Sikring av OT – tiden er inne for målrettet innsats

Dagens trusselsituasjon krever at vi skreddersyr tiltak for å unngå alvorlige konsekvenser.

digi.no logo

Denne innlegget ble først publisert på digi.no 31. desember 2023.

 

I debattinnlegget «Utfordringar med OT-sikkerheit: Frå kaos til kontroll» beskriver Magnar Barsnes sikkerhetsmessige cowboytilstander i norske OT-systemer (operativ teknologi). På en billedlig måte får vi vite hva som venter dem med sikkerhetsambisjoner for sitt OT-miljø. For eksempel produksjonslinjer satt sammen av flere leverandører med hver sin tilnærming til sikkerhet. Likeså en flora av løsninger for å gi tilgang ved feilretting. Alt gjort med gode intensjoner for at produksjonen skal gå sin gang, men uten overordnede sikkerhetsføringer. I mange tilfeller er det sikkerheten til vår kritiske infrastruktur som blir overlatt til tilfeldighetene.

Hva er sikkert nok i dag?

Barsnes foreslår å begynne med synligheten. Skaffe oversikt over miljøet. Bruke denne informasjonen til å planlegge sikkerhetsforbedringer dag for dag. Jeg mener dette er en god tilnærming, men langt fra nok sett i lys av dagens trusselsituasjon.

Vi har en geopolitisk situasjon som tilsier at norske interesser er et mål. «Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser», sier Nasjonal sikkerhetsmyndighet (NSM). I mai i år ble dansk infrastruktur for kraftforsyning og fjernvarme angrepet i et koordinert angrep. 100.000 dansker kunne mistet strøm eller varme. Løsepengeangrep rammer i økende grad også OT, enten direkte eller gjennom tilkoblede IT-systemer.

Rett innsatsen mot indrefileten

Dersom vi har skaffet oss oversikt over OT-miljøet og startet et forbedringsprogram, hva bør være neste skritt? Målrettede angrep mot OT er svært alvorlige, både for virksomheten og samfunnet som helhet. Enhver bør derfor kartlegge sine «worst case»-scenarier. På den måten kan overvåkning og strakstiltak prioriteres til å beskytte de mest kritiske systemene.

I de fleste vellykkede angrep på kritiske systemer har angriper vært til stede i offerets infrastruktur over tid uten å bli oppdaget. Siden kritiske systemer til en viss grad er skjermet fra internett, må angripere trenge gjennom flere lag med beskyttelse.

Utnyttelse av nulldagssårbarheter (zero days) eller bruk av såkalt «living off the land»-taktikk er populært, blant annet fordi det er vanskelig å oppdage. Sistnevnte innebærer å misbruke maskiner, systemer og funksjonalitet som allerede finnes i infrastrukturen. På den måten slipper angriper å laste ned skadevare eller bruke andre velkjente teknikker. For å beskytte seg mot slike angrep, trenger man god oversikt over OT-systemets oppførsel i en normalsituasjon. Deteksjonsverktøy, logging og prosedyrer for overvåkning bør derfor skreddersys infrastrukturen. Dette vil øke sjansen for å oppdage mistenkelige avvik i tide.

Nina Hesby Tvedt. Foto: Ingar Sørensen

Nina Hesby Tvedt er kommersiell direktør i Secure-NOK. Her svarer hun på et tidligere innlegg i digi.no fra Magnar Barsnes i Conscia Norge om manglende sikkerhet innen operasjonell teknologi (OT). Foto: Ingar Sørensen