Skip to main content

KOM I MÅL MED DINE DIGITALE AMBITIONER

Vi får vores kunder fra idé til værdiskabende digitale produkter. Vores faglige diversitet er vores største styrke, og med over 400 eksperter kan vi helt sikkert også hjælpe dig.

OT-sikkerhed i praksis: Sådan arbejder ledelsen med de scenarier, der kan ramme driften hårdest

Når et styringssystem bliver utilgængeligt, en leverandøradgang svigter, eller et anlæg ikke kan styres som forventet, bliver OT-sikkerhed hurtigt et spørgsmål om drift, ansvar og beslutningskraft.

For energi- og forsyningsselskaber handler OT-sikkerhed derfor ikke kun om at beskytte systemer. Det handler om at sikre, at de vigtigste funktioner kan fortsætte, når noget går galt. Derfor bør ledelsen starte med de scenarier, der kan ramme driften hårdest.

Dette er tredje indlæg i vores serie om OT-sikkerhed i energi- og forsyningssektoren. I de to første indlæg satte vi bl.a. fokus på, hvorfor OT-sikkerhed er blevet et ledelsesanliggende, og hvorfor OT ikke kan håndteres med samme logik som klassisk IT-sikkerhed.

Har du ikke læst dem endnu, er de et godt sted at starte:

Når IT og OT mødes: 3 klassiske fejl ledelsen skal undgå

Nye risici, nye krav: 5 råd om OT-sikkerhed til ledelsen

Med det afsæt bevæger vi os nu fra erkendelse til praksis. For når ledelsen først har forstået, hvorfor OT-sikkerhed kræver en anden tilgang, bliver det afgørende spørgsmål:

Hvordan arbejder man konkret med OT-risiko i praksis?

Perspektiverne i indlægget bygger på erfaringer og anbefalinger fra Mjølners domæneeksperter inden for energi- og forsyningssektoren, Jakob Hviid og André Bryde Alnor, samt vores partner Jørgen Hartig fra SecuriOT. De arbejder med sikkerhed, drift og digitalisering i miljøer, hvor robusthed, oppetid og ansvarlige beslutninger er afgørende.

Mange organisationer starter med det, der er lettest at få øje på: fysisk sikring, adgangskontrol, netværkssegmentering eller enkelte tekniske kontroller. Alt sammen relevant. Men ikke nødvendigvis dér, hvor risikoen er størst.

Hvis OT-sikkerhed skal skabe reel værdi, bør ledelsen starte med et andet spørgsmål:

Hvad kan i praksis stoppe eller alvorligt påvirke vores evne til at levere?

Det spørgsmål flytter arbejdet fra generelle sikkerhedstiltag til konkrete scenarier, ledelsen kan prioritere, teste og handle på.

      Start med det, der absolut skal fungere

      Et godt udgangspunkt for OT-sikkerhed er ikke en lang liste af tekniske tiltag. Det er et mere grundlæggende ledelsesspørgsmål:

      Hvilke funktioner skal absolut fungere, for at vi kan levere vores kerneydelse?

      For OT-sikkerhed handler ikke først og fremmest om at beskytte teknologi. Det handler om at beskytte organisationens evne til at fungere. Om at sikre, at strøm, varme, vand eller produktion kan opretholdes – også når noget går galt.

      Den essentielle funktion i vores forsyning eller produktion er støttet af en række underfunktioner, som skal være til stede for at tingene fungerer optimalt. Der er altid en systemunderstøttelse for disse underfunktioner, såsom servere, netværk og appliktationer. Hvis disse systemer fejler, så står vi stille. Derfor bør det være centrale fokuspunkter i denne proces at afklare, hvad der er acceptabelt, hvad der er mest kritisk, og hvordan vi kommer op igen.”

      understreger Jørgen Hartig, Direktør, Strategisk rådgiver og partner hos SecuriOT

      Det er en afgørende forskel. For hvor IT-sikkerhed ofte tager udgangspunkt i adgang, data og systembeskyttelse, tager OT-sikkerhed i høj grad udgangspunkt i driftens evne til at fortsætte – også når noget fejler.

      Jakob Hviid, Senior Solution Architect hos Mjølner, peger på den samme grundlæggende forskel mellem de to verdener. Hvor IT ofte kan reagere på en hændelse ved at lukke ned, isolere eller ændre systemer hurtigt, er præmissen en anden i OT:

      “I OT-verdenen går det ud på, hvordan du holder så høj en oppetid som muligt. Sikkerhed har et andet perspektiv. Det handler også om fysisk infrastruktur, reservedele, redundans og beredskabsplaner.”

      Først når de kritiske funktioner er tydelige, giver det mening at se på, hvilke systemer, netværk, leverandører, processer og supportfunktioner der understøtter dem.

        Flyt fokus fra anlæg til konsekvenser

        Mange organisationer er vant til at tænke i aktiver:

        • Hvilke anlæg/systemer er dyrest?
        • Hvilke komponenter er sværest at erstatte?
        • Hvad er teknisk mest komplekst?

        Det er relevante spørgsmål. Men de er ikke tilstrækkelige. En mere moden tilgang er at flytte fokus fra anlæg og komponenter til konsekvenser:

        • Hvad sker der, hvis en essentiel funktion svigter
        • Hvad sker der, hvis et centralt system er utilgængeligt i flere døgn?
        • Hvad sker der, hvis en leverandørforbindelse forsvinder på det forkerte tidspunkt?
        • Hvad sker der, hvis en fejl i ét system forplanter sig til andre dele af driften?

        For ledelsen giver det et stærkere beslutningsgrundlag. Når konsekvensen er tydelig, bliver det lettere at prioritere de indsatser, der faktisk reducerer risikoen mest.

          Konsekvenserne stopper ikke ved OT-miljøet

          En OT-hændelse rammer sjældent kun ét system eller ét anlæg. Den kan påvirke hele værdikæden omkring drift, produktion, fejlretning og genopretning.

          “Man kan have sikret sit OT-netværk nok så godt. Men hvis driften er afhængig af systemer, processer eller leverandører uden for OT, kan man stadig være sårbar – både over for angreb og i forhold til at få produktionen op at køre igen efter et nedbrud.” 

          forklarer André Bryde Alnor, Energy Solution Strategist hos Mjølner

            Det ser vi ofte i praksis. Mange har et godt overblik over deres fysiske anlæg, men mindre overblik over de afhængigheder, der ligger rundt om anlægget.

            Det kan være ordreflow, leverandøradgange, supportprocesser, dataudveksling, interne arbejdsgange eller nøglepersoner, som viser sig at være afgørende, når noget går galt.

            Derfor er det ikke nok at spørge, om OT-miljøet er beskyttet. Ledelsen må også spørge:

            Hvilke dele af værdikæden er driften afhængig af – og hvor hurtigt kan vi komme tilbage til stabil drift, hvis de svigter?

              Byg få scenarier, der virkelig gør ondt

              En af de mest brugbare tilgange er også en af de mest enkle: Start ikke med alt. Start med nogle få scenarier, som vil have alvorlige konsekvenser, hvis de bliver virkelighed.

              “Prøv at definere 5-6 af de scenarier, hvor man siger: Hvis det skete, ville det virkelig gøre ondt på driften.”

              fastslår Jakob

                Det er et godt råd, fordi det tvinger organisationen til at prioritere. I stedet for at forsøge at kortlægge enhver tænkelig risiko kan ledelsen begynde med et begrænset antal hændelser, som vil have alvorlige konsekvenser for drift, forsyning, sikkerhed eller omdømme.

                Det kan for eksempel være scenarier som:

                • Et centralt styringssystem er utilgængeligt i flere døgn
                • En ekstern leverandør mister adgangen til et kritisk miljø
                • Et anlæg kan ikke styres som forventet
                • En hændelse i ét system påvirker andre dele af driften
                • En nøgleperson eller kritisk supportfunktion er utilgængelig under en hændelse

                Scenarierne behøver ikke være perfekte fra starten. Det vigtige er, at de er konkrete nok til, at organisationen kan begynde at stille de rigtige spørgsmål.

                  Gør tid til en del af risikoen

                  Et scenarie bliver langt mere anvendeligt, når man tilføjer tid.

                  Det er én ting at sige, at et system kan gå ned. Det er noget andet at spørge, hvad det betyder, hvis det er nede i 24, 48 eller 72 timer. Så bliver risikoen konkret: Hvor længe kan funktionen være påvirket, før det rammer forsyning, sikkerhed eller drift? Hvilke nødprocesser kan holde driften i gang imens? Og hvilke leverandører, reservedele eller nøglepersoner er afgørende for at komme tilbage til stabil drift?

                  Scenarietænkningen forbinder sikkerhed med beredskab, genopretning og konkrete handlemuligheder.

                    Brug scenarierne til at prioritere rigtigt

                    Når de vigtigste scenarier er tydelige, bliver det lettere at afgøre, hvilke investeringer der faktisk reducerer risikoen mest.

                    Det kan være tekniske kontroller, bedre overblik over OT-landskabet, strammere styring af leverandøradgange, beredskabsplaner, test, reservedele eller klare beslutningsveje under en hændelse.

                    Det afgørende er, at prioriteringen tager udgangspunkt i konsekvensen for drift og forsyning – ikke kun i, hvad der er lettest at implementere.

                    Jakob sætter ord på forskellen sådan her:

                    “På IT-siden handler det ofte om at beskytte data mod uautoriseret adgang. I OT fylder opretholdelsen af værdikæden langt mere.”

                      I OT er det netop opretholdelsen af værdikæden, der må være styrende.

                        OT-risiko kræver flere perspektiver

                        Scenariearbejdet kan ikke løftes af én funktion alene.

                        Der skal være tydeligt ejerskab, men arbejdet bliver først stærkt, når flere relevante perspektiver bringes i spil. OT-risiko opstår sjældent ét sted. Den opstår i samspillet mellem anlægsdrift, IT, leverandører, beredskab og forretning.

                        Derfor bør scenarierne ikke kun vurderes af OT-specialister. De bør gennemgås sammen med de funktioner, der skal handle, hvis scenariet bliver virkelighed.

                        For ledelsen er opgaven at sikre en struktur, hvor de relevante fagligheder arbejder sammen om at vurdere risiko, konsekvens og handlemuligheder. Ellers risikerer OT-sikkerhed at blive enten et isoleret specialistprojekt eller et risikoregister uden reel betydning for driften.

                          Fra bekymring til beslutning

                          OT-sikkerhed bliver først for alvor værdifuld, når det går fra at være et diffust bekymringspunkt til at blive en måde at træffe bedre beslutninger på.

                          Det er netop det, scenarietænkning kan.

                          Den hjælper organisationen med at fokusere på det, der betyder mest. Den gør risiko konkret. Den skaber et fælles sprog mellem ledelse, drift og specialister. Og den gør det lettere at prioritere både investeringer og indsatser.

                          Ledelsen kan starte med fire spørgsmål:

                          1. Hvilke funktioner skal absolut fungere, for at vi kan levere vores kerneydelse?
                          2. Hvilke 5-6 scenarier vil ramme driften hårdest?
                          3. Hvor længe kan vi tåle, at centrale systemer eller leverandørforbindelser er utilgængelige?
                          4. Hvem ejer ansvaret for at teste, prioritere og følge op?

                          Det vigtigste er ikke at finde alle svar på én gang.

                          Det vigtigste er at komme i gang med de få scenarier, der virkelig betyder noget. For når de står klart, bliver det også tydeligere, hvilke systemer, processer, leverandører og beslutninger der faktisk er kritiske.

                          Hos Mjølner hjælper vi energi- og forsyningsselskaber med at omsætte OT-risiko til konkrete scenarier, prioriteringer og beslutningsgrundlag, som både ledelse, drift og specialister kan handle på.

                          Vil I styrke OT-sikkerheden uden at spænde ben for driften?

                          Når IT og OT smelter sammen, findes der sjældent én standardløsning. Tag en uforpligtende snak med André om, hvordan I kan styrke OT-sikkerheden uden at gå på kompromis med drift og oppetid.

                          André Bryde Alnor

                          Energy Solution Strategist
                          Mjølner logo