Den stora frågan när det gäller industrial security: hur kommer företagen igång?

Simon Nutz, Consultant Industrial Security

”Security? Det gäller inte oss!” – det är fortfarande ett vanligt svar från maskintillverkare och -operatörer när man för security på tal. ”Vår IT-avdelning ansvarar för security”, lägger de ofta till lätt urskuldande. I praktiken saknar dock IT-avdelningen den specifika kunskapen, framför allt när det gäller automationsnätverk. Å andra sidan är konstruktörer men även säkerhetsansvariga (health and safety manager, HSE) osäkra när det kommer till cybersäkerhet. Hur ska man då rusta sig för industrial security?

Från och med januari 2027 blir det obligatoriskt att följa maskinförordningen inom Europeiska unionen. Den gäller för alla företag som importerar maskiner till EU eller vill ta dem i drift där. Maskinförordningen föreskriver industrial security i form av skyddsåtgärder mot korruption. Industrial security blir därmed kritiskt för företaget och därmed en fråga för ledningen. Det är ledningen som ska se till att industrial security förankras i företaget.

Samla alla kring samma bord
Det första steget för att lyckas med det är att samla alla inblandade kring samma bord. Hos maskintillverkare är det de som arbetar med IT, utveckling/konstruktion och eventuella security-ansvariga (t.ex. CISO). Hos användare berörs förutom IT även produktionsteknik och produktionsledning, HSE och CISO.
Först och främst handlar det om att bygga upp en medvetenhet och en gemensam förståelse för industrial security: Vilka rättsliga skyldigheter väntar maskin- och anläggningsindustrin? Hur hänger safety och security ihop här? I vilka gränssnitt möts IT och OT?

I det andra steget utarbetar dessa områdesöverskridande grupper en lämplig strategi för företaget, inklusive ett genomförandekoncept. Det handlar om att mötas och strukturera sig inom företaget: Var ligger de olika ansvarsområdena framöver? Hur ser nätverkstopologin för den egna maskinen ut? Hur stämmer den överens med de nya rättsliga föreskrifterna?

Riskbedömningen är det första steget i genomförandet
Först därefter kan företaget implementera industrial security. Det börjar med en bedömning och kvantifiering av möjliga skadehändelser och att upprätta en skyddsbehovsanalys. Samtidigt identifieras även eventuella svaga punkter som där angrepp och manipulation skulle kunna ske med hjälp av sammankoppling, digitalisering och AI. Viktigt att komma ihåg är att skyddsmålen för industrial security inte bara utgörs av de klassiska IT-skyddsmålen som konfidentialitet, integritet och tillgänglighet utan även safety, dvs. maskinens funktionella säkerhet.

Utgångspunkten är alltid en security-riskbedömning. Det handlar om att se risker och faror som uppkommer på grund av brister i säkerheten. Det kräver en kontinuerlig övervakning och anpassning av säkerhetsåtgärderna. Till detta behöver ofta komplexa IT-infrastrukturer och nätverk inkluderas, vilket ställer krav på ytterligare teknisk expertis och resurser.

Experter på security och safety sökes!
Den som tar extern hjälp för att komma igång med industrial security inom automationen bör vara medveten om att kunskap om IT-security bara hjälper till en viss del. Processerna för att minska risken för attacker mot maskiner (industrial security) liknar i mycket förloppen för att minska riskerna som maskinerna själva kan utgöra (safety). Den som vill implementera industrial security måste vara expert på maskinsäkerhet och känna till alla relevanta föreskrifter och standarder, framför allt maskinförordningen.

Den konkreta implementeringen av lagstiftningen har börjat. Vissa av de harmoniserade standarderna utarbetas fortfarande. Som experter inom maskinsäkerhet deltar Pilz aktivt i utformningen av relevanta standarder. Denna kunskap förmedlar Pilz vidare till sina kunder i form av tjänster och utbildningar. Utbildningen ”Grunderna inom industrial security” riktar sig till nybörjare. Kursdeltagarna får bekanta sig med terminologi och krav och lära sig vad cybersäkerhet innebär inom ramen för maskin- och nätverkssäkerhet. Bästa praxis bidrar till förståelse för cybersäkerhetsrisker i den egna produktionen.
I utbildningen ”Certified Expert for security in automation (CESA)” lärs verktygen ut för att kunna vidta effektiva organisatoriska och tekniska åtgärder i industriella automationsnätverk.

Utöver sitt utbud av utbildningar erbjuder Pilz genom ”Identification and Access Management” (I.A.M.) även produkter och individuella lösningar för många olika uppgifter som rör medarbetarskydd, ansvarsskydd, maximal produktivitet och dataskydd. Exempel på tillämpningar är autentisering av användare, säkert driftlägesval, data- och nätverkssäkerhet och åtkomsthantering. På så vis kan både safety och security rymmas i ett enda system.

För att kunna rusta sig för utmaningarna som industrial security innebär i god tid behöver maskintillverkare och -operatörer över hela världen sätta sig in i ämnet. Kunskap måste byggas upp, ansvarsområden och gränssnitt måste fastställas och en egen strategi måste utarbetas. Helst ska processen initieras av ledningen.