OT-sikkerhed: 10 råd til beskyttelse af det fysiske produktionsapparat

Cybersikkerhed i industrien og ved kritisk infrastruktur bliver i takt med nye trusler og angrebsflader et fortsat vigtigere indsatsområde. Men hvad er det, virksomhederne med et produktionsapparat skal have fokus på? Her får du ti gode råd, som styrker OT-sikkerheden i din virksomhed.

Sikkerhed i industrien handler primært om oppetid og fortsat drift af produktionsapparatet uden afbrydelse, pga. de omfattende konsekvenser, et funktionssvigt kan medføre. Herunder finder du 10 gode råd, som hjælper din virksomhed med at få styr på sikkerheden i OT-netværk, også kaldet industrielle netværk. 

1. Risikovurdering og risikoanalyse er alfa og omega 

Vær bevidst om risici og prioriter dem, så man ved, hvor man skal fokusere kræfterne og mitigere risici. 

Få værktøjer til risikovurdering

2. Foranstaltninger der passer  

Det handler om at kvalificere og udpege de handlinger og foranstaltninger, fx nødplaner og backup, der er nødvendige for den aktuelle virksomhed. 

Prøv Sikkerhedstjekket  

3. Sikkerhed er en løbende proces ikke et endeligt mål  

Man skal holde risikovurderingen opdateret og løbende vurdere om ens forretning har ændret sig, og om verdenen ser anderledes ud. Medicinalproduktion under en pandemi får fx måske en anden sikkerhedsprofil end tidligere.  

4. Passwords og validering 

Anvend stærke passwords. OT-systemers passwords skal kun kendes af dem, der bør have adgang, og de bør, så vidt muligt, læne sig op ad organisationens øvrige password politik med mulighed for at modificere i forhold til risici.

Sådan får I stærke passwords  

5. Hold styr på produktionsnetværket 

Det er afgørende at have et klart og detaljeret billede af virksomhedens infrastruktur, og hvilke enheder der er forbundet i organisationens netværk, hvordan de er forbundet, og om de er sat op som ønsket, for at virksomheden kan implementere de nødvendige autorisationsniveauer og anskaffe sig et passende cyberforsvar. 

6. Opdateringsprocesser – tag oplyste beslutninger 

Der er store sikkerhedsrisici forbundet med ikke at opdatere programmer og styresystemer til tidssvarende systemer. Samtidig kan der være andre risici forbundet ved softwareopdateringer af OT, f.eks. kan en genstart af systemer have indflydelse på kritiske systemer og i sidste ende være dyrt. Derfor er det vigtigt, at man tager beslutninger om opdateringer på et oplyst grundlag.  

Få tips til gode opdateringsrutiner

7. Stil krav til de produkter, der findes i virksomhedens installationer  

Man kan med fordel anvende standarder til at opsætte krav til de produkter, der findes i éns installation. Hvis man fx benytter IEC 62443 som reference, er det lettere at påpege overfor en leverandør, hvilke krav deres produkter skal leve op til, og man mindsker derved problematikken omkring, hvornår et produkt er ’sikkert nok’. 

8. Medarbejderadfærd  

De mennesker, der anvender OT-systemerne, er lige så centrale som firewalls og overvågningsløsninger, og det er derfor vigtigt, at de er trænet i sikker adfærd. Fysisk sikkerhed er fundamentalt for produktionssystemer, og der vil som oftest være implementeret procedurer for fysisk sikkerhed, hvilket betyder at OT-medarbejdere er vant til processer for sikkerhed, som så blot skal overføres til cybersikkerhedsarbejdet. Ligesom man skal have hjelm og høreværn på, er det vigtigt, at medarbejderne fx ikke oplader deres mobil i OT-anlægget eller tilslutter maskiner til internettet ifm. service og glemmer at få dem af igen. 

Få materialer til at styrke medarbejdernes sikkerhedsadfærd 

9. Supply chain management  

Hav styr på leverandørkæderne og sørg for, at leverandører kun kan tilgå deres dele af anlægget, så de kun har adgang til det mest nødvendige. Det er også en god idé at vælge en leverandør, der integrerer sikkerhedsstandarder for virksomhedens specifikke forretningsområde, som eksempelvis IEC 62443 til industrielle automatiserings- og produktionssystemer.  

Læs mere om leverandørstyring

10. Lag på lag beskyttelse  

Man kan ikke nøjes med én slags beskyttelse. Hvis man skal beskytte mod ildebrand, nøjes man jo heller ikke med at bygge med brandsikre materialer, man sætter fx også brandalarmer op og installerer branddøre, ligesom man har beredskabsplaner klar. Denne lag-på-lag beskyttelse eller ”Defense-in-Depth”, hvor alle organisationslag og afdelinger bidrager til cybersikkerhed, er et centralt element i standardserien IEC 62443. 

 

Indholdet på denne side er skrevet af Dansk Standard

Senest opdateret 07-02-2023