Cybersäkerhet sträcker sig längre än till IT-avdelningen

De som arbetar med automation lämpar gärna över säkerhetsfrågan till IT-avdelning, inte sällan med antydan om hur svårt denna ställer till det. Resultatet kan bli interna konflikter eller meningsskiljaktigheter efter som IT och OT har helt olika syften. Här är det viktigt att komma ihåg att de två teknikernas syften är olika, och att de måste få vara det. Olika är med andra ord i detta fall bra

Ett praktiskt exempel: Den som arbetar med IT lyfter inte på ögonbrynen när det en gång i veckan kommer en Windowsuppdatering. En frekvent påtvingad omstart av datorerna är helt normalt. Man uppdaterar, startar om, och fortsätter att arbeta. Om automationsavdelningen skulle arbeta med samma metoder och uppdatera styrsystemens mjukvara lika ofta skulle det få helt andra konsekvenser eftersom det troligen skulle innebära intäktsbortfall beroende på produktionsstopp. I sin tur skulle detta kunna innebära ytterligare kostnader. Ta livsmedelsindustrin som exempel: Ett stopp i en linje som producerar livsmedel kanske till och med måste tömmas och rengöras innan den skulle kunna starta igen. Alltså råder inom OT principen ”if it ain’t broken, don’t fix it”.

Kraven på tillgänglighet och driftssäkerhet skiljer sig uppenbart mellan IT- och OT-avdelningarna. Automationssidan får helt enkelt inte tiden att som IT-avdelningen har att justera och testa ändringar i mjukvaran. Påverkan blir för stor (läs: kostsam) vilket kräver oerhört stabila enheter och system. Synen på olika funktions primäruppgift skiljer sig även den; medan IT-avdelningen ser nätverket som en bärande verksamhetsfunktion, är det en för OT ett verktyg som ska se till att realisera in- och utgångar samt ansluta olika enheter till varandra.

Automation är komplext, finns det resurser?

När man investerar i komplexa tillverkningsmaskiner som har optimerade uppgifter är det mer eller mindre omöjligt att den egna organisationen sitter på detaljkunskap kring all utrustning såvida man inte har en egen maskinbyggavdelning inom företaget. Detta löses ofta genom att man har fjärranslutning till, eller upprättar ett serviceavtal med maskintillverkaren.

Skyddar alltid IT-avdelningens brandvägg automationen?

En fjärranslutning kan däremot ställa till det om man inte samarbetar mellan avdelningarna eftersom en organisations cybersäkerhet kontrolleras av en överordnad brandvägg som ofta styr av IT-avdelningen. Ett problem som då kan uppstå är att det ”går hål” i den övergripande brandväggen. Självklart kan man styra runt detta genom att använda sig av en krypterad VPN-tunnel, men det är en annan lösning än den som vi praktiserar.

Det finns en lösning!

Eftersom vi inte kan radera all oönskad kommunikation då det skulle lämna maskinparken oanvändbar, måste vi hitta en annan lösning. Nämligen att dela upp nätverket i celler. Vilket vi gör genom att isolera produktionsenheter och ge dem egna brandväggar. Det raderar inte all risk men minimerar potentiella konsekvenser.

Men, vad är en brandvägg egentligen?

Enkelt förklarat så är en brandvägg ett filter. I det filtret kan du bestämma vilka parametrar brandväggen ska filtrera utifrån. Det enda problemet är att väldigt få vet exakt vilka enheter som pratar med nätverket, och framförallt vad de pratar om.

Så tar du kontroll över brandväggsreglerna

Efter otaliga samtal med automationskunder har Phoenix Contact skapat en säkerhetsprodukt som heter mGuard. Det är en lösning som på enkelt sätt skapar brandväggsregler med alla parametrar du behöver, automatiskt.

Vill du veta hur?

1. Anslut din mGuard mellan den produktionscell du vill isolera och produktionsnätverket. (ps. utan internetanslutning.)
2. I webgränssnittet kan du sedan med bara ett klick starta en automatisk brandväggsinlärning.
3. Låt maskinen köra i ungefär 2 veckor, alternativt till funktionaliteten är genomarbetat.
4. Nu kan du aktivera brandväggen. All trafik som inte bemöttes under genomarbetningen kommer att filtreras bort!

Ännu säkrare med Tech Mode

Vi vet och förstår att det händer massa saker till vardags som leder till förändringar av nätverket. Som i sin tur kan komma att innebära förändringar i brandväggsreglerna. Tillbaka på ruta ett tänker du? Inte riktigt.

Vi har skapat en funktion som heter Tech Mode, som betyder att vi sparar alla regler vi skapade under genomarbetningen på två veckor samtidigt som vi fångar upp och loggar all ny nätverkstrafik. När din mGuard upptäcker obekant kommunikation så meddelas du och tillåts godkänna den.

Trots att det troligtvis är omöjligt att garantera en hundraprocentig säkerhet i ett industrinätverk så kan du åtminstone jobba på att minska potentiella skador.

För mer information besök vår sajt