Lidt mere Industrial Cyber Security, Part II
Har du fortsat et problem, eller er det stadig blot endnu et smart buzzword?
Hvis du ikke allerede har læst Industrial Cyber Security, Part I - Har du et problem, eller er det blot endnu et smart buzzword, så opfordres du til at læse dette tidligere blogindlæg først.
Udgangspunktet for at løse et problem er jo nemlig først, at erkende at du har et problem.
Cyber Security Framework
Når talen er på IT sikkerhed, findes der mange forskellige principper og metoder.
Der findes ligeledes mange internationale, regionale og nationale initiativer og standarder omkring emnet.
I USA har NIST udviklet Cyber Security Framework, som beskriver nogle grundprincipper inden for Cyber Security.
[video: https://youtu.be/zokpELp9D9s]
European Union Agency for Network and Information Security (enisa)
I Europa har vi ligeledes fokus på emnet via organisationen "enisa".
Se deres hjemmeside hvor du også kan finde en masse nyttig information.
Center for Cybersikkerhed
I Danmark har vi Center for Cybersikkerhed, som er en del af Forsvarets Efterretningstjeneste.
Læs mere om deres formål og ydelser via dette link hjemmeside
Skaf et overblik, lav et Security Assestment af din hardware
Der er altså mange kilder til information omkring Cyber Security, og mange offentlige og private organisationer, samt virksomheder tilbyder rådgivning, serviceydelser og produkter indenfor dette område.
Men inden du begynder at foretage store investeringer indenfor Industrial Cyber Security, er det vigtigt at du får lavet en grundig analyse.
Du kan hente hjælp ude i byen, fra virksomheder med store kompetencer og erfaringer indenfor dette tema, men kik alligevel først på nedenstående.
Grundprincipperne i enhver risikovurdering er ret enkle, dette gælder også indenfor Industrial IT Security.
- Identificer alle dine komponenter (SCADA Servere, PC’er i al almindelighed, dine switches, routers og firewalls, dine wireless accespoints, dine PLC’er og andre automationskomponenter med kommunikationsmuligheder etc.
- Beskriv konsekvensen af et angreb / nedbrud
- Beskriv sandsynligheden for et angreb / nedbrud
Glem i denne sammenhæng ikke USB porte, CD/DVD og diskettedrev etc.
Hvad med Smart-devices etc.?
En sådan hardware analyse, giver et godt overblik over alle dine hardware komponenter og den risiko de skaber.
Skaf et overblik, lav et Security Assestment af din software
Moderne automationssystemer er langt fra kun hardware.
Software, det være sig industriel software såsom fx SCADA og MES systemer, engineerings tools, samt operativsystemer og databaser, indgår i dag også i stor udstrækning i moderne automationssystemer.
Glem i denne sammenhæng ikke web interfaces og igen Smart-devices.
- Identificer alle dine software applikationer og licenser
- Beskriv konsekvensen af et angreb / nedbrud
- Beskriv sandsynligheden for et angreb / nedbrud
Selvom denne video har en lidt anden vinkel, giver den et godt indblik i den ofte meget komplekse problemstilling.
Se videoen og prøv selv, at se problemstillingen i forhold til Industrial Cyber Security, det er faktisk en god lille øvelse.
Hvad er din risikoprofil og er den acceptabel?
Først nu har du et reelt overblik over situationen.
Samtidig opdager du, hvad du endnu ikke ved, hvilket også er en værdifuld viden.
Nu kan du begynde at overveje hvilke tiltag (investeringer) der skal foretages og hvor de foretages bedst (ROI).
Hvad er løsningen?
Det kan du læse om i det næste indslag på denne blog.
DAu har fokus på industriel IT sikkerhed
I samarbejde med IDA Automation og IDA IT afholder vi en DAu konference omkring emnet.
Mød op og erkend dit problem, få et overblik, vi har måske også løsningen…?
Læs mere om DAu på vores hjemmeside, på LinkedIn og nu også på Facebook.
