Når IT og OT mødes: 3 klassiske fejl ledelsen skal undgå
Mange energi- og forsyningsvirksomheder har de senere år løftet deres arbejde med cybersikkerhed betydeligt. Men i takt med at data, integrationer og digitale værktøjer rykker tættere på den fysiske drift, opstår en ny ledelsesudfordring:
Hvordan skaber man sikkerhed, når IT- og OT-systemer ikke længere kan tænkes hver for sig?
Netop det spørgsmål fylder mere og mere i energi- og forsyningssektoren, hvor digitale løsninger i stigende grad bliver en del af den kritiske drift. Og i takt med at afhængighederne mellem IT og OT vokser og får større betydning for den kritiske drift, bliver det tydeligt, at klassiske IT-greb ikke altid fungerer efter hensigten i OT-miljøer.
Tværtimod kan sikkerhedstiltag, der giver god mening i administrative systemer, skabe nye problemer, når de flyttes direkte over i produktion og drift.
Perspektiverne i indlægget bygger på erfaringer og anbefalinger fra Mjølners domæneeksperter inden for energi- og forsyningssektoren, Jakob Hviid og André Bryde Alnor, samt vores partner Jørgen Hartig fra SecuriOT.
I et tidligere indlæg har vi samlet 5 konkrete råd til ledelsen om OT-sikkerhed. Det kan du læse her.
I dette indlæg fokuserer vi på 3 klassiske fejl, ledelsen bør undgå, når IT og OT mødes.
1. At behandle OT som almindelig IT-sikkerhed
Den første fejl er at antage, at OT kan sikres med den samme værktøjskasse, som man bruger i IT.
Det virker umiddelbart logisk. Hvis noget handler om cyber, må IT-sikkerhed være det naturlige svar. Men der er en afgørende forskel: i IT handler sikkerhed typisk om at beskytte data, brugere og systemer. I OT handler sikkerhed i høj grad om at holde driften kørende, sikre oppetid og undgå, at fejl eller angreb får fysiske konsekvenser.
OT-sikkerhed er altså ikke kun et spørgsmål om at beskytte sig mod malware eller uautoriseret adgang. Det handler også om at sikre, at virksomheden kan fortsætte sin drift, når noget går galt:
“De altoverskyggende fokusområder er oppetid og “safety”, altså sikkerhed for vores medarbejdere. Oppetiden kan påvirkes af mange ting, og malware kan naturligvis være én af dem. Men håndtering af fysiske hardwarefejl i forsyningskæden, adgang til backup og beredskabsplaner har et stort fokus i OT. Derfor er udgangspunktet for OT-sikkerhed anderledes,”
Det er en afgørende forskel. For hvor IT-sikkerhed ofte tager udgangspunkt i adgang, data og systembeskyttelse, tager OT-sikkerhed i høj grad udgangspunkt i driftens evne til at fortsætte – også når noget fejler.
Jakob Hviid, Senior Solution Architect hos Mjølner, peger på den samme grundlæggende forskel mellem de to verdener. Hvor IT ofte kan reagere på en hændelse ved at lukke ned, isolere eller ændre systemer hurtigt, er præmissen en anden i OT:
“I OT-verdenen går det ud på, hvordan du holder så høj en oppetid som muligt. Sikkerhed har et andet perspektiv. Det handler også om fysisk infrastruktur, reservedele, redundans og beredskabsplaner.”
Jørgen peger på, at klassiske IT-krav kan skabe nye risici, hvis de overføres direkte til OT. Han nævner et eksempel fra en virksomhed, hvor en streng passwordpolitik også blev gjort gældende på produktionslinjen, så operatører i treholdsskift skulle logge ind med lange passwords på et HMI-interface. I en administrativ IT-kontekst kan det virke fornuftigt. Men i en driftssituation, hvor der skal handles hurtigt, kan det få den modsatte effekt:
“Den operatør, der styrer den her tank, han risikerer ikke at kunne huske sit 13 karakter password i en kritisk situation. Det kan så betyde, at tanken springer i luften. Det giver ikke mening.”
Jørgens pointe er enkel: Et stærkt passwordkrav kan være fornuftigt i et administrativt system, men skabe en ny risiko i en kritisk driftssituation, hvor en operatør skal kunne reagere hurtigt. Når en sikkerhedskontrol designes ud fra IT-logikken alene, kan den komme i konflikt med OT’s virkelighed.
Det betyder ikke, at klassiske IT-kontroller er forkerte. Men det betyder, at de ikke kan kopieres direkte over i OT uden at blive vurderet i den rette kontekst.
For ledelsen er læringen klar: Sikkerhed i OT skal vurderes ud fra konsekvensen for drift, oppetid og fysisk sikkerhed – ikke kun ud fra, om kontrollen ser rigtig ud på papiret.
2. At undervurdere, hvordan integration mellem IT og OT ændrer risikobilledet
Den anden fejl er at se integration mellem IT- og OT-systemer som en ren gevinst.
I praksis giver integration store fordele. Data fra anlæg og drift kan bruges til analyse, planlægning, fejlhåndtering, beslutningsstøtte og optimering. Det er en vigtig del af sektorens digitale udvikling.
André Bryde Alnor, Energy Solution Strategist hos Mjølner, fremhæver netop, at flere og flere digitale løsninger i dag bygger på data fra driften:
“Der er flere og flere beslutningsstøtteværktøjer, som skal bygges op til folk, der sidder i et kontrolcenter, ejer en anlægsflåde eller vedligeholder anlæg – og de er dybt afhængige af data fra OT-miljøerne.”
Det skaber store muligheder. Men det skaber også nye afhængigheder.
Når flere systemer, leverandører og forretningskritiske processer hænger sammen, bliver risikobilledet mere komplekst. En beslutning om digitalisering er derfor ikke kun en teknisk beslutning. Det er også en ledelsesbeslutning om risiko, ansvar og robusthed.
For André er det centrale spørgsmål derfor, hvordan virksomheder kan høste gevinsterne ved moderne arkitektur og bedre beslutningsstøtte uden at svække sikkerheden:
“Hvordan kommer man ind i en mere moderne arkitektur, og hvordan kan man lave beslutningsstøtte med moderne værktøjer – uden at gå på kompromis med sikkerheden?”
Digitaliseringen skal med andre ord ikke bremses. Men den skal ske med blik for de nye afhængigheder, den skaber.
“Når IT og OT forbindes tættere, bliver nogle af de scenarier, der tidligere var mindre sandsynlige, pludselig mere realistiske,”
Det gælder for eksempel leverandøradgange, fjernsupport, dataudveksling og andre forbindelser, som er etableret for at understøtte effektiv drift.
Det er en vigtig pointe for ledelsen. For mange af de løsninger, der skaber værdi i hverdagen, kan samtidig åbne for nye sårbarheder.
Jørgen peger for eksempel på, hvordan eksterne leverandørforbindelser ofte opstår af helt legitime grunde: hurtigere support, mindre nedetid og mere stabil drift. Problemet er ikke intentionen. Problemet er, at løsningen også kan skabe en ny vej ind i OT-miljøet.
Derfor bør ledelsen ikke kun spørge, hvilke digitale muligheder integrationen giver. Man bør også spørge:
- Hvor mødes IT og OT hos os?
- Hvilke forbindelser og afhængigheder har vi?
- Hvilke praktiske genveje i driften er potentielle angrebsflader?
- Hvad gør vi, hvis en vigtig forbindelse, leverandør eller løsning pludselig ikke virker?
3. At placere ansvaret i én silo
Den tredje fejl er organisatorisk.
Når OT-sikkerhed får mere opmærksomhed, opstår det naturlige spørgsmål: Hvem har ansvaret?
Og her ser mange organisationer den samme tendens. Ansvaret bliver lagt i én funktion – ofte der, hvor ordet “sikkerhed” allerede findes. Men hvis OT-sikkerhed placeres for snævert, risikerer virksomheden at placere opgaven hos nogen, der kun forstår den ene halvdel af problemet.
André Alnor siger det meget direkte:
“Placerer du ansvaret hos en, der ikke forstår opgaven, så har du et stort problem.”
Det er netop udfordringen i krydsfeltet mellem IT og OT. En klassisk IT-sikkerhedsfunktion kan være stærk i cyberdiscipliner, adgangskontrol og netværksbeskyttelse – men mangle det nødvendige greb om drift, beredskab og fysisk infrastruktur. Omvendt kan en driftsfunktion have stærkt fokus på oppetid og kontinuitet, men ikke nødvendigvis være rustet til at håndtere de cybertrusler, der følger med digitalisering og integration.
“Det vigtigste er at få placeret ansvaret. Der skal være nogen, der har mandatet til at drive OT-sikkerheden, sætte de rigtige folk sammen og finde de personer, der skal være involveret i udviklingen af et OT-sikkerhedsprogram, som bygger ind i organisationens processer og bliver en aktiv del af arbejdsgangene i OT,”
“Broen” mellem IT og OT er ikke noget, man bare kan hente ned fra hylden. Den skal bygges organisatorisk.
For ledelsen betyder det, at OT-sikkerhed ikke bør reduceres til et rent IT-anliggende eller et rent driftsmæssigt spørgsmål. Det kræver en struktur, hvor nogen har mandat til at samle perspektiverne, koordinere indsatsen og løfte de rigtige risici til ledelsen.
Men ansvaret må ikke blive en silo. Det skal skabe sammenhæng mellem de funktioner, der hver især sidder med en del af problemet: ledelse, IT, drift, beredskab, risikostyring og leverandørstyring.
Hvad betyder det for ledelsen?
Når IT og OT mødes, er det ikke nok at spørge, om sikkerheden er høj nok. Ledelsen må også spørge, om sikkerheden er tænkt rigtigt.
Det betyder blandt andet:
- at OT-sikkerhed skal vurderes ud fra driftens virkelighed
- at integration mellem IT og OT skal ses som både en gevinst og en ny risikoflade
- at ansvaret skal forankres på en måde, der bygger bro mellem fagområder frem for at forstærke siloer
Det er i sidste ende den vigtigste pointe.
God sikkerhed er ikke nødvendigvis den kontrol, der ser stærkest ud på papiret. Det er den løsning, der beskytter organisationen uden at underminere dens evne til at fungere.
I energi- og forsyningssektoren handler sikkerhed nemlig ikke kun om data. Det handler også om drift, oppetid og kritiske funktioner i samfundet.
Derfor kan klassiske IT-greb ikke stå alene, når OT bliver en større del af det digitale risikobillede.
Når IT og OT mødes, skal ledelsen forstå begge verdener. Ellers risikerer man at skabe nye problemer i forsøget på at løse de gamle.
