En krönika ska helst vara lite humoristisk, men det är lätt att hålla sig för skratt när det gäller it-säkerhet och skydd av kritisk infrastruktur.
Vi pratar inte längre bara om it-säkerhet, vi måste också ha med ot, operations technology, alltså drift av industriella kontroll- och styrsystem. Med it använder man teknik för att hantera information. Med it använder man liknande teknik men för "operations", alltså att kontrollera och styra fysiska saker. Det kan vara maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi.
Medan fokus inom it ofta ligger på att skydda hemligheter eller skydda data från röjande eller manipulation, är det inom ot oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet ser lite annorlunda ut. Men båda delarna behövs och är beroende av varandra.
Vi har haft vår beskärda del av incidenter på senare år, listan kan göras lång. Angreppet i maj 2021 mot Colonial Pipeline, den största bränsleledningen i USA, beskriver alltför väl sårbarheten hos kritisk infrastruktur. De stängde av sin pipeline i flera dagar efter att ha drabbats av ransomware (utpressningsprogram). Företaget betalade runt 5 miljoner dollar i lösen (varav de med FBI:s hjälp lyckades få tillbaka 3,5).
Energisektorn är ett attraktivt mål för it-angrepp. Digitaliseringen letar sig in på allt fler områden. Produktionsanläggningar är ständigt uppkopplade, maskiner kan fjärrstyras via internet och data kan utbytas inom några sekunder. Energisektorn måste förbereda sig på återkommande, frekventa, sofistikerade cyberattacker som det nya normala.
Utan riskbedömning och åtgärder stoppar man huvudet i sanden”
Allt säkerhetsarbete går i slutändan ut på att adressera risk. Utan riskbedömning och åtgärder stoppar man huvudet i sanden. Ot-säkerhet har mer likheter med it-säkerhet än man kan tro. Man måste utgå från en bedömning av vad som är värt att skydda, bygga sin strategi utifrån skyddsbehoven och utforma teknik och processer efter det. Det kan se olika ut beroende på hur hoten mot verksamheten ser ut. I båda miljöerna finns det standarder och praxis att tillämpa.
Säkerhet kan inte hanteras med optimism och böner, det kräver systematiskt arbete, därför lämnar jag några råd på vägen:
1. Det krävs resurser och ett brett deltagande inom verksamheten. Att anpassa ansträngningarna och tydligt peka ut ansvar är grundläggande för framgång.
2. Att inkludera it- och ot-säkerhet som en designparameter och som en del av företagskulturen hjälper till att förbättra resultaten.
3. Sofistikerade, frekventa hot kommer sannolikt att fortsätta öka, därför måste varje verksamhet analysera sina risker och vidta åtgärder för att lindra dem.
4. Liksom andra risker kräver hantering av cyberrisker mandat, medel, resurser och ansvar. Det är ledningens uppgift att se till att det finns.
5. Hitta former för att dela information om cyberhot, praxis och öka it-säkerhetsmognaden i hela sektorn, det höjer stabiliteten i branschen. Samarbeta med andra. Svagheten kan ligga utanför den egna organisationen.
6. Insikten att cyberangrepp kommer att fortsätta inträffa kräver planer som hjälper till att lindra skador från helt eller delvis lyckade angrepp. Praktiska övningar av sådana planer gör det dessutom möjligt att testa och förbättra både det egna försvaret och samarbetet med andra i sektorn.
Anne-Marie Eklund-Löwinder, It-säkerhetsexpert
