Store bedrifter har tapt titalls millioner kroner etter å ha blitt rammet av cyberangrep. Det bør være et varsel til alle som jobber med IT og OT.
Bedrifter av alle størrelser er avhengige av teknologiske systemer for å opprettholde effektiviteten og sikkerheten. Vi ser stadig flere eksempler på at det å skille IT- og OT- systemer gir gode resultater. Det bidrar til å sikre tilgjengelighet og stabilitet i bedriftskritiske systemer, i tillegg er det et viktig grep for å begrense sjansen for cyberangrep for de viktigste systemene.
Vi har tidligere lest om aktører i detaljhandelen som har blitt utsatt for hacking med løsepengevirus, hvor butikkene har måttet gå over til penn og papir. Dette er et eksempel på at også i bransjer som detaljhandel, er det viktig å ta grep for å sikre sømløs drift og begrense risiko for nedetid og for cybertrusler. Hendelsen understreker behovet for å skille forretningskritiske systemer fra andre systemer. Og selv om betalingsterminaler ikke nødvendigvis klassifiseres som OT-systemer, er systemet likevel kritisk for driften – slik at de kan dra nytte av paralleller fra OT-sikringen.
En viktig standard
For at virksomheter skal sikre oppetid, pålitelighet og konfidensiell informasjon i kritisk infrastruktur, er det viktig med en strategisk bygge- og driftsprosess. Her er det tilnærmingen fra rammeverket IEC 62443 kommer til sin rett. IEC 62443-standarden er skrevet for bruk i industri, og gir retningslinjer og beste praksis for å sikre industrielle kontrollsystemer og nettverk. Den understreker behovet for å skille IT- og OT-miljøer, for å minimere sjansen for å bli utsatt for kritiske cyberangrep. Systemstans medfører fort markante tap. Selv om standarden er mest brukt i industrimiljø, gir den svært gode retningslinjer som også kan brukes for andre systemer som er spesielt kritiske for bedriften.
Konsekvens av feil design
Det er ikke lenge siden et fiberbrudd lammet flytrafikken i mange timer. Det viser konsekvensen av feil i design og feil i evaluering av risiko. Gjennom IEC 62443-standarden beskrives gode retningslinjer for design, prosjektering, drift, overvåking og vedlikehold. Analysen som beskrives i standarden, består av å identifisere risiko og sårbarhetsgrad for de forskjellige systemene i virksomheten. For eksempel hvor mye nedetid er akseptert og hvilke rutiner er det for å vedlikeholde programvare. Dette gir ofte en matrise med forskjellige behov, grovt skilt i IT- og OT-systemer. Effekten av å skille IT- og OT-systemer, er at det vil gi bedre sikkerhet for begge systemkategoriene.
Identifisere årsaker til avvik
Alle bedrifter med kritiske krav til tjenester, bør aktivt og kontinuerlig vurdere sine teknologiske infrastrukturer og iverksette passende sikkerhetstiltak for å beskytte både IT, OT og forretningskritiske systemer mot mulige trusler. Det er ikke bare god praksis, men en nødvendighet. Så, ved å evaluere selskapets datatjenester basert på IEC 62443-standarden kan investeringene fort lønne seg – dersom en trussel eller en designfeil treffer din virksomhet.
Fakta
- IEC 62443 er et rammeverk som gir retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
- Hensikten er å redusere risikoen for forstyrrelser, tap av data, ødeleggelser og fare for menneskeliv som kan oppstå som følge av angrep og utilsiktede hendelser angrep.
- Bruk av IEC 62443 kan oppsummeres i fem punkter:
1. Vurder risiko
2. Definer sikkerhetskrav
3. Gjennomfør sikkerhetstiltak
4. Styr, kontroller og verifiser implementerte tiltak
5. Bevissthet og kunnskap
Innlegget sto først på Digi.no 12. juli 2024