OT-sikkerhet i matindustrien starter med innsikt

Av Lars Petter Rosseland, Prosjektleder, Securenok

‍

Fra produksjonskunnskap til digital oversikt

Som prosjektleder i OT-sikkerhetsprosjekter møter jeg ofte det samme utgangspunktet hos industribedrifter: Man har god kontroll på produksjon, prosesser og utstyr – men langt mindre oversikt over hvordan den digitale infrastrukturen faktisk ser ut.

Dette gjelder særlig i næringsmiddelindustrien.

Over tid har produksjonsmiljøer vokst stegvis: nye produksjonslinjer, leverandørtilganger, fjernaksess, virtualisering og integrasjoner mot IT. Resultatet er ofte komplekse OT-miljøer hvor dokumentasjonen ikke fullt ut gjenspeiler virkeligheten.

Det betyr ikke at løsningene er dårlige. Mange produksjonsmiljøer er svært stabile operasjonelt. Men når man begynner å jobbe med OT-sikkerhet, handler mye av det første arbeidet om å etablere faktisk innsikt.

Første steg: Innsikt gjennom passiv datainnsamling

I et større norsk matproduksjonsanlegg gjennomførte vi nylig en innledende OT Security Status-prosess. Målet var ikke å installere enda et sikkerhetssystem, men å forstå miljøet bedre.

Sammen med drift, automasjon og IT planla vi hvor sensorer kunne plasseres, hvilke nettverk som burde observeres, hvordan datainnsamlingen kunne gjennomføres uten å påvirke produksjonen, og hvilke deler av miljøet som var viktigst å få innsikt i først. I slike miljøer er passivitet avgjørende. Ingen aksepterer risiko for produksjonsstans.

Ved hjelp av SNOK® nettverkssensorer samlet vi derfor inn trafikkdata passivt over flere uker fra ulike deler av produksjonsmiljøet.

Når nettverket begynner å tegne seg selv

Etter hvert som dataene kom inn, begynte et tydelig bilde å danne seg.

Vi fikk oversikt over nettverkssoner i produksjonsnettverket, operatørstasjoner, industrielle servere, PLC-kommunikasjon, forbindelser mellom IT og OT, samt eksterne forbindelser, VPN-trafikk og fjernaksess.

I dette prosjektet ble det identifisert flere hundre enheter relatert til produksjonsmiljøet fordelt på ulike nettverkssoner. Nettverkstopologien tegnet seg selv basert på faktisk kommunikasjon mellom systemene.

Det som ofte overrasker virksomhetene selv, er hvor mye som blir synlig: ukjente forbindelser, skjulte avhengigheter og kommunikasjon som ikke tidligere har vært dokumentert.

Små funn kan gi stor verdi

I denne fasen handler OT-sikkerhet sjelden om avanserte angrep. Det handler oftere om å identifisere forhold som har oppstått naturlig over tid: systemer med direkte internettforbindelse, gamle fjernaksessløsninger, svak segmentering, kommunikasjon på tvers av soner, produksjonsutstyr plassert i kontornettverk, og eldre systemer med begrensede sikkerhetsmekanismer.

Flere av disse forholdene ble opprinnelig etablert som praktiske og nødvendige løsninger for drift, support og tilgjengelighet. De representerte ikke feil på etableringstidspunktet. Men trusselbildet har endret seg vesentlig siden da, og løsningene fremstår derfor som utilstrekkelige i dagens kontekst.

Baseline før større tiltak

Noe av det viktigste i innledende OT-sikkerhetsarbeid er å etablere en baseline: Hva er normal aktivitet i miljøet?

Når man kjenner normal kommunikasjon, protokoller og trafikkmønstre, blir det langt enklere å oppdage avvik. I OT-miljøer er det særlig verdifullt fordi trafikken ofte er stabil og forutsigbar sammenlignet med IT-miljøer, noe som gjør at avvik er gode indikatorer på uønskede hendelser.

OT-sikkerhet i næringsmiddelindustrien handler ikke bare om cybersikkerhet, men om stabil produksjon, trygg drift, tilgjengelighet, kvalitet, kontroll på endringer og redusert risiko for nedetid.

Før man investerer i nye løsninger eller større endringer, må man forstå hvordan miljøet faktisk fungerer. Gode sikkerhetsbeslutninger tas først når man går fra antagelser til faktabasert innsikt.

‍