I flere tiår har utfordringer knyttet til cybersikkerhet hvilt tungt over industrielle anlegg. Selv om sikkerhetsteknologien har kommet langt og bedrifter er mer informerte om hvordan de kan redusere risiko, forblir cybersikkerhetsutfordringer et problem. "Utfordringene endrer seg regelmessig, men de viktigste kategoriene forblir de samme," sier Brian Foster, Lead OT Security Architect hos Southern California Edison. Som klassisk utdannet ingeniør med over 10 års erfaring og grader fra Oregon Tech, tilbyr Brian et unikt perspektiv på truslene som industrielle anlegg står overfor i dag. "Industrielle anlegg står overfor de samme utfordringene - angrep på forsyningskjeden, ransomware og phishing," sier Brian. "Og angrepsmetodene er også vanlige - en tredjepartsleverandør med et kompromittert system, interne trusler og den økende alderen på industriell programvare." 
Med en voksende liste over cybersikkerhetsrisikoer har også spørsmålene om effekten av disse risikoene økt. "Konsekvensene av operasjonelle risikoer er ganske godt forstått. Når utstyr går ned, kan du ikke produsere produktet ditt," sier Brian. "Disse typene risikoer er enkle å måle og har en direkte innvirkning på virksomheten." Men effekten av cybersikkerhetsrisikoer er vanskeligere å måle. Det er ofte ingen direkte kategori å måle fordi cybersikkerhetsrisikoene er så omfattende. Med et datainnbrudd kan et industrielt anlegg kanskje ikke engang være klar over problemet før data lekker ut eller et system blir hacket. "Effekten på lønnsomheten kan komme uker, måneder eller til og med år senere når virksomheten betaler for forsikring for berørte kunder," sier Brian. 

3 måter industrielle anlegg kan redusere OT cybersikkerhetsrisiko på: 
For å bekjempe disse risikoene, tilbød Brian tre beste praksiser for industrielle anlegg: 

Skap en Sikkerhetskultur 

"Mange bedrifter reagerer på cybersikkerhetsrisikoer ved å kjøpe dyre verktøy eller ansette dyre konsulenter eller ansatte," sier Brian. "Men ingen av det spiller noen rolle hvis du ikke først skaper en sikkerhetskultur." 
For å bygge en sikkerhetskultur, prioriterer førsteklasses industrielle anlegg opplæring til hver ansatt. "Når vi bygger en sikkerhetskultur, utdanner vi alle om at vi lever i en tid hvor cybersikkerhetsangrep er veldig til stede og vi trenger å være årvåkne for å beskytte oss selv og bedriften," sier Brian. 
"Vi ser alle på sikkerhet som verktøyene vi kjøper for å gjøre systemene våre sikrere. Vi kan se på dyre fagfolk for å hjelpe oss med å kjenne våre spesifikke gap. Vi hviler på våre laurbær og tenker at hvis vi har den beste teknologien og den beste konsulenten, er vi trygge," deler Brian. "Men en sikkerhetskultur er virkelig det vi burde investere i fra begynnelsen." 
Brians hovedråd? Det gamle ordtaket er sant - hvis du ser noe, si noe. Akkurat som ansatte i et industrielt anlegg ville være på høyeste alarm hvis noen gikk inn i anlegget, bør det samme gjelde for ethvert online miljø. 
I en kultur som ikke prioriterer sikkerhet, kan en operatør ved et industrielt anlegg legge merke til at en maskin oppfører seg merkelig, men tro det er en feil og fortsette med dagen sin. "De vil sannsynligvis ikke engang vurdere at problemet med maskinen kan være en cybersikkerhetsproblem eller hendelse," sier Brian. "På den annen side, når du har en sikkerhetskultur, vil den operatøren rapportere hendelsen til cybersikkerhetsteamet som vil sette i gang en bevegelse for å se på loggene for maskinen for å se hva som skjedde." 
Historiske angrep på industrielle anlegg viser at det ofte er indikatorer før selve angrepet. Brian delte, "Det er et tidspunkt hvor angriperne utforsket miljøet for å se hva de kunne gjøre. Disse indikatorene kan hjelpe oss med å identifisere angrep på forhånd, men vi trenger folk til å være klar over og rapportere eventuelle uregelmessigheter slik at vi kan fange dem." 
For å bygge en sikkerhetskultur, bør industrielle anlegg: 
● Opprette en cybersikkerhetsplan for din bedrift 
● Utdanne ansatte om cybersikkerhetsrisikoer 
● Gi opplæring i hvordan man kan redusere cybersikkerhetsrisikoer 

Implementer Robust Tilgangskontroll 

"Robust tilgangskontroll er sannsynligvis det som mangler mest for de fleste anlegg," sa Brian. "For å virkelig beskytte anlegget ditt, trenger du veldig god tilgangskontroll rundt hvert stykke programvare." 
God tilgangskontroll kan forhindre utplassering av ransomware, malware som er ansvarlig for mer enn 600 millioner angrep og 20% av all cyberkriminalitet hvert år. "Altfor mye programvare er etterlatt vidåpen uten noen form for autentisering bygget inn i den," sa Brian. "Og når noen får tilgang til den programvaren, eier de den." 
I 2021 var ransomware den mest vanlige angrepstaktikken for produksjonsindustrien og det vanligste inngangspunktet for ransomware er ofte phishing. Industrielle anlegg bør merke seg dette, og legge til bevissthet om phishing i deres sikkerhetsopplæring. 
"I de siste par årene har vi sett en stor økning i mengden phishing og kvaliteten på phishing," sa Brian. "Disse e-postene høres ikke ut som om de er skrevet av noen som ikke snakker engelsk lenger. De er eksepsjonelt godt skrevne." Brian påpekte at neste fase for phishing-e-poster er å bruke AI-chatboter. Bransjen ser allerede innvirkningen av disse botene som hjelper cyberangripere med å lage bedre e-poster, skli forbi cybersikkerhetsrapporter og lure intetanende ansatte. 
For å skape mer robust tilgangskontroll, bør industrielle anlegg: 
● Kreve tofaktorautentisering 
● Implementere en kombinasjon av pin + et token/passord-system 
● Etablere flere systemer for autentisering 

Vurder Systemet Ditt Regelmessig 
"Å vurdere sårbarheten til systemet ditt regelmessig er nøkkelen til å redusere operasjonell risiko som et industrielt anlegg," sa Brian. "Ved å ha en proaktiv tilnærming til å identifisere svakhetene dine, kan du avverge problemer for både interne og eksterne risikoer." 
Brian anbefaler at industrielle anlegg implementerer både sikkerhetsvurderinger og regelmessige vurderinger av hvert system. Og frekvensen? Minst årlig, men oftere hvis teamet ditt har kapasiteten. "Det er viktig at du prøver å identifisere svakhetene i systemet ditt - kanskje upatched sårbarheter du kan lappe eller hvis du ikke kan lappe dem, sette inn noen kompenserende kontroller for dem," sa Brian. 
En tilnærming Brian har sett fungere for andre bedrifter, er å sette seg ned med ansatte og forstå hva de ser som risikoområder. "Spør dine elektrikere og driftsteam medlemmer hva de tror en dårlig dag ser ut som," sa Brian. "Forstå hva som ville skje hvis noen fikk tilgang til ditt kontrollsystem. Deretter arbeid baklengs fra det scenariet for å se hvordan du kan forhindre den situasjonen." 
  
Brian mener at alle kan måle sin risiko og vurdere sine systemer med noen få trinn: 
  
Definer din risikoeksponering 
Definisjonen for risikoeksponering vil være forskjellig for hver bedrift. "Men du kan ikke lage en plan for å forbedre din bedrift uten en tydelig definert nordstjerne," sa Brian. "Det første steget er å ha en god definisjon av hva risiko betyr for din bedrift." 
  
Gjennomfør en ærlig vurdering av din nåværende tilstand 
I dette steget står industrielle anlegg overfor den noen ganger skremmende oppgaven med å gjennomføre en omfattende vurdering av den nåværende tilstanden. Denne vurderingen starter med en omfattende aktivinventar og identifisering, evaluering og prioritering av de sårbarhetene som eksisterer i ditt miljø. "Dette er hvor du vil identifisere dine hull," sa Brian. "Du vil være i stand til å tydelig peke på hvor du mener digital modenhet er og hvor du er i dag." 
  
Skap en kjøreplan 
Deretter trenger industrielle anlegg å spesifikt forstå hvordan de vil bevege seg fra en fase til den neste. Å bryte fremgangen opp i forskjellige faser er kritisk for suksess i dette steget. "Mange bedrifter stopper på dette stadiet og stagnerer," sa Brian. "Men du må være klar på spesifikkene - vi vil gjøre x innen x dato." Vurder å låne en prosess fra programvareutviklingsverdenen, Agile, for å hjelpe med å skape en prosjektplan som vil bryte ned det større prosjektet for cybersikkerhet i mindre oppgaver. "Disse små oppgavene er enklere å gjennomføre," sa Brian. 
  
Overvåk fremgangen din regelmessig 

Til slutt bør industrielle anlegg implementere en plan for å vurdere fremgang og reevaluere etter behov. "Du må se på hva som skjer med systemet ditt," sa Brian. "Du må utføre sårbarhetsvurderinger, ansette testere for sikkerhetsvurderinger og mer. Det handler om å identifisere svakheter og legge til kontroller for hver sårbarhet." 
  
For å vurdere systemer regelmessig, bør industrielle anlegg: 
● Implementere en årlig systemvurdering (og øke frekvensen hvis mulig) 
● Gjennomføre sårbarhetsvurderinger for å identifisere svakheter 
● Lappe sårbarheter for å forhindre cybersikkerhetsangrep 
  
Klar til å lære mer om å akselerere reisen din til et smartere, sikrere industrielt anlegg? Sjekk ut vår e-bok her for å heve din operasjonelle integritet og sikkerhet.