De mange cyberangreb, som rammer virksomheder over hele verden, er taget til i styrke de seneste 5-10 år. Det er ingen vist i tvivl om. Det har heldigvis fået rigtig mange virksomheder til at intensivere og professionalisere arbejdet med deres it-sikkerhed, herunder procedurer, beredskabsplaner, backup- og restore-løsninger, perimetersikkerhed, endpoint-sikkerhed, kryptering m.m.

Så langt, så godt. Men. For der er desværre et stort men, når man retter blikket mod den operationelle teknologi (OT). Sagen er nemlig, at i samme periode er millioner af produktionssystemer og -maskiner, sensorer, kontrolsystemer, termostater samt mange andre enheder blevet koblet til internettet som led i virksomhedernes modernisering og digitalisering.

Denne udvikling inden for Industriel Internet of Things (IIoT) vil fortsætte med øget styrke de kommende år. Da mange af de industrielle kontrolsystemer (ICS) og produktionsstyringssystemer imidlertid er udviklet for 30-40 år siden – nærmest før de første antivirusprogrammer så dagens lys – sidder mange industrivirksomheder med en stor udfordring. For ingen havde fokus på cybersikkerhed dengang, de industrielle kontrolsystemer blev udviklet.

Manglende overblik betyder større risiko

Læg dertil, at en del af de berørte industrivirksomheder, der anvender industrielle kontrolsystemer, faktisk har ansvar for dele af Danmarks kritiske infrastruktur. Desuden forsøger hackere i stigende grad netop at ramme samfundskritiske virksomheder som f.eks. hospitaler, kraft- og vandværker og andre forsyningsselskaber.

Det er tankevækkende, at der indtil for få år siden ikke har været fokus på OT-sikkerhed i samme omfang, som der er blevet investeret i it-sikkerhed. For OT-miljøerne indeholder ofte tusindvis af enheder, der alle kan være potentielle indgange til netværket – altså indgange, der ikke er nær så godt beskyttede som f.eks. virksomhedernes cloudløsninger, servere, pc’er og de mange andre endpoint-enheder.

Væksten i antallet af IIoT-enheder har dermed udvidet virksomhedernes angrebsflader markant, og truslerne handler ikke længere blot om låste filer og økonomisk afpresning. Angreb kan have fatale konsekvenser for store dele af samfundet, hvis cyberkriminelle får adgang til kontrolsystemerne i f.eks. kraftværker og elselskaber eller andre virksomheder, som store dele af samfundet er afhængige af.

Derfor er det afgørende, at virksomheder skaber et overblik over samtlige enheder på deres netværk. Denne tilgang er også kendt som Asset Visibility. De cyberkriminelle behøver nemlig blot én overset enhed for at tvinge sig adgang til netværket og gøre voldsom skade.

Et spørgsmål om ansvar

Hos Armis ser vi desværre, at flere virksomheder, som afsætter ressourcer til klassisk cybersikkerhed, ikke har samme fokus på beskyttelse af OT-miljøerne. Faktisk ser jeg ofte, at it-sikkerhedsdirektørens beføjelser, ansvarsområder og budgetter begrænser sig til den klassiske it.

Handler det derimod om at sikre produktionsmiljøet, ligger ansvaret oftest hos produktionsdirektøren, der historisk set aldrig har skullet bekymre sig om cybertrusler, men som derimod har fokuseret på produktionssystemer, der har skulle køre 24 timer i døgnet.

Problemet er, at virksomhederne halter bagud i forhold til at benytte teknologiske løsninger, der kan overvåge og sikre deres mange enheder i produktionsmiljøet.

I mine mange besøg og møder hos virksomheder, der har stor betydning for den europæiske forsyningssikkerhed og kritiske infrastruktur, viser det sig, at virksomhederne generelt har sikret deres it-systemer med en række af markedets mest avancerede it-sikkerhedsløsninger. Men samtidig er de typisk flere år fra at kunne sikre deres operationelle teknologi.

De fleste virksomheder er klar over problemet, men de har ikke tilstrækkelig viden og har heller ikke afsat de nødvendige ressourcer til at håndtere beskyttelsen af deres ICS. Den tendens ses også hos mange danske virksomheder.

De er bekendt med svaghederne i deres OT-systemer og de potentielle risici, men opgaven virker uoverskuelig – fordi der mangler overblik over alle enheder og en klar organisation til håndtering af truslerne i produktionsmiljøerne.

Det er på tide at tage skeen i den anden hånd

Skal vi i Danmark reducere risikoen for alvorlige angreb mod virksomheder med ansvar for kritisk infrastruktur, må virksomhederne til at rette fokus mod OT-sikkerheden.

Den hastige sammensmeltning af it og OT har skabt et udvidet trusselsbillede, som mange virksomheder i øjeblikket ikke håndterer i tilstrækkelig grad.

Derfor er min anbefaling, at ledelsen i de mange virksomheder viser vejen frem, så deres organisationer får skabt det nødvendige fokus og den nødvendige organisering. For uanset om ansvaret havner hos it-sikkerhedsdirektøren eller produktionsdirektøren, bliver virksomhederne nødt til at håndtere det stigende trusselniveau i deres voksende angrebsflader med millioner af IIoT-enheder.

Cybersikkerhed afgørende for virksomheders styrke

Cyberangreb får snesevis af selskaber til at overveje statslig overvågning