Operationel Teknologi (OT) er tæt forbundet med jeres mest forretningskritiske funktioner og processer. Hvad betyder det for jer, hvis de går i stå? Hvor langt et driftsstop kan I leve med?
Hos PwC oplever vi en stigende sammenhæng mellem OT og it, da flere systemer integreres og styres centralt, ofte via cloud. Samtidig har vi observeret en kraftig stigning i cyberhændelser, der påvirker OT-miljøer – både direkte angreb og afledte effekter af fx ransomware.
Derfor bør enhver virksomhed, der anvender OT, skabe sig et billede af risici, etablere et robust sikkerhedsmiljø og et effektivt beredskab. Det kan reducere konsekvenserne ved et cyberangreb og andre hændelser betydeligt.
Hvordan adskiller OT sikkerhed sig fra it-sikkerhed?
I industrien spiller automatisering og avanceret teknologi en stadig større rolle, og det øger behovet for at optimere virksomheders OT sikkerhed. Samlebånd, robotter, transportanlæg og filler-maskiner udgør rygraden i moderne produktionsmiljøer, hvor effektivitet og præcision er afgørende. Relæer og controllere sikrer stabil drift af elektriske systemer, mens pakningsudstyr optimerer håndteringen af produkter gennem hele værdikæden. Førerløse transportkøretøjer (AGV’er) bidrager til fleksibel intern logistik, og kedler leverer den nødvendige energi til industrielle processer. Også i sundhedssektoren spiller OT en central rolle med CT- og MR-scannere samt andet diagnostisk udstyr, der er uundværligt for moderne patientbehandling. Pumper er ligeledes afgørende – både i vandforsyning og i komplekse industrielle applikationer.
Samlet set viser disse eksempler bredden og kompleksiteten i OT-miljøer, hvor automatisering, sikkerhed og innovation går hånd i hånd. Hvor it-sikkerhed primært beskytter digitale aktiviteter og data, er OT sikkerhed tæt koblet til de fysiske processer, der holder produktionen, energiforsyningen og logistikken i gang. OT-systemer indeholder ofte mange it-komponenter som netværksforbindelser, servere og sensorer, men de er designet til at styre fysiske anlæg, hvor selv kortvarige udfald kan få alvorlige konsekvenser.
Derfor er der afgørende forskelle i prioriteringerne, hvor it-sikkerhed har fokus på at forhindre uautoriseret indtrængen og tab af data, mens OT sikkerhed først og fremmest handler om tilgængelighed og driftssikkerhed. Et angreb eller nedbrud i OT kan ikke blot stoppe produktionen og koste millioner – det kan i værste fald true medarbejdernes sikkerhed eller samfundskritiske funktioner, fx hvis en kedel eksploderer, eller en gasdetektor kompromitteres.
Hvorfor er OT sikkerhed kritisk for forretningen?
OT er tæt integreret i virksomheders fysiske processer, hvorfor et nedbrud i et OT-system kan stoppe hele jeres produktion og forsyning – det kan have alvorlige konsekvenser for sikkerheden og i værste fald true menneskers liv.
Konkrete eksempler på cyberangreb specifikt rettet mod OT sikkerhed er fx angreb, der er designet til at deaktivere eller manipulere virksomheders SIS (Safety Instrumented Systems), så de mister evnen til at aktivere nødstop, trykaflastning eller brandslukning. Angreb på SCADA-niveau kan give hackere mulighed for at ændre måleværdier eller skjule fejl.
Desuden er mange sektorer underlagt lovkrav om OT sikkerhed, for eksempel i forbindelse med NIS2. Det gælder bl.a. virksomheder inden for forsyning, transport, fremstilling og sundhed. NIS2 stiller skærpede krav til risikostyring, dokumentation, hændelseshåndtering, beredskab, leverandørstyring og værdikædesikring.
Hvilke udfordringer påvirker arbejdet med OT sikkerhed?
Arbejdet med OT sikkerhed udfordres både af tekniske, kulturelle og organisatoriske barrierer.
Mange OT-systemer, som styrer og overvåger de industrielle processer, er ældre, designet uden hensyn til cybersikkerhed og svære at beskytte. I nogle tilfælde er systemerne så sårbare, at selv en genstart eller sikkerhedsscanning kan være risikabel.
Samtidig er OT ofte præget af mangelfuld dokumentation, hvor vigtige oplysninger kun findes som tavs viden hos driftspersonalet. Det betyder også, at dokumentationen i forbindelse med et sikkerheds-incident er fuldstændig ubrugelig, og man mister i bedste fald værdifuld tid til genetablering.
Kulturforskelle er også en væsentlig faktor. OT er typisk drevet af folk med håndværksmæssig eller teknisk baggrund med andre tilgange til opgaven end it-ansatte. Hos PwC har vi oplevet it-afdelinger, der ikke fuldt ud forstår vilkårene i OT. Fx er driftspersonale ofte nødt til at acceptere sårbarheder, fordi nedetid vægtes højere end datatab.
De underliggende årsager til disse udfordringer findes ofte i organisationens generelle kultur og ledelse. I mange virksomheder, er OT sikkerhed underprioriteret. Det kan virke paradoksalt, fordi de samme virksomheder ofte har højt fokus på andre former for fysisk sikkerhed såsom sikkerhedstræning, brandberedskab og arbejdsmiljø.
Hvordan bør I strukturere arbejdet med OT sikkerhed?
Ansvaret for cybersikkerhed, og dermed OT sikkerhed, ligger hos bestyrelse og ledelse. OT sikkerhed er et spørgsmål om at sikre forretningskontinuiteten, da nedbrud ikke blot kan påvirke jeres egen forretning, men også kunder og leverandører i forsyningskæden, ligesom I selv er afhængige af jeres forsyningskæde. Derfor er forretningens ledelsesinvolvering afgørende, hvis OT sikkerheden skal forbedres. Ledelsen skal kende risikobilledet, og hvad der er vigtigt at beskytte. De skal godkende politikker, prioritere ressourcer og selv modtage træning.
Første skridt mod bedre OT sikkerhed er en detaljeret kortlægning af jeres OT-miljø, der identificerer de forskellige kritiske OT-systemer. I bør også undersøge og dokumentere, hvordan de kommunikerer indbyrdes og med resten af jeres it-infrastruktur.
På baggrund af kortlægningen kan I kategorisere dataflows, og de forskellige sårbarheder og risici og prioritere, hvilke sikkerhedsforanstaltninger I vil implementere. I kan bl.a. isolere sårbare systemer, få bedre styr på backup, styrke den fysiske sikkerhed og arbejde med beredskabsplaner og træning af driftspersonale.
Flere internationale standarder danner en stærk ramme for arbejdet med cybersikkerhed og OT sikkerhed. Det gælder især IEC 62443 og NIST SP800-82, der er målrettet industrielle kontrolsystemer. Andre standarder så som ISO 27001/2 og NIST CSF fungerer som gode overordnede styringsrammer for cyber- og informationssikkerhed.
Når de grundlæggende sårbarheder er dækket ind, bør I gennemføre en analyse, der kan identificere yderligere svagheder og omsættes til en langsigtet handlingsplan, der kan sikre varige forbedringer af OT sikkerheden. OT sikkerhed er en vedvarende opgave, der kræver en strategisk tilgang og løbende prioritering.
Sådan kan PwC hjælpe
Vi hjælper jer med at få det fulde overblik over jeres OT-miljø, udarbejde en plan for de mest kritiske sikkerhedsforanstaltninger og etablere en arkitektur, der både styrker jeres OT sikkerhed og cybersikkerhed.
Vores strukturerede tilgang afdækker systematisk alle problemer, finder de mest velegnede løsninger og faciliterer forandringerne gennem hele organisationen. I får en operationel model, der fungerer i praksis og bygger bro mellem risikovurdering og ledelse, så der kan prioriteres og handles, uden at gå på kompromis med hverken drift eller sikkerhed.
Vi kan også tilbyde operationel Incidence Response, hvor vi overvåger og håndterer trusler mod både jeres it og OT.
Kontakt os for en uforpligtende dialog om, hvordan vi sammen kan styrke jeres OT sikkerhed.
