Stoppade stålverk, avstängd kraftförsörjning för industri eller samhällen, hot och utpressning. Det finns många exempel att industrin är en utsatt bransch vad gäller cyberhot och cyberattacker. SSG lanserar nu en cybersäkerhetsutbildning, efter att SSGs industriella arbetsgrupp för cybersäkerhet påtalat det stora behov som finns. Utbildningen hjälper bolag inom industrin att öka medvetenheten hos anställda och entreprenörer.
SSG har i samråd med arbetsgruppen tagit fram innehållet till den nya utbildningen SSG Cyber Security, med ambition att möta det behov som finns inom branschen. Syftet är att höja den generella kunskapsnivån om cybersäkerhetsrisker, särskilt i OT-miljöer. Utbildningen skapar medvetenhet om de förödande konsekvenser som en cyberattack kan innebära. Innehållet är baserat på den standard som gruppen utvecklat och lär ut hur ett cybersäkert beteende kan förhindra att en industrianläggning drabbas.
– Alla medlemsföretag i arbetsgruppen har utbildningar för administrativ personal och informationsanvändare. Där finns det idag olika typer av medvetenhetsprogram inom cybersäkerhet i stort sett i alla företag. Men processtekniker, våra kollegor som jobbar med produktionen, har inte alltid anpassade utbildningar inom området. Där uppstod idén, varför inte göra något tillsammans som är en del av andra standardiseringsarbeten som vi alla redan är aktiva i, säger Patrick Andersson, en av medlemmarna i arbetsgruppen och Head of Information Security and Privacy på Stora Enso.
Den industriella IT-miljön har större risker än traditionell IT, som till exempel kan handla om administrativa system eftersom stora industriella satsningar lever en lång tid. Det finns system på industriella arbetsplatser som funnits väldigt länge och de maskiner som används har även de funnits i flertalet år. Många har mer eller mindre alltid använt sig av samma system och maskiner under sin arbetstid.
– Man kanske tänker ”vad skulle kunna hända med den maskinen som alltid funnits”. Det finns många exempel på industriella system som är kopplade till internet, för att det är smidigt. Men cyberbrottslighet eller cyberterrorism kan utnyttja det. Här ser vi att det släpar efter inom industrin rent generellt. Inte i alla industrier, men allmänt inom den tillverkande industrin. Det finns ett antal utsatta sektorer, man kan se till finansindustri för att ta ett ganska enkelt exempel. Men sen kommer den tillverkande industrin, de risker som är specifika för industrin beror oftast på gammal teknik som är otillräckligt säkrad för dagens cyberhot, säger Patrick.
Den nya utbildningen SSG Cyber Security har en giltighetstid på ett år och det finns en anledning till det. Patrick Andersson menar att medvetenhet är en färskvara och att kursen behöver uppdateras inom ett sådant tidsspann för att hållas aktuell. Inom två eller tre år kommer hotbilderna och prioriteringarna ändras. Ett år är en bra avvägning, ett halvår är lite väl kort och två år alldeles för lång tid för att hinna med i allt som ständigt förändras inom området.
När vi frågar Patrick varför man ska cybersäkra sitt bolag berättar han att företag som utsätts för hot och attacker lider direkt finansiell skada från utebliven produktion och försörjning. I vissa fall kan det även vara frågan om böter om man inte har säkrat sitt bolag tillräckligt. Det kan också vara förödande för ryktet om man inte har koll och inte sköter sig ordentligt, vilket i sin tur kan skada försäljningen. Han berättar också att det finns många exempel på konsekvenser som stoppade stålverk, avstängd kraftförsörjning för industri eller samhällen. En vanligt förekommande risk är utrustning som är ansluten till internet med bristande säkerhet.
– En annan mycket vanlig brist är att system som kommer från stora leverantörer är installerade precis som dom kom med standardinloggning. Det sker förändringar vilket jag är medveten om, men om vi tittar historiskt finns det många industrisystem från olika leverantörer där standardlösenord och standardanvändar-id för administration av systemen fortfarande är aktiva och aldrig har ändrats. Det första en hotaktör gör om den kommer åt ett sådant här system är att testa standardinloggning. Och pang så är dom inne, säger Patrick.
Statistik visar på en stor ökning av ekonomisk brottslighet. Det har alltid funnits bedrägerier, men cyberrelaterad ekonomisk brottslighet ökar markant. Patrick Andersson poängterar att cybersäkerhet inte går att beskrivas som ett objekt eller en sak. Det finns ingen enskild produkt, tjänst eller lösning som är cybersäkerhet. Utan det är ett resultat av flera olika typer av produkter, tjänster och processer som har olika typ av verkan. Det är också viktigt att inte se cybersäkerhet som ett resultat av en person. Det är ett resultat av en mängd olika individer, som alla förstår vikten av att vara medveten.
– Det är viktigt att hitta eldsjälar inom olika områden på ett bolag som påverkar cybersäkerheten positivt. Och se till att eldsjälarna får sin oro eller sina förslag hörda. Dom kan påverka inom sina områden, och bidra till säkrare lösningar och se till att dessa blir implementerade i till exempel olika tjänster. Det bidrar också till en högre förmåga att upptäcka och undvika. Det är minst lika viktigt att upptäcka som att undvika, säger Patrick.
En annan risk på ett bolag är den mänskliga faktorn. Det kan till exempel vara att man av misstag råkar öppna ett produktionsnätverk mot ett externt nätverk som inte längre är skyddat, att brandväggar stängs av eller andra felkonfigureringar. Då är det extra viktigt med medvetenhet bland de anställda, att vara medveten om eventuella risker för att kunna undvika att det sker en incident. Det kan också finnas risker när man arbetar med externa resurser som till exempel entreprenörer.
– Det finns även risker med att ha extern arbetskraft, antingen fysiskt på plats eller digitalt. Det kan vara under en service att en konfiguration förändras som introducerar en sårbarhet, och den kan en hotaktör sen använda. Eller att man ovetandes introducerar en IT-komponent, kanske använder man en servicelaptop för att göra en uppdatering som i sin tur redan är smittad eller har ett cybersäkerhetshot som är aktivt. När den ansluts till den industriella miljön överförs det dit, säger Patrick.
Patrick avslutar med att det handlar om att hela tiden höja nivån, att antingen hinna i kapp och vara medveten om hoten som finns. Men att i bästa fall ligga steget före. Att vara motiverad och aktiv inom området. Allting som påverkar ett bolags cybersäkerhet positivt är viktigt. Finns det tid att vara aktiv i något som höjer cybersäkerheten – då är det värt det.