Så etablerar du ett systematiskt cybersäkerhetsarbete i OT-miljöer – Beprövade första steg

I en värld där teknologin ständigt utvecklas och där OT-miljöer (Operativ Teknologi) blir alltmer sammankopplade med IT-system, ökar också riskerna för cyberattacker. OT-miljöer, som inkluderar industriella styrsystem, exempelvis DCS och SCADA-system, utgör hjärtat av samhällskritisk infrastruktur, såsom energiförsörjning, vattenrening, transport och tillverkning. Trots deras betydelse för samhälls- och verksamhetsfunktioner har cybersäkerhet länge varit en eftersatt fråga i dessa miljöer.

Att ignorera säkerhetsaspekter i OT-miljöer är inte längre ett alternativ. Dels handlar det om att skydda mot rena cyberhot, dels om att säkerställa kontinuitet, tillförlitlighet och långsiktig affärsstrategi. Genom att utveckla och implementera en genomtänkt strategi för cybersäkerhet kan företag minska risker, säkerställa efterlevnad av regelverk som NIS-2 samt säkerhetsskyddslagen och samtidigt skapa förtroende i samhället.

På CGI har vi både global och lokal erfarenhet av att utveckla och implementera cybersäkerhet i samhällskritiska OT-miljöer.  I den här artikeln kommer vi att belysa varför OT-cybersäkerhet är en viktig fråga och hur organisationer kan ta ett proaktivt och strategiskt grepp för att skydda sina verksamheter.

OT är lika sårbart för cyberattacker som IT

Traditionellt har OT-miljöer betraktats som isolerade och därmed skyddade från cyberattacker, men denna uppfattning tåls numera att utmanas. Den ökande integrationen mellan IT och OT, i kombination med digitalisering och användning av IoT-enheter, har öppnat nya dörrar för hotaktörer att nå drift-kritiska system. Till skillnad från IT-system, där konfidentialitet och integritet ofta stått i fokus, har OT-säkerhet traditionellt prioriterat tillgänglighet för att säkerställa kontinuiteten i fysiska processer. Men i takt med att OT-miljöer blir alltmer uppkopplade ökar också vikten av att skydda systemens integritet och konfidentialitet. Manipulation av signaler i produktionssystem kan få allvarliga följder, och obehörig åtkomst till känslig OT-information kan både skada verksamheten och öka risken för attacker.

Många OT-system är fortfarande byggda på äldre teknologier med begränsad säkerhetsfunktionalitet, men utvecklingen går fort och det finns redan idag exempel på OT-miljöer med hög säkerhetsfunktionalitet installerad. Trots detta är OT-miljöer ofta mindre rustade än IT-system för att hantera komplexa cyberhot. Angrepp som ransomware, sabotage eller manipulation av styrprocesser utgör en betydande risk och kräver en cybersäkerhetsstrategi som anpassas till både gamla och nya teknologier i OT-landskapet.

Var ska du börja?

1. System- och asset-identifiering

Att veta vad som finns i verksamhetens OT-miljö är grunden för all cybersäkerhet. Utan en tydlig inventering riskerar viktiga system och tillgångar att förbises, vilket skapar blinda fläckar i säkerhetsarbetet. En omfattande inventering möjliggör också att säkerhetsresurserna riktas dit de gör störst nytta och säkerställer att skyddsåtgärder matchar organisationens riskexponering.

Börja med att skapa en heltäckande karta över system och assets, inklusive både hårdvara, mjukvara och nätverkskomponenter. Involvera nyckelpersoner som har djup kunskap om verksamheten för att identifiera kritiska resurser och deras funktion i organisationens operativa flöden. Dokumentera alla tillgångar i en centraliserad lista eller databas och håll den uppdaterad genom regelbundna granskningar.

2. Säkerhetsklassning av tillgångar

Säkerhetsklassning hjälper organisationen att prioritera resurser och insatser utifrån vilka tillgångar som är mest kritiska för verksamheten. Genom att klassificera system baserat på faktorer som tillgänglighet, integritet och konfidentialitet kan man rikta skyddsåtgärder mot de mest sårbara eller verksamhetskritiska områdena.

Utveckla en klassificeringsmodell som speglar organisationens mål och riskaptit. Den kan inkludera kategorier som "hög", "medel" och "låg" baserat på verksamhetspåverkan vid ett avbrott eller en säkerhetsincident. Engagera ledningen för att säkerställa att prioriteringarna speglar verksamhetens strategiska mål. Kommunicera och utbilda personalen kring klassificeringsmodellen för att säkerställa konsekvent tillämpning.

3. Kartlägg, dokumentera och förbättra kritiska underhållsprocesser

Kritiska underhållsprocesser är kärnan för att förbättra cybersäkerhetshållningen, och utan en tydlig förståelse för hur de fungerar och vilka beroenden de har riskerar man att missa viktiga skyddsåtgärder. En detaljerad kartläggning möjliggör också identifiering av förbättringspotential och bidrar till högre effektivitet.

Samla alla nyckelintressenter för att kartlägga underhållsprocesserna och dokumentera deras flöden, från indata till slutresultat. Identifiera och dokumentera nyckelberoenden, inklusive system, människor och externa leverantörer. Analysera processen för att hitta möjliga sårbarheter eller flaskhalsar och prioritera förbättringar utifrån deras påverkan på verksamheten.

4. Riskhantering

Riskhantering är avgörande för att förstå organisationens exponering mot hot och för att identifiera vilka åtgärder som behöver vidtas för att minimera potentiella störningar. Strategisk riskhantering gör det möjligt att balansera investeringar i cybersäkerhet med verksamhetens övergripande mål och prioriteringar.

Utveckla ett ramverk för riskbedömning som är anpassat till OT-miljöernas unika förutsättningar. Identifiera och analysera risker genom att involvera systemanvändarna. Prioritera risker baserat på sannolikhet och påverkan, och implementera åtgärdsplaner som inkluderar både förebyggande och reaktiva insatser. Regelbunden uppföljning och uppdatering av riskbilden är avgörande för att hålla arbetet relevant.

5. Kontinuitetshantering

Ingen organisation är immun mot incidenter, och när de inträffar är kontinuitetshantering avgörande för att minimera påverkan och återgå till normal drift så snabbt som möjligt. Detta stärker verksamhetens motståndskraft och minimerar både ekonomiska och operativa förluster.

Utveckla kontinuitetsplaner baserade på de kritiska processer och system som har identifierats. Simulera olika scenarion för att testa planerna och säkerställ att de är effektiva. Integrera kontinuitetshantering i organisationens övergripande strategi genom att regelbundet uppdatera planerna och utbilda personalen. Säkerställ att det finns tydliga ansvarsfördelningar och tillgång till nödvändiga resurser vid en incident.

6. Sårbarhetshantering

Sårbarheter är ingångspunkten för många cyberattacker, och effektiv sårbarhetshantering är därför en nyckelkomponent i säkerhetsarbetet. Strategiskt hanterade sårbarheter minskar organisationens attackyta och stärker både systemens och verksamhetens säkerhet.

Etablera en process för kontinuerlig identifiering, utvärdering och åtgärd av sårbarheter. Prioritera åtgärder baserat på sårbarhetens påverkan på verksamheten och risknivån. Säkerställ att organisationen har tydliga rutiner för underhållsarbetet och samverkan med leverantörer. Skapa ett klimat där sårbarhetshantering ses som en integrerad och ständigt pågående aktivitet snarare än en punktinsats.

Systematiskt och mätbart cybersäkerhetsarbete

Det ovanstående arbetet lägger grunden för ett systematiskt och mätbart cybersäkerhetsarbete genom att skapa struktur, tydlighet och uppföljningsbarhet i organisationens säkerhetsinsatser:

• Att identifiera och dokumentera alla tillgångar ger en tydlig bild av vad som ska skyddas, vilket är det första steget mot ett strukturerat säkerhetsarbete. Det möjliggör också en tydlig uppföljning av vilka system som har fått säkerhetsåtgärder implementerade och vilka som fortfarande behöver insatser.

• Säkerhetsklassning skapar en prioriteringsordning som gör att organisationen kan fokusera resurser där de gör störst skillnad. Det ger också en grund för att mäta framsteg, exempelvis genom att följa upp hur många kritiska system som har genomgått säkerhetsförbättringar.
   
• Att kartlägga och dokumentera processer skapar en systematik i att förstå beroenden och risker. När processer förbättras kan effekterna mätas genom indikatorer som processens tillförlitlighet, återhämtningstid vid avbrott och minskning av identifierade risker.

• Genom att etablera ett ramverk för riskhantering kan organisationen systematiskt identifiera, analysera och hantera risker. Detta gör det möjligt att mäta riskreducering över tid, till exempel genom att kvantifiera antalet identifierade och åtgärdade risker eller minska sannolikheten för en specifik typ av incident.

• Med kontinuitetshantering blir det enklare att utvärdera organisationens förmåga att hantera incidenter och återgå till normal drift. Nyckeltal som tid till återhämtning (RTO), påverkanens omfattning eller hur ofta kontinuitetsplanerna testas kan användas för att följa upp och mäta framstegen.

• Sårbarhetshantering gör säkerhetsarbetet mätbart genom att spåra indikatorer som antal identifierade sårbarheter, tid till åtgärd och minskningen av högkritiska sårbarheter i systemlandskapet. Detta möjliggör kontinuerlig förbättring och konkret uppföljning av säkerhetsnivån.

Genom att arbeta med dessa steg kan en organisation gå från reaktiva punktinsatser till ett strukturerat säkerhetsarbete som är både systematiskt och mätbart.

• Struktur: Alla säkerhetsinsatser baseras på en tydlig metodik och prioritering.
• Mätbarhet: Resultatet kan följas upp med hjälp av nyckeltal som visar framsteg över tid.
• Styrning: Verksamhetens ledning får en tydlig överblick över säkerhetsläget och kan fatta informerade beslut baserat på data.
• Kontinuerlig förbättring: Genom att följa upp och mäta insatserna blir det möjligt att identifiera förbättringsområden och anpassa strategin utifrån förändrade hot och behov.

På så sätt skapas en robust och hållbar strategi för cybersäkerhet som inte bara möter dagens krav utan också kan anpassas för framtida utmaningar.

Vill du veta mer om hur vi på CGI arbetar med OT-säkerhet mer infromation hittar du i nedan länk, eller kontkata mig direkt.

Läs mer