NIS2 og OT – sådan hænger det sammen
Det kommende EU direktiv, NIS2 skal styrke og ensarte cybersikkerheden for virksomheder på tværs af landegrænser i EU. Direktivet er en forlængelse af NIS1 og vil fremadrettet omfatte flere industrier/sektorer, som anses som værende kritisk infrastruktur. Hvor NIS1 direktivet gjorde sig gældende for sektorer såsom finans, energi, transport, digital infrastruktur, så udvides direktivet nu til også at omhandle offentlig administration, forskning, affaldssortering, mad, medicin samt kemi-industrien (ukomplet liste).
En meget væsentlig ændring er altså typen af industrier, som direktivet omfatter og af denne årsag er OT (operational technology) et essentielt emne at koble sammen med NIS2 debatten, da direktivet også i høj grad fra fokus på, hvordan virksomheder sikrer og kommer tilbage i drift i tilfælde af cyberangreb.
Underprioriteret sikkerhed
Sikkerheden og driften indenfor OT er ofte underprioriteret i forhold til resten af virksomhedernes IT-infrastruktur, men det er en stor fejl, hvis man kigger på hvor kritisk OT-driften er for rigtig mange virksomheder. OT er nemlig at finde alle steder – fra automatiserede lagersystemer, produktionsmaskiner til pumper, malkemaskiner osv. og derfor er det i bund og grund denne type IT, som oftest er mest kritisk i disse virksomheder og dermed er OT-angreb også de dyreste.
OT- og IT-landskabet smelter sammen på godt og ondt, da vi på den gode side glæder os over det såkaldte "Industry 4.0" som bringer en masse automatik, smarte løsninger, remote control, 5G, IoT osv. ind i vores produktioner og dermed gør dem mere intelligente. Samtidig så betyder det også en større angrebsflade, når vi åbner op til internettet og cloud services nede i produktionen.
OT Blueprint
Vi har udarbejdet et "OT Blueprint" som er opdelt i 7 emner i prioritet rækkefølge, som er vores anbefalinger til, hvordan man bør arbejde med sikkerhed indenfor OT. Når vi arbejder med og laver anbefalinger til virksomheder, der er afhængige af deres OT-miljø, så arbejder vi os frem efter nedenstående emner:
- Zones and Conduits
- Secure Remote Connectivity
- Deep OT Visibility
- Role-Based Access Control
- Endpoint Security
- NOC/SOC
- Advanced Persistent Threat
Dette er en anderledes prioriteret rækkefølge end den traditionelle prioritering man får, hvis man følger CIS controls i et normalt IT-scenarie. Dette er naturligvis bevidst, da man skal arbejde anderledes med OT delen af infrastrukturen. Fx bør man først og fremmest fokusere på "Zones and Conduits" dvs. at få sine OT assets segmenteret fra det traditionelle IT-miljø, så der potentielt kan køres "ø-drift" i en krisesituation. Desværre er det ikke så nemt som til at man blot kan lægge alt OT ind på et separat VLAN og kalde det godt arbejde. Det er væsentligt også at få mikrosegmenteret og her læner vi os op af Purdue modellen, som er en industri standard inden for netop segmentering i OT-miljøer. Dette er blot et eksempel på, hvordan vi starter med at arbejde os gennem ”OT Blueprintet” – systematisk og dokumenteret.
Hvilke løsninger støtter op om OT-sikkerhed?
Udover ovenstående Blueprint, som vi gerne går fortæller mere om, så har vi selvfølgelig også mappet disse steps op imod vores mange leverandører, så vi kan rådgive omkring, hvad vi anser som den bedste løsning til at løfte en given opgave. Det kunne fx være Fortinet til at sikre inter-VLAN segmentering, Tenable til at give OT visibilitet i alle OT assets eller Arctic Wolf til at agerer SOC for OT miljøet - blot for at nævne et par stykker.
Alle OT-løsninger bør være skræddersyede til den enkelte virksomhed, men med det rette udgangspunkt, kan vi komme hurtigere og mere sikkert i mål. Hos Arrow står vores sikkerheds-eksperter klar til at hjælpe.