Operasjonell teknologi og forsvar mot cybertrusler

Informasjonsteknologi (IT) og operasjonell teknologi (OT) har tradisjonelt vært atskilte størrelser. Mens IT først og fremst konsentrerer seg om databehandling og kommunikasjon, fokuserer OT på direkte kontroll av utstyr, fysiske prosesser og infrastruktur. IT er opptatt av å sikre konfidensialitet, integritet og tilgjengelighet av systemer og data. For OT er de viktigste faktorene maskinsikkerhet, tilgjengelighet og trygghet. Cyberangrep mot IT kan koste virksomheter dyrt. Innen OT kan de ramme menneskeliv. Forskjellene til tross har IT og OT nærmet seg i løpet av de senere årene.

Informasjonsteknologi og operasjonell teknologi

Dette har ført til utviklingen av mer avanserte og integrerte løsninger for industriell automasjon, dataanalyse og fjernovervåking, dermed til forbedret effektivitet og pålitelighet. Denne konvergensen introduserer imidlertid også nye utfordringer med tanke på sikkerhet, ettersom OT-systemer blir mer sårbare for cybertrusler på grunn av økt tilkobling til IT-nettverk. Det gjør at IT må få en bedre forståelse av problemene OT sliter med, samtidig som OT må få mer kunnskap om hvilke farer de utsetter seg for i sin digitale transformasjon.

Informasjonsteknologi (IT) refererer generelt til bruk, utvikling og administrasjon av datamaskinbaserte systemer, programvare og nettverk for å lagre, behandle, overføre og hente data og informasjon. IT omfatter et bredt spekter av teknologier, praksiser og applikasjoner som brukes til å forvalte og utnytte informasjon i ulike sammenhenger. Her inngår også kunstig intelligens med forskjellige former for maskin- og dyplæring og analyser av store datasett, som skaper forutsetningene for Industri 4.0.

Operativ teknologi (OT) refererer til maskinvare- og programvaresystemene som brukes til å overvåke, kontrollere og administrere fysiske prosesser i ulike bransjer og kritisk infrastruktur. Den omfatter teknologier og enheter som er spesielt utviklet for operasjonelle oppgaver og styring av industrielle prosesser. Maskineri og samlebånd burde være grei skuring. Mens resten vil være mindre kjent terreng for den jevne IT-konsulent. Her følger en krasj-introduksjon:

RTU står for Remote Terminal Unit, en enhet som brukes i ulike bransjer for å overvåke og kontrollere eksternt utstyr eller prosesser. Det er et mellomledd mellom feltutstyret eller sensorene og et sentralt kontrollsystem eller SCADA-system. Totalt sett spiller RTUer en avgjørende rolle for å muliggjøre sanntidsovervåking, kontroll og datainnsamling av eksterne enheter.

HMI står for Human-Machine Interface, teknologier og systemer som muliggjør kommunikasjon mellom mennesker og maskiner eller datastyrte enheter. HMI fungerer som en bro mellom bruker og maskin, så man kan samhandle med og kontrollere maskinens funksjoner.

SCADA står for Supervisory Control and Data Acquisition, et system som brukes til å overvåke og kontrollere industrielle prosesser, infrastruktur og fasiliteter. SCADA kombinerer maskinvare- og programvarekomponenter for å samle og analysere sanntidsdata fra eksterne enheter, sånn at operatører kan administrere og kontrollere disse prosessene effektivt.

PLC står for Programmable Logic Controller, en spesialisert digital datamaskin som brukes i industriell automatisering og kontrollsystemer. PLCer er utformet for å overvåke innganger, ta beslutninger basert på programmert logikk og kontrollere utganger for å automatisere og optimalisere ulike prosesser.

MODBUS er en kommunikasjonsprotokoll som vanligvis brukes i industrielle automasjonssystemer for overføring av data mellom elektroniske enheter, utviklet av Modicon (nå Schneider Electric) på slutten av 1970-tallet og har siden blitt en allment vedtatt standard på grunn av sin enkelhet og allsidighet.

Industri 4.0 – Den fjerde industrielle revolusjon

Målet med å konvergere IT med OT er å legge grunnlaget for Industri 4.0 eller den fjerde industrielle revolusjon. Det innebærer å digitalisere og automatisere prosesser som vil løfte industrien til neste steg, med sterk fokus på sammenkobling, automasjon, maskinlæring og sanntidsdata. Industri 4.0 er preget av en rekke nøkkelelementer:

1. Sammenkobling: Med Tingenes Internett (IoT) er enheter og maskiner i stand til å kommunisere med hverandre og med mennesker i sanntid.
2. Automatisering: Avansert automatisering betyr at maskiner kan utføre en rekke komplekse oppgaver med lite menneskelig innblanding.
3. Maskinlæring: Med avanserte algoritmer og evnen til å behandle enorme mengder data kan maskiner forbedre sin egen ytelse over tid.
4. Sanntidsdata: Evnen til å fange og analysere data i sanntid gir større operativ smidighet og respons.
5. Skyteknologi: Bruken av skyteknologi gir mulighet for mer effektiv lagring og deling av data, samt tilgang til avansert analyse og datakraft.
6. Cyber-fysiske systemer (CPS): Dette er integrasjoner av beregning med fysiske prosesser. Innebygde datamaskiner og nettverk overvåker og kontrollerer de fysiske prosessene, med tilbakemeldingssløyfer der fysiske prosesser påvirker beregninger og omvendt.

Cybersikkerhet for operasjonell teknologi

Det er viktig å merke seg at teknologiene innen OT ble utviklet med tanke på tilgjengelighet og ytelse, ikke sikkerhet. Utfordringen består i å integrere dem i et robust og motstandsdyktig miljø. Økt bruk av industriell Tingenes Internett (Industrial Internet of Things – IIoT) og andre smarte teknologier har økt tilkoblingen til OT-systemer. Dette har ført til en utvidet angrepsflate. Ofte har man å gjøre med eldre løsninger som mangler innebygde sikkerhetsfunksjoner, noe som gjør dem sårbare for cyberangrep. Ved at OT- og IT-systemer blir tettere integrert, kan sårbarheter i ett domene utnyttes til å påvirke det andre. Dette øker behovet for en helhetlig tilnærming til cybersikkerhet. Det innbefatter:

• Kontinuerlig risikovurdering for å identifisere potensielle sårbarheter og evaluere effekten av angrep på kritisk infrastruktur og industrielle systemer.
• Nettverkssegmentering for å holde OT- og IT-nettverk atskilt fra hverandre ved bruk av strenge tilgangskontroller for å minimere risikoen for uautorisert adgang og lateral bevegelse.
• Sikkerhetsovervåking med neste generasjons brannmurer som detekterer inntrengning (IDS) og forebygger dem (IPS).
• Administrasjon av patcher som sørger for å holde program-, fastvare- og maskinvare oppdatert.
• Opplæring og bevissthet som trener ansatte i beste praksis, så de forstår potensielle risikoer og deres rolle i å opprettholde et sikkert miljø.
• Hendelsesresponsplan som inkluderer prosedyrer for å oppdage, inneholde og gjenopprette fra cyberangrep, samt kommunikasjonsprotokoller for å informere relevante interesseparter.
• Samarbeid som fremmer samarbeid mellom IT- og OT-team for å dele kunnskap, ekspertise og beste praksis innen cybersikkerhet, og samarbeide for å utvikle en omfattende sikkerhetsstrategi.

Forsvar mot angrepskjeder

OT må nå tenke i de samme baner som IT for å gardere seg mot cyberangrep. Angrepsvektorer omfatter blant annet phishing-e-post, skadevare på enheter, identitetstyveri, med alt det fører med seg, som industrispionasje og løsepengevare og utpressing. Som Microsoft Partner er det naturlig å skissere forsvaret med selskapets teknologier (andre leverandører har tilsvarende løsninger). Microsoft tilbyr et integrert sett med utvidet deteksjon og respons (XDR) og SIEM/SOAR-funksjoner. Disse gir avanserte trusseloppdagelser, samt automatiserte undersøkelses- og responsfunksjoner. Verktøyene er utviklet for å fungere sammen og inkluderer:

• Defender for Office 365 gir beskyttelse for e-post, SharePoint, OneDrive, Teams og andre Office 365-funksjoner.
• Defender for Endpoint sørger for endepunktsdeteksjon og -respons (EDR) på datamaskiner og mobile enheter.
• Azure AD Identity Protection og Defender for Identity dekker identitetsstadiene av angrep både i skyen og lokalt.
• Defender for Cloud Apps er en sikkerhetsmegler for trygg skytilgang og detekterer angrep og kan hindre dataeksfiltrering.
• Microsoft Sentinel gir enhetlig synlighet for disse verktøyene, samt hendelseslogger og varsler fra andre sikkerhetsverktøy, forretningsapplikasjoner, nettverksenheter med mer.
• Microsoft Purview Innsider-risikostyring gjør det mulig å oppdage, undersøke og reagere på ondsinnede og utilsiktede aktiviteter i organisasjonen.

Defender for IoT (& OT)

Defender for IoT (& OT) inngår i denne arkitekturen og skaper en bro mellom informasjonsteknologi og operasjonell teknologi. Det er en skybasert sikkerhetsløsning designet for å beskytte IoT og OT. Den gir en sentralisert administrasjonskonsoll for å overvåke og kontrollere IoT-sikkerhet, og hjelper organisasjoner med å identifisere og svare på potensielle sikkerhetstrusler i sanntid.

Løsningen utnytter kunstig intelligens og maskinlæringsalgoritmer for å oppdage og forhindre cyberangrep, og tilbyr funksjoner som atferdsanalyse, avviksdeteksjon og trusseletterretning for å forbedre deteksjonsevnene. Den gir også sikkerhetsanbefalinger og varsler for å hjelpe brukere med å holde seg oppdatert på potensielle sikkerhetsproblemer.

Microsoft Defender for IoT støtter et bredt spekter av enheter og protokoller, inkludert industrielle kontrollsystemer, medisinsk utstyr og IoT-enheter som brukes i detaljhandel, gjestfrihet og transport. Den integreres med Azure IoT Hub og andre Azure-tjenester for å gi en omfattende sikkerhetsløsning for IoT-distribusjoner. Microsoft Defender for IoT (& OT) inkluderer:

• Enhetsbeholdning: Gir en fullstendig beholdning av alle IoT- og OT-enheter i organisasjonen, inkludert informasjon om enhetstype, fastvareversjon og nettverksplassering.
• Risikovurdering: Analyserer sikkerhetsstillingen til IoT- og OT-enheter og gir anbefalinger for å forbedre sikkerheten deres.
• Trusseldeteksjon: Bruker maskinlæring og atferdsanalyse for å oppdage potensielle sikkerhetstrusler og unormal aktivitet på IoT- og OT-enheter.
• Automatisert respons: Gir automatiserte responsfunksjoner for å redusere risikoer og stoppe angrep før de kan forårsake skade.
• Integrasjon med Defender for Cloud (Azure Security Center): For å gi et enhetlig sikkerhetsdashbord for å administrere og overvåke sikkerheten til alle enheter i organisasjonen, inkludert IoT- og OT-enheter. Defender for IoT (& OT) er enkelt integrert med Microsoft Sentinel også.

Avsluttende ord

Hensikten med innlegget var å gi en introduksjon til utfordringene som knytter seg til at operasjonell teknologi konvergerer med informasjonsteknologi. Cybertruslene står i kø. Konklusjonen må være at OT lærer av IT og vice versa.