En betongpelare med 15 trådlösa åtkomstpunkter från olika tillverkare, placerad i en fabrikshall med över 250 olika trådlösa nätverk, tillsammans med en produktionslinje byggd av olika leverantörer, var och en med sin egen infrastruktur, egna brandväggar (om några), trådlösa nätverk – och självklart separat access till miljön. Det här är ett exempel från verkligheten som mötte en IT-chef (ansvarig för OT) i en internationell koncern vid hans första besök på fabrikerna – och ett exempel på hur komplex en OT-miljö kan vara.
Och när vi nu pratar om förutsättningar i en komplex miljö: Conscia levererade infrastruktur till en produktionsmiljö för några år sedan. Vi planerade för segmenterad infrastruktur, med tydliga gränser mellan IT och OT, som gav kunden full kontroll över vem som hade access till vad och när. De flesta OT-leverantörerna uppfyllde kraven och levererade sina lösningar med hjälp av den nya gemensamma infrastrukturen. Det vill säga alla utom de 2 största leverantörerna som satte sig på tvären och argumenterade för att det inte skulle fungera. Hela den nya produktionslinjen var beroende av dessa leverantörer – utan dem stoppades hela projektet.
Leverantörerna sa helt enkelt: «It’s our way or the highway”.
Vad är högsta prioritet i en IoT- eller OT-miljö?
KIT-triangeln vi använder inom IT, med Konfidentialitet på toppen, vänds inom OT till TIK. Istället för sekretess och integritet är det tillgänglighet som har högsta prioritet. Alltså produktion, produktion, produktion. Gärna så effektiv som möjligt. Obehöriga i produktionsmiljön är (nästan) oviktigt så länge produktionen fungerar som den ska. Just här läggs grunden för vad IT-avdelningen med partners och leverantörer kan påverka.
Det som gäller inom IT gäller alltså inte alltid inom OT. Jag vågar påstå att stora delar av OT ligger på nivån där IT var i början av 2000-talet. Som tur var pågår just nu en förändring inom OT-säkerhet.
PURDUE-modellen
PURDUE-modellen från 1990-talet har fått en renässans. Inom IT har jag länge placerat de olika komponenterna i zoner. Det är också vad jag rekommenderar. Se till att utrustning som MÅSTE prata med varandra, och som omfattas av samma säkerhetskrav, finns i samma zon och att det går att logga kommunikation mellan zoner, gärna i en brandvägg. Sedan kan man även sätta regler för vem och vad som får ske mellan zonerna.
Ju längre ner i modellen (PURDUE) du kommer, desto mer säkerhet flyttar från själva enheten till infrastruktur och access till enheten.
Men varför använder inte fler den här modellen när uppsidan är så stor?
Vid nya installationer är det inte ovanligt att några stora OT-leverantörer sätter sig på tvären och vägrar. Om det inte upptäcks i tidigt skede av projektet blir kunden lurad och har inget annat val än att säga ”ja ja då”.
I en befintlig OT-miljö är PURDUE-modellen otänkbar!
Det är inte enkelt att ändra en befintlig OT-miljö, med komponenter som har funnits där 10-20-30 år. Komponenter vars tillverkaren kanske inte längre existerar, som aldrig har uppdaterats, och som ofta är specialanpassade för just den här konfigurationen. En OT-miljö som levererar fullt ut varje dag – varför i hela världen ska den ändras? Stora förändringar i en sådan miljö är inte rätt väg. Det här är många gånger mer komplext än en vanlig IT-miljö; felkonfigurationer och andra fel riskerar att ge fysiska resultat, fel eller olyckor samtidigt som OT-säkerhet ligger längst ner på prioriteringslistan.
Att börja i den här änden är som att mäta väggarna innan man isolerar dem.
Så vad gör du?
Börja med synlighet! Se till att du VET vad som händer i OT-miljön. Använd befintlig infrastruktur som en sensor, som Cisco har pratat om i många år. Låt nätverket gå från rollen som databärare till rollen som sensor OCH ”enforcer”. Med rätt switchar går det att använda lösningar såsom Cisco Cyber Vision. Nu kan du se vad som händer i din OT-miljö, vilka versioner de olika komponenterna kör, att allt är korrekt konfigurerat, och inte minst – vad du faktiskt HAR i din OT-miljö. Är det önskvärt med en SONOS där eller Raspberry Pi där? Om du använder befintliga swichar med rätt kapacitet kan lösningen fungera som en ”bump in a wire”.
Målet är att få översikt UTAN att den dagliga driften och den befintliga miljön påverkas. Veta vad som faktiskt finns i din miljö, vilka sårbarheter du har, vilken kommunikation som pågår. Du kommer också att förstå vad som är normalt och inte och på det sättet upptäcka nya sårbarheter genom att komponenter i din miljö börjar agera på nya sätt. Också utan rätt typ av switch på plats går det att använda sensorer – tills din infrastruktur eventuellt har förnyats.
Allt handlar om att lägga upp en färdplan som kombinerar säkerhetsfunktioner du vill ha och behöver med beslut inom andra områden, såsom infrastruktur. Nu får du en riktning som anger den klokaste och affärsmässiga vägen framåt, där målet är att säkerheten hanteras och förbättras dag för dig.
På återhörande tills skrivklådan drabar mig igen! Innan dess – välkommen att kontaka Conscia om du är nyfiken på hur PURDUE-modellen kan se ut i din OT-miljö.
Artikeln publicerades första gången på digi.no
