Mon der er nogen, der har sovet dårligt i nat?
Torsdag holdt Dansk Automationsselskab DAu en særdeles interessant konference med titlen "Industriel IT-sikkerhed: Hvordan sikrer du din produktion mod trusler?". Konferencen havde en rekorddeltagelse med over 100 tilmeldte, der alle var interesserede i at høre om trusler og forsvarsmuligheder over for deres IT-systemer.
Der er masser af eksempler på, at virksomheders Ethernet-baserede systemer står piv-åbne for stort set enhver med lidt tastatursnilde. Og hvis man ikke selv har evnerne, så kan man købe værktøjer på internettet til omkring 250 dollar til at trænge ind i virksomheders IT-systemer. Vel at mærke med funktionsgaranti!
En anden foredragsholder kunne fortælle om, at han i flere tilfælde havde oplevet at virksomheders tekniske IT var passwordbeskyttet med admin + admin! Den beskyttelse er nok ikke meget værd.
Statsstøttede hackere
Store virksomheder og offentlige systemer er oppe mod stærke kræfter. En taler fra Forsvarets Efterretningstjeneste kunne fortælle, at i flere tilfælde var det stater eller statsstøttede hackere der stod bag indtrængning i datasystemer eller forsøg på det.
Fra at hackere tidligere var enkeltpersoner eller små grupper har de nu organiseret sig i stærke grupperinger, der eksempelvis udnytter deres kriminelle speciale til at presse store penge af virksomhederne.
Tavshed omkring angreb
Stort set alle virksomheder holder kortene tæt til kroppen, hvis de har været i problemer, og det er sandsynligvis årsagen til at vi ikke hører mere om indtrængning i virksomheders IT-systemer. De vil ikke risikere også at blive hængt ud i pressen for dårlig sikkerhed og med et deraf følgende fald i troværdigheden.
Billige forsvarsmuligheder
Den anden halvdel af konferencen var mere positiv. Her fik deltagerne gode tips til bl.a. at iværksætte undersøgelser af risici i deres industrielle IT-systemer.
For mange virksomheder af lav strategisk betydning er der mange simple forholdsregler, som kan indføres uden de store omkostninger. En væsentlig faktor er medarbejderne og den måde, de omgås IT-systemerne på.
Har man fået en USB-stick af en bekendt og lige skal vise kollegaerne nogle frække billeder på SCADA-PC’en? Ved man også hvor USB-sticken kommer fra og hvad den indeholder? Nej vel – det opdager man desværre først når det er for sent!
Hvad med eksterne håndværkeres PC’er, der bliver tilsluttet på virksomhedens net?
Der kan nemt laves en politik, som hindrer risikoen.
Man kan spærre USB-porte og diskdrev på PC’er. Man kan sektionere netværk op i mindre enheder, så en eventuel skade begrænses – osv.
Vi fik også et par cases fra store virksomheder, som viste hvorledes de havde taget deres forholdsregler mod indtrængning i deres IT-systemer.
Konferencen belyste kort og godt, at hvad er en høj OEE værd, hvis fabrikken alligevel bliver bombet ned af et angreb fra cyber space.
