I dagens digitale og online virkelighed er partnerskabet mellem driften og IT eller mellem operationsteknologi (OT) og IT-sikkerhed vigtigere end nogensinde. Virkeligheden er, at begge er nødvendige for at beskytte virksomheder mod cybertrusler og overholdelse af branchestandarder som ISO 27001 og IEC 62443.
I den moderne digitale og online verden er samarbejdet mellem operationsteknologi (OT) og IT mere afgørende end nogensinde før. Ikke desto mindre kan dette partnerskab undertiden fremstå som et ”arrangeret ægteskab”, hvor OT-specialister føler, at de ikke behøver IT-sikkerhedens assistance til at beskytte deres systemer, mens IT-professionelle hævder, at OT slet ikke falder inden for deres ansvarsområde. I mange virksomheder er disse to områder endda opdelt i separate organisationer. Og hvis man spørger, hvad OT og IT har til fælles, ville mange på begge sider svare “ikke meget.”
Partnerskaber om IT og OT
Ikke desto mindre har virkeligheden ændret sig markant med den gradvise indførelse af nye teknologier som Internet of Things (IoT) og fjernstyring af drift og vedligeholdelse inden for OT.
Mange organisationer er allerede begyndt at danne bedre partnerskaber mellem de to.
Den virkelighed har man også set i DNV, der denne sommer offentliggjorde købet af cybersecurity-virksomheden, Nixu Corporation, der er specialiseret i at levere omfattende sikkerhedsløsninger og rådgivningstjenester.
– ”Vores tilgang til IT/OT-sikkerhed starter med en kerne, der består af Business Resilience. Vi tager altid udgangspunkt i at forstå vores kunders forretning, således vi kan rådgive og implementere de rette løsninger til dem, fortæller Gorm Siiger fra Nixu Corporation.
Flere ting forbinder IT og OT
Selv om IT og OT tilsyneladende er to meget forskellige discipliner med hensyn til formål, anvendelse, teknologi, livscyklus og ikke mindst sikkerhed, er der ifølge Gorm Siiger også nogle områder, der binder de to områder sammen:
– ”Det, som binder IT og OT sammen, er forretningen og produktionssikkerhed, hvad enten det er små plastlåg til medicinbeholdere, komponenter til bilindustri eller forsyning af el, gas, m.m. Ved at forstå alle områder (bl.a. forretning, IT & OT) kan vi også være med til at skabe værdi for alle områder, rådgive, og implementere de rette løsninger,” siger Gorm Siiger.
Store tab og dårligt omdømme
Han er ikke i tvivl om, at det er afgørende for mange virksomheders overlevelse, at de har sikret sig på både OT og IT-delen.
– ”Ingen kæde er stærkere end det svageste led. Og man kan hurtigt opleve produktionsstop, hvis man ikke har forstået at sikre sig tilstrækkeligt på alle områder. Her er det ikke kun teknik, der kommer i spil, men også processer, procedurer, osv. der er ekstremt vigtige at inkludere i den samlede løsning,” fortæller Gorm Siiger, der frygter, at man i værste tilfælde vil opleve total produktionsstop i en længere periode, hvis man ikke sikrer sig på begge fronter:
– ”Sker det, kan det meget hurtigt lede til direkte tab både økonomisk, men også på omdømme og lignende. Alt dette kan minimeres ved at indarbejde IT og OT i det daglige,” siger Gorm Siiger.
ISO 27001 skaber en god ramme
Han fortæller, at der alt efter branche er en række lovkrav inden for cybersikkerhed, der skal efterleves og ikke mindst den nye regulering fra EU kendt som NIS2 har stor betydning:
– ”For nogle aktører, er det en helt ny verden, som kan være uoverskuelig at arbejde med alene uden den rette hjælp,” fortæller Gorm Siiger.
Den internationale standard for informationssikkerhed, ISO 27001, kan fungere som et værdifuldt rammearbejde for at hjælpe OT og IT med at arbejde sammen effektivt for at styrke sikkerheden i en organisation.
– ”ISO 27001 giver blandt andet et fælles sprog og fælles rammer for at forstå og beskrive sikkerhedsbehovene i både OT- og IT-miljøer. Det hjælper med at undgå misforståelser og sikrer, at alle interessenter er på samme side, når det kommer til at beskytte organisationens aktiver,” siger Gorm Siiger, der også understreger at den udbredte standard IEC 62443 selvfølgelig skal integreres i arbejdet med ISO 27001, da den angiver en mere konkret og specifik metode til sikkerhed i OT.
Udfordring
Han anbefaler, at man gør en stor indsats for at få en god kommunikation omkring IT/OT-sikkerheden i virksomheden.
– ”Selvom det lyder banalt, så er det ofte kommunikation, der er den største udfordring. Der er rigtig mange dygtige mennesker, der arbejder med alle discipliner for at få en virksomhed til at køre, men der opstår nemt barrierer mellem forretning, IT og OT, da de ikke taler samme ”sprog” og dermed hellere ikke naturligt forstår hinandens udfordringer og prioriteter,” fortæller Gorm Siiger.
Han opfordrer virksomheder, der føler sig udfordret, til at søge hjælp:
– “Der er ingen dumme spørgsmål, og med det mener jeg, at man skal spørge og udfordre sin sikkerhedsleverandør, så man kan få hjælp. Vi sidder inde med utrolig meget ekspertviden på mange områder med over 500 medarbejdere, der arbejder med sikkerhed på daglig basis, så har vi set rigtig mange udfordringer og har ligeledes løsninger der passer. Så spørg,” siger Gorm Siiger.
Vil du vide mere?
Læs mere om ISO 27001 her.