02:31. Når produksjonen stopper – og ingen vet hvorfor

Av Nina Hesby Tvedt, Chief Technology Officer

‍

Her er et scenario som dessverre er nærmere virkeligheten enn fiksjon for mange industrielle operatører.

Klokken er 02:31, og en produksjonslinje i en næringsmiddelbedrift har stoppet. Ingen alarm har gått, ingen har meldt en feil, og det er ingen åpen vedlikeholdsordre. Linjen kjører bare ikke.

Den første mistanken er mekanisk. Ingeniørene begynner å sjekke transportbånd, kontrollere og prosessutstyr. Vedlikeholdet blir kalt inn, leverandører blir ringt, og produksjonsledere bruker de neste timene på å finne ut om de har å gjøre med en teknisk feil, et leverandørproblem – eller noe verre.

Til slutt dukker en sannsynlig årsak opp. Noen dager tidligere, under en ekstern vedlikeholdssesjon, ble det gjort en liten konfigurasjonsendring inne i driftsnettet. Den så uskyldig ut der og da. Ingenting varslet, ingenting flagget det, og ingen hadde reell innsikt i hvordan endringen berørte produksjonsmiljøet. Problemet ble bare synlig etter at driften allerede var forstyrret.

For mange industrielle operatører er ikke denne historien hypotetisk i det hele tatt. De har levd en versjon av den selv.

‍

Cyberkriminalitet har blitt en kommersiell suksess - og  skandinaviske virksomheter rammes

I april 2024 måtte Norrmejerier, ett av Sveriges største meiersamvirker, stenge sitt hovedproduksjonsanlegg i Umeå etter at et cyberangrep satte kritiske produksjonssystemer ut av drift natt til 16. april. Anlegget var nede i omtrent sekstifire timer. Melkeleveranser ble omdirigert til andre meierier, og noe råmelk rakk ikke å bli prosessert i tide og måtte kastes. Tapene løp opp i millioner av svenske kroner. Hendelsen illustrerer hvordan regionale matsamvirker, langt fra ethvert geopolitisk frontlinje,  nå er en del av trusselbildet.

Mønsteret er heller ikke nytt. Den 21. desember 2021 oppdaget Nortura, Norges største kjøttprodusent, mistenkelig aktivitet på sine servere og stanset produksjonen som en sikkerhetsforanstaltning. Slakting ble stoppet i juleperioden, bønder måtte utsette leveranser av buskap, og butikker fikk knapt med varer. Det finansielle tapet nådde titalls millioner norske kroner. Ingen løsepenger ble noensinne krevd, og ingen skadelig programvare ble bekreftet å ha nådd de operative systemene. Produksjonen stoppet likevel – for når du ikke kan stole på miljøet, er det å stanse linjen som regel det eneste trygge valget. Den samme aktøren ble rammet igjen i 2024, da angripere kompromitterte e-posten til en administrerende direktør i Nortura-eide Hå Rugeri AS og omdirigerte nærmere én million kroner gjennom en falsk faktura. Trusselflaten strekker seg langt utover produksjonsgulvet.

I 2022 opplevde Arla Foods et IT-avbrudd på sin fabrikk i Tyskland som forstyrret logistikk og produksjon ved anlegget. Produksjonen trenger ikke alltid bli rammet direkte – den stopper likevel, fordi systemene som planlegger den, ruter den og verifiserer kvaliteten, faller med alt det andre.

Ser man på regionen samlet, er bildet vanskelig å overse. Norsk Hydros LockerGoga-hendelse i 2019 tvang aluminiumssmelteverk over i manuell drift og kostet selskapet anslagsvis 600 til 800 millioner kroner. Demant, den danske høreapparatprodusenten, tok et tap på rundt 550 millioner danske kroner samme år etter at hackere forårsaket et globalt produksjons- og distribusjonsavbrudd. Moelven og Coop Sverige har også dukket opp på samme listen og resultatet gjentar seg: produksjonen stopper, uavhengig av om OT i seg selv er inngangspunktet.

Det disse hendelsene har til felles er ikke en bestemt trusselaktør eller et spesifikt stykke skadevare. Det er sårbarheten som ligger under.

‍

Eksponering i det stille

Produksjonsmiljøene i dag er langt mer sammenkoblet enn de var. Ekstern leverandørtilgang, systemintegrasjoner, skytilkobling og et stadig voksende antall digitale berøringspunkter har gjort driften mer effektiv. Det har også skapt større angrepsflate med mange blindsoner. I mange organisasjoner skjer endringer inne i OT-miljøet stille, med begrenset oversikt, og de blir bare synlige når de begynner å påvirke produksjon, kvalitet eller sikkerhet.

En kort avklaring av hva OT faktisk betyr i denne sammenhengen: Operasjonell teknologi dekker systemene som direkte styrer industrielle prosesser – programmerbare logikkontrollere, SCADA-systemer, industrielle endepunkter, sensorer og kommunikasjonsnettverkene som holder produksjonen i gang. I motsetning til IT er OT bygget rundt oppetid. Når OT faller, er konsekvensene umiddelbare og fysiske. Produksjonen stopper, prosesser blir ustabile, produktkvaliteten kan bli kompromittert – og i næringsmiddelsindustrien spesielt kan i ytterste konsekvens mattryggheten stå på spill.

Det vanskelige er at mange organisasjoner fortsatt ikke har god innsikt i hva som faktisk skjer inne i OT-miljøet sitt. De er ikke alltid sikre på hvilke eiendeler som er tilkoblet. Uautoriserte enheter kan dukke opp ubemerket. Uvanlig trafikk mellom systemer går uten varsling. Konfigurasjonsendringer på industrielle kontrollere skjer uten at noen egentlig sporer dem – og når noe går galt, er det vanskelig å avgjøre om det er en teknisk feil, en leverandørfeil eller en reell sikkerhetshendelse.

Den usikkerheten er der operasjonell risiko vokser.

‍

Innsikt før det blir til nedetid

SecureNOK adresserer dette med SNOK-plattformen, som er bygget spesielt for industrielle miljøer. Plattformen overvåker OT-nettverk, endepunkter og PLC-miljøer uten å forstyrre driften. Den bygger en aktivaoversikt, overvåker nettverksatferd kontinuerlig, oppdager avvik og flagger endringer som ellers ville glidd forbi.

Det plattformen reelt sett gir operatørene, er noe mange industriorganisasjoner ikke har i dag: et klart bilde av hva som er tilkoblet, hva som har endret seg, og hvilken uvanlig aktivitet som pågår – før noe av det utvikler seg til nedetid.

I praksis gjør det at organisasjoner kan se hva som skjedde og hvorfor, med nok forvarsel til faktisk å gjøre noe med det.

Dette blir stadig viktigere etter hvert som regelverket skjerpes. Under NIS2-direktivet forventes operatører av kritisk og viktig infrastruktur å styrke cybersikkerhetsstyringen, forbedre hendelsesdeteksjon, stramme inn leverandørkjedeoversikten og drive kontinuerlig risikostyring på tvers av operative systemer. For selskaper som driver industrielle produksjonsmiljøer betyr etterlevelse i økende grad at de må kunne overvåke og håndtere OT-risiko på en strukturert måte – ikke reaktivt.

‍

Spørsmålet ingen vil svare på

Det etterlater et ubehagelig spørsmål for produksjonsledere.

Vet du egentlig hva som skjer inne i OT-nettverket ditt?

De fleste organisasjoner føler at de har kontroll – helt til de ikke lenger har det. Til produksjonen bremser. Til en linje stopper. Til en leverandørtilkobling viser seg å være en skjult sårbarhet. Til en liten, ubemerket endring får svært synlige konsekvenser.

Da er spørsmålet egentlig ikke om innsikt er viktig. Det er hvorfor den manglet i utgangspunktet.

‍