu.be/Wpqjmpq7uy4]

Det går jo fint, men når og hvis uheldet er ude, så bliver følgerne katastrofale.

Det er din opgave som produktions- og automationsmand, at overbevise din organisation om problemstillingen og komme med forslag til løsninger.

Easy to use

I vores branche har ”easy to use” været i centrum i mange år.

Alt skal være nemt og hurtigt at få i drift.

Manualer læser du ikke og kurser behøver du ikke, alt er jo selv konfigurerende og nemt.

IT sikkerheds mekanismer er noget du kan slå til, hvis du altså husker det og hvis du ved hvordan du gør.

Det har simpelthen været for let for dig, at undgå at tage IT sikkerhed alvorligt.

Time to change

Det er nu tid til at du og resten af vores branche tager industriel it sikkerhed alvorligt.

Det er tid til at erkende, at der er et stort problem – nogle vil sige en tikkende bombe – og at løsningen omfatter både teknologiske og organisatoriske tiltag.

Hvor stort er problemet og hvad er løsningerne?

Jeg vil i kommende blogindlæg komme ind på hvordan du kan kortlægge din reelle risikoprofil og selvfølgelig (forhåbentlig) iværksætte de nødvendige tiltag.

Kan man hacke en fabrik?

Ja det kan man desværre fortsat godt, læs tidligere kronik omkring emnet.

DAu har fokus på industriel IT sikkerhed

I samarbejde med IDA Automation afholder vi en DAu konference omkring emnet.

Mød op og erkend dit problem, vi har måske løsningen…?

Læs mere om konferencen her.

Illustration: Privatfoto.

Læs mere om DAu på vores hjemmeside, på LinkedIn og nu også på Facebook.

Emner
2 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Michael Eriksen
7. september 2015 kl. 12:28

Det er da godt hr. Faurholt er romantisk engageret, men kunne han nu ikke bare gifte sig, så vi ikke skal læse offentligt om hans dates :-/ Tre gange kærlighedserklæring i en artikel burde overbevise den udkårne.

  • more_vert
    • insert_linkKopier link