Industriell IT-säkerhet ett ansvar för alla

IT-säkerheten i industriella miljöer har länge förbisetts och ligger idag långt efter traditionell IT. När systemägare, ingenjörer och leverantörer kämpar för att få känsliga system att fungera som förväntat uppfattas ofta säkerhetsarbetet som ett hot mot verksamheten, snarare än ett skydd.

Vi har ställt några frågor om industriell IT-säkerhet till Erik Johansson, Cyber security manager på Automation Regions medlemsföretag Westermo. Under januari medverkar också Erik vid våra frukostmöten i Västerås och Stockholm för att utveckla resonemangen kring detta angelägna ämne. Inbjudan kommer inom kort.

Vad är din bild av IT-säkerheten i den svenska industrin?

Det är nog ungefär samma läge runt om i världen, många tänker att hotet kanske är verkligt men att ”det inte händer mig”. Företagen tar helt enkelt inte det ansvar som krävs för att skydda vår industri. Det räcker inte att ställa krav på tillverkare och integratörer och investera i system med inbyggd säkerhet, även om det är en bra början. Den som äger och förvaltar systemet måste acceptera den omfattande insats som krävs från deras sida – att ständigt övervaka, utvärdera och förbättra skydden.

Hotet finns där och vem som helst kan bli ett mål. Ett bra exempel är det tyska stålverket som förra året drabbades av en allvarlig cyberattack. Ingen har tagit på sig ansvaret men det finns givetvis spår. Problemet är att även om en attack kan spåras till en viss geografisk plats så betyder det inte att den som attackerar finns där. Det är därför svårt att veta vem som är ansvarig och vad motivet är.

Vilka processer är svårast att skydda?

Människan är fortfarande det största hotet – ju större exponering mot mänsklig interaktion, desto svårare att bygga upp ett bra skydd. Givetvis beror det också på hur processen är implementerad, en komplex process med många kommunicerande applikationer på olika platser är svårare att skydda än en isolerad och enkel process.

Vilka utmaningar ser du när allt fler produkter blir uppkopplade och kommunicerar med varandra?

Vi måste få så många olika teknologier som möjligt att samspela på ett säkert och tillförlitligt sätt. Det finns många utmaningar, ett enkelt exempel är identitet – om jag identifierar mig i en applikation som i sin tur kommunicerar med massor av andra applikationer och enheter, hur kan då enheten längst bort veta att jag är jag? Hur upprätthålls min identitet på ett säkert sätt utan att den går att kapa eller missbruka? Detsamma gäller även för alla applikationer, tjänster och enheters egna identiteter.

Det är också viktigt att bygga in bättre kontroll av datautbyten, vilket tyvärr ligger i konflikt med möjligheterna inom Internet of Things och Industry 4.0, som till stor del handlar om att förenkla utbyte av information. För att kunna bygga skydd som har en chans att fungera så måste vi veta exakt vilken information som ska överföras och till vem. Med god kontroll på datautbyten kan vi röra oss från enbart svartlistning till att hantera en kombination av svart-, grå- och vitlistning.

Vilka råd kring IT-säkerhet vill du ge till företag och organisationer?

Acceptera att säkerheten är ett ansvar som alla måste ta, från utveckling och driftsättning av ett system till avveckling. Ställ krav på leverantörerna så att de hjälper till längs vägen.

En standard som utgår från ett systems livscykel är IEC 62443. Trots att den fortfarande är under utveckling så är den enligt min mening bra att luta sig mot. De modeller och kravställningar som förespråkas kan vara mycket användbara inom den egna organisationen men även i relationen till leverantörer. Att använda en standard minskar dock inte det egna ansvaret för att skydda sig och förbättra sina skydd över tiden. Investera i människor och kunskap i första hand, inte bara teknologi!

Ett bra exempel på kunskap och beredskap som är otroligt viktig men som ofta förbises är incidenthantering och återhämtning. De flesta är ense om att absolut säkerhet inte existerar och då är det lite märkligt att inte förbereda sig för intrång, eller hur?

Vad kan ni på Westermo bidra med?

Förutom att vi har produkter med egenskaper som är viktiga för att skapa hållbara säkerhetsarkitekturer så anstränger vi oss för att förstå de grundläggande problemen med säkerhet och hur skyddsnivån kan ökas. Vi strävar också efter att vara lättrörliga för att snabbt kunna anpassa oss till en föränderlig hotbild. Det kan sägas ligga i konflikt med vissa säkerhetscertifieringsmodeller men industrin börjar nu inse deras svagheter. Problemet är att det tar mycket tid och kraft från leverantörerna att certifiera något som redan har blivit inaktuellt när certifieringen går igenom.

Jag tror också att Automation Region kan göra viktiga insatser genom att hjälpa till att sprida kunskap om IT-säkerhet i den svenska industrin. Även om myndigheter som Svenska kraftnät och Myndigheten för samhällsskydd och beredskap bedriver ett visst förebyggande arbete så är det fortfarande för abstrakt för många systemägare. Jag kommer att vara på plats vid Automation Regions frukostmöten i januari för att berätta mer och svara på frågor, jag hoppas att vi ses!