Kan man hacke en fabrik?
Frank Faurholt er formand for Dansk Automationsselskab
Kan man hacke en fabrik? Det hurtige svar er ja, og den dårlige nyhed er, at det sker oftere, end du tror. For industrien er 10 år efter it-branchen, når talen kommer på it-sikkerhed.
Banker, internet-butikker, organisationer og andre markante firmaer og institutioner på nettet har længe været udsat for et hackerangreb, hvor formålet har været økonomisk kriminalitet.
Men at fabrikker, produktionsapparater, infrastrukturanlæg og maskiner i tiltagende grad nu også er et mål for hackere, er fortsat et overset og fortiet problem. Automationsløsninger og industrielle it-systemer indeholder nemlig hverken følsomme personoplysninger eller penge i normal forstand, så hvorfor hacke en fabrik?
Sagen er, at de industrielle it-systemer indeholder enorme mængder af de produktions- og kvalitetsdata, der er nødvendige, for at produktionsapparatet kan arbejde tilfredsstillende.
Data, der beskriver, hvordan produkterne skal produceres, og kvalitetsdata, der beskriver, hvordan produkterne blev produceret, testet, transporteret og opbevaret. Her taler vi altså både om en potentiel risiko for industrispionage samt en risiko for at kvalitetsdata manipuleres og dermed mister sin værdi.
Der skal ikke megen fantasi til at forestille sig, hvad det kan betyde for virksomhedens mulighed for at beskytte sin viden samt ikke mindst evnen til at udvikle, producere og sælge sine produkter. Forbrugernes og aktiemarkets tillid til virksomheden er altafgørende.
Men it-sikkerhed er vel bare et produkt man køber og i det hele taget noget man overlader til virksomhedens it-afdeling? Nej, industriel it-sikkerhed er ikke et produkt, som man kan købe og installere. Industriel it-sikkerhed er ej heller noget som virksomhedens it-afdeling automatisk kan forventes at levere.
Svaret på disse udfordringer, på det tekniske niveau, er Protection in Depth-konceptet. Man er simpelthen nødsaget til at indkapsle og segmentere de industrelle processer.
Intrution Detection systemer og firewalls kan anvendes, dér hvor de industrielle netværk forbindes til it-netværket, og virusscannere samt Whitelisting kan anvendes på pc-baserede systemer.
De industrielle netværk og alle de tilsluttede controllers, I/O-systemer m.m. anvender ofte superhurtig layer-2 realtidskommunikation, så derfor kan standard it-sikkerhedsteknologier ikke anvendes. Man skal derfor anvende særlige industrielle firewalls der kan håndtere disse specielle behov.
Men hvordan skal man som automationsingeniør overhoved kunne få et overblik over hvilke sårbarheder der findes?
Her er hjælp at hente hos den Amerikanske organisation U. S. Department of Home Land Security der har en afdeling der hedder Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). De udsender kategoriserede alarmer, når der findes sårbarheder i industrielle systemer. Hos ICS-CERT kan man abonnere på RSS-feeds, så man altid er opdaterede.
Mere information kan findes her: **www.ics-cert.us-cert.gov**
Den helt store udfordring er også, at vi har med et område at gøre, der befinder sig i et spændingsfelt mellem virksomhedens produktionsafdeling og it-afdeling.
Industriel it-sikkerhed skal altså både være en del af virksomhedens generelle it-strategi og ikke mindst virksomhedens automationsstrategi. I Dansk Automationsselskab (DAu) har vi sat fokus på netop industriel it-sikkerhed.
Alle taler om dansk industris manglende konkurrenceevne og ditto effektivitet. Mange kommer med forslag til, hvordan vi kan nedbringe lønandelen samt øge kvaliteten og produktiviteten via automation og industriel it, men få tænker på it-sikkerhedens stigende betydning i denne sammenhæng.
DAu vil arbejde for denne fælles erkendelse i vores branche og vil målrettet gå efter at få begreber som Protection in Depth og værktøjer som ICS-CERT til at blive en naturlig del af enhver automations og industriel it løsning. Det er både et spørgsmål om uddannelse, kultur og teknologi.
