Vigtigheden af transparens i industrielle sikkerhedssystemer

Af Jeppe Pilgaard Bjerre, FORCE Technology

Cybersikkerhed i industrien og kritisk infrastruktur kan der vist ikke være tvivl om vigtigheden af. Om det drejer sig om en PLC i et lille produktionsanlæg eller et kontrolcenter på et kraftværk, så kan det have omfattende konsekvenser, hvis dette ikke længere fungere efter hensigten.

På samme vis er cybersikkerhed et aspekt af ens elektronikprodukter, man er nødt til at kigge på, når der skal laves kravsspecifikationer til nye moduler og installationer. Ligesom man stiller grundlæggende funktionelle krav til hvad og hvordan sensorer og aktuatorer tilsluttes, skal man også stille krav til cybersikkerheden i form af adgangskontrol, softwareopdateringer og overvågning.

Efterhånden som anlæg bliver mere automatiserede, vil der også være en langt større grad af digital kommunikation imellem enheder af forskellige typer og fabrikat. Her er det essentielt, at man har overblik og indblik i hvilke enheder, der understøtter hvilke sikkerhedsmekanismer.

Kort sagt så skal der stilles krav til de miljøpåvirkninger, som et produkt vil blive udsat for i det respektive miljø - præcis som både udviklere og aftagere allerede gør i forhold til termomekaniske- og EMC-påvirkninger.

Ensartede metoder

Hvis man skal vurdere, om et produkt kan bruges pålideligt i en industriel installation, vil man for eksempel undersøge om den lever op til ISO/IEC61000-6-2-standarden. Den samme tilgang kan benyttes til at tjekke cybersikkerhed.

Der findes efterhånden en del cybersikkerhedsstandarder, der henvender sig til industrielle systemer, så som ISO/IEC62443 eller UL2900. Disse standarder stiller specifikke krav til hvilke risikostyringsmekanismer, der skal være tilstede i et produkt. Det kan fx være krav om, at produktet ikke må kunne sættes i drift, hvis det er sat op med admin/password som login eller krav til brugerkontrol, så almindelige bruger ikke kan ændre driftskritiske parametre.

At benytte en eller flere standarder til at opsætte krav til de produkter, der findes i éns installation, vil derved også synliggøre produkter, der ikke lever op til disse krav, og derved kan eventuelle risici vurderes og potentielle problemer afdækkes.

Kort sagt handler det om at skabe synlighed omkring cybersikkerhed i de produkter, man anvender. Hvis man fx benytter ISO/IEC62443 som reference, er det altså let at påpege overfor en leverandør hvilke krav, deres produkter skal leve op til, og man mindsker derved problematikken omkring, hvornår et produkt er ’sikkert nok’.

Processer for sikkerheden

Det er dog ikke tilstrækkeligt kun at stille krav til hvilke funktionelle sikkerhedsmekanismer, der bør være i et produkt. Vi er også nødt til at så på, hvordan vi arbejder med sikkerheden i disse ved at have specifikke processer for, hvordan vi kontinuert holder produkterne sikre fx ved at installere softwareopdateringer fra producenter eller skifte komponenter ud, når en producent beslutter at stoppe understøttelsen af et system.

Her kan man med fordel læne sig op ad ISO/IEC62443-2-3, som henvender sig både til producenter og aftagere af udstyr. Standarden beskriver blandt andet, hvordan man informerer om nye softwareopdateringer og de tilhørende implementeringsprocesser, der er for producenter (udvikling og test) og for aftagere.

Et af de redskaber, der er vigtige for udviklingen af softwareopdateringer, er opdagelsen af sårbarheder i eksisterende produkter. Her kan det være en fordel for producenterne at have en klar kommunikationskanal til indrapportering af sårbarheder, der opdages af folk udenfor virksomheden.

Kommunikationskanalen kan implementeres på en sådan måde, at data, der sendes, bliver holdt krypteret. Som et incitament til at indrapportere sårbarheder, kan man udlove ’bugbounties’ (en slags findeløn) til dem, der har fundet en given sårbarhed.

Den menneskelige udfordring

En stor del af udfordringen med cybersikkerhed er forbundet med de personer, der benytter og arbejder med de underliggende systemer. En stor del af de hårde cyberangreb, der har fundet sted i nyere tid, har skyldtes menneskelige fejl. For eksempel angrebet på det ukrainske elnet i 2015, som startede med et spear-phising-angreb, hvor en medarbejder blev snydt af en e-mail.

Udfordringen med det menneskelige aspekt er, at det er langt sværere at ændre menneskelig adfærd, end det er at ændre koden i et stykke software. Derfor er det nødvendigt at stimulere en virksomhedskultur, hvor der bliver talt åbent om it-sikkerhed, og hvor medarbejderne har fokus på det i dagligdagen. Det være sig fornuftig omgang med passwords og interne dokumenter, og at medarbejderne kan spotte phising-mails og ved, hvad de skal gøre, hvis de har mistanke omkring et sikkerhedsmæssigt problem.

En måde at håndtere det menneskelige aspekt kan være at benytte ISO27001 eller IASME. Disse standarder kan være en hjælp for virksomheden under selve implementeringen og vedligeholdelsen af sikkerhedsprocesser, for eksempel stillingtagen til hvordan man håndterer opsigelse af medarbejdere og hvordan man har fornuftig omgang med risikostyring.

Cybersikkerhed er en fælles opgave

For at sikkerhedsniveauet i Danmark kan blive højnet, er det essentielt at forstå, at det er en opgave, der skal arbejdes med i fællesskab - både mellem det offentlige og private sektor, men også virksomheder i mellem.

Det er vigtigt, at vi indbyrdes advare andre om igangværende angreb, og at vi deler viden og erfaringer med hinanden. Det nytter ikke noget, at vi begynder at konkurrere med hinanden omkring dette, da der ligger en samfundsmæssig interesse i, at de systemer, vi har berøring med, lever op til et fornuftigt minimum af sikkerhed. Specielt hvad angår kritisk infrastruktur: hvis et kraft- eller vandværk bliver udsat for cyberangreb, skal andre gøres opmærksomme på det, så de kan undersøge, om de også er under angreb.

Det er klart, at der er informationer omkring kritisk infrastruktur, som offentligheden ikke har behov for at have indsigt i. Her bør der dog stadig være mulighed for at drøfte udfordringer og problemstillinger i et konfidentielt forum med andre, der er i samme båd.

Offentlighedens rolle

Cybersikkerhed er et emne, som bør have det offentliges fokus. Vi er simpelthen nødt til at få italesat de udfordringer, som findes i teknikken, der er installeret rundt omkring på hospitaler, kraftværker og andre instanser, som vores samfund er afhængige af. På samme måde som vi sikrer, at vi har nødstrømsanlæg og mekanismer til at håndtere udfald på elnettet, bør vi også arbejde for at sikre de digitale dele, som vores samfund er afhængig af.

Danmark er ét af de mest digitaliserede lande i verden, hvilket vi kan være stolte af, men det medfører også, at vi har behov for en ansvarsfuld kultur hvad angår cybersikkerhed. Vi er nødt til at tage hånd om både personfølsom datahåndtering og de operationelle elementer i industrien fx SCADA-systemer, frekvensomformere og lignende. Her er det vigtigt at kunne trække på erfaringer fra it-verdenen, da der er store mængder viden, som overlapper.

Det er i vores alles interesse, at dette emne har fokus, både fra industriens og offentlighedens side. Cybersikkerhed er ikke et emne, som mange tænker på i dagligdagen, men på trods af det, bliver der indarbejdet en kultur i befolkningen, som man er nødt til at forholde sig til.

Et eksempel er den grønne hængelås, der vises i browseren, når internetforbindelsen er krypteret. Når folk ser hængelåsen, så tænker de, at internetforbindelsen er sikker, og man derfor roligt kan sende fortrolige oplysninger. Men hvis dette ikke længere er tilfældet, skal dette italesættes for den brede befolkning. Dette medfører så diskussionen omkring hvem, der skal have ansvar for og betale for denne form for folkeoplysning. Men det er nok nærmere en diskussion for de folkevalgte på Christiansborg.

Artiklen har været bragt i Aktuel Elektronik, september 2019.