Det blir allt vanligare med cyberangrepp mot industrianläggningar. För att öka medvetenheten om vad som kan hända och hur du som medarbetare kan bidra till ökad säkerhet har en av SSG:s arbetsgrupper tagit fram en ny guide och webbkurs på området. Snart kommer även en standard för krav på cybersäkerhet vid upphandling.
Ökad digitalisering hos industrianläggningar kan bidra till en mer hållbar produktion, bättre produktivitet och ökad innovationsförmåga. Men digitaliseringen innebär tyvärr också att anläggningarna blir mer sårbara. När IT (information technology) integreras med OT (operation technology) exponeras industrin för betydande säkerhetsrisker. Under 2022 uppgav ca 60 procent* av de tillfrågade inom svensk industri att de identifierat cyberangrepp mot sin verksamhet.
Cyberangrepp kan orsaka stora problem för en anläggning. Produktionen kan stanna av helt och företaget kan förlora såväl stora intäkter som viktig information. Företagets anseende kan skadas och viktiga tillstånd för att bedriva verksamheten kan dras in. Men cyberangrepp kan också innebära fara för såväl anställda som allmänheten i anläggningens närområde, om någon med onda avsikter kan påverka hur anläggningens utrustning styrs.
I SSG:s nätverk för IT och automation har man diskuterat det behov som finns av mer standardisering och utbildning gällande cybersäkerhet i industrimiljöer. Därför skapades 2022 en arbetsgrupp för att jobba med ämnet.
– Arbetsgruppen består bland annat av personer som arbetar som CISO, OT-expert, IT-expert eller cybersäkerhetsansvarig inom industrin, säger Tina Berggren från SSG, som varit processledare för gruppen.
Läs en intervju med en av deltagarna i arbetsgruppen.
Arbetet har hittills resulterat i webbkursen SSG Cyber Security och den nya guiden SSG 5301. Guiden riktar sig till alla som kommer att befinna sig på en industrianläggning, för att öka medvetenheten om vad som kan hända och vad som är viktigt att tänka på för att inte underlätta för angripare som försöker komma åt anläggningen. Guiden riktar sig särskilt till de medarbetare som inte är så insatta i ämnet sedan tidigare.
– Målet har varit att man ska kunna läsa guiden oavsett vilken roll man har, eftersom de flesta använder digital teknik i sitt arbete på ett eller annat sätt. Automatiseringen av industrin har gått fort och i dag styrs och övervakas många industriprocesser digitalt. Därför behöver alla vara medvetna om de risker som finns och hur man kan förhålla sig till dem, säger Tina Berggren.
Även om man inte anser sig arbeta med sådant som kan exponera anläggningen för hot, är medvetenhet hos den stora massan ändå betydelsefullt. Ju fler personer på anläggningen som är medvetna om riskerna, desto fler är man som kan hjälpas åt att hålla ögonen öppna och upptäcka sådant som är misstänkt eller som kan innebära risker.
Webbkursen SSG Cyber Security riktar sig precis som guiden till såväl medarbetare som entreprenörer för att öka medvetenheten om risker och hur man kan förhålla sig till dem, oavsett vilken roll man har. Precis som med många andra av SSG:s webbkurser kommer man ha möjlighet att ställa krav på att en person ska ha gått kursen för att få tillträde till anläggningen.
Det är också viktigt att beakta cybersäkerhet vid upphandling av uppkopplade system och tjänster. Arbetsgruppen för cybersäkerhet har därför även tagit fram en kravchecklista som ska kunna användas med SSG Leveranskontrakt och en förklarande guide som kan användas som stöd vid upphandlingsprocessen. De planeras bli publicerade under hösten.
Ladda ner guiden SSG 5301 – Cybersäkert beteende i uppkopplade industrimiljöer
*Källa: Teknikföretagen.