Siemens: Industrial Security skal prioriteres!

Siemens: Industrial Security skal prioriteres!

Industriel sikkerhed er et tema, der berører hele virksomheden. Danske produktionsvirksomheder er nødt til at sikre deres produktion mod de bagdøre, som Ether- og Internet har åbnet til deres produktionsmiljøer.

Lars Peter Hansen

Siemens Business
Product Manager, Industrial Communication
; 03.04.14    : 10:50
Industriel sikkerhed er et tema, der berører hele virksomheden. Danske produktionsvirksomheder er nødt til at sikre deres produktion mod de bagdøre, som Ether- og Internet har åbnet til deres produktionsmiljøer.

Der er stadig større fokus på industrial security, både hos producenter af teknologi og hos teknologibrugere.

Anvendelse af Ethernet og Internet baseret på åbne standarder i produktionen er i dag meget udbredt og har sikret dansk industri mange og klare konkurrencemæssige fordele. Men hvis ikke security-udfordringen tages op, er der samtidig blevet åbnet for en ubevogtet bagdør.

Danske virksomheder er nødsaget til at sikre deres produktion ved hjælp af investeringer i strategi- og konceptudvikling, og uddannelse og teknologier er nødvendige for at sikre danske industrivirksomheder.

Er security i virkeligheden et problem?

I dag er der adskillige søgemaskiner på Internettet der er dedikeret til at finde industrielle systemer.  På under 2 min kan man finde flere hundrede ubeskyttede industrielle systemer over hele verden – og kender man passwordet er man inde (hvis passwordet overhoved er aktiveret). 
I slutningen af august i år udtalte Sean McGurk, chef for Department of Homeland Security´s Cyber Security Center, til Financial Times "The industrial control community is 5-10 years behind when it comes to guarding against even the most basic cyber attacks”.

Arbejder man med industriel it, kommunikation, SCADA eller lignende, må man erkende, at det nok ikke er en helt forkert udtalelse. Inden for industri har der historisk set altid været fokus på at få en applikation til at fungere, men kun sjældent har der været fokus på industrial security. Dette har medført, at applikationer afleveres, uden at de mest basale security-funktioner er aktiveret – porte er åbne, der er intet security-koncept, og ikke så sjældent kan man logge på diverse komponenter vha. ”Admin Admin”.

Den tilgang til industrial security er meget risikabel og kan resultere i produktionstab, skade virksomhedens anseelse/brand og kan i yderste konsekvens være en trussel for både miljø og mennesker. 

I 2010 var det første gang, man så en meget kompleks malware (mere præcist en orm), der var designet specielt til at angribe industrielle kontrolsystemer – Stuxnet. Ud over, at Stuxnet affødte problemer, specielt på et atomkraftværk i Iran, udløste episoden en massiv pressedækning, der fik indehavere af industrielle kontrolsystemer til at få øjnene op for security-truslen. Men desværre læser hackere også avis og ser tv, så den øgede mediebevågenhed har angiveligt også medvirket til, at man fra 2009 til 2011 har set en stigning fra 11 til 205 registrerede angreb på kritiske industrielle kontrolsystemer.
Derfor er det bydende nødvendigt at prioritere industrial security – men hvad er det så konkret, man skal gøre?

Den rigtige tilgang

Der er mange trusler og rigtig mange løsninger, men det er vigtigt at holde sig for øje, at security er en proces og ikke et produkt. En af de mest anvendte strategier er Defence in Depth (som egentlig er et militærudtryk). I it-verdenen refererer "defense in depth" til en security-strategi, som omfatter en lang række tiltag, der hver især udgør en forhindring for angribere, og som kun kan hackes, hvis der bruges megen tid og tankevirksomhed på det. Tiltagene går lige fra konsekvent adgangsbeskyttelse og målrettet træning af medarbejdere til en stram passwordpolitik.

Hvad skal man stille op?

Gennem analyse af resultaterne fra over 150 angreb har Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) identificeret flere tendenser. Deres vigtigste resultater kan opdeles i tre hovedkategorier:

1. Personer
En organisations medarbejdere kan resultere i cyber security-huller af følgende årsager:
Medarbejderne tror ikke, at truslen er troværdig; de ser ikke virksomheden som et mål, eller de mangler den viden og kapacitet, der skal til for at gennemføre passende beskyttelsesforanstaltninger. Organisationer undlader ofte at udvikle fælles tekniske og sikkerhedsmæssige standarder for it- og kontrolsystemer. Uden sådanne standarder kan det være umuligt at skabe en effektiv sikkerhedssituation. Ændring af standardindstillinger, brugernavne og adgangskoder på alt udstyr samt placering af det industrielle kontrolsystems remote logon bag firewalls med VPN-beskyttelse, er to eksempler på politikker, der let implementeres og vil forbedre en organisations sikkerhedssituation.

2. Processer
En organisations processer kan resultere i cyber security-huller af følgende årsager:
Manglende eller utilstrækkelige sikkerhedsrettigheder, -strategier og -politikker, der er nødvendige for at udvikle tilstrækkelig security-modenhed i hele organisationen. Dette omfatter også en klar politik, der er rettet mod flytbare medier, især hvor og hvornår anvendelse af flytbare medier er tilladt i organisationen.

3. Teknologier
En organisations teknologi kan resultere i cyber security-huller af følgende årsager.
De industrielle kontrolsystemer er ikke sikkerhedsvurderet, og de tekniske risici er ikke identificeret eller prioriteret. Således er den potentielle påvirkning af produktionen ikke en del af den business case, som danner grundlag for at investere i cyber security. En inkonsistent security management-taktik resulterer i en usammenhængende sikkerhedssituation på hvert af følgende niveauer:

Manglende netværkssegmentering, både fysisk og logisk

  • Netværkssegmentering ved hjælp af firewalls er et netværksdesign, der giver en række sikkerhedsmæssige fordele for en organisation. Den indebærer adskillelse af et netværk i mindre funktionelle netværk og kan begrænse en ubuden gæsts adgang.

Mangel på eller utilstrækkelige patch management-politiker og -praksis

  • Håndtering af kendte sårbarheder og sikring af opdateret beskyttelse imod kendte cyber security trusler undlades.
  • Organisationer skal også udvikle testmiljøer til at vurdere de mulige konsekvenser af patches før implementering i driftsmiljøet.
  • Yderligere oplysninger fås på: www.us-cert.gov/control_systems/ics-cert/

Samarbejde på tværs af organisationen er helt nødvendigt

Industriel security er et tema, der berører hele virksomhedens organisation. Produktionsledelsen, it-ledelsen og ledelsen af den industrielle automation er alle en vigtig del af en security-løsning. Disse aktører har ofte vidt forskellige tilgange til og viden om, hvordan en industrial security-løsning kan implementeres og vedligeholdes. Ofte tager security-arbejdet udgangspunkt i ISA 99-standarden, der fokuserer på både generelle forhold, teknologibrugere, systemintegratorer og teknologiproducenter. Hvis man har en baggrund inden for automation og industri, kan det umiddelbart virke som en meget tung og omfangsrig proces – men der er meget hjælp at hente.

Der er flere, der kan hjælpe

Blandt andet Siemens Industrial Security Services kan tilbyde Industrial Security Assessment workshops, træning, koncepter og rådgivning, der netop dækker hele det industrielle område og alle dets processer.  Det munder ud i et omfattende sikkerhedskoncept, der bygger på kravene i ISA 99-standarden. Se: www.siemens.com/industrialsecurity.

Dansk Industri (DI ITEK) kan også hjælpe - de har udfærdiget tre dokumenter, der omhandler industrial security, og som er rettet mod målgrupperne ledelse og mellemledelse. De kommer med helt konkrete bud på, hvilke problemstillinger der skal tages hånd om og hvordan.

Se: http://di.dk/Virksomhed/Produktion/IT/Informations-sikkerhed%20og%20Privacy/Pages/It-sikkerhed_og_privacy.aspx

Financial Times, "Industrial control systems offer an open door to cyber attacks", 28.08.2012

ICS-CERT Incident Response Summary Report, 2009-2011

ICS-CERT Incident Response Summary Report, 2009-2011

 

Seneste artikler

Hvor ofte har du stået ved en butiksdisk eller en skranke i en lufthavn, eller brugt dyrebar tid mens du ventede på din læge, sygeplejerske eller advokat – mens folk slog information op i forskellige...

Gi forecastingen bedre forutsetninger

Det har været forbeholdt spåkoner med farverige gevandter, kort og krystalkugler at udtale sig om fremtiden. Men ude i virksomhederne prøver vi jo alligevel, og ofte er værktøjet et Excel-ark, hvor...

I virksomheder har de fleste medarbejdere et klart overblik over deres egne arbejdsopgaver, og adgang til de systemer og informationer, de har brug for, for at kunne udføre dem.