Ei betongsøyle med 15 trådlause aksesspunkt frå ulike produsentar. Plassert i ein fabrikkhall med meir enn 250 ulike trådlause nettverk, saman med ei produksjonslinje som var satt saman av fleire ulike leverandørar, kvar med eigen infrastruktur, eigne brannmurar (om nokon), trådlause nettverk – og sjølvsagt heilt eigne tilgangar inn til miljøet. Dette skisserer kor komplekst eit OT-miljø faktisk kan vere.
Artikkelen ble først publisert i digi.no.
Dette er tatt frå verkelegheita og var det som møtte ein tidlegare IT-sjef (som med eit og var OT-ansvarleg) i eit internasjonalt konsern då han hadde første besøksrunde på fabrikkane. Og når vi no er inne på dette med kompleksitet – det er ikkje berre enkelt å gjere noko med kompleksiteten: Conscia var leverandør av infrastruktur til eit produksjonsmiljø for nokre år sida. Infrastrukturen me planla var segmentert, med klåre liner mellom IT og OT, og kunde fekk full kontroll på kven som hadde tilgang til kva og når. Dei fleste OT-leverandørane etterkom krava og leverte sine løysningar ved bruk av den nye felles infrastrukturen. Alle bortsett frå dei 2 største leverandørane. Dei sette seg på bakbeina og argumenterte med at dette ikkje kom til å fungere. Kunden vart rett og slett bondefanga. Heile den nye produksjonslina var heilt avhengig av desse leverandørane – og utan dei vart heile prosjektet stogga.
Leverandørane sa rett og slett: «It’s our way or the highway”.
Kva er høgste prioritet innanfor OT-miljø?
KIT-triangelen me brukar innanfor IT, der Konfidensialitet har høgste prioritet er altså innan OT snudd om til TIK: Det er ikkje konfidensialitet eller integritet – men tilgjengelegheit som er viktigast. Altså produksjon, produksjon, produksjon. Helst så effektivt som mogleg. At uvedkomande er inne i produksjonsmiljøet er (nesten) rivande likegyldig så lenge produksjonen går som den skal.
Og akkurat dette er med på å legge føringar for kva IT-avdelinga og deira partnerar og leverandørar kan påverka. Det som gjeld innanfor IT gjeld ikkje alltid innanfor OT. Eg tør å påstå at store delar av OT er på det same nivået som IT var på starten av 2000-talet, men heldigvis er det ei rørsle å spore innanfor OT-sikkerheit.
PURDUE-modellen
PURDUE-modellen frå 1990-talet har fått sin renessanse. Det med å sette dei ulike komponentane i soner er noko me innanfor IT har gjort og tilrådd lenge. Sørg for at det utstyret som MÅ snakka saman, og som ligg på same sikkerheitsbehov, ligg i same sone. Sørg for at det er moglegheit for å logge kommunikasjonen mellom soner, gjerne i ein brannmur. Då kan ein i tillegg sette reglar for kven og kva har lov til å gjere kva mellom sonene.
Dess lengre ned i modellen (PURDUE) du kjem, dess mindre sikkerheit er det på sjølve eininga og dess meir er det i sjølve infrastrukturen og tilgangen til eininga.
Men kvifor er det ikkje fleire som brukar denne modellen, når oppsida er så stor som den er?
For nye installasjonar er det nok ofte nokre få store OT-leverandørar set seg på bakbeina og nektar, som tidlegare nemnt. Og dersom det ikkje vert avdekka tidleg nok i prosjektet – så vert kunden bondefanga og må berre seie «ja vel då».
For dei eksisterande miljøa, så er PURDUE-modellen tvert imot nesten utenkeleg!
Det er ikkje enkelt å skulle endre eit eksisterande OT-miljø, beståande av komponentar som har stått der i 10-20-30 år. Komponentar der produsenten kanskje ikkje lengre eksistera, som aldri har vore oppdatert, som gjerne er spesialtilpassa akkurat dette oppsettet. Eit OT-miljø som produsera for fullt kvar einaste dag – korleis i alle dagar skal ein kunne seie at dette skal endrast? Det er ikkje rett fram å skulle innføre store endringar i eit slikt miljø. Det er mange gonger meir komplekst enn eitkvart IT-miljø, feilkonfigurasjonar eller andre feil gjev fysiske resultat, feil eller ulykker samstundes som OT-sikkerheita er den som står nedst på lista.
Å byrje i den enden vert som å måle veggane før ein isolera dei.
Så kva gjer du då?
Begynn med synlegheit! Sørg for at du VEIT kva som rører seg i OT-miljøet. Bruk infrastrukturen du allereie har som ein sensor, noko som Cisco har presentert i mange år. Ta nettverket frå å vere ein databerar til å verta ein sensor OG ein “enforcer”. Ved å bruke dei rette svitsjane, vert det mogleg å bruke løysningar så som Cisco Cyber Vision. Denne løysninga visar deg kva som rører seg i ditt OT-miljø, kva versjonar dei ulike komponentane køyre, at alt er korrekt konfigurert, og ikkje minst – kva du faktisk HAR i OT-miljøet ditt. Er det ynskeleg å ha ein SONOS ståande der, eller er det heilt normalt at det står Rasperby Pii der. Løysninga vil fungere som «bump in a wire» ved å bruke eksisterande svitsjar med dei rette kapabilitetane.
Målet er å skaffe oversikt UTAN å påverke den daglege drifta og det eksisterande miljøet. Sjå kva som faktisk er i miljøet ditt, kva sårbarheita du har, kva kommunikasjon som går. Den vil og forstå kva som er normalt og ikkje, og på den måten vil den til og med klare å detektere 0dags sårbarheiter. Rett og slett ved at komponentar i miljøet ditt byrjar å te seg på andre måtar enn tidlegare. Og skulle du ikkje ha den rette type svitsj på plass, kan ein framleis bruke sensorar – fram til at infrastrukturen din potensielt er vorte fornya.
Alt handlar om å legge eit vegkart. Eit vegkart som kombinera kva sikkerheitsfunksjonar ein ynskjer og treng framover – saman med dei avgjersle ein gjer på andre områder, så som infrastruktur. På denne måten får ein laga eit overordna vegkart som visar den fornuftige og forretningskorrekte vegen vidare. Ein veg der målet er at sikkerheita til ein kvar tid skal ivaretakast, og verta betre og betre for kvar dag som går.
Inntil skrivekløen tek meg på nytt, tenk på at det snart er sumarferie og me endeleg kan roe ned, slappe av… Eller vent, kan me det?