Under många år var IoT (Internet of Things) det ”buzz word” vi använde för att beskriva att det finns mer datorprylar uppkopplade än den dator du sitter vid.
Nu knackar nästa insikt på dörren.
I våra fabriker, lagerlokaler och fastigheter finns massor IT-utrustning uppkopplade till våra nätverk. Det kan vara temperatursensorer, PLC-System, lager eller fabriksstyrnings-utrustning och mycket mer. Vi kallar detta Operational Technology, OT. I och omkring vår OT-utrustning är säkerheten oftast bristfällig och nu är det dags att ta tag i det!
Vad kan hända?
Vem är intresserad av en temperatursensor, tänker du kanske? Men tänk dig scenariot att någon får kontroll över värmesystemet så att det blir +8 grader på kontoret istället för normal rumstemperatur. Vi blir tvungna att stänga kontoret och därmed stoppa den verksamhet som inte går att bedriva på distans. Ännu värre blir såklart konsekvenserna om en maskin i en fabrik sätts ur spel.
Varför är det mindre säkert med OT jämfört med övrig IT-utrustning? Ett problem är ofta att OT-utrustning är inköpt ihop med en maskin, fastighetsrenovering eller lagersystem. Projekt där IT-avdelningen oftast är ganska långt borta. Ibland får de frågor när utrustningen ska kopplas in. ”Dom med maskinen säger att de behöver en sån där IP-adress. Kan du fixa det? Det är lite bråttom, vi kan inte fortsätta utan den!” Att i det läget planera in nätverkssegmentering eller andra skyddsåtgärder låter sig helt enkelt inte göras.
Ingen har ansvar
För maskintillverkarna är oftast IT-delen av maskinen ett nödvändigt ont, det är hur mycket metall som en press kan pressa eller hur många lådor en robotarm kan flytta som är intressant. Att datorn, kopplad till maskinen, är säker, det är det ingen som frågar efter.
När vi brukar fråga IT-säkerhetsansvariga eller IT-avdelningen så känner de oftast inte till all utrustning som finns installerad. Ingen har ansvaret att patcha, det är inte säkert att utrustningen är skyddad med brandvägg (som alla våra PC:s är skyddade idag) och det finns oftast inte någon möjlighet att installera ett antivirus-skydd.
Ta kontroll över din OT:
- Inventera och se till att du har kontroll över all utrustning inkopplad till ditt nätverk.
- Bedöm riskerna, säkerställ att du vet vad som kan hända och vad konsekvenserna blir.
- Skapa en strategi baserad på din accepterade risknivå. Isolera, segmentera, säkerställ att det till exempel inte används standardlösenord.
- Skapa en underhållsplan, på samma sätt som för övrig IT-utrustning. Ställ krav på OT-leverantörerna att de ska leverera uppdateringar precis som andra IT-leverantörer.
- Inför en checklista inför inköp av utrustning till fabrik, lager eller fastighet. De flesta system har någon form av IT-utrustning idag och IT behöver få chansen att vara med i god tid!