När det kommer ny teknik dröjer det ett tag innan samhället och systemen anpassas. Idag är det självklart att vi har bilbälte när vi åker bil! Skador och dödsolyckor har minskat tack vare den svenska uppfinningen trots att trafiken ökar, hastigheterna ökar och komplexiteten i trafiken ökar. Men det tog rätt många år innan säkerhetsmedvetandet på individ och systemnivå kom ikapp behoven. Ja ibland när du är ute och kör funderar du säkert på om alla ens idag har fattat vad säkerhet i trafiken innebär.
Motsvarigheten till säkerhetsbältet inom Industri 4.0 och digitalisering kallas för cybersäkerhet. Eftersom det är en digital framtid vi går emot så är det kanske inte ett fysiskt bälte som är lösningen, men ni förstår principen och liknelsen. Vi måste snabbare skapa oss de säkerhetssystem som krävs och som behövs för att vi fortsatt skall kunna driva effektivisering, förbättring och hållbar produktion med hjälp av digitalisering.
En utmaning är att utvecklingen går snabbt, snabbare än någonsin, det betyder att det är svårt att ”hinna” anpassa säkerhetssystemen i takt med utvecklingen. En annan är att den digitala tekniken är gränslös, global. Det betyder att hotet kan komma var ifrån som helst och när som helst. En tredje är förstås att kunskaperna inte räcker till. Det är så otroligt mycket nytt vi behöver behärska för att dra nytta av digital teknik att det helt enkelt är svårt att hinna, kunna, hitta de kompetenser som krävs för att det också skall fungera säkert.
Men eftersom vi är tekniker och ingenjörer, låter vi oss inte nedslås, utan vi tar steg för steg för att bli bättre. Så vad kan man göra? Hur kan man tänka? Efter att ha följt ämnet ett tag och också deltagit i en konferens om cybersäkerhet för kritisk infrastruktur har jag sammanställt en kom ihåg lista.
Vad kan jag göra för att vara säker i en digitaliserad produktion:
Börja med att reflektera kring avvägningen öppenhet/tillgänglighet och säkerhet. Det kanske finns saker som höjer säkerheten som inte egentligen försämrar tillgängligheten. Gör då dem! För att illustrera tanken, du måste inte ha med dig telefonen in på alla möten. Ett enkelt sätt att inte bli avlyssnad.
En väg framåt är att inse att det måste få kosta i form av tid och resurser och bekvämlighet.
Samtidigt så vet vi att digitaliseringen för med sig så många och stora förbättringar att vi inte kan låta oss bli säkra genom att avstå. Reflektera, hitta rätt balans, risk-belöning, snabbhet - säkerhet!
Börja jobba med underrättelser. Det vill säga se till att du hänger med om vad som händer. Så du kan förutse nya hot och risker. Genom bra underrättelser vet man vad som är på gång. Och kan förbereda sig.
Ta lösenordshanteringen på allvar. Vi vet idag att det är tvåfaktor hantering som är bäst och att vi inte skall byta lösenord 4 ggr per år mellan vinter23, vår23, sommar23 och höst23. Eftersom hackare söker enklaste vägen är det kanske inte så svårt att bli lite bättre än den som är enklast genom att ta lösenordshanteringen mer seriöst.
Vi måste utbilda varandra så att ingen av okunskap gör misstag.
Vi måste utbilda ledningen så de ställer rätt frågor och allokerar rätt resurser. Som vanligt är en del i utmaningen att ledningen förväntas vara strategisk men ofta mäts operativt. Här behövs strategiska insatser som konkurrerar med operativa kostnader. Det kommer nytt regelverk från EU – NIS2 – med hot om vite om man inte skyddar sig, om inte annat kanske det kan skapa engagemang hos ledningen. Ett annat tips är att fråga hur länge ledningen accepterar att vissa system och funktioner är nere. Då får de bestämma ambitionsnivån först och sedan acceptera insatserna som krävs.
Vi måste få in fler som jobbar i detta ”skrå”, spelindustrin saknar 25000 utvecklare men de behövs även i det här området.
Det går antagligen inte att undvika att bli drabbad, därför måste man ha en plan och träna vad som händer när man blivit drabbad. Man skall motstå attacker, kunna fungera medan under attack och snabbt återhämta sig efter en attack. Kontinuitetsplanering. Funkar backuper, kommer vi åt dem? Kan vi återstarta medan vi är avskärmade från omvärlden. Planera och träna hantering av incidenter. Planera för hur du skall kunna bibehålla den service dina kunder förväntar sig. Men man kan inte planera och dokumentera allt, man måste träna! Också för att bli snabb.
Man måste prioritera. Vad är allvarligt och vad är mindre allvarligt. Inom underhåll kallar vi det kritikalitetsanalys. Vilka blir konsekvenserna om något händer? Om de är allvarliga måste vi ha mycket proaktiv säkerhet och mycket träning. Om de inte blir fullt så allvarliga kanske vi kan nöja oss med ett reaktivt arbetssätt.
Det är ett eget teknikområde med egna produkter och tjänster. Vi måste vara aktiva på det området och se till att vi har rätt infrastruktur, rätt mjukvara och att vi har processer för att underhålla och uppdatera efterhand som det kommer nya tillägg som höjer säkerheten. Infrastrukturen måste vara på plats, virusprogram med mera och den behöver underhållas och utvecklas.
Tänk i hela ditt ekosystem, vilka finns omkring dig som du är beroende av? Som om de fallerar gör att du fallerar. Kritiska leverantörer är ett exempel, har de gjort vad som krävs för sin säkerhet? Om inte riskerar de din säkerhet.
Ovanstående är förstås på en övergripande nivå. Efterhand som man kommer in i detaljerna behöver man också lära sig om detaljerna. Kryptering, accesskontroll, nätverkssäkerhet.
Till exempel kryptering är viktigt att lära om. Alla använder det men få känner till de grundläggande koncepten. Få förstår de kritiska detaljerna. Enstaka förstår till fullo teorin bakom men hi hade inte haft ett digitaliserat samhälle utan kryptering!
Glöm inte mobilerna! Det är en svag länk.
Finanssektorn har antagligen kommit långt. De har en lång tradition av säkerhet generellt och finansinspektionen har reglerat bankernas IT arbete sedan 2014. Det är en industri vi kan lära av.
Låt oss inte vara naiva. Attackerna pågår hela tiden, dvs just nu. Det är en elektronisk och kognitiv strid om tillgången till våra anläggningar och våra attityder. Attackytan ökar proportionellt med digitaliseringen.
Man söker hela tiden efter svagheter, vi måste dimensionera för de värsta hoten. Det dimensionerande hotet är statsaktörer, men de samarbetar med andra. Arbetslösa IT tekniker var som helst i världen kan tjäna sitt uppehälle genom att hitta säkerhetshål och sälja information
De som attackerar letar efter enklaste vägen, ”minimal effort”, de lägsta nivåerna när det gäller skydd. Om du är bara lite mer noggrann med din egen säkerhetshygien så är mycket vunnet.
Systematiskt OT säkerhetsarbete grunder/idéer:
Installera säkerhetsuppdateringar direkt - var alltid uppdaterad
Förvalta behörigheter och använd stark autentisering. Aktivera multifaktorautentisering! Kanske biometrisk inloggning.
Var rädd om systemadministrativa behörigheter. Tillämpa minsta behörighet • Förhindra angripare från att spridas över nätverket genom att tillämpa principerna för minsta privilegium
Gör säkerhetskopior och testa dem.
Tillåt endast godkänd och uppgraderad utrustning och mjukvara, Minska risken för sårbarheter i programvara genom att se till att din organisations enheter, infrastruktur och applikationer hålls uppdaterade och korrekt konfigurerade.
Segmentera nätverken och trafiken mellan dem
Skaffa förmåga att upptäcka och hantera säkerhetshändelser.
Decentraliserad IT vs Centraliserad IT; Många incidenter med mindre konsekvenser? Få incidenter med högre konsekvenser? Kan vi nå noll incidenter? Nej men man kan reducera antalet. Kan vi minska konsekvenserna? Ja, backup, moln, redundans.
Använd anti-malware (virusskydd) - Stoppa skadliga attacker från att köras genom att installera och aktivera lösningar mot skadlig programvara på alla noder och alla ändpunkter.
Skydda data – definiera dina kronjuveler och var dina känsliga uppgifter lagras och vem som har åtkomst.
Om du är medlem i Sustainability Circle kan du logga in i vårt webbinariebibliotek och se en inspelning från 30 mars 2023 där Anders går igenom grunderna och bakgrunden inom cybersäkerhet relevant för dig som vill bli bättre på OT säkerhet.
Vill du läsa mer:
Många refererar till en bok från Krigsvetenskapsakademin som en grundkurs, den kan laddas ned här: https://kkrva.se/cyberforsvaret-en-introduktion/
Nedan en blandning av intressanta länkar, både från svenska och amerikanska källor, myndigheter och kommersiella: