Sverige sv
Hotline
Kontakt
Sverige | svenska

Industrial security för riskreducering

En laptop med ett paragraftecken

Industrial security är mångsidigt och kommer in i bilden på flera nivåer. Inom OT och produktion handlar industrial security-principen främst om att skydda maskiner mot risker som utlöses av människor. Den här principen skyddar maskiner mot risker som cyberattacker eller manipulation.

Men hur gör man för att upptäcka eventuella risker eller angreppsmöjligheter?

Industrial security-riskbedömning

Den första valmöjligheten för att undersöka produktionen beträffande industrial security är att genomföra en riskbedömning. I riskbedömningen undersöks vilka faror och risker från ”cyberrymden” som en maskin utsätts för och vilka åtgärder som måste vidtas för att minimera dem.

Security-riskbedömningen ska alltid utföras i följande steg:

  1. Identifiera tillgångar: Vad vill jag skydda?
  2. Analysera hot: Vilka risker finns för produkten som ska skyddas?
  3. Fastställ relevanta skyddsmål: Vilka mål vill jag uppnå?
  4. Analysera och bedöma risker: Hur stor är sannolikheten att en risk inträffar?
  5. Analysera angreppsvektorer
  6. Skapa och implementera security-koncept
  7. Kontrollera implementeringen
  8. Omvärdera regelbundet
  9. Välj och implementera skyddsåtgärder: Hur kan jag skydda mot en möjlig risk?
  10. Resilienshantering: Vad ska man göra efter ett angrepp? Hur kan jag förankra security starkare i företaget?
Två män tittar tillsammans på en surfplatta

Industrial Security Services

Omfattande maskinsäkerhet för maskintillverkare och maskinoperatörer går bara att åstadkomma genom åtgärder för industrial security. Men vilka åtgärder är meningsfulla för att minska de svaga punkterna i fråga om säkerhet?

Läs mer här!

Exkurs: Security Level

Security Level definierar säkerhetsnivån som anläggningsoperatörer eller tillverkare vill uppnå med hjälp av säkerhetsåtgärder. Detta kan fastställas med en riskbedömning i förväg. Under riskbedömningen definierar man vad som behöver skyddas och fastställer hur hög sannolikheten är att produkten i fråga angrips. Utifrån detta väljs sedan Security Level (SL). SL-2, dvs. skydd mot ”avsiktligt intrång/manipulation med enkla medel, få resurser, normala förmågor och utan särskild motivation” ska idag ses som minimistandard. För att upprätthålla denna minimistandard måste företaget ha en viss security-mognadsgrad. Även den bästa brandväggen hjälper inte om medarbetarna i ett företag ändå skriver upp lösenord på post it-lappar på datorskärmen eller låter bli att utföra uppdateringar. Ju mer företaget satsar på security desto mer effektivt blir skyddet i sin helhet. Därför är det viktigt att ha ett heltäckande security-koncept.

En pyramid åskådliggör Security Levels

Security Level-överblick:

  • Security Level 1: Skydd mot enkelt eller tillfälligt missbruk
  • Security Level 2: Skydd mot avsiktligt missbruk med enkla medel
  • Security Level 3: Skydd mot avsiktligt missbruk med avancerade medel
  • Security Level 4: Skydd mot avsiktligt missbruk med avancerade medel och omfattande resurser

6 tips för bättre industrial security Åtgärder

För att kunna skydda en maskin individuellt och specifikt krävs en detaljerad Security Risk Assessment. Men även generiska åtgärder kan öka security. Alla åtgärder är bättre än ingen åtgärd alls. Med följande strategier kan du implementera security i företaget:

1. Defense in depth: Denna princip innebär att man hela tiden lägger nya och andra hinder i vägen för inkräktare. Det försvårar vägen till målet för angriparna. Här gäller det att skapa så många hinder som möjligt på så många nivåer som möjligt eftersom varje enskild åtgärd givetvis går att ta sig runt. En viktig del av det här konceptet är att alltid ta hänsyn till den mänskliga faktorn.

2. Organisatoriska åtgärder: Det är också viktigt att alla medarbetare på ett företag är en del av security-arbetet. Det kan vara bra att ta fram riktlinjer som gäller för både de egna medarbetarna och för partner som t.ex. underleverantörer och tjänsteleverantörer. Det är viktigt med förtroende, men bättre med kontroll. Därför ska en person som ansvarar för security kontrollera att dessa riktlinjer efterlevs och ge stöd vid behov.

3. Utbildningar: Eftersom inte alla är security-experter från början krävs det regelbundna security-utbildningar för medarbetarna. Pilz seminarier, som genomförs både på huvudkontoret i Ostfildern nära Stuttgart och hos kunder eller i form av webbinarier, riktar sig till maskinkonstruktörer och anläggningsplanerare, men också till operatörer.

4. ”Zones and Conduits”-segmentering: Zoner med enheter som har liknande security-krav ska separeras med hjälp av brandväggar eller säkra routrar. Då kan bara enheter som faktiskt har behörighet skicka och ta emot information via övergångarna (conduits) mellan zonerna. På så sätt kan t.ex. de safety-relaterade enheterna i en egen zon skyddas på ett extra kostsamt sätt utan att det hotar den vanliga driften.  

5. Brandväggar: Även om routrar och switchar har stöd för säkerhetsmekanismer ska du också satsa på brandväggar i ditt styrnätverk. Application Firewall SecurityBridge skyddar den säkra styrtekniken i maskiner och anläggningar mot t.ex. manipulation av processdata.

6. Patchhantering: Patchar behövs särskilt när säkerhetsrelevanta sårbarheter i programvaran som används upptäcks. Då handlar det om tillämpningsprogramvara och inbyggd programvara. Man ska inte bara ta hänsyn till tillverkarens godkända patchar och uppdateringar utan även till programvara från tredje part (t.ex. kontorsprogramvara, PDF-läsare). Med en patchprocess kan man definiera ansvarsområden och tillvägagångssättet.

Olika slagord visas bredvid varandra

Fler grundläggande krav på industrial security

Om man utgår från IEC 62443 när det gäller industrial security kan man hitta ett antal grundläggande krav, så kallade ”foundational requirements” som abstrakt beskriver tekniska metoder för att öka säkerheten i fråga om security:

Identifiering och åtkomstkontroll (IAC)

Detta säkerställer att både enheterna och informationen som finns i dem bara kan hämtas eller ändras av legitima entiteter med rätt behörigheter. Dessa behörigheter behövs för att garantera säker drift i anläggningen eller anordningen och säkerställa funktionssättet för IACS (Industrial Automation and Control System).

Användarkontroll (UC)

Användarkontroll (UC) säkerställer att bara behöriga entiteter kan använda enheterna och/eller informationen för att utföra relevanta och nödvändiga uppgifter som är viktiga för säkerheten och produktiviteten i anläggningen eller anordningen. Det handlar alltså om behörigheter. Där ska man följa principen om ”minsta möjliga privilegium”.

Systemintegritet (SI)

Detta grundläggande krav säkerställer att inga obehöriga ändringar av data i kommunikationskanalerna kan utföras och att det alltid tillhandahålls korrekt data. Till exempel måste de angivna värdena på en display motsvara de faktiska värdena och får inte manipuleras. 

Datasekretess (DC)

Alla data i en maskin ska vara pålitliga och får inte vara åtkomliga för utomstående eller för obehöriga personer i verksamheten.

Begränsat dataflöde

Detta grundläggande krav säkerställer att dataflöde bara sker i områden där det verkligen behövs. På så sätt minskar möjligheterna att visa eller manipulera data utan behörighet. Det betyder att systemarkitekturen måste utformas så att systemet kan delas in i zoner och övergångar med rimliga säkerhetsnivåer. Då kan det vara bra att använda enheter som t.ex. en enkelriktad gateway eller en datadiod.

Reagera på händelser i tid

Det gäller att säkerställa att IACS tillhandahåller de funktioner som behövs för att regera på säkerhetsöverträdelser. Detta innefattar att meddela den ansvariga myndigheten, att dokumentera bevis för skadan och att vidta korrigerande åtgärder i god tid när en sådan incident upptäcks.

Tillgänglighet för resurser

Man ska säkerställa att designen och driften av IACS är utformad så att det inte kan uppstå någon situation där en anläggning inte längre kan kontrolleras eller i värsta fall inte ens kan försättas i ett säkert tillstånd längre. Det betyder att även under ett denial-of-service-angrepp måste safety ändå kunna försätta anläggningen i ett säkert tillstånd och uppfylla sin skyddsfunktion.

För vart och ett av dessa grundläggande krav har man definierat ytterligare systemkrav som man kan utgå från när man implementerar security-åtgärder, och de blir alltmer omfattande beroende på vilken grad av teknisk security man vill uppnå. 

En person håller en laptop i handen
En laptop med ett paragraftecken

Standardserien IEC 62443

Vill du få mer kunskap om standarder? Mer information om den internationella standardserien IEC 62443 får du här.

Läs mer om standarden 62443
Top
Kontakta

Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden

Telefon: +46 300 13990
E-post: pilz.se@pilz.dk

Teknisk support

Telefon: +46 300 13990 / +45 74436332
E-post: support.se@pilz.dk

  1. Pilz
    2. /
  2. Produkter och branscher
    3. /
  3. Security
    4. /
  4. Strategier för riskreducering
Öppna kontaktformulär
Telefon:+46 300 13990
E-post: pilz.se@pilz.dk
Cookie settings

Hur kan vi hjälpa dig?

Jag förstår att de personuppgifter som samlas in utan mitt samtycke endast används för att uppfylla avtal och behandla mina förfrågningar. Mer information om dataskydd och kontaktuppgifter för vårt dataskyddsombud hittar du här: Pilz dataskydd
Samtycket kan när som helst tas tillbaka (det räcker med ett e-postmeddelande).
* Obligatoriskt fält