Der er i øjeblikket en grundlæggende ændring i cyberkriminelles metoder, som er direkte rettet mod hjertet af både international og svensk industri. Fokus er flyttet fra datatyveri til at lamme selve virksomheden. Ved at angribe og lukke ned for den operationelle teknologi (OT) – de systemer, der styrer fysiske processer i fabrikker, elnet og transport – kan angribere kræve løsepenge for at genoprette driften, vurderer Fortinet.

Ofte virkningsløs i et industrielt miljø

Ifølge Andreas Gotthardsson betyder det, at mange virksomheder lever med en skjult risiko, fordi deres traditionelle IT-sikkerhed ofte er virkningsløs i et industrielt miljø.

– At beskytte en fabrik på samme måde som et kontor kan få katastrofale konsekvenser. OT-miljøet har helt andre prioriteter og sårbarheder. Her handler det om at sikre uafbrudt produktion og fysisk sikkerhed – ikke om at beskytte e-mailservere, siger Andreas Gotthardsson.

Hans budskab til ledelserne er klart: Det er tid til at handle. Udviklingen kræver et skifte fra et reaktivt forsvar til en informeret og proaktiv sikkerhedsstrategi. I praksis betyder det, at forsvaret ikke længere alene bygger på generelle best practices. I stedet tager det udgangspunkt i konkret efterretningsinformation om angriberne – hvilke trusselsaktører der retter sig mod branchen, hvilke taktikker, teknikker og procedurer (TTP'er) de anvender, og hvilke sårbarheder de typisk udnytter.

Opdage angreb tidligt

Ved at kortlægge angribernes adfærd – gerne ved hjælp af rammeværker som MITRE ATT&CK for ICS – kan organisationer prioritere de rette sikkerhedsforanstaltninger. Forsvaret kan løbende testes mod realistiske angrebsscenarier, og indtrængen kan opdages tidligt i angrebskæden i stedet for først, når produktionen allerede er blevet forstyrret, mener Andreas Gotthardsson.

Må ikke baseres på antagelser

En informeret sikkerhedsposition indebærer også, at organisationens medarbejdere, processer og teknologi er samordnet omkring det samme trusselsbillede. Sikkerhedsteams, OT-ingeniører og ledelse deler en fælles forståelse af, hvordan et angreb kan se ud, hvordan det vil udvikle sig, og hvilke forretningsmæssige konsekvenser det kan få. Det gør det muligt at træffe velbegrundede beslutninger om risiko, investeringer og respons i stedet for at basere sig på antagelser, ifølge Fortinet.

For virksomhedens CISO og ledelse giver det følgende tjekliste:

• Identificér virksomhedens kronjuveler: Hvilke systemer er helt afgørende for driften?

• Luk hullerne: Gennemgå alle forbindelser mellem IT- og OT-netværkene. Ubeskyttede forbindelser er en åben dør for angribere.

• Beskyt det, der ikke kan opdateres: Ældre industrisystemer kan ofte ikke opdateres eller patches. Implementér kompenserende sikkerhedsforanstaltninger, der isolerer, segmenterer og overvåger disse systemer løbende.

• Operationalisér trusselsinformation: Sørg for, at viden om relevante trusselsaktører aktivt bruges til at styre detekteringsregler, procedurer for hændelseshåndtering og sikkerhedsinvesteringer – og ikke blot ender i kvartalsrapporter.

– Udfordringen er ikke længere kun teknisk; den er i høj grad strategisk. At ignorere risiciene omkring operationel teknologi er en forretningsrisiko, som ingen industrivirksomhed har råd til at løbe, afslutter Andreas Gotthardsson.