Många företag har idag en helt eller delvis automatiserad produktion. Roboten, CNC-maskinen och PLC:n har för länge sedan tagit sig in i den tillverkande industrin och ännu fler är på gång. Fördelarna med automatisering är helt enkelt för stora för att låta bli – vad händer då med er IT-, IoT- och OT-säkerhet?
Flera företag har drivit denna utveckling i många år, och de har kontinuerligt byggt upp produktionslinjer och celler över tid – och ofta oberoende av samma företags IT-miljö. Detta underlättas av att man talar helt olika språk i de två världarna. OT och IT använder olika nätverksprotokoll och applikationer, även om samma grundkomponenter i princip används i båda världarna.
OT -leverantörerna har (också) varit bra på att göra ”paketlösningar”, där datorkraft och -kommunikation mellan komponenterna har varit en del av den övergripande produktionslösningen. Fokus har naturligtvis legat på själva maskinen: roboten, CNC -maskinen etc. eftersom det är där ”magin” händer och där företaget får vinsten.
Detta innebär dock att dessa produktionsenheter ses som en fristående enhet som sällan utbyter data med andra enheter eller med IT-systemen för den delen. Därför väntar en outnyttjad vinst. Det är ingen mening med att CNC -maskinen spottar ut bordsben om den andra inte producerar de tillhörande bordsskivorna. Integrationen av både lager, logistik och försäljning är idag också fortfarande ofta en manuell process, och det är den outnyttjade vinsten som företag har märkt.
Sammankopplingen av data och system från OT och IT är oundviklig. Vi har sett det förut. Telefonsystem, videoövervakning och åtkomstkontroll har också, i ett inte så avlägset förflutet, varit autonoma system i sina egna nätverk. Nu körs dessa funktioner på företagets IT -nätverk och integreras med ett brett utbud av andra system.
DET KOMMER OCKSÅ ATT HÄNDA OT -SYSTEMEN! Det är oundvikligt.
IoT-säkerhet på jobbet
Våra hem fylls också med intelligenta (IoT) enheter av olika slag. De intelligenta assistenterna kan tända våra Philips HUE -lampor när det är för mörkt, höja värmen när det är för kallt och rapportera om både väderprognoser och TV -program som kan vara av intresse för oss.
Våra telefoner idag är sådana intelligenta assistenter. Många av oss använder dem mer så än att prata i telefon. Men vi använder dem för (vi tror) att de ger värde och gör våra liv enklare – det vill säga att det finns en vinst.
Vi kommer också att se dessa initiativ i näringslivet – varför inte?
”Är chefen här idag?”, ”Skriv ut en adressetikett för kund X” och ”Vad är det för middag i matsalen” är bland de fraser vi kommer att höra folk säga till sina intelligenta kontorsassistenter om några år. Sensorer mäter allt från ljus, temperatur, fuktighet till rörelse, position, beteende och mer. Dessa uppgifter gör det möjligt för oss att förbättra vår arbetsmiljö och automatisera den i mycket högre grad. Det kräver bara att man kan utbyta data mellan systemen.
IT, OT, IoT – sak samma. Det handlar om digitalisering och automatisering – och utvecklingen är oundviklig.
Vissa läsare kommer förmodligen att stanna här och tänka att det blir mycket sårbart. Tanken kan falla på ransomware, hacking och om vi lägger våra liv i händerna på teknikleverantörer. Vi håller helt med. Vi blir sårbara om vi inte gör det på rätt sätt.
IT-, IoT- och OT-säkerhet aktuellt som aldrig förr
Digitaliseringen förvandlar samhället, den gör det kanske redan för mycket och vi upplever i dag baksidan av den tekniska medaljen. Vi har haft fullt upp med att skörda fördelarna med IT och utnyttja teknologierna när de blir tillgängliga – utan att ta hänsyn till riskerna. Detta är på väg att ändras, och de flesta företag har börjat arbeta med IT- och OT -säkerhetsstrategier.
Nu står vi inför nästa steg – att integrera IT, OT och IoT. Vi bör därför ta tillfället i akt att integrera dessa områden i våra strategier så tidigt som möjligt och på så sätt undvika omöjliga integrationsprojekt, komplexa lösningar som inte kan underhållas och säkerhetsincidenter. Det börjar ofta med strategin – vi måste veta vad vi vill – och det räcker inte alltid att skriva att: ”det måste vara säkert”. För när är ”säkert” säkert nog?
Företagen har också alltmer börjat göra riskutvärderingar utifrån den gamla ekvationen:
Risk = Sannolikhet x Konsekvens
Detta innebär alltså:
- Sannolikhet (för en given händelse) är ett specialistansvar och hör vanligtvis till IT -avdelningen.
- Konsekvens (vid en given händelse) mäts med Line Of Business (LOB)
- Risk pekar direkt på VD eller styrelsen
Samarbetet och den ömsesidiga respekten mellan dessa expertområden är därför avgörande när vi väljer att integrera (individuellt implementerade) lösningar. Säkerhet är inget man ”klistrar på” efteråt. Det är utformat i lösningarna, och om inte, måste det vara på en informerad basis – underförstått att det är ledningen som fattar beslutet men på en informerad basis.
Om IT-, IoT- och OT-säkerhet kommer i efterhand blir det ofta en fråga om ”tätning av hål” eller ”skärpning” osv. Säkerhet bör tänkas tvärtom: ”vi öppnar upp” när vi kan se risken. Vi måste vara proaktiva istället för reaktiva. Vi kan inte längre bara skriva våra kravspecifikationer för funktionalitet. Vi bör också beskriva våra förväntningar på säkerhet.
Ett litet tips
Ett litet tips är en överdriven användning av ordet: ”enbart”.
”Enbart utvalda användare ska ha tillgång enbart till utvalda funktioner som enbart kan behandla utvalda data …”
Det är en helt annan mening än om du utelämnar ordet ”enbart” från samma mening. Vi har därmed hanterat de flesta scenarier som vi inte har tänkt på och skickar en stark signal till både tillverkare och leverantörer, såväl som till våra egna anställda.
Det är verkligen som så mycket annat – ju bättre du förbereder dig, desto lättare är det att utföra. Jo – det händer att misstag begås. Både hos tillverkaren, under implementation, underhåll och under användning. Det är klart, och även här måste vi ha ett proaktivt förhållningssätt. Vi kommer att behöva övervaka våra system och nätverk.
Det hjälper inte att vi bara beställer toner till skrivaren när den har tagit slut. Det är för sent och det kommer att drabba produktionen. Det finns utmärkta verktyg för att spåra status i de allra flesta system och enheter. Vi ska bara se till att använda dem också.
Övervakning A och O inom IoT- och OT-säkerhet
På samma sätt bör vi övervaka vad som händer i vårt nätverk. Visserligen – det kan vara svårt i denna dynamiska värld, där de flesta data vi arbetar med finns på ”Internet”. Det kan kräva specialverktyg som kan genomskåda denna komplexitet. Den goda nyheten är att särskilt enheter på OT / IoT -nätverk fungerar relativt statiskt. Det finns ingen ”användare” som googlar den nya iPhone samtidigt som den rapporterar in lönesummor (maskinenheter utför sin uppgift, de googlar i regel inte samtidigt), och det är därför lättare att se igenom avvikelser.
Det finns naturligtvis några budskap i detta som exempelvis segmentering, Asset management och andra gamla säkerhetsdygder, men det viktigaste är nog att man inte får falla i tron att övervakning inte är en viktig och nödvändig uppgift inom IT-, IoT- och OT-säkerhet.
Och lyckligtvis – då kan det vara så att delar av denna övervakning kan automatiseras.
Så käre kund:
- Hur många manuella processer har du i eller mellan produktionsplanering, inköp, lager, logistik, försäljning etc.?
- Har du övervägt fördelarna och nackdelarna med en kombination av OT / IoT och IT?
- I vilken utsträckning använder du för närvarande sensorer i den fysiska världen för att fatta beslut i ditt företag?
- Har du en strategi för er IT-, IoT- och OT-säkerhet?
Hör av dig så hjälper vi dig.
Läs vårt white paper om IoT- och OT-säkerhet.
Se vårt inspelade webinar om samverkan mellan IoT, OT och IT.
