Ti gode råd til at styrke OT-sikkerheden i din virksomhed

23. februar 2023

Ti gode råd til at styrke OT-sikkerheden i din virksomhed

Sådan beskytter du det fysiske produktionsapparat mod cyberangreb.

I takt med nye cybertrusler og angrebsflader bliver sikkerheden af den operationelle teknologi (OT) et fortsat vigtigere indsatsområde. Men hvordan sikrer man sit produktionsapparat mod farerne fra cyberspace? Herunder finder du 10 gode råd, som kan hjælpe din virksomhed med at få styr på OT-sikkerheden:

1. Risikovurdering og risikoanalyse

Vær bevidst om risici og prioriter dem, så I ved, hvor I skal fokusere kræfterne og mitigere risici.

2. Foranstaltninger

Kvalificer og udpeg de rette handlinger og foranstaltninger, fx nødplaner og backup, der er nødvendige for lige netop jeres virksomhed.

3. Løbende opdatering  

Hold risikovurderingen opdateret og vurder løbende om jeres forretning har ændret sig, og om verdenen ser anderledes ud. Fx får medicinalproduktion under en pandemi måske en anden sikkerhedsprofil end tidligere.

4. Passwords og validering

Anvend stærke passwords. OT-systemers passwords skal kun kendes af dem, der bør have adgang, og de bør, så vidt muligt, læne sig op ad organisationens øvrige password-politik med mulighed for at modificere i forhold til risici.

5. Produktionsnetværket

Det er afgørende at have et klart og detaljeret billede af virksomhedens infrastruktur, og hvilke enheder der er forbundet i organisationens netværk, hvordan de er forbundet, og om de er sat op som ønsket, for at virksomheden kan implementere de nødvendige autorisationsniveauer og anskaffe sig et passende cyberforsvar.

6. Opdateringsprocesser

Der er store sikkerhedsrisici forbundet med ikke at opdatere programmer og styresystemer til tidssvarende systemer. Samtidig kan der være andre risici forbundet ved softwareopdateringer af OT, f.eks. kan en genstart af systemer have indflydelse på kritiske systemer og i sidste ende være dyrt. Derfor er det vigtigt at tage beslutninger om opdateringer på et oplyst grundlag.

7. Krav til produkter

Standarder er et godt redskab til at opsætte krav til de produkter, der findes i jeres installationer. Hvis man fx benytter standardserien IEC 62443 som reference, er det lettere at påpege overfor en leverandør, hvilke krav deres produkter skal leve op til, og man mindsker derved problematikken omkring, hvornår et produkt er ’sikkert nok’.

8. Medarbejderadfærd

Træn medarbejderne i sikker adfærd. De mennesker, der anvender OT-systemerne, er nemlig lige så centrale som firewalls og overvågningsløsninger. OT-medarbejdere er vant til processer for fysisk sikkerhed, som kan overføres til cybersikkerhedsarbejdet: Ligesom man skal have hjelm og høreværn på, er det fx vigtigt, at medarbejderne ikke oplader deres mobil i OT-anlægget eller tilslutter maskiner til internettet ved service og glemmer at få dem af igen.

9. Supply chain management

Hav styr på leverandørkæderne og sørg for, at leverandører kun kan tilgå deres dele af anlægget, så de kun har adgang til det mest nødvendige. Det er også en god idé at vælge en leverandør, der integrerer sikkerhedsstandarder for virksomhedens specifikke forretningsområde, som eksempelvis IEC 62443 til industrielle automatiserings- og produktionssystemer.

10. Lag på lag beskyttelse

Nøjes ikke med én slags beskyttelse. Hvis man skal beskytte mod ildebrand, nøjes man jo heller ikke med at bygge med brandsikre materialer, man sætter fx også brandalarmer op og installerer branddøre, ligesom man har beredskabsplaner klar. Denne lag-på-lag beskyttelse eller ”Defense-in-Depth”, hvor alle organisationslag og afdelinger bidrager til cybersikkerhed, er et centralt element i standardserien IEC 62443.

Læs mere om standardserien IEC 62443 her: https://www.ds.dk/da/om-standarder/cyber-og-informationssikkerhedsstandarder/netvaerks-og-systemsikkerhed-for-industri

Kontakt

Berit Aadal
Berit Aadal Seniorkonsulent | Senior Consultant
Sekretariater, udvalg og netværk II
E: baa@ds.dk
T: 39 96 62 96

Se også

Få styr på kravene i NIS2 med ISO/IEC 27001

22. marts 2023

Få styr på kravene i NIS2 med ISO/IEC 27001

Mange danske virksomheder bliver snart omfattet af nye regler for cyber – og informationssikkerhed. Med ISO/IEC 27001 kan virksomhederne komme på forkant med kravene i NIS2, der for mange virksomheder medfører en ny måde at arbejde på bl.a. ift. r...

13. marts 2023

Webinar om ny guide for risikostyring

Se eller gense dette webinar om en ny guide til risikostyring i forhold til cyber- og informationssikkerhed. I guiden, som vi har udarbejdet sammen med Alexandra Instituttet, har vi samlet gode råd og giver redskaber til, hvordan man kan arbejde k...

Cyberangreb på det fysiske produktionsapparat kan få store konsekvenser

23. februar 2023

Cyberangreb på det fysiske produktionsapparat kan få store konsekvenser

Der er god grund til at sætte fokus på OT-sikkerheden i industri- og forsyningsvirksomheder. Farerne fra cyberspace lurer nemlig i høj grad også, når det kommer til produktionsmaskiner, industrirobotter og andre fysiske produktionsapparater.

Ny guide til risikostyring klæder smv’er på til at øge cybersikkerheden

09. februar 2023

Ny guide til risikostyring klæder smv’er på til at øge cybersikkerheden

Trods den fortsat stigende cybertrussel og det øgede fokus på cyber- og informationssikkerhed i de danske virksomheder, arbejder alt for få systematisk med risikostyring. En ny guide giver gode råd og red¬skaber til, hvordan særligt mindre virksom...