Vil man gøre sig klogere på problemstillingerne indenfor OT, er sikkerhedsekspert Mikael Vingaard den rigtige person at tale med. Mikael har arbejdet med IT-sikkerhed de sidste 20 år og udelukket med OT sikkerhed siden 2014 og driver i dag én af verdens førende ICS/SCADA honeypot netværk, der bl.a. giver ham indblik i angrebstendenser og i bestemte hackergruppes aktiviteter og mønstre. Han er én af de kun tre danske medlemmer af det globale og eksklusive Beer-ISAC netværk, hvor han besidder én af de i alt kun 200 mønter, som netværket uddeler til dem, som har bevist de kan noget. Derudover har Mikael en særlig hobby i at købe gammelt udstyr på eBay, hvor han leder efter sårbarheder, som leverandører enten ikke kender, eller har opdateret. Alt dette gør Mikael, ikke blot fordi han kan, men fordi han i bund og grund er drevet af nysgerrighed og fordi han gerne vil gøre en positiv forskel og give indblik til dem, der søger det.
Vi tog en snak med Mikael, hvorfor OT-sikkerhed er hot topic og hvorfor industrielle netværk, er ét af de mest kritiske områder i sikkerhedsbranchen, både i forhold til mangel på kompetencer og sårbarhed. Men også om løsningen og hvad den enkelte IT/OT-sikkerhedsansvarlige kan gøre, for at imødekomme disse udfordringer.
Større forbundenhed og øget eksponering
Indenfor de sidste 5-10 år har vi med cyberangreb, som dem på Hydro og Ukraines elnetværk erfaret, at er OT blevet mere interessant for cyberkriminelle. Det er nemlig et område, hvor man kan udrette stor skade, både for virksomheder, men også på et helt lands kritiske infrastruktur services. ”Det er en effektiv og nyttig måde at lave ustabilitet på, men der er også flere elementer i, hvorfor OT er blevet så vigtigt” lyder det fra Mikael.
Det hænger sammen at vi begynder at være mere og mere forbundet – også indenfor OT-miljøer, der hidtil har levet i egne lukkede og utilgængelige netværk. Digitalisering er ikke længere en mulighed, men en præmis for både produkter til forbrugere, såvel som industrier i nutidens samfund, hvilket især rammer industrielle produktionsmiljøer;
“Vores varmepumper og elmålere skal gerne kunne snakke med vores forsyningsleverandør og det kræver, at der bliver lukket op i den tidligere lukket borgmur”
Når disse industrier moderniseres i stræben efter operationel effektivitet og bedre konkurrenceevne, eksponeres gamle systemer fra helt nye vinkler, der medfører en større angrebsflade. Det er en væsentlig årsag til at OT-sikkerhed, har fået større bevågenhed.
Hvad gør OT sikkerhed så komplekst?
Én af de helt åbenlyse årsager, er vigtigheden af, at udstyret og systemerne bliver ved med at køre, da de varetager kritiske funktioner. De kan ikke på samme måde, som traditionelle IT-systemer ”bare” opdateres med nyt software. Dertil kommer, at der hverken er tid, eller råd til at snakke risikoappetit i OT-miljøer på samme måde, som man gør indenfor IT-sikkerhed. Dette fører Mikael til pointen, om en mere central (og organisatorisk) problemstilling forbundet med OT og IT-folks forskellige anskuelser på sikkerhed. De deler ikke nødvendigvis samme virkelighed – og det kan kræve sin brobygger;
”Når jeg er ude på opgaver, hvor jeg skal få IT og OT til at snakke sammen, er det nogle gange lidt, som at være en form for ægteskabsrådgiver, fremfor en teknisk specialist”
Indenfor IT-sikkerhed lærer man, at Fortrolighed (confidentiality) er dét, der skal beskyttes, hvor det i industriel sikkerhed gælder om at sikre Tilgængelighed (availability), og at processerne kan blive ved med at køre. Og som Mikael påpeger, er begge synspunkter valide og nødvendige, da de i fællesskab er med til at sikre og beskytte virksomheden.
Men der ligger en organisatorisk opgave i at facilitere en fælles forståelse, frem for at dyrke en intern skyttegravskrig mod hinanden. Det er især nødvendigt med tanken om, at nogle OT-systemer slæber på en mere end 25 års teknologisk gæld, som gør det væsentligt at tilgå dem med respekt og rette forsigtighed. Især når de fremover i højere grad skal kommunikere og sættes i forbindelse med moderne netværk.
Hvordan løfter man sikkerheden i sit OT-miljø?
Det behøver det ikke koste spidsen af en jetjæger at løfte sikkerhedsniveuaet i sit OT-miljø. Ifølge Mikael, kan den enkelte OT/IT sikkerhedsansvarlige komme langt ved at skrue på de knapper, man har til rådighed. Særligt tre indsatser, gør han opmærksom på.
Mennesket er en væsentlig knap at skrue på, hvorfor kompetenceudvikling er vejen frem. Hertil påpeger Mikael, hvordan tilgangen inden for OT-kompetenceudvikling ofte har været at lære IT sikkerhedsfolk om OT-udstyr. Han mener, at man med fordel kan vende fortegnet og tage ingeniører, automatiseringsteknikere etc., som i forvejen beskæftiger sig med systemerne og maskinerne, og klæde dem på med viden om IT-sikkerhed. Det har Mikael god erfaring med fra sine kurser, da han oplever at baren for at lære industriel sikkerhed, kan være væsentlig højere, end dén for IT-sikkerhed.
Skab god kommunikation mellem faggrupperne, lyder det også. På sine kurser, har Mikael tydeligt oplevet, hvordan IT og OT-folk kan lære noget af hinanden. Her havde en IT-sikkerhedsmand, der før så OT som dinosaurus IT, fået øjnene op og respekt for systemernes kompleksitet – og en automatiseringsingeniør på samme kursus opdagede, hvor let det var at hacke deres udstyr. Som IT/OT-sikkerhedsansvarlig er det vigtigt at facilitere en fælles forståelse, for da bliver det mere tydeligt, hvordan OT og IT kan spille sammen mod at sikre virksomheden bedst.
Derudover, er det vigtigt som sikkerhedsansvarlig at kende sit industrielle netværk. Modsat et dynamisk IT-netværk med computer og mobile enheder, der kommer og går, er kommunikationen mellem enheder i industrielt netværk, meget statisk og forudsigelig. Har du derfor styr på dit netværk, kan du hurtigere spore tegn på uregelmæssigheder, før de bliver alvorlige.
Det er i hvert fald Mikaels klare holdning, at den ’komplette’ løsning er utopi; ”Den slags magiske enheder findes ikke”, siger han og fortsætter ”at løfte sikkerhedsniveuaet i OT kræver en sammenhæng mellem mennesker, processer og teknologi”. Sådan lyder det rigtige mindset ifølge ham, når det kommer til dilemmaerne og behovet for dén transformation, som industrielle OT-miljøer står over for.
__________________________________________________________________________
Mikael Vingaard arrangerer løbende kurser i OT-sikkerhed for nye såvel som erfarne brugere. For mere information og tilmelding, gå til: OT Academy.
