Cyber Security for tekniske installasjoner – En forholdsvis ny utfordring.
Det er dag ganske vanlig å koble forskjellig typer teknisk utstyr opp mot internett. Dette inkluderer også ulike typer automatiserte anlegg, smarthus og intelligente bygninger. Dette reiser en lang rekke sikkerhetsmessige problemstillinger. Samtidig som at man oppnår forbedret funksjonalitet, så oppstår det også en betydelig sikkehtesmessig risiko ved at utenforstående kan oppnå styring og kontroll over de tekniske anleggene. Bruker av IoT – Internet of Things og IIoT – Industrial Internet of things er også en spesiell utfordring i denne sammenhengen.
Hvordan kan vi (innenfor elektrofagene) møte denne utfordringen?
Det finnes vel neppe noen annen god løsning, som kan fungere godt nok, enn å bygge opp den kompetanse som behøves for å forstå hvordan teknologien fungerer, slik at man kan forebygge cyberangrep, avdekke dem når de skjer, og gjennoprette normaltistand, som før angrepet, etter at angrepene har skjedd.
Hva slags kompetanse behøver vi (innenfor elektrofagene)?
Det kan vel se ut som at det er en del kompetansemål som vil være aktuelle:
- En god forståelse for hvordan datakommunikasjon og nettverk fungerer
- Ulike server og klientsystemer – Lagring, deling og bruk av data.
- Virtualisering og skybaserte systemer.
- Hvordan cyberangrep gjennomføres. The Cyber Kill Chain i praksis.
- Hvordan cyberangrep forebygges og avdekkes.
- Hvordan man gjennoppretter sikkerheten i et teknisk system etter at angrep har skjedd.
- Utarbeidelse av praksisoppgaver og læringsoppdrag som kan gjøre “vanskelig teori” litt “enklere” tilgjengelig og som kan lede til dybdelæring.
En annen utfordring i forhold til IT-fagene.
En vanlig teoretisk modell for å beskrive problemstillingene rundt sikkerhet i systemer for operasjonell teknologi – OT, det er den såkalte Purdue modellen.
Når man ser på hvordan den er bygd opp, så ser man at man passerer gjennom 2 forskjellige fagområder, når man beveger seg fra topp til bunn i modellen, eller motsatt.
I de øvre lagene i Purdue modellen, så finner vi typisk det som hører inn under IT og sikkerhet for informasjonssystemer. På dette nivået i Purdue modellen så gjelder IT fagenes måte å arbeide på og å ivareta sikkerhet og forebygge risiko. Når vi beveger oss nedover i modellen så kommer vi typisk først over i automasjonsfaget og så videre der i fra over i de andre elektrofagene.
Grensenittet mellom IT fagene og elektrofagene vil vel kanskje først og framst gå via ekomfaget og automatiseringsfaget. Videre så vil kravene til sikkerhet innenfor automatiseringsfaget også ha et “grensenitt” opp andre elektrofag, som for eksempel elenergi.
Sikkerhet i forhold til OT systemer vil så ledes samtidig omfatter det som går på informasjonssikkerhet i forhold til IT fagene og elsikkerhet og maskinsikkerhet i forhold til elektrofagene.
For elektrofagene så finnes det et omfattende regelver som ivaretar sikkerheten og krav til personellkompetanse i forhold til den sikkerhetsproblemstikken som gjelder for det som går på sikkerhet innenfor elektrofagene, isolert sett.
En helhetlig sikkerhetsmessig problemstilling og vurdering av risiko i forhold til “OT-systemer”, vil således måtte spenne over den samlede sikkerhetsproblematikken for IT og OT. Det samme gjelder i forhold til det å skulle verifisere om det samlede sikkerhetsnivået er ivaretatt på en god nok måte.
Jeg har forsøkt å utarbeide en samlet oversikt over regelverk og de krav til sikkerhet som gjelder for OT-systemer og OT-Nettverk her:
Det kan nok se ut som at det er en liten utfordring at “de som kommer fra IT-bransjen” har itt problemer med å se denne helheten og sammenhengen med alle de sikkerhetsmessige problemstillinger og risikofaktorer som gjelder innenfor elektrofagene.
Det kan se ut som at det er behov for en “tilnærming begge veier” for å få til helhetlige gode løsninger.