Hackare har ingen chans
Så skyddar du ditt industriella nätverk
I takt med IIoT’s intåg, där fler och fler maskiner och enheter kopplas upp, ökar också hackerattackerna. Mer data finns tillgänglig online, och ett välfungerande nätverk utan avbrott är avgörande för att produktionsprocesser ska fungera. En guldgruva för hackare. Jürgen Greger, Industrial Communication Product Manager på LAPP, ger en inblick i ämnet och avslöjar hur man gör livet svårt för angripare.
Under 2021 utfördes en rad spektakulära hackerattacker, däribland på kritisk infrastruktur, som till exempel oljepipelines och vattenverk. Industrin utsätts också för angrepp nästan dagligen. Enligt professor Axel Zimmermann på Aalen University of Applied Sciences ökar antalet incidenter med mer än 30 procent per år. Tidigare var virus mycket populärt bland hackare, men idag är nätfiske (phishing) och framför allt utpressningskod (ransomware) vanligast.
Utpressningskod innebär att brottslingarna krypterar offrens data och därefter begär en lösensumma för att dekryptera den. Det lyckas troligen oftare än man kanske tror, eftersom mycket få företag basunerar ut att de har blivit utsatta. Enligt Zimmerman har 61 procent av små och medelstora företag i Tyskland redan drabbats av cyberbrott, och experter är överens om att alla kommer att drabbas förr eller senare.
Ett effektivt sätt att skydda sig mot hackare, är att använda sig av konceptet ”defence-in-depth”, som du kan läsa mer om längre ned. En viktig aspekt här är nätverkskomponenterna, som är säkrade från fabrik på ett sådant sätt att angripare inte kan ta sig in. Switchar för industriellt Ehernet och Profinet spelar nyckelrollen. LAPP har en omfattande portfölj med switchar och routrar som är utrustade med de högsta säkerhetsstandarderna. Framför allt rekommenderas managed switches och NAT-routrar med brandvägg för ett maximalt skydd. De är enkla att konfigurera och kan börja användas direkt.
Leka med elden
Men tekniken i sig är inte lösningen. Företag bör ha ett holistiskt koncept för cybersäkerhet. Men trots farorna är det bara 30 procent av små och medelstora företag som har ett sådant enligt Axel Zimmermann. Det är att leka med elden. Företagen riskerar att förlora immateriella rättigheter och affärshemligheter, eller få sin produktion saboterad. Detta kan bli dyrt. Ett driftstopp inom fordonsproduktion kan kosta flera miljoner euro om dagen. Det drabbar också ofta IT-företag, till exempel Citrix. Där kunde hackare härja fritt i produktionsnätverket i fem månader utan att upptäckas. Till och med FireEye, ett säkerhetsföretag för IT-programvara, blev hackat, plundrat och säkerhetsprogramvaran stals.
Vid det här laget kanske en del företag undrar; om inte ens IT-företag kan skydda sig, hur ska vi då kunna göra det? Att ge upp är inte ett alternativ – för man kan skydda sig. Även om det aldrig går att bli 100% säker, kan man göra det så besvärligt för hackarna att det inte lönar sig för dem.
Tillgänglighet är allt
Stora företag har egna team för nödsituationer, även benämnda CERT (computer emergency response teams). De flesta industriföretag har dock inte råd med ett eget team för cybersäkerhet, utan förlitar sig på extern hjälp. Deras första kontaktpunkt är vanligen IT-experter, vars huvudfokus ligger på sekretess – men det är inte så viktigt för ett industriföretag. Inom industriell säkerhet, även kallat OT-Security, ligger fokus på tillgänglighet. OT handlar om maskiner och produktionsanläggningar – ett fel som varar i 300 millisekunder kan vara för mycket. Nära 100% tillgänglighet dygnet runt 7 dagar i veckan är det som betyder allra mest här.
Många av de här aspekterna täcks av en standard, IEC 62443. Det är en omfattande och internationellt accepterad standard för industriell säkerhet och beskriver systemets tillgänglighet i detalj. Vid sidan av en allmän del hanterar den om processer, systemet och enskilda komponenter. Konceptet “defence-in-depth” är baserat på standarden. Det är ett säkerhetskoncept bestående av tre delar; anläggningssäkerhet, nätverkssäkerhet och systemintegritet.
”Defence-in-depth” i fokus
Anläggningssäkerhet
Detta handlar främst om att låsa in system, till exempel med hjälp av särskilda kontrollskåp. Alla personer bör inte ha tillgång till nätverket. Här ingår också att anställda ska bekanta sig med arbetsinstruktioner och riktlinjer vid lämpliga utbildningstillfällen.
Nätverkssäkerhet
En strategi är nätverkssegmentering, till exempel med NAT eller VLAN. Vi rekommenderar att IP- och MAC-filter används, att oanvända portar inaktiveras och att öppna portar förhindras från att vara fritt tillgängliga i nätverket. Det är också obligatoriskt att använda en brandvägg för säker kommunikation med yttervärlden. Det finns smarta lösningar som separerar individuella maskiner eller små produktionsceller från resten av företagets nätverk. Säkra protokoll ska användas, till exempel när en webbplats besöks.
Systemintegritet
Denna del handlar huvudsakligen om begreppet ”system hardening”. Vi känner till alla standardlösenord, till exempel 0000, som har sparats av tillverkaren inför leverans. Sådana lösenord bör omedelbart bytas mot ett säkert. Det gör det svårare för hackare att angripa ett nätverk. Andra alternativ är vitlistning och virusskydd. Vitlistning är möjlig att använda eftersom företag vet vilka komponenter som får kommunicera med varandra, åtminstone på produktionsnivå. Däremot förlitar sig IT främst på svartlistning eftersom det inte finns något sätt att veta vem som vill få åtkomst till din webbplats. Autentisering handlar om användarklassificering och lösenordshantering (till exempel RADIUS och TACACS+).
Skydda ditt nätverk med våra switchar
För att kunna följa rekommendationerna ovan krävs det att man använder sig av managed switches i sitt nätverk. LAPP har en omfattande portfölj med switchar och routrar som är utrustade med de högsta säkerhetsstandarderna – vilket gör det väldigt svårt för hackare att göra angrepp. Vi är medvetna om de drastiska effekter som ett driftstopp innebär. Som leverantör av pålitliga anslutningslösningar ser vi det som vårt jobb att hantera problemet och skydda våra kunder mot driftstopp.