Angripare behöver sällan bara en enskild sårbarhet för att nå kritiska OT-miljöer. I stället handlar det ofta om flera steg genom både externa och interna system innan själva verksamhetskritiska processen kan påverkas. Det säger Mats Karlsson Landré, som varnar för snabbt ökande risker när industriella system kopplas upp och blir mer sammanlänkade.
Enligt Mats Karlsson Landré på Sectra ser angrepp mot OT-miljöer i många fall ut som traditionella IT-attacker i de första stegen.
– Först krävs åtkomst till någonting på internet med en svaghet som går att utnyttja, därefter ett eller flera hopp genom de interna nätverken via olika typer av interna system för att till slut nå det system eller nätverk där skadan kan orsakas, säger han.
När angriparen väl når de processnära systemen förändras dock förutsättningarna.
– Den typen av system är nästan alltid utformade med funktionen i fokus och saknar helt möjlighet att försvara sig själva, säger Mats Karlsson Landré.
Han menar att den stora utmaningen för angriparen då ofta blir att förstå själva verksamhetsprocessen tillräckligt väl för att kunna störa eller sabotera den.
Enligt Mats Karlsson Landré är den stora praktiska skillnaden mellan OT-säkerhet och traditionell IT-säkerhet att skyddsnivån i OT-miljöer ofta är betydligt lägre.
– I flera uppmärksammade fall har processnära system funnits direkt åtkomliga på internet, säger han.
Samtidigt skiljer sig förutsättningarna från klassiska IT-miljöer. Många OT-system är svåra att uppdatera utan att påverka driften, vilket gör att andra typer av skydd behöver prioriteras.
– Ofta är det svårt att hålla processystemen uppdaterade och då får man istället arbeta med segmentering mellan system, nätverksövervakning och logganalys, säger han.
När det gäller möjligheten att upptäcka attacker tidigt pekar Mats Karlsson Landré på vikten av anpassad säkerhetsövervakning.
Han vill inte kommentera specifika attacker eller incidenter, men beskriver generellt att skyddet ofta bygger på en kombination av teknisk infrastruktur och övervakning som gör det möjligt att upptäcka angripare innan de når de mest kritiska systemen.
– Angriparen måste ta sig genom ett antal system för att nå målet vilket går att upptäcka tidigt genom OT-anpassad säkerhetsövervakning, säger han.
I takt med att fler industriella system kopplas samman ökar också exponeringen mot cyberhot.
– I takt med att system kopplas samman allt mer och att denna typ av verksamheter hamnar i angriparens sikte stiger förstås riskerna mycket snabbt, säger Mats Karlsson Landré.
Han menar samtidigt att svenska energianläggningar och värmeverk generellt tar frågan på stort allvar, även om säkerhetsnivån varierar.
– Det finns förstås andra som inte kommit lika långt och som har en gammal säkerhetsskuld att arbeta av, säger han.
Enligt Mats Karlsson Landré handlar problemen ofta om bristande förståelse, begränsade resurser och säkerhetsåtgärder som inte är anpassade till OT-miljöernas förutsättningar.
– Åtgärder som har bra effekt på IT-sidan har sällan lika bra effekt i OT-världen, säger han.
Han pekar samtidigt på att många verksamheter kan stärka skyddet relativt snabbt genom rätt prioriteringar.
– Det nästan alltid finns lågt hängande frukter att hitta som kan göra stor första skillnad med liten insats, säger Mats Karlsson Landré.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
