Er OT det nye gullet?
OT-sikkerhet er noe av det «hotteste» innenfor IT-sikkerhetsbransjen. Men hva er dette, og hvordan henger det sammen med it-sikkerhet?
Teksten ble først publisert hos Computerworld.
Det sies at penger i forbindelse med it-kriminalitet er verdens tredje største økonomi, og at verdien for lengst har passert den totale narkotikaomsetningen. Når vi leser trusselrapporter fra både myndigheter og verdens ledende sikkerhetsprodusenter, bekrefter de at trusselbildet er mer skjerpet enn noen gang og at it-kriminelle blir mer sofistikerte. Det resulterer i flere vellykkede angrep og flere penger som finansierer alt fra mer kriminalitet til både terror og krigføring.
Hva er neste store trussel?
Det siste alle verdens It-sikkerhetsprodusenter har kastet seg over er OT-sikkerhet. Men før vi går videre, må operasjonell teknologi (OT) forklares. OT benytter seg av maskinvare og programvare for å kontrollere, håndtere og overvåke industrielle prosesser i den fysiske verden.
Det kan for eksempel være innen energiproduksjon, transport og industriproduksjon, for å nevne noen områder OT benyttes innenfor. Det spås at markedet for sikring av OT, er det dobbelte av hva vi har sett i forbindelse med tradisjonelle nettverksløsninger. Dette åpner for enorme investeringer hos alle de sikkerhetsprodusentene som følger med i klassen. Dette er et kappløp der det gjelder å være tidlig ute med de sikreste løsningene.
OT-sikkerhet?
Tradisjonelt var OT-cybersikkerhet ikke nødvendig fordi OT-systemer ikke var koblet til internett. Men etter hvert som behovet for digital innovasjon og tilgjengelighet presser seg frem, har mange OT-nettverk blitt eksponert mot internett og angrepsflatene all tradisjonell it lider under. Vi vet at trusselaktørene sikter seg inn på OT-miljøene, både angrepsmetodikk og skadevare blir tilpasset. Rapporter viser til 87% økning fra 2021 til 2022 med tanke på løsepengevirus mot OT.
Dette skaper store problemer, fordi OT-nettverk blir brukt til å styre alt fra produksjon, transport, vannverk, olje og gass, kraftverk og store deler av all kritisk infrastruktur. Det er ikke vanskelig å skjønne viktigheten av å sikre OT-nett, og hvilke konsekvenser vi vil oppleve om man ikke tar dette alvorlig.
It-sikkerhet vs. OT-sikkerhet
OT-nettverkene har i utgangspunktet ikke teknologien som skal til for å være motstandsdyktig mot trusselbilde utenfor OT-miljøet. Det er er utrolig sårbart om en hacker kompromitterer it-sikkerheten og kommer seg inn i OT-systemet. Men, det er viktig å skille på begrepene her. For mange snakker om å beskytte OT-miljøer gjennom å sikre den tradisjonelle serveradministrasjon. Dette er ikke annen It-sikkerhet enn det it-sikkerhetsbransjen alltid har sikret.
Om det er OT, personopplysninger, eller annen data som går på serveren er uvesentlig for sikringsmetode. En annen sikkerhet er hvordan man sikrer seg inne i OT-nettverket, der helt andre protokoller er gjeldende.
En annen utfordring OT-sikkerhet lider av, er at ofte så rapporterer OT-nettverk og IT-nettverk til forskjellige roller i organisasjonen. Det resulterer i at to nettverkssikkerhetsteam hver beskytter halvparten av det totale nettverket. Dette kan gjøre det vanskelig å identifisere grensene for angrepsflaten, fordi disse ulike teamene ikke vet hva som er knyttet til deres eget nettverk.
Vi må tenke annerledes
Vi fra den tradisjonelle it-verden ser behovet for å bistå når de tradisjonelt «lukkede» OT-miljøene blir eksponert for internett med alle sine farer. Her handler det om både nettverksdesign, produkter og tjenester, og på veien må vi lære oss både bruksområder, produksjon, kontrollsystemarkitektur (SCADA) - og ikke minst språket til ingeniørene og maskinoperatørene som kan den operasjonelle siden. Parallelt med dette eksisterer det allerede en bransje som både produserer og vedlikeholder produksjonsmaskineriet. Her må veien gås opp, det må på plass mye for å avgrense ansvarsområder.
Vi må også akseptere at innen OT så er det normalt tilgjengeligheten som bestemmer. Står produksjone, så stopper raskt pengeflyten. Dette krever at sikkerhetsekspertene forstår andre forretningsprosesser og risiko.
Still krav til sikkerhetsleverandørene:
Sikkerhetsprodusenter som vil tilby sin portefølje inn mot OT-miljøene, bør sette fokus på å forstå de grunnleggende forretningsprosessene de ønsker å beskytte. Det holder ikke å argumentere for at man må sikre OT-miljøer fordi disse er «gamle».
Du bør alltid utføre en syretest på kompetansen til de som vil presentere en løsning. Det kan du gjøre gjennom å be disse å tegne nettverket på en tavle og plassere produkter og tjenester i dette. Her kan dere diskutere både hva løsningen tilfører av sikkerhet og ikke minst hvilke risikoelementer som gjelder: Om det er misbruk av system, sabotasje, stans av produksjon eller i verste fall fare for liv og helse dere løper.
Dette vil skape bedre dialog hvor forretningen er i fokus, og man fokuserer på å adressere de relevante risikoene innad i OT-miljøet.
Inntil skrivelysten tar meg igjen forbereder jeg meg til årets sikkerhetsdager, der det er flere av verdens ledende produsenter av It-sikkerhetsutstyr som vil stille med foredrag og kompetanse på OT-sikkerhet. Håper vi ses.