Abonner
Debatt

Har du et strategisk skille mellom IT og OT?

Store bedrifter har tapt titalls millioner kroner etter å ha blitt rammet av cyberangrep. Det bør være et varsel til alle som jobber med IT og OT (operativ teknologi).

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep. Foto: Pressefoto
Joachim Stenhjem, ingeniør i Sopra Steria
12. juli 2024 - 13:57

Dette debattinnlegget gir uttrykk for skribentens meninger. Innlegg kan sendes til debatt@digi.no.

Bedrifter av alle størrelser er avhengige av teknologiske systemer for å opprettholde effektiviteten og sikkerheten. Vi ser stadig flere eksempler på at det å skille IT- og OT- systemer gir gode resultater. Det bidrar til å sikre tilgjengelighet og stabilitet i bedriftskritiske systemer, i tillegg er det et viktig grep for å begrense sjansen for cyberangrep for de viktigste systemene.

Vi har tidligere lest om aktører i detaljhandelen som har blitt utsatt for hacking med løsepengevirus, hvor butikkene har måttet gå over til penn og papir. Dette er et eksempel på at også i bransjer som detaljhandel, er det viktig å ta grep for å sikre sømløs drift og begrense risiko for nedetid og for cybertrusler. Hendelsen understreker behovet for å skille forretningskritiske systemer fra andre systemer. Og selv om betalingsterminaler ikke nødvendigvis klassifiseres som OT-systemer, er systemet likevel kritisk for driften – slik at de kan dra nytte av paralleller fra OT-sikringen. 

En viktig standard  

For at virksomheter skal sikre oppetid, pålitelighet og konfidensiell informasjon i kritisk infrastruktur, er det viktig med en strategisk bygge- og driftsprosess. Her er det tilnærmingen fra rammeverket IEC 62443 kommer til sin rett. IEC 62443-standarden er skrevet for bruk i industri, og gir retningslinjer og beste praksis for å sikre industrielle kontrollsystemer og nettverk. Den understreker behovet for å skille IT- og OT-miljøer, for å minimere sjansen for å bli utsatt for kritiske cyberangrep. Systemstans medfører fort markante tap. Selv om standarden er mest brukt i industrimiljø, gir den svært gode retningslinjer som også kan brukes for andre systemer som er spesielt kritiske for bedriften.

IEC 62443

  • IEC 62443 er et rammeverk som gir retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
  • Hensikten er å redusere risikoen for forstyrrelser, tap av data, ødeleggelser og fare for menneskeliv som kan oppstå som følge av angrep og utilsiktede hendelser angrep.
  • Bruk av IEC 62443 kan oppsummeres i fem punkter:
    1. Vurder risiko
    2. Definer sikkerhetskrav
    3. Gjennomfør sikkerhetstiltak
    4. Styr, kontroller og verifiser implementerte tiltak
    5. Bevissthet og kunnskap
 

Konsekvens av feil design

Det er ikke lenge siden et fiberbrudd lammet flytrafikken i mange timer. Det viser konsekvensen av feil i design og feil i evaluering av risiko. Gjennom IEC 62443-standarden beskrives gode retningslinjer for design, prosjektering, drift, overvåking og vedlikehold. Analysen som beskrives i standarden, består av å identifisere risiko og sårbarhetsgrad for de forskjellige systemene i virksomheten. For eksempel hvor mye nedetid er akseptert og hvilke rutiner er det for å vedlikeholde programvare. Dette gir ofte en matrise med forskjellige behov, grovt skilt i IT- og OT-systemer. Effekten av å skille IT- og OT-systemer, er at det vil gi bedre sikkerhet for begge systemkategoriene.

Henrik Skaanes Steigård og Cornelia Bjørke-Hill jobber i Microsoft Norge, som henholdsvis Customer Success Account Manager og kommunikasjonsdirektør. Bildet er tatt tidligere i år i forbindelse med en sak om nyansatte.
Les også:

Dette er IT-bransjens mest attraktive selskap

Identifisere årsaker til avvik

Alle bedrifter med kritiske krav til tjenester, bør aktivt og kontinuerlig vurdere sine teknologiske infrastrukturer og iverksette passende sikkerhetstiltak for å beskytte både IT, OT og forretningskritiske systemer mot mulige trusler. Det er ikke bare god praksis, men en nødvendighet. Så, ved å evaluere selskapets datatjenester basert på IEC 62443-standarden, kan investeringene fort lønne seg – dersom en trussel eller en designfeil treffer din virksomhet.

Oslo havn, Sjursøya. Myndighetene vet ikke om det finnes verdier i norske havner som burde vært beskyttet av hensyn til Norges sikkerhetsinteresser, konkluderer Riksrevisjonen.
Les også:

Norske havner får smekk for sikkerhetsslurv: – Urovekkende

DebattOT-sikkerhetSikkerhet
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Brann- og redningsskolen
Rådgiver Microsoft 365
Nordland fylkeskommune
Seksjonsleder IKT
Nammo Raufoss AS
Data Engineer
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra