Beskyttelse af OT – et nødvendigt skridt på sikkerhedsrejsen

Skrevet af
Iben Lunding
Artikel

Del indlæg

Beskyttelse af OT – et nødvendigt skridt på sikkerhedsrejsen

Artikel skrevet af Iben Lunding, IT-sikkerhedsrådgiver i Globeteam

En af de ting mange organisationer i Danmark og EU har stor fokus på i øjeblikket, er NIS2. Direktivet skal implementeres i national lovgivning og skal herefter ud og leve i de berørte organisationer. Alle organisationer – også dem, der ikke er berørte af NIS2 – kan drage nytte af at orientere sig mod de krav og sikkerhedsforanstaltninger, som NIS2 opstiller.

NIS2 kommer ikke med banebrydende nyt i forhold til at implementere fornuftige sikkerhedstiltag, men NIS2 rammer ned i de operationelle teknologier (OT), der mange steder har levet et stille liv i forhold til cybersikkerhed. Jeg oplever, at netop dét er en udfordring i flere organisationer.

OT er nødvendig teknologi for mange af de ydelser, som vores samfund bygger på, fx vandforsyning, transport, fødevarer og elektricitet. Men hvad sker der, hvis OT-miljøet bliver kompromitteret af angribere, der manipulerer med eller offentliggør forretningskritiske data, ødelægger udstyr eller forårsager nedetid? Det korte svar er, at det ofte medfører tab af indtægter, tab af kunder, skade på omdømmet mv.

OT bygger ofte på teknologi, der ikke er designet til at have forbindelse til internettet på samme måde, som IT-udstyr er. Digitaliseringen og åbenlyse driftsfordele gør, at meget OT-udstyr i dag alligevel er tilgængeligt via internettet. Denne åbning mod internettet implementeres med varierende grad af sikringstiltag. Fra løsninger stort set uden adskillelse mellem IT- og OT-miljøer – og mere eller mindre direkte adgang fra internettet – til løsninger hvor organisationen har overblik og kontrol over adgange ind i OT-miljøet.

Så hvordan implementerer man bedst sikkerhedstiltag på OT-området, og hvordan koordinerer og målretter man tilgangen mellem OT og IT?

Overblik og prioritering

Når vi arbejder med cybersikkerhed i Globeteam, tager vi udgangspunkt i de sårbarheder og risici, der er knyttet til de konkrete miljøer (OT & IT). Derudover analyserer vi den nuværende status på miljøerne i forhold til risikovurderinger, cybersikkerhedstiltag, adgange, aktiver osv. Alle de mest essentielle komponenter, der indgår i arbejdet med cybersikkerhed bliver analyseret på tværs af organisationen. Arbejdet tager udgangspunkt i ”The five ICS Cybersecurity Critical Controls” fra SANS Institute. De fem kontroller danner rammen for de værktøjer, der bedst understøtter det videre arbejde frem mod NIS2-efterlevelse.

Mange af principperne fra de fem kontroller er også forankret i NIS2-direktivet. Herunder kan du se eksempler på foranstaltninger fra artikel 21, 2. a)-j) forankret under de fem kontroller:

Grundelementerne
i de fem kontroller

Og tilhørende eksempler på foranstaltninger fra NIS2-direktivet artikel 21, 2. a)-j)

Beredskab

  • Håndtering af hændelser
  • Driftskontinuitet
  • Fysisk sikring
  • Nødkommunikation

Arkitektur

  • Segmentering
  • Hærdning
  • Arkitekturprincipper
  • Kryptering
  • Dataklassifikation
  • Begrænsning ift. privilegerede adgangsrettigheder
  • MFA (Multifaktorgodkendelse)

Overvågning

  • Logning
  • Overvågning af væsentlige leverandører
  • Overvågning af privilegerede adgangsrettigheder


Fjernadgange

  • Forsyningskædesikkerhed
  • Sikkerhedskrav i kontrakter
  • Overvågning af efterlevelse af sikkerhedskrav
  • Ekstern adgang via firewall


Sårbarhedsstyring

  • Sårbarhedsscanninger
  • Pentest


Mange organisationer anvender rammeværk og standarder, såsom CIS18 fra Center for Internet Security, Cybersecurity Framework fra NIST eller ISO 27000/62443-serierne. Alle er gode værktøjer, der afhængig af organisationens kontekst understøtter arbejdet frem mod efterlevelsen af NIS2.

Figuren her giver overblik over, hvor de forskellige rammeværker og standarder har stærke sider og giver mest mening, afhængig af tiltag og implementeringsfase:

Rammerværker - Plan, Do, Check, Act

Ledelsesforankring – også et vigtigt element i NIS2

Ledelsesforankring og ansvar har en central plads i NIS2 og naturligt i organisationernes forretning. Der hvor vi ofte ser udfordringer, er på det samlede syn på cybersikkerhed på tværs af forretningen (OT og IT), med separat ansvarsopdeling mellem COO (Operationel chef) og CIO (IT-chef).

Hos Globeteam omsætter vi de identificerede udfordringer og status til et ledelsesoverblik, der indeholder anbefalinger til eksekvering og danner rammen for det videre arbejde, herunder også den ledelsesmæssige prioritering og ressourcetildeling.

Vi hjælper desuden med at lægge rammerne, så aktiviteter og delaktiviteter bliver realistiske og samtidig tager hensyn til både forretningen og produktionen (OT).

Min opfordring til virksomheder og organisationer er at komme i gang med sikkerhedsarbejdet på tværs at OT og IT -miljøerne. Hellere gøre lidt, end slet ikke at gøre noget. Og hellere gøre det nu, end først når skaden er sket.

 

Vil du vide mere om NIS2, kan du dykke ned i vores temaserie om NIS2 her

Du kan også se en optagelse af webinaret: Beskyt virksomhedens operationelle teknologi (OT) mod cybertrusler her

 

Om Iben Lunding

Iben Lunding er IT-sikkerhedsrådgiver i Globeteam med fokus på SECOPS (Security Operation) i IT og OT-miljøer.

Iben har tidligere været IT-efterforsker i Rigspolitiet og sikkerhedsrådgiver i Center for Cybersikkerhed, hvor godkendelse af IT-systemer, internationale samarbejder i EU og NATO samt håndtering af større hændelser var en del af hendes hovedopgaver. Herudover var hun tovholder på arbejdet med IT/OT og SCADA i den nationale infrastruktur og har beskæftiget sig med sårbarhedsstyring og styrkelse af IT/OT-infrastrukturen i CPH (Københavns Lufthavne A/S).

Senest har hun arbejdet med større IT og OT-sikkerhedsprojekter i både offentlige og private organisationer.

Andre læste også
21. marts 2024
Webinar: Beskyt virksomhedens operationelle teknologi (OT) mod cybertrusler
På webinaret får du overblik over væsentlige sikkerhedsproblematikker, som går på tværs af IT & OT, samt input til hvordan I kan styrke det samlede sikkerhedsniveau i organisationen.
29. november 2023
Webinar: Microsoft 365 Copilot – skab en sikker & bæredygtig implementering
Se med, når vores eksperter giver gode råd til, hvordan I forbereder den tekniske og organisatoriske implementering af Microsofts nye AI-assistent. 
2. november 2023
Globeteam og Microsoft inviterer til sikkerhedsseminar d. 29/11
I samarbejde med Microsoft inviterer Globeteam til formiddagsseminar om den integrerede sikkerhedsmodel med XDR og SIEM. Deltag og bliv klogere på, hvorfor komplekse trusler kræver holistisk beskyttelse.

Nyhedsbrev

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler