Vigtigheden af transparens i industrielle sikkerhedssystemer

Cybersikkerhed er et aspekt af ens elektronikprodukter, man er nødt til at kigge på, når der skal laves kravsspecifikationer til nye moduler og installationer. Krav til cybersikkerhed omfatter blandt andet adgangskontrol, softwareopdateringer og overvågning.
Af Jeppe Pilgaard Bjerre, FORCE Technology

Cybersikkerhed i industrien og kritisk infrastruktur kan der vist ikke være tvivl om vigtigheden af. Om det drejer sig om en PLC i et lille produktionsanlæg eller et kontrolcenter på et kraftværk, så kan det have omfattende konsekvenser, hvis dette ikke længere fungerer efter hensigten.

På samme vis er cybersikkerhed et aspekt af ens elektronikprodukter, man er nødt til at kigge på, når der skal laves kravsspecifikationer til nye moduler og installationer. Ligesom man stiller grundlæggende funktionelle krav til hvad og hvordan sensorer og aktuatorer tilsluttes, skal man også stille krav til cybersikkerheden i form af adgangskontrol, softwareopdateringer og overvågning.

Efterhånden som anlæg bliver mere automatiserede, vil der også være en langt større grad af digital kommunikation imellem enheder af forskellige typer og fabrikat. Her er det essentielt, at man har overblik og indblik i hvilke enheder, der understøtter hvilke sikkerhedsmekanismer.

Kort sagt så skal der stilles krav til de miljøpåvirkninger, som et produkt vil blive udsat for i det respektive miljø – præcis som både udviklere og aftagere allerede gør i forhold til termomekaniske- og EMC-påvirkninger.

Den menneskelige udfordring

En stor del af udfordringen med cybersikkerhed er forbundet med de personer, der benytter og arbejder med de underliggende systemer. En stor del af de hårde cyberangreb, der har fundet sted i nyere tid, har skyldtes menneskelige fejl. For eksempel angrebet på det ukrainske elnet i 2015, som startede med et spear-phising-angreb, hvor en medarbejder blev snydt af en e-mail.

Udfordringen med det menneskelige aspekt er, at det er langt sværere at ændre menneskelig adfærd, end det er at ændre koden i et stykke software. Derfor er det nødvendigt at stimulere en virksomhedskultur, hvor der bliver talt åbent om it-sikkerhed, og hvor medarbejderne har fokus på det i dagligdagen. Det være sig fornuftig omgang med passwords og interne dokumenter, og at medarbejderne kan spotte phising-mails og ved, hvad de skal gøre, hvis de har mistanke omkring et sikkerhedsmæssigt problem.

En måde at håndtere det menneskelige aspekt kan være at benytte ISO27001 eller IASME. Disse standarder kan være en hjælp for virksomheden under selve implementeringen og vedligeholdelsen af sikkerhedsprocesser, for eksempel stillingtagen til hvordan man håndterer opsigelse af medarbejdere og hvordan man har fornuftig omgang med risikostyring.

Cybersikkerhed er en fælles opgave

For at sikkerhedsniveauet i Danmark kan blive højnet, er det essentielt at forstå, at det er en opgave, der skal arbejdes med i fællesskab – både mellem det offentlige og private sektor, men også virksomheder i mellem.

Det er vigtigt, at vi indbyrdes advarer andre om igangværende angreb, og at vi deler viden og erfaringer med hinanden. Det nytter ikke noget, at vi begynder at konkurrere med hinanden omkring dette, da der ligger en samfundsmæssig interesse i, at de systemer, vi har berøring med, lever op til et fornuftigt minimum af sikkerhed. Specielt hvad angår kritisk infrastruktur: hvis et kraft- eller vandværk bliver udsat for cyberangreb, skal andre gøres opmærksomme på det, så de kan undersøge, om de også er under angreb.

Det er klart, at der er informationer omkring kritisk infrastruktur, som offentligheden ikke har behov for at have indsigt i. Her bør der dog stadig være mulighed for at drøfte udfordringer og problemstillinger i et konfidentielt forum med andre, der er i samme båd.

Offentlighedens rolle

Cybersikkerhed er et emne, som bør have det offentliges fokus. Vi er simpelthen nødt til at få italesat de udfordringer, som findes i teknikken, der er installeret rundt omkring på hospitaler, kraftværker og andre instanser, som vores samfund er afhængige af. På samme måde som vi sikrer, at vi har nødstrømsanlæg og mekanismer til at håndtere udfald på elnettet, bør vi også arbejde for at sikre de digitale dele, som vores samfund er afhængig af.

Danmark er ét af de mest digitaliserede lande i verden, hvilket vi kan være stolte af, men det medfører også, at vi har behov for en ansvarsfuld kultur hvad angår cybersikkerhed. Vi er nødt til at tage hånd om både personfølsom datahåndtering og de operationelle elementer i industrien fx SCADA-systemer, frekvensomformere og lignende. Her er det vigtigt at kunne trække på erfaringer fra it-verdenen, da der er store mængder viden, som overlapper.

Det er i vores alles interesse, at dette emne har fokus, både fra industriens og offentlighedens side. Cybersikkerhed er ikke et emne, som mange tænker på i dagligdagen, men på trods af det, bliver der indarbejdet en kultur i befolkningen, som man er nødt til at forholde sig til.

Du kan læse den fulde artikel her

 

Foto: FORCE Technology