Nye risici, nye krav: 5 råd om OT-sikkerhed til ledelsen
Cybersikkerhed er blevet et strategisk tema i energi- og forsyningssektoren. Mange organisationer har de senere år styrket deres IT-sikkerhed markant. Men i takt med at digitaliseringen også når produktion og drift, opdager flere, at der findes et område, hvor overblikket ofte er mindre.
Det område er OT – Operational Technology.
OT dækker de systemer, der styrer den fysiske drift: produktionsanlæg, pumpestationer, transformerstationer og kontrolsystemer. Det er her, software møder den fysiske infrastruktur – og hvor konsekvensen af et sikkerhedsbrud ikke kun er tab af data, men potentielt driftsstop eller påvirkning af kritisk infrastruktur. For ledelsen rejser det et centralt spørgsmål:
Hvordan kommer man i gang med OT-sikkerhed på en måde, der skaber reel værdi for forretningen?
De følgende 5 råd bygger på erfaringer og anbefalinger fra Mjølners domæneeksperter inden for energi og forsyning, Jakob Hviid og André Bryde Alnor, samt vores partner Jørgen Hartig fra SecuriOT.
1. Få placeret ansvaret
En af de største udfordringer ved OT-sikkerhed er organisatorisk.
I mange organisationer opstår der hurtigt en rundtur mellem afdelinger: produktion peger på IT, og IT peger tilbage på produktionen.
“Den nye frække dreng i klassen hedder OT-cybersikkerhed – men det kan være svært at finde ud af, hvem der egentlig skal drive den bold,”
I mange organisationer falder OT-sikkerhed derfor mellem flere stole: forsyning, IT og cybersikkerhed. Resultatet er, at alle anerkender risikoen – men ingen har det klare mandat til at drive arbejdet.
Derfor starter OT-sikkerhed ikke med teknologi. Den starter med en ledelsesbeslutning om ansvar.
Men hvem giver det mening at placere ansvaret hos?
Erfaringen fra mange organisationer er, at rollen sjældent bør ligge i en ren IT-sikkerhedsfunktion alene. OT-sikkerhed handler i høj grad om drift, oppetid og fysisk infrastruktur – og kræver derfor forståelse for produktionen.
En god tommelfingerregel er at placere ansvaret hos en funktion, der:
Forstår driften og værdikæden
Personen skal kunne vurdere, hvad der faktisk er kritisk for produktionen eller forsyningen.
Kan arbejde på tværs af IT og forsyningen
OT-sikkerhed ligger i spændingsfeltet mellem flere fagområder. Rollen skal kunne samle organisationen – ikke forstærke siloerne.
Har mandat til at løfte risiko til ledelsen
OT-sikkerhed handler i sidste ende om forretningsrisiko. Derfor skal den ansvarlige kunne oversætte tekniske problemstillinger til ledelsesbeslutninger. I nogle organisationer ligger rollen hos en CISO med OT-kompetence, i andre hos en drifts- eller anlægsfunktion med tæt samarbejde med IT. Den præcise placering kan variere – men det afgørende er, at ansvaret er tydeligt og har ledelsens opbakning.
2. Forstå forskellen mellem IT-sikkerhed og OT-sikkerhed
En klassisk faldgrube er at håndtere OT-sikkerhed som et almindeligt IT-sikkerhedsproblem. De to områder arbejder nemlig ud fra forskellige præmisser. I IT-verdenen er sikkerhed typisk centreret omkring beskyttelse af data og systemer. I OT-verdenen er fokus først og fremmest stabil drift og fysisk sikkerhed.
“I IT-verdenen handler det meget om at beskytte data. I OT handler sikkerhed i høj grad om at holde forsyningen kørende,”
Det betyder også, at nogle klassiske IT-sikkerhedstiltag ikke nødvendigvis passer direkte ind i OT-miljøer.
“Forestil dig, at en operatør står i en kritisk situation og ikke kan huske sit password. I OT kan konsekvensen være fysisk – ikke bare digital,”
Pointen er ikke, at sikkerhed er mindre vigtig i OT – men at den skal designes ud fra forsyningens virkelighed.
3. Start med risiko – ikke med det letteste
Når organisationer begynder at arbejde med OT-sikkerhed, er der en tendens til at starte med det, der er lettest at forholde sig til, såsom:
- hegn og fysisk adgangskontrol
- Netværkssegmentering
- Backup af software
Alle tre ting er vigtige. Men det er ikke nødvendigvis der, hvor risikoen er størst.
“Mange organisationer starter med det, de kan se og forstå – for eksempel hegn omkring anlæg eller netværkssegmentering. Men det er ikke nødvendigvis der, den største risiko ligger,”
Den mere effektive tilgang er at starte med risikovurderingen.
Et godt første spørgsmål er: Hvad er de funktioner i vores organisation, der absolut skal fungere, for at vi kan levere vores kerneydelse?
Når de essentielle funktioner er identificeret, kan man arbejde videre med:
- hvilke systemer der understøtter dem
- hvilke trusler der kan påvirke dem
- hvad konsekvensen vil være, hvis de svigter.
“Du kan ikke beskytte noget, du ikke kender. Overblikket over infrastrukturen er et af de vigtigste første skridt,”
Mange organisationer arbejder med konkrete trusselsscenarier – for eksempel hvad der sker, hvis et centralt styringssystem er utilgængeligt i flere dage. Det gør det langt lettere for ledelsen at prioritere investeringer, fordi diskussionen tager udgangspunkt i forretningsrisiko frem for teknologi.
4. IT og OT skal arbejde tættere sammen
Historisk har OT-miljøer ofte været relativt isolerede fra resten af organisationens systemer. Men i takt med digitalisering og dataanalyse bliver integrationen mellem IT og OT stadig tættere.
“De scenarier, der tidligere var mindre sandsynlige, bliver mere realistiske i takt med, at IT og OT integreres,”
Det betyder, at sikkerhedsarbejdet ikke længere kan foregå i siloer. IT- og OT-specialister skal arbejde tættere sammen, og ledelsen skal sikre, at organisationen har en struktur, der understøtter det samarbejde.
5. Find jeres modenhedspunkt – og byg videre derfra
En anden vigtig pointe fra erfaringerne i sektoren er, at OT-sikkerhed ikke kan implementeres i én samlet indsats. Det sker ofte, når arbejdet drives af compliancekrav eller regulering. Organisationen forsøger at implementere alle kontroller samtidig og ender med et stort program, som er svært at operationalisere. En mere realistisk tilgang er at starte fra organisationens nuværende modenhedsniveau.
“Start rejsen der, hvor I er. Byg det ind i jeres processer og arbejd jer frem trin for trin med udgangspunkt i standarder,”
Det betyder typisk: at etablere grundlæggende processer først, at arbejde struktureret med risici og løbende forbedre sikkerheden. OT-sikkerhed er ikke et projekt med en slutdato. Det er en disciplin, der udvikler sig over tid i takt med teknologi, digitalisering og trusselsbillede.
Fem centrale råd til ledelsen – kort opsummeret
Hvis man skal koge erfaringerne ned til fem centrale råd til ledelsen i energi- og forsyningsvirksomheder, er de:
- Placér et tydeligt ansvar for OT-sikkerhed
OT-sikkerhed falder ofte mellem drift og IT. Sørg for, at én funktion har mandat til at drive området og koordinere indsatsen på tværs af organisationen.
- Tag udgangspunkt i forretningens risiko
Start ikke med teknologien. Start med spørgsmålet: Hvad må ikke gå galt i vores forsyning – og hvad vil konsekvensen være, hvis det gør?
- Prioritér ud fra risiko – ikke ud fra hvad der er lettest
Mange organisationer starter med skalsikring af anlæg eller netværkssegmentering, fordi det er konkret og synligt. Det er vigtigt, men ikke nødvendigvis der, risikoen er størst. Lad risikovurderingen styre indsatsen.
- Skab overblik over jeres OT-landskab
Ledelsen bør sikre, at organisationen har et realistisk billede af sine OT-systemer, forbindelser og afhængigheder. Man kan ikke beskytte noget, man ikke kender.
- Arbejd med OT-sikkerhed som en løbende modenhedsrejse
OT-sikkerhed bliver ikke “færdig”. Start fra jeres nuværende niveau, byg strukturer og processer op, og forbedr dem løbende.
Det værste er at gøre ingenting
OT-sikkerhed kan virke komplekst. Infrastruktur, systemer og leverandører har ofte udviklet sig over mange år, og der findes sjældent en enkel løsning.
Men det betyder ikke, at man skal vente. Tværtimod. Den største risiko for mange organisationer er ikke at starte for småt – men slet ikke at starte.
Som erfaringerne fra sektoren viser, er det vigtigste skridt at komme i gang, skabe overblik og begynde at arbejde struktureret med risiko.
Det værste er at gøre ingenting.
