Hoten mot ditt system
Det talas om internet of things, AI och machine learning. Allt mer av företagens system kopplas upp mot nätet vilket ger stora fördelar men också risker som varje företagsledning bör vara medveten om.
Metal Supplys syskonsida Process Nordic har lyssnat på några föredrag i ämnet i samband med mässan Scanautomatic.
Peter Folkesson på forskningsinstitutet Rise forskar inom cybersäkerhet. Han berättar att det ute på nätet finns en rad verktyg för den som har onda avsikter och skulle vilja ställa till det för andra och deras system.
Dels finns verktyg med öppen källkod som alla kan ladda hem och modifiera efter behov, sedan finns skadliga verktyg som går att köpa på nätet eller på det så kallade Darknet, den mörka delen av internet.
Slutligen har CIA tagit fram en rad verktyg att använda för att spåra brottslighet men även dessa verktyg har nu börjat spridas, mycket information om dessa verktyg lades ut på Wikileaks för något år sedan och de används nu av cyberbrottslingar.
Med alla dessa illvilliga verktyg tillgängliga på nätet kan många företag känna en hopplöshet och en stor rädsla.
– Attackerna blir mer sofistikerade, det viktigaste är att man har medvetenheten och bygger upp en säkerhetskultur. Verktygen som finns för att förstöra är också en möjlighet att testa sina system.
En annan person som arbetar med cybersäkerhet är Henrik Persson från ABB.
Han vill att företag ska börja uppmärksamma alla de maskiner, sensorer och annat som nu kopplas upp inom ramen för internet of things. Dessa har ofta sämre skydd än vanliga datasystem och det finns redan exempel på hur dessa har kapats och fjärrstyrts för att skapa problem.
På IT-avdelningarna har många företag sedan länge arbetat enligt ISO 27 000 som är ett ledningssystem för informationssäkerhet. Det är dock inte bara att använda detta rakt av.
– Vi kan inte smälla på det ledningssystem om it-säkerhet som IT-avdelningen har direkt på våra processanläggningar utan det måste modifieras. Därför talar jag om OT, operativ teknologi till skillnad från IT.
Han har några tips för de företag som vill börja arbeta med att bli medvetna och höja säkerheten.
Förutom standarden ISO 27 000 finns lagkrav på samhällskritiska verksamheter, till exempel vattenverk och värmeverk. att de ska se över sina uppkopplade system ute i processen. Även om detta inte är något krav hos industrin kan det vara en god idé att snegla på hur de arbetar.
– Det viktigaste är att börja med att kartlägga företagets risker. Vad är ert företag rädda för ska hända, fokusera sedan på åtgärder för detta så du fokuserar på rätt saker. Är du inte uppkopplad mot internet men köper en brandvägg då har du missat grejen.
Han menar också att det är viktigt att utse ansvariga personer i organisationerna för den här typen av frågor.
Ett annat tips som han gärna framhåller är standarden ISA/IEC 62443 som har fokus på industriella informations- och styrsystem.
I Sverige finns NCS3, som är ett kompetenscentrum med uppdraget att bygga upp och sprida kunskap kring cybersäkerhetsaspekter inom industriella informations- och styrsystem. De har gjort en skrift som bryter ned IT-säkerhetsarbetet enligt standarden i mindre bitar.