Sikkerhed på tværs af IT, OT og IOT

Mange virksomheder har i dag en helt- eller delvist automatiseret produktion. Robotter, CNC-maskiner og PLC’er har for længst gjort sit indtog i de danske produktionsvirksomheder og endnu flere er på vej. Gevinsten ved automatiseringen er simpelthen for stor til at lade være!

Flere virksomheder har kørt sådan i mange år, og man har løbende opbygget produktionslinjer og celler over tid – og ofte uafhængigt af samme virksomheds IT-installation.
Dette udsagn underbygges af, at man taler helt forskellige sprog i de to verdner. OT- og IT benytter forskellige netværksprotokoller og applikationer, men grundlæggende er det dog de samme grundkomponenter, der benyttes i begge verdner.
OT-leverandørerne har (også) været gode til at lave ”pakkeløsninger”, hvor computerkraft og datakommunikation mellem komponenterne har været en del af den samlede produktionsløsning. Fokus har naturligvis været på selve maskinen: Robotten, CNC-maskinen osv. da det er der, ”magien” sker og der, hvor virksomheden får gevinsten.
Det betyder dog, at disse produktionsenheder ses som en enkeltstående enhed, der sjældent udveksler data med andre enheder eller med IT-systemerne for den sags skyld.

Der ligger derfor en uudnyttet gevinst og venter. Det nytter ikke, at den ene CNC-maskiner spytter bordben ud, hvis den anden ikke producerer de tilhørende bordplader.
Samkøringen med både lager, logistik og salg er i dag også ofte manuelle processer, og det er den uudnyttede gevinst, som virksomhederne har fået øje på.
Samkøring af data og systemer fra OT- og IT er uundgåeligt. Vi har set det før. Telefonsystemer, videoovervågning og adgangskontrol har også, i en ikke så fjern fortid, været autonome systemer på deres egne netværk. Nu køre disse funktioner på virksomhedens IT-netværk og integrerer med en lang række andre systemer.

DET VIL OGSÅ SKE FOR OT-systemerne! Det er uundgåeligt.

Vores private hjem bliver også fyldt med intelligente (IoT) enheder af forskellig slags. De intelligente assistenter kan tænde vores Philips HUE lys, når der er for mørkt, skrue op for varmen når der er for koldt og berette om både vejrudsigten og Tv-programmer, der måtte have vores interesse.
Vores telefoner er i dag sådanne intelligente assistenter. Mange af os bruger dem mere som det end at tale i telefon. Men vi bruger dem, fordi de (synes vi) giver værdi og gør vores liv nemmere – altså at der er en gevinst.

Disse tiltag vil vi også se i erhvervslivet – hvorfor ikke?
”Er chefen her i dag?”, ”Print en adresselabel til kunde X” og ”Hvad er der til middag i kantinen” er blandt de sætninger, vi om få år vil høre folk sige til deres intelligente office assistenter. Sensorer vil måle alt fra lys, temperatur, fugtighed til bevægelse, position, adfærd og meget mere. Disse data vil sætte os i stand til at forbedre vores arbejdsmiljø og automatisere det i langt højere grad. Det kræver blot, at man kan udveksle data mellem systemerne.

IT, OT, IoT – potato: potato. Det handler om digitalisering og automatisering – og det er den vej verden går.

Nogle læsere vil nok stoppe op her og tænke, at det vil blive meget sårbart. Tanken kunne falde på randsomware, hacking og om vi lægger vores liv i hænderne på teknologileverandørerne. Vi er helt enige. Vi risikerer at blive sårbare, hvis vi ikke gør det rigtigt!

Det er gået stærk i IT-æraen. Måske for stærkt og vi oplever i disse dage bagsiden af den teknologiske medalje. Vi har haft meget travlt med at høste IT-gevinsterne og tage teknologierne i brug i takt med, at de er blevet tilgængelige – uden at skele til risikoen.
Det er ved at ændre sig, og de fleste virksomheder begynder at arbejde med IT- og OT-sikkerhedsstrategier.
Nu står vi over for det næste skridt – at integrere IT- OT- og IoT. Vi bør derfor gribe muligheden for så tidligt som muligt at få indarbejdet disse områder i vores strategier og dermed undgå umulige integrationsprojekter, komplekse løsninger, der ikke kan vedligeholdes, samt sikkerhedshændelser. Det starter ofte ved strategien – vi skal vide, hvad vi vil – og det er ikke altid nok at skrive at: ”det skal være sikkert”. For hvornår er ”sikkert” sikkert nok?
Virksomhederne er da også i stigende grad begyndt at arbejde med risikobetragtninger ud fra den gamle ligning:

Risiko = Sandsynlighed x Konsekvens

 

I den forbindelse er det da lige værd at nævne, hvor disse elementer er forankret:

  • Sandsynlighed (for en given hændelse) er et specialistansvar og hører typisk til i IT-afd.
  • Konsekvens (ved en given hændelse) måles ved Line Of Business (LOB)
  • Risiko peger direkte ind på direktionsgangen eller i bestyrelsesværelset

Samarbejdet, og den indbyrdes respekt mellem disse ekspertområder, er derfor altafgørende, når vi vælger at integrere (endsige ibrugtage) løsninger. Sikkerhed er ikke noget, man ”klistrer på” bagefter. Det er designet ind i løsningerne, og hvis ikke, skal det være på et oplyst grundlag – underforstået at det er ledelsen, der træffer beslutningen men på et oplyst grundlag.
Hvis sikkerhed kommer på bagkant, bliver det ofte et spørgsmål om at ”lukke huller” eller ”stramme op” osv. Sikkerhed bør tænkes den anden vej: ”vi lukker op”, når vi kan gennemskue risikoen. Vi skal være proaktive i stedet for reaktive.

Vi kan ikke længere skrive vores kravspecifikationer kun med funktionalitet for øje. Vi bør også beskrive vores forventninger til sikkerhed. Et lille trick er en overdreven brug af ordet: ”kun”.

Kun udvalgte brugere skal kun have adgang til udvalgte funktioner, der kun kan behandle kun udvalgte data ….”

Det er en meget anderledes sætning, end hvis man udelader ordet ”kun” fra samme sætning. Vi har dermed forholdt os til de fleste af de scenarier, som vi ikke har tænkt over og sender et kraftigt signal til både producenter og leverandører, såvel som til egne medarbejdere.
Det er med sikkerhed som så meget andet – jo bedre man forbereder sig, jo lettere er det at udføre.

Nuvel – det er da før sket, at der er begået fejl. Både hos producenten, ved implementering, vedligeholdelse og ved brug.
Det er klart, og også her skal vi have en proaktiv tilgang. Vi bliver nødt til at monitorere vores systemer og netværk.
Det nytter ikke, at vi først bestiller toner til printeren, når den er løbet tør. Det er for sent, og det vil ramme produktionen. Der findes udemærkede værktøjer til at følge status i langt de fleste systemer og enheder. Vi skal bare bruge dem.

På samme måde bør vi overvåge, hvad der sker i vores netværk. Indrømmet – det kan være svært i denne dynamiske verden, hvor de fleste af de data vi arbejder med ligger på ”internettet”. Det kræver måske specialværktøjer, der kan gennemskue denne kompleksitet. Den gode nyhed er, at specielt enheder på OT/IoT-netværk arbejder forholdsvis statisk. Der sidder ikke en bruger, der googler den nye iPhone samtidig med, at lønnen bliver indberettet, og det er derfor lettere at gennemskue anormaliteter.

Der ligger naturligvis nogle budskaber i dette som fx segmentering, asset management og andre gamle sikkerhedsdyder, men den vigtigste er nok, at man ikke må forfalde til at tro, at monitorering ikke er rigtigt og vigtigt arbejde.
Og sjovt nok – så kan det være, at dele af denne monitorering kan automatiseres.

Så kære kunde:

  • Hvor mange manuelle processer har du i- eller mellem produktionsplanlægning, indkøb, lager, logistik, salg osv.?
  • Har du overvejet hvilke fordele- og ulemper, der kunne være ved en samkøring af OT/IoT og IT?
  • I hvilket omfang benytter du i dag sensorer i den fysiske verden til at tage beslutninger i din forretning?
  •  Har du en strategi for: IT, OT/IoT og sikkerhed?