Hvordan implementerer man bedst sikkerhedstiltag på OT-området?
Artikel skrevet af Iben Lunding, IT-sikkerhedsrådgiver i Globeteam
En af de ting mange organisationer i Danmark og EU har stor fokus på i øjeblikket, er NIS2. Direktivet skal implementeres i national lovgivning og skal herefter ud og leve i de berørte organisationer. Alle organisationer – også dem, der ikke er berørte af NIS2 – kan drage nytte af at orientere sig mod de krav og sikkerhedsforanstaltninger, som NIS2 opstiller.
NIS2 kommer ikke med banebrydende nyt i forhold til at implementere fornuftige sikkerhedstiltag, men NIS2 rammer ned i de operationelle teknologier (OT), der mange steder har levet et stille liv i forhold til cybersikkerhed. Jeg oplever, at netop dét er en udfordring i flere organisationer.
OT er nødvendig teknologi for mange af de ydelser, som vores samfund bygger på, fx vandforsyning, transport, fødevarer og elektricitet. Men hvad sker der, hvis OT-miljøet bliver kompromitteret af angribere, der manipulerer med eller offentliggør forretningskritiske data, ødelægger udstyr eller forårsager nedetid? Det korte svar er, at det ofte medfører tab af indtægter, tab af kunder, skade på omdømmet mv.
OT bygger ofte på teknologi, der ikke er designet til at have forbindelse til internettet på samme måde, som IT-udstyr er. Digitaliseringen og åbenlyse driftsfordele gør, at meget OT-udstyr i dag alligevel er tilgængeligt via internettet. Denne åbning mod internettet implementeres med varierende grad af sikringstiltag. Fra løsninger stort set uden adskillelse mellem IT- og OT-miljøer – og mere eller mindre direkte adgang fra internettet – til løsninger hvor organisationen har overblik og kontrol over adgange ind i OT-miljøet.
Så hvordan implementerer man bedst sikkerhedstiltag på OT-området, og hvordan koordinerer og målretter man tilgangen mellem OT og IT?
Overblik og prioritering
Når vi arbejder med cybersikkerhed i Globeteam, tager vi udgangspunkt i de sårbarheder og risici, der er knyttet til de konkrete miljøer (OT & IT). Derudover analyserer vi den nuværende status på miljøerne i forhold til risikovurderinger, cybersikkerhedstiltag, adgange, aktiver osv. Alle de mest essentielle komponenter, der indgår i arbejdet med cybersikkerhed bliver analyseret på tværs af organisationen. Arbejdet tager udgangspunkt i ”The five ICS Cybersecurity Critical Controls” fra SANS Institute. De fem kontroller danner rammen for de værktøjer, der bedst understøtter det videre arbejde frem mod NIS2-efterlevelse.
Mange af principperne fra de fem kontroller er også forankret i NIS2-direktivet. Herunder kan du se eksempler på foranstaltninger fra artikel 21, 2. a)-j) forankret under de fem kontroller:
Grundelementerne
i de fem kontroller
Og tilhørende eksempler på foranstaltninger fra NIS2-direktivet artikel 21, 2. a)-j)
Beredskab
- Håndtering af hændelser
- Driftskontinuitet
- Fysisk sikring
- Nødkommunikation
Arkitektur
- Segmentering
- Hærdning
- Arkitekturprincipper
- Kryptering
- Dataklassifikation
- Begrænsning ift. privilegerede adgangsrettigheder
- MFA (Multifaktorgodkendelse)
Overvågning
- Logning
- Overvågning af væsentlige leverandører
- Overvågning af privilegerede adgangsrettigheder
Fjernadgange
- Forsyningskædesikkerhed
- Sikkerhedskrav i kontrakter
- Overvågning af efterlevelse af sikkerhedskrav
- Ekstern adgang via firewall
Sårbarhedsstyring
- Sårbarhedsscanninger
- Pentest
Mange organisationer anvender rammeværk og standarder, såsom CIS18 fra Center for Internet Security, Cybersecurity Framework fra NIST eller ISO 27000/62443-serierne. Alle er gode værktøjer, der afhængig af organisationens kontekst understøtter arbejdet frem mod efterlevelsen af NIS2.
Figuren her giver overblik over, hvor de forskellige rammeværker og standarder har stærke sider og giver mest mening, afhængig af tiltag og implementeringsfase:
Ledelsesforankring – også et vigtigt element i NIS2
Ledelsesforankring og ansvar har en central plads i NIS2 og naturligt i organisationernes forretning. Der hvor vi ofte ser udfordringer, er på det samlede syn på cybersikkerhed på tværs af forretningen (OT og IT), med separat ansvarsopdeling mellem COO (Operationel chef) og CIO (IT-chef).
Hos Globeteam omsætter vi de identificerede udfordringer og status til et ledelsesoverblik, der indeholder anbefalinger til eksekvering og danner rammen for det videre arbejde, herunder også den ledelsesmæssige prioritering og ressourcetildeling.
Vi hjælper desuden med at lægge rammerne, så aktiviteter og delaktiviteter bliver realistiske og samtidig tager hensyn til både forretningen og produktionen (OT).
Min opfordring til virksomheder og organisationer er at komme i gang med sikkerhedsarbejdet på tværs at OT og IT -miljøerne. Hellere gøre lidt, end slet ikke at gøre noget. Og hellere gøre det nu, end først når skaden er sket.
Vil du vide mere om NIS2, kan du dykke ned i vores temaserie om NIS2 her
Du kan også se en optagelse af webinaret: Beskyt virksomhedens operationelle teknologi (OT) mod cybertrusler her
Om Iben Lunding
Iben Lunding er IT-sikkerhedsrådgiver i Globeteam med fokus på SECOPS (Security Operation) i IT og OT-miljøer.
Iben har tidligere været IT-efterforsker i Rigspolitiet og sikkerhedsrådgiver i Center for Cybersikkerhed, hvor godkendelse af IT-systemer, internationale samarbejder i EU og NATO samt håndtering af større hændelser var en del af hendes hovedopgaver. Herudover var hun tovholder på arbejdet med IT/OT og SCADA i den nationale infrastruktur og har beskæftiget sig med sårbarhedsstyring og styrkelse af IT/OT-infrastrukturen i CPH (Københavns Lufthavne A/S).
Senest har hun arbejdet med større IT og OT-sikkerhedsprojekter i både offentlige og private organisationer.