7 gode råd: Slik sikrer du industrielle IoT-løsninger mot hackere
Det finnes all mulig grunn til at tro at hackere i stigende grad sikter seg inn på de mange IoT-løsningene som industrien har begynt å implementere de siste årene. Hvis produksjonsbedrifter først blir stengt ned av hackere, kan det bli skikkelig dyrt.
Når alle produksjonsanlegg i industrien er forbundet via nettet, så er de løsninger like sårbare som normale datamaskiner.
– Hackerangrep handler ikke bare om å skaffe seg tilgang til data. Hvis en hacker kan true med å stenge ned produksjonen i en bedrift, så kan det bli mye dyrere, og dermed kan de forlange mye høyere beløp, forklarer sikkerhetssjefen hos RS Components, Joseph da Silva.
– Når alle produksjonsanlegg i industrien er forbundet via nettet, så er de løsninger like sårbare som normale datamaskiner. De kan hackes, tas kontroll over eller stanses av folk med fiendtlige hensikter.
Advarselen kommer fra Joseph da Silva, som arbeider som sikkerhetssjef hos RS Components. Men han ønsker ikke å skape frykt for teknologi.
7 gode råd: Slik sikrer du IIoT-enhetene dine
Joseph da Silva, som arbeider som sikkerhetssjef hos RS Components, kommer her med syv råd for hvordan du sikrer IIoT-enhetene dine.
1. Skift standardpassord
De fleste industrielle IoT-enheter (IIoT) har et standardpassord. Det må endres umiddelbart. Unngå for alt i verden utstyr der passordet er kodet inn i maskinvaren, fordi de passordene allerede er kjent av alle hackere.
2. Separate nettverk
Unngå å koble industrielle IoT-enheter til firmanettverket eller til det samme nettverket som utstyret som styrer produksjonen. Det er også viktig at en IIoT-enhet ikke har tilgang til flere nettverk, fordi den da kan benyttes som bro mellom de forskjellige nettverkene.
Slik sikrer du bedriften din
Hvis produksjonsbedrifter først blir stengt ned av hackere, kan det bli skikkelig dyrt.
Les mer her »3. Fjern unødvendige funksjoner
Den store smart-TV-en som henger på veggen i styrerommet, har garantert både Bluetooth, en mikrofon og en USB-inngang som ingen bruker. Og så har den helt sikkert en nettleser, slik at den kan komme på nett. Slå av alt det som dere likevel ikke bruker.
4. Oppdater styresystemer og programvare
Det er helt normalt at det blir funnet svakheter i programvare. Men selv om mange leverandører rutinemessig stiller oppdateringer til rådighet som skal fjerne sårbarhetene, så blir de i mange tilfeller ikke installert. Sørg for å oppdatere IIoT-enheter, og sørg for å ha en fast prosedyre som sikrer at oppdateringene blir installert.
5. Test, test, test
Få en sikkerhetsekspert som har erfaring med industrielt IoT til å utføre en penetrasjonstest. Det er et spesialistfelt som krever kunnskap om PLS-enheter og SCADA-systemer. Selv om du ikke kan følge alle rådene deres, så må du lage en risikobasert vurdering av hva det er viktig å få gjort noe med – før folk med fiendtlige hensikter bestemmer seg for at prøve seg.
6. Hvem gjør hva?
Selv om du har kjøpt en samlet løsning, er det stadig viktig å vite hvilke underliggende deler som inngår. Om dataene dine ligger i en skyløsning, er det verdt å undersøke hvilket firma som står for løsningen, og hvordan den er sikret.
7. Ha en plan klar for dersom det går galt
Sist, men ikke minst: Sørg for å ha en nødplan. Gjennomgå de mulige scenariene, og kontroller om nødplanen deres vil kunne fungere i en reell situasjon. Hvis dere blir rammet av hackere, må det være helt klart hvem som skal gjøre hva. Hvis dere har en veldokumentert plan liggende tilgjengelig – inklusive planer for hva som skal kommuniseres – så vil det spare dere for en masse tid og adrenalin.
Hackerangrep handler ikke bare om å skaffe seg tilgang til data. Hvis en hacker kan true med å stenge ned produksjonen i en bedrift, så kan det bli mye dyrere, og dermed kan de forlange mye høyere beløp
Joseph da Silva
Han ønsker i stedet at folk blir like bevisste på sikkerhet for industrielle IoT-løsninger (IIoT) som de er med alt annet innenfor IT-verdenen.
Den industrielle IoT-utviklingen har ikke fått den samme oppmerksomheten som da Internett gjorde sitt inntog. Men den er like omfattende.
–Alt som beveger seg i en industriløsning, vil før eller senere bli slitt. Derfor kan det også lønne seg å overvåke utstyret. Ved hjelp av nøyaktige målinger av for eksempel mengden vibrasjoner eller gjennomstrømning kan man forutsi når de forskjellige delene må skiftes ut. Dermed kan man minimere utgiftene forbundet med en dyr produksjonsstopp, forklarer Joseph da Silva.
Utfordringen er at alt utstyr som er koblet til Internett, også kan hackes. Og konsekvensene kan bli mer drastiske enn det man normalt ser.
IoT-hacking mer lønnsomt enn ransomware
I 2018 var mediene fylt med historier om ransomware, der virusrammede datamaskiner ble kryptert, og der hackerne krevde en høy løsepengesum for å låse dem opp igjen. Den tendensen frykter Joseph da Silva også vil ramme industribedrifter.
–Hackerangrep handler ikke bare om å skaffe seg tilgang til data. Hvis en hacker kan true med å stenge ned produksjonen i en bedrift, så kan det bli mye dyrere, og dermed kan de forlange mye høyere beløp, forklarer Joseph da Silva.
Han peker også på at det med IIoT-hacking kan være vanskeligere å utarbeide en nødplan.
–Det er forholdsvis overkommelig å sikre backup av data i bedriften, slik at man raskt kan gjenetablere PC-er og arbeidsplasser. Det er mye vanskeligere – for ikke å si umulig – for f.eks. en næringsmiddelbedrift å ha backup av alle produksjonsfasilitetene.
Energisektoren er et opplagt mål
–Energi- og transportsektorene er opplagte mål, fordi konsekvensene for et helt samfunn raskt blir veldig store når strømmen forsvinner eller ingen kan ta toget, sier Joseph da Silva.
At det ikke bare er en teoretisk mulighet, ble klart da hackere i 2016 med hell klarte å stenge ned en transformatorstasjon i Ukraina, slik at en femtedel av Kievs strømforsyning forsvant.
Les mer om IoT hos RS Components.
I andre tilfeller benyttes uskyldige IIoT-enheter bare som en snarvei for å skaffe seg adgang til et firmas nettverk. Sikkerhetsfirmaet Darktrace fortalte i sin 2017-rapport om et amerikansk forsikringsselskap, hvis nettverk ble brukt som utgangspunkt for hackere som ville bruke datakraften for å høste bitcoins.
Hacking er underrapportert
Joseph da Silva mener at IIoT-hacking underrapporteres i mediene. –De nye GDPR-regler forplikter bedrifter til å offentliggjøre om brukernes data kan være eksponert for hackere. Den samme åpenheten finnes ikke innen IIoT-hacking.
–Derfor blir det svært sjeldent gjort offentlig kjent at en bedrift er rammet. De er ikke forpliktet til å fortelle noe, og de har ikke noen interesse av å være åpne om det, tvert imot, forklarer Joseph da Silva.
Han understreker at bedrifter ikke må la seg skremme vekk fra de mange fordelene de får ved å bruke IoT-enheter.
–Vi har i stedet utarbeidet 7 gode råd, som er en god sjekkliste. Hvis man begynner her, så er man godt på vei mot å sikre seg mot hackerne. Det handler bare om at få inn den samme forståelsen av viktigheten av IT-sikkerhet som man har med all annen IT, sier Joseph da Silva.