Industriell IT-säkerhet: hur Detection and Response hindrar driftsstopp

Cyberkriminaliteten ökar och den är inte begränsad till IT -system. Datorer, maskiner och robotar (OT) i tillverkningsindustrin blir mer anslutna till Internet, och därmed blir de också mer utsatta. Många komponenter i dessa produktionssystem uppdateras eller patchas för säkerhetshål sällan och därmed stiger risknivån kraftigt i en alltmer uppkopplad värld. Senast har vi sett företag som Norsk Hydro och Demant drabbas av sådana attacker. Hur bygger du industriell IT-säkerhet när det finns betydligt mer fokus på fysisk säkerhet än cybersäkerhet? Läs vidare och få svaret på hur Detection & Response kan minimera driftsstopp i produktionen.

Mer än en tredjedel av tillverkningsföretagen attackeras varje månad – och antalet är förmodligen högre.
Källa: Morphisec

Under de senaste 30-40 åren, då OT (Operational Technology) har använts, har huvudfokus legat på säkerheten, det vill säga att skydda fysiska maskiner och människor från skador. Och detta tidigare fokus på fysisk säkerhet i OT är annorlunda än säkerhet i samband med IT, där fokus istället ligger på virtuell skada. Kostnaderna är främst för reparation eller återställning kontra en verklig affärsförlust.

Inom IT -system kan en ransomware-attack stänga av ett helt företag. Inom OT är ransomware ”bara” kapabel att infektera vissa element och därmed orsaka driftsstopp, men inte förstöra en hel fabrik. Därför var risken i OT tidigare relativt isolerad jämfört med IT. Men på grund av det ökande fokuset på att ansluta flera lösningar tillsammans, samt digitalisera produktionen för att få data att flöda från produktionen och vidare in i de administrativa IT -systemen för att stödja bättre kundservice och lateralt informationsflöde, förändras riskbilden.

En uppkopplad miljö öppnar för driftsstopp

Det Industriell IT-säkerhet segmentering vs driftsstopp whitepaperfinns två skäl till att tillverkningsindustrin inte har upplevt fler driftsstopp tidigare. Först och främst var OT -systemen mycket isolerade. Folk visste att denna miljö inte var säker, så de skar av den från omvärlden. Nu kräver alla tillgång till data: från ekonomi och försäljning till externa leverantörer. Även den minsta maskinen är utrustad med Wi-Fi. Det är därför omöjligt att upprätthålla isoleringen och därför har OT blivit mer sårbart.

Attacker var också sällsynta på grund av komplexiteten i OT -system, där bara ett fåtal människor visste hur de skulle användas. Detta har också förändrats. Avslöjanden av OT -sårbarheter är nu ett vanligt ämne vid säkerhetskonferenser. Och kunskap om OT är nu allmänt tillgänglig.

Industriell IT-säkerhet kan återupprättas genom att byta från ett traditionellt perimeterskydd till en filosofi om ”Assume Breach” på OT. De går alltså från förebyggande åtgärder till att även arbeta aktivt med upptäckt och respons – Detection & Response.

Även om OT följer dessa steg är det en enorm utmaning: förebyggande åtgärder är ofta nästan omöjliga att genomföra snabbt, de kräver långsiktiga förändringar. OT -system är ofta äldre system som är så stängda och sköra att de inte alls tillåter säkerhetsförändringar. Detta var en del av den ursprungliga designen då OT var helt isolerat, och därför övervägdes inga uppdateringar.

Detection & Response är nyckeln till industriell IT-säkerhet

Det kommer att ta decennier för äldre OT -system med långa livscykler att nå gällande standarder inom industriell IT-säkerhet. Men vad kan man då göra?

Istället för att byta system kan du kontinuerligt övervaka misstänkt aktivitet (Detection) och säkerställa snabba åtgärder (Response), och det är faktiskt enkelt. OT -system är mycket statiska i sitt beteende när produktionen ska kontrolleras, så alla förändringar är lätta att identifiera / upptäcka. När Detection görs korrekt är det därför en stark och realistisk lösning för företag. I många fall upptäcker företag bara ett intrång när det redan är för sent: när deras system t.ex. har låsts av ransomware.

I snitt Whitepaper Industriell IT-säkerhet med Managed Detection & Responsetar det 200 dagar mellan det första intrånget i ett system till upptäckten av objudna gäster. Om du kan upptäcka förändringar och därmed intrång på några minuter istället för under månader har du chansen att agera snabbt och minimera driftsstopp och affärsförluster.

Det låter enkelt, förutom en sak: du behöver rätt kunskap för att undersöka och tolka hot. Det finns inte många människor tillgängliga för att utföra sådana uppgifter och det är riktigt dyrt med konstant personlig övervakning.

Därför lägger 95% av företagen ut sitt Detect & Response-arbete till ett externt företag. I ett så kallat managed SOC (Security Operation Center) som arbetar med IT-avdelningen. Och de kan faktiskt göra jobbet för OT också. Allt du behöver är specifika övervakningsverktyg för produktionssystemen som fångar upp de små förändringar som kan signalera ett obehörigt intrång. Och då måste det finnas människor som förstår den specifika produktionsmiljön. Tillverkande företag kan få stor nytta av Detection & Response -lösningar, under tiden de arbetar med att övergå till säkrare OT -lösningar.

Hur hittar du rätt säkerhetsåtgärder för er?

Den outsourcingpartner du väljer måste ha erfarenhet av OT -övervakning, eftersom det inte är samma sak som IT -övervakning. Detta innebär att övervakningen och rådgivningen i förhållande till OT inte bara måste bestå i att informera dig om vad som händer. Den mänskliga analysen av övervakning och experttolkning av när och hur man ska bemöta hot och intrång är A och O. Ta gärna del av våra whitepapers och webinarier (här och här) på detta område, men främst:

Kontakta oss – så hjälper vi dig

 

Kontakta oss!
Svar inom 24h