Cybersikkerhed i produktionen – hvornår er man sikker nok?

Mange virksomheder vil gerne vide, hvornår de er sikre nok, når det eksempelvis kommer til deres IoT-produkter. Men sikkerhed er ikke en absolut størrelse.

På et webinar om cybersikkerhed i produktionen satte vi fokus på udfordringerne, og en række eksperter på området kom med gode råd til, hvordan man griber sin sikkerhed an.

”Vi er vant til jern, stål, bolte og skruer – men det her er en helt anden verden.”

Det citat havde Laura Lynggaard Nielsen, seniorantropolog fra Alexandra Instituttet, taget med i sit oplæg til webinaret som eksempel på en virkelighed, hun tit møder ude i virksomhederne. Når fysiske produkter bliver digitale, så giver det ofte en udfordring med at skabe sikkerhed.

Det betyder, at mange virksomheder gerne vil vide, om deres produkter er sikre eller ej. Men så simpelt er det desværre ikke – selv Pentagon kan hackes, det er bare sværere, som Laura påpegede. Derfor handler cybersikkerhed i produktionen om at ramme et niveau af sikkerhed, der passer. Man kan ikke bruge alle sine penge, inden man overhovedet har et produkt, på at sikre det, men kunderne skal kunne være trygge, og deres data skal kunne give værdi i produktet. Derfor handler det om at finde et sikkerhedsniveau, der passer til ens business case.

For at komme i mål med et passende sikkerhedsniveau er det derfor afgørende, at man forstår, at cybersikkerhed er et hybrid-produkt, som der skal tages ansvar for tværfagligt. Organisationen, teknologierne og forretningen skal alle tænkes ind – det sker sjældent, hvis det udelukkende er it-afdelingen, der har fået ansvaret for sikkerheden.

”Hvem skulle dog ville stjæle vores data?”

Det spørgsmål hører Laura Lynggaard Nielsen også fra virksomheder, der undrer sig over, hvem det er, der bryder ind i deres systemer. Men i dag ser vi nye risiko-scenarier, der handler om andet og mere end at få stjålet informationer. Der er selvfølgelig risikoen for at kompromittere personlige informationer i forhold til GDPR. Men for at ens databaserede produkt skal have værdi for kunderne, er det også vigtigt, at data skal være tilgængelige i ubrudte kæder – at der altså ikke lige pludselig er et udfald, hvor man ikke kan se data for en periode. Og man skal også kunne sikre integriteten, altså kunne bevise at ens data er korrekte. Alt det sættes over styr med et for lavt niveau af sikkerhed.

For at komme godt i gang, eller videre, med sin cybersikkerhed gav Laura Lynggard Nielsen en god tjekliste til, hvordan man sætter sig sammen og taler om det i ens virksomhed. For viden om sikkerhed er typisk fragmenteret i organisationen – så start med at finde ud af, hvem der ved hvad ud fra disse spørgsmål:

  • Har vi de kompetencer internt, der skal til? Hvis de skal hentes eksternt, hvordan sørger vi så for at have adgang til de kompetencer? Hvordan styrer vi det, og hvilke krav har vi, hvis vi sender det ud af huset?
  • Har vi det rette mindset omkring vores sikkerhed? Når man går fra fysiske produkter til digitale services, er det typisk ofte et skift fra engangssalg til løbende vedligehold – hvordan sørger vi for, at det kører, når vi har solgt det?
  • Hvordan er vores arbejdsgange omkring sikkerheden? Hvor er det forankret? Er det ledelsens ansvar eller it-teknikerens? Skal vi nedsætte et board, der kan være med til at vurdere niveauet?
  • Hvordan spiller det sammen med vores forretning? Ser vi det som en investering eller et nødvendigt onde?

At kunderne så kan have deres egne forestillinger om og krav til sikkerheden, samtidig med at der ikke er en endegyldig standard, man kan holde sig til, giver ligeledes nogle udfordringer. Men som et bud på noget, man vil kunne tage udgangspunkt i, anbefalede Laura Lynggaard Nielsen disse ressourcer omkring IoT-sikkerhed: ETSI 303 645 – Cyber Security for Consumer IoT – Baseline Requirements og The OWASP IoT Top 10 List of Vulnerabilities.

Security by design, isolerede informationer og test, test, test…

Alan Dybkjær fra MULTICUT og Karsten Handrup fra Kamstrup gennemgik på webinaret, hvordan de har løst nogle af deres sikkerhedsudfordringer.

Et godt råd gik igen – sørg for at holde informationer adskilt, så man udelukkende kan få adgang til præcis de data, man skal bruge. Produktionen skal være isoleret, så eksempelvis følere og sensorer ikke har internetadgang men fungerer i sit eget netværk, der så har en beskyttet bro over til administrationen.

Mens mange har fokus på virus, hackere og produktionsmaskiner med gammelt software, så bør man være opmærksom på, at ens medarbejdere også kan være en trussel. Hvis de ikke har den nødvendige oplæring, kan eksempelvise deres mobiler infiltreres, så udefrakommende kan få adgang til ens systemer ad den vej. Sørg også for at have logging og overvågning på alt!

Hos Kamstrup gik de derudover med til at blive en case for Aalborg Universitet, hvor studerende fik lov til at prøve at lave en penetreringstest af Kamstrups system. Selvfølgelig blev de juridiske aspekter afklaret på forhånd, og de studerendes ’angreb’ blev heller ikke udført i virkeligheden men i et setup i et el-laboratorium. De studerende afprøvede en række scenarier for at finde ud af, om man ville kunne snige sig ind i systemet – men de fandt intet kritisk.

Dog understreger lektor Rasmus Løvenstein Olsen fra Aalborg Universitet også, at sikkerhed aldrig er absolut, og hvis en hacker har en nation i ryggen, og dermed helt andre ressourcer, så er intet system helt sikkert – men mod den menige hacker var det sikkert. Derfor sluttede han også af med at konkludere, at sikkerhed skal tænkes ind fra starten (security by design) og tænkes ind løbende – for det er en kamp, der aldrig slutter; heller ikke når man har testet.

Webinaret blev holdt af MADE i samarbejde med CenSec og InfinIT.

Laura Møller