Fagblogg | NetSecurity

Effektiv sikkerhetsstyring for IT-OT integrasjoner og leverandørhåndtering

Skrevet av Daniel Ourom-Swart | 10. desember 2024 08:24:06 Z

De siste tiårene har vi sett en betydelig økning i integrasjon, digitalisering og effektivisering av industrianlegg.  Virksomheter står nå overfor en økende kompleksitet på grunn av integrasjoner mellom IT og operasjonell teknologi (OT), bruk av skyløsninger og økt bruk av 4G- og 5G-løsninger for kommunikasjon. Denne utviklingen har revolusjonert måten vi driver forretning på, men har samtidig introdusert nye utfordringer knyttet til sikkerhet. Spesielt for OT-miljøer blir det viktig å håndtere disse utfordringene gjennom en risikobasert tilnærming.

Vi vil i tiden fremover se økt integrasjon for effektivisering av driften. Vi må tilrettelegge for en sikker integrasjon som resulterer i en effektiv, pålitelig og sikker drift.

I dette blogginnlegget tar vi for oss:

  1. Utfordringer med økende grav av integrasjoner
  2. Status for leverandørsikkerhet
  3. Hva som kreves i henhold til lov om digital sikkerhet (NIS2)
  4. Hvordan du kan bygge en motstandsdyktig leverandørkjede ved å anvende en risikobasert tilnærming

Økt kompleksitet gjennom digitalisering og integrasjon

Digitalisering har åpnet for nye muligheter innen effektivisering og innovasjon. Bruk av teknologier som maskinlæring, kunstig intelligens og industriell IoT har forbedret produktiviteten og skapt nye forretningsmodeller. Integrasjonen mellom IT- og OT-systemer bidrar til bedre informasjonsflyt og beslutningsgrunnlag.

Den økte integrasjonen fører imidlertid til større kompleksitet. Flere systemer er koblet sammen, noe som potensielt resulterer i flere sårbarheter og nye angrepsflater. Konvergensen mellom IT og OT utfordrer tradisjonelle sikkerhetsmodeller, da OT-systemer ofte har andre krav og begrensninger enn IT-systemer. For eksempel kan oppdateringer og sikkerhetsoppdateringer som er vanlige i IT-verdenen, være vanskeligere å implementere i OT-miljøer på grunn av krav til oppetid og stabilitet.

For å håndtere denne kompleksiteten er det nødvendig med en risikobasert tilnærming. Dette innebærer å identifisere hvilke integrasjoner og systemer som er mest utsatt, vurdere potensielle konsekvenser av sikkerhetsbrudd og prioritere tiltak basert på risiko.

Hvorfor dette skaper utfordringer

Den økte kompleksiteten som følge av digitalisering, integrasjon og effektivisering skaper betydelige utfordringer for virksomheter. Når systemer og prosesser blir mer sammenkoblet, øker antallet potensielle sårbarheter og angrepsflater. Dette gjør det vanskeligere å opprettholde oversikt og kontroll over sikkerheten i alle deler av virksomheten.

OT-systemer er ofte eldre, proprietære og designet for stabilitet og tilgjengelighet fremfor sikkerhet. Integrasjonen med moderne IT-systemer kan eksponere OT-systemene for trusler de ikke er rustet til å håndtere. Dette øker risikoen for at sikkerhetshendelser kan oppstå og få alvorlige konsekvenser for virksomheten.

Manglende oversikt over leverandørkjeden kan også føre til at virksomheter ikke er klar over hvor sårbare de faktisk er. Kompleksiteten gjør det utfordrende å identifisere og vurdere risikoer knyttet til hver leverandør og integrasjon. Uten en helhetlig forståelse av hvordan alle komponenter og aktører henger sammen, blir det vanskelig å implementere effektive sikkerhetstiltak. Dette kan resultere i at sårbarheter forblir uoppdaget, og at virksomheten blir mer eksponert for cyberangrep.

Vi ser også at inkonsistente tilnærming og implementering av sikkerhetstiltak på tvers i en organisasjon kan øke kompleksiteten. Ulike avdelinger kan ha ulik tilnærming til cybersikkerhet, noe som skaper svakheter som trusselaktører kan utnytte. Dette øker risikoen for virksomheten ved at sårbarheter kan utnyttes til å forårsake økonomiske tap, skade omdømmet eller forstyrre kritiske tjenester som resulterer i nedetid og i verste fall utgjøre skade på menneske, miljø og anlegg.

Status for leverandørsikkerhet

Til tross for at flere virksomheter har god intern sikkerhet, viser det seg at trusselaktører ofte utnytter svakheter hos underleverandører. Slike leverandører kan være mindre modne når det gjelder sikkerhetspraksis og dermed lettere å kompromittere. Dette er spesielt problematisk i en tid hvor vi ser at virksomheter er tett integrert med sine leverandører, og en hendelse hos én aktør kan få ringvirkninger gjennom hele verdikjeden.

Telenors rapport "Digital sikkerhet 2023" nevner utfordringer knyttet til leverandørkjeder hele 71 ganger, noe som understreker hvor aktuelt og krevende dette temaet er. Mange virksomheter har kanskje ikke ressurser eller kompetanse til å følge opp leverandørsikkerhet på en tilfredsstillende måte, eller det blir ikke prioritert høyt nok.

Et eksempel er en fabrikk som har satt bort vedlikehold av sine produksjonslinjer til en ekstern leverandør. Denne leverandøren har fjernadgang til fabrikkens kontrollsystemer. Dersom leverandøren ikke har robuste sikkerhetstiltak, kan en angriper utnytte denne tilgangen til å forårsake produksjonsstans eller manipulere produksjonsprosesser.

Ifølge NVE-rapporten "Digital sikkerhet i energisektoren" (2024), er energisektoren spesielt utsatt for slike trusler på grunn av høy grad av digitalisering og kompleksitet i leverandørkjeden.

Hva kreves i henhold til lov om digital sikkerhet?

Med innføringen av NIS1-direktivet stilles det strengere krav til virksomheters håndtering av digital sikkerhet, inkludert leverandørsikkerhet. Direktivet krever at virksomheter:

  • Utfører risikovurderinger av sine leverandørforhold.
  • Implementerer sikkerhetstiltak basert på identifiserte risikoer.
  • Sikrer at leverandører har nødvendige tiltak for å beskytte mot cyberangrep.
  • Har klare sikkerhetskrav som også gjelder for underleverandører.

Dette innebærer at virksomheter må integrere sikkerhetsstyring i alle deler av organisasjonen, med spesielt fokus på risiko og kompleksitet i leverandørkjeden.

Hvordan bygge en motstandsdyktig leverandørkjede med en risikobasert tilnærming?

Første skritt er å kartlegge og få en oversikt over alle leverandører og avhengigheter for å forstå hvordan de påvirker din virksomhet. Identifiser hvilke leverandører som er kritiske for daglig drift, og hvordan de er integrert med systemer og prosesser. Ved å kartlegge leverandørkjeden kan du bedre vurdere sårbarheter og potensielle angrepsvektorer. Bruk eksisterende leverandørvurderinger som benyttes for virksomheten og kategoriser leverandørene basert på kritikalitet og risiko for å prioritere innsatsen der den trengs mest.

En risikobasert tilnærming krever systematisk identifisering og vurdering av risikoene knyttet til hver leverandør. Start med å vurdere de potensielle konsekvensene dersom en leverandør blir utnyttet og vurder sannsynligheten for at det vil inntreffe basert på eksisterende tiltak og praksis som etterleves. NIST SP 800-161 kan brukes som veiledning i risikostyring av leverandørkjeden.

Klare og tydelige sikkerhetskrav i kontraktene sikrer at leverandørene forstår og forplikter seg til å håndtere risiko på en måte som er i tråd med din virksomhets behov. Sikre at dere har revisjonsrettigheter for å kunne gjennomføre sikkerhetsrevisjoner av leverandørene. Det er viktig å revidere leverandører for å sikre etterlevelse og måle modenhet. Revisjoner er en arena hvor en kan skape felles risikoforståelse. Det bør være tydelige forventninger til hendelsesrapportering og kommunikasjon ved sikkerhetshendelser.

Effektive rutiner for å håndtere sårbarheter og endringer er essensielle for å redusere risikoen for at sårbarheter blir utnyttet. God praksis er å følge IEC62443-2-4 for å sette krav om å rapportere om sårbarheter igjennom leverandørkjeden slik at anleggseiere og operatører blir oppdatert om sårbarheter som gjelder disse og testing av sikkerhetsoppdateringer i forkant når relevant.

En risikobasert tilnærming krever en sterk sikkerhetskultur og effektive styringsmekanismer. Toppledelsen må være involvert for å sikre forankring, ressurser og støtte for å følge opp leverandørsikkerhet. Klare roller og ansvar knyttet til sikkerhet innen organisasjonen må på plass, også for OT. Vi opplever at dette ofte er på plass for IT, men ikke nødvendigvis OT. Relevant opplæring og bevisstgjøring for de ansatte, spesielt operatører, ingeniører og programmere må på plass slik at sikkerhet blir ivaretatt både på IT- og OT-avdelingene.

Rolleforståelse, test av kommunikasjonsplaner og samhandling mellom aktørene testes gjennom øvelser av beredskapsplanverk. Dette for å sikre en koordinert og effektiv respons ved hendelser. I tillegg er slike øvelser en arena for å diskutere sikkerhetsspørsmål, skape felles situasjonsforståelse og kunnskapsdeling, ikke minst for å forbedre fremtidig dynamikk mellom partene i eventuelle sikkerhetshendelser.

Til ettertanke

Leverandørsikkerhet er ikke noe man gjør en gang og ferdig med det. Det er som all sikkerhetsarbeid- det er en kontinuerlig prosess og er dynamisk på grunn av stadig endringer i trusselbildet og sårbarhetsflate.

Et eksempel er en virksomhet som implementerer et nytt IoT-system for sanntidsovervåking av produksjon. Dette systemet integreres med både interne IT- og OT-nettverk og leverandørens systemer, noe som øker kompleksiteten og introduserer nye risikoer. Ved å være proaktiv og kontinuerlig evaluere risikoen, kan virksomheten håndtere disse utfordringene effektivt.

Det er viktig å stille seg selv noen kritiske spørsmål for å bedre forstå og håndtere risikoen:

  • Hvordan påvirker økt kompleksitet risikoen i din leverandørkjede?
  • Har du en risikobasert tilnærming som tar høyde for digitalisering og integrasjon?
  • Hvordan kan du og dine leverandører samarbeide for å håndtere denne kompleksiteten?
  • Hva er konsekvensene hvis risikoene ikke håndteres effektivt?

Leverandørsikkerhet i OT-miljøer er en utfordring som krever en helhetlig og risikobasert tilnærming. Den økte kompleksiteten som følger med digitalisering og økt bruk av integrasjoner gjør det nødvendig å jobbe systematisk med sikkerhet. Ved å forstå denne kompleksiteten og implementere effektive sikkerhetsstyringsstrategier i tråd med NIS2-direktivet, kan virksomheter bygge en motstandsdyktig leverandørkjede. Slike strategier inkludere å ta i bruk IEC62443-rammeverket for å sikre felles forståelse for sikkerhetsarbeid og et felles stammespråk i leverandørkjede.

Sikkerhet er ikke en isolert oppgave, men et felles ansvar som krever engasjement fra hele organisasjonen og et tett samarbeid med leverandører.

Les også: Ekstern rapport NVE: Gjensidige avhengigheter av IT og OT i kraftforsyningen 

Referanser:

  • NIST SP 800-161 Rev. 1: Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
  • ENISA: Threat Landscape for Supply Chain Attacks
  • Telenor: Digital sikkerhet 2023
  • NVE-rapport: Digital sikkerhet i energisektoren (2024), av Netsecurity
  • IEC62443-2-4 Security program requirements for IACS service providers