In English

    Tillverkning • Artikel

    23 november, 2021

    10 frågor att ställa till CISO:n inom tillverkningsindustrin

    Att vara CISO är ett omfattande arbete - inte minst för den som är verksam inom tillverkningsindustrin, som behöver ha koll på allt från tillverkningsprocesser till informationsflöden och ny teknik. Här är 10 frågor vår sakkunnige på Sentor anser att CISO:s inom tillverkningsindustrin bör kunna svara på.

    Den fjärde industrirevolutionen, eller Industry 4.0, håller just nu på att förändra tillverkningsindustrin i grunden. Många av de tillverkningsprocesser som tidigare sköttes manuellt sker idag digitalt, vilket skapar stora effektiviseringsmöjligheter i samtliga led. Men med alltmer uppkopplade processer står branschen inför nya utmaningar kopplade till cybersäkerhet. Inte minst har de senaste årens cyberattacker mot tillverkande bolag, däribland Gunnebo och Norsk hydro, visat hur sårbar den nya uppkopplade industrin kan vara.

    Paul Widén har lång erfarenhet av att arbeta med IT- och informationssäkerhet inom tillverkningsindustrin. Innan han kom till Sentor för snart 3 år sedan satt han som CISO på ett av Sveriges första tillverkande bolag i 10 år, och idag är flera av hans konsultuppdrag hos företag i branschen.

    Här är 10 frågor Paul tycker att CISO:s på företag inom tillverkningsindustrin bör kunna svara på.

    Har vi koll på våra IT-tillgångar?

    Ett första steg mot ökad informationssäkerhet är att ha koll på sina IT-tillgångar. Detta är lättare än gjort, då IT-miljön hos ett tillverkande företag i regel består av en uppsjö av olika system, tjänster och maskiner. Inte sällan är de inköpta från olika lokala enheter med varierande kunskap om IT i allmänhet och säkerhet i synnerhet. Detta resulterar i många fall i en djungel av okända komponenter, så kallad shadow-IT. För att kunna skapa en holistisk vy över IT-miljön behöver dessa tillgångar i första hand inventeras och registreras centralt.

    Hur klassificerar vi vår information?

    Information är en viktig tillgång för alla företag, så även de inom tillverkningsindustrin. För att säkerställa dess integritet, konfidentialitet och tillgänglighet behöver en så kallad informationsklassificering genomföras. Kortfattat innebär det att informationen som hanteras identifieras, grupperas och sedan klassificeras utifrån dess värde för verksamheten. Vissa typer av information är mer skyddsvärd än annan och behöver därmed hanteras på ett säkrare sätt.  

    Exempel på information som har ett högt skyddsvärde kan vara maskinnära programmering som styr tillverkningsprocesser, eller orderinformation till maskiner för att inte stoppa leveransprocessen. Annan skyddsvärd information är den som skickas från fabriken till externa SaaS-tjänster.

    Har vi gjort en risk assessment?

    En risk assessment är en övning som går ut på att utvärdera och dokumentera risker i verksamheten. Den baseras dels på informationsklassificeringen, men tar även hänsyn till andra delar av verksamheten, såsom affärskontinuitet, leverantörsrisker, efterlevnad av lagar och externa hot.

    Resultatet ger dig insikt och förståelse för organisationens säkerhetssituation, kunskap om event­uella gap som finns mellan befintligt läge och ett önskat framtida läge, samt vägledning för att nå dit.

    Hur kontrollerar vi trafikflödet?

    Den hårdvara och mjukvara som övervakar och styr de fysiska komponenterna i ett industriellt nätverk kallas ofta för Operational Technology (OT). Tidigare var OT isolerad från övriga internet i större utsträckning, men i takt med att allt fler processer och maskiner kopplas upp för att öka effektiviteten och tillgängligheten, ökar samtidigt exponeringen för nya hot. Det finns därför starka skäl att reducera trafikflödet mellan OT och övrig IT i så hög utsträckning som möjligt. Den trafik som behöver flöda mellan system internt och externt ska helst göra det genom extremt härdade och övervakade gateways. På så sätt får du ökad kontroll över vilken trafik som flödar in och ut ur miljön.

    För att reducera angreppsytan ytterligare bör nätverken segmenteras. Särskilt till de tillverkande maskinerna, som enbart bör kommunicera med de tjänster som är absolut nödvändiga för att maskinen ska fungera. Denna segmentering kan med fördel begränsas till enskilda maskiner (mikrosegmentering) för att säkerställa att en angripare som tar över en maskin inte automatiskt kan kommunicera med alla andra maskiner i fabriksnätet.

    Vem har åtkomst till vad?

    Med många anställda kan information lätt hamna i fel händer. Åtkomstkontroll, eller access management, är därför en viktig del av säkerhetsarbetet. Processen bygger på att access till information ges till den nivå som rollen kräver och inte mer. Genom att kontrollera och begränsa vilka som har åtkomst till vad kan informationsläckage förebyggas; både det som sker medvetet genom anställda, men även i de fall då angripare lyckas ta över användarkonton.

    När anställda eller konsulter behöver arbeta utanför kontorsnätet är verktyg som Citrix och VDI användbara. Utöver att det möjliggör säkert arbete på distans är verktyget praktiskt när anställda och/eller konsulter slutar, då accessen enkelt kan stängas ner.

    Hur ser våra backuprutiner ut?

    I händelse av en säkerhetsincident kan bra backuper innebära skillnaden mellan en fabrik som snabbt återhämtar sig och en som står still. I många fall saknas dock tillförlitliga backuper, som helst ska föras över och förvaras på en annan plats, till exempel på kontorsnätet. I allt för många fall består backupprutinen (för CNC-kod eller annan maskinnära kod) i ett USB-minne som ligger bredvid maskinen – när fabriken väl börjar brinna är en sådan backup inte mycket till hjälp.

    Är säkerhet en del av våra inköpsprocesser?

    En viktig sak som många företag missar är att etablera ett säkerhetstänk hos de som hanterar inköp av tillverkande maskiner. Det är framför allt viktigt att säkerställa att inköp av utrustning som är kopplade till maskiner är modulärt uppbyggda och utbytbara, och framför allt inte end-of-life redan från början. Annars är risken stor att det både blir en dyr och osäker historia i det långa loppet.

    Glöm heller inte styrsystemen, där mycket fokus tenderar att ligga på funktion och mindre på säkerhet. Använd samma metodik när du köper in maskiner och styrsystem som vid inköp av IT-system, där säkerhet i regel är en naturlig del av processen.

    Är produkterna vi levererar säkra?

    Idag är många av de produkter som tillverkas uppkopplade mot nätet, genom så kallad IoT. När dessa produkter sedan levereras ut till kund innebär det i praktiken att man har blivit en IT-leverantör. Med den uppgiften kommer många utmaningar, däribland att säkerställa att produkterna är säkra innan de placeras ut hos kund. Vad händer till exempel om en produkt som har en huvudsaklig funktion, till exempel att läsa av data i ett kärnkraftverk, även kan utnyttjas till andra saker, såsom att reglerera temperaturen?

    Att undvika sårbarheter ställer dels krav på att de som utvecklar produkterna har säkerhet i åtanke, samt att de alltid säkerhetstestas innan de sjösätts ute hos kund.

    Säkerhetstestar vi oss själva?

    En svår - men viktig - del i säkerhetsarbetet är att identifiera och åtgärda brister i IT-miljön. Svårt, eftersom miljön i de allra flesta fall består av en uppsjö av olika system och uppkopplade maskiner, och viktigt, eftersom sårbarheter kan leda till allt från informationsläckage till produktionsstopp.

    Det bästa sättet att ta reda på hur sårbar miljön faktiskt är, är att helt enkelt sätta en pentestare bakom brandväggen. Vid dessa tester identifieras i regel väldigt många brister, och det kan ibland vara svårt att veta i vilken ände man ska börja. Då gäller det att gå tillbaka och titta på sin risk assessment för att se vilka system som ska prioriteras, och därifrån beta av bristerna allt eftersom.

    Hur säkerställer vi regelefterlevnad?

    I dagsläget omfattas tillverkningsindustrin av färre regelverk kopplade till cybersäkerhet än vad exempelvis bank- och finanssektorn gör. Men med en ökande digitaliseringstakten kommer detta med stor sannolikhet förändras inom den närmsta tiden, inte minst när det kommer till regelverk som rör IoT. När det sker kommer de företag som har arbetat med strukturerad och riskdriven säkerhet ha ett stort försprång gentemot andra verksamheter. Ett effektivt sätt att sig an ett sådant arbete är att implementera ett omfattande ledningssystem, såsom ISO 27001. För ett stort industribolag kan en ISO-certifiering av hela verksamhet dock innebära ett oerhört stort arbete. Ett tips för att göra det mer lätthanterligt är att dela upp verksamheten och börja med att certifiera det som är viktigast, till exempel datacentren eller enskilda fabriker. Att göra på det här sättet underlättar dels arbetsbördan för alla inblandade, och gör det samtidigt enklare att sälja in projektet internt. När första delen väl är avklarad kan projektet skalas upp allt eftersom.

    Kontakta oss

    Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.