Sikring af sårbar Operational Technology
Armis udvikler løsninger, der monitorerer digitale og elektronisk forbundne systemer med henblik på at detektere uregelmæssigheder og tegn på cyberangreb. Nu har den californisk baserede virksomhed åbnet et kontor i Danmark, hvor man ser frem til at tage dialogen med både offentlige og private virksomheder, som ønsker øget fokus på sikkerheden
Af Hans Windeløv
Vi har set, at kritisk infrastruktur i forskellige sektorer er blevet berørt af de senere års kriser. Gasledningerne i Nordsøen blev udsat for sabotage, formentlig som en del af krigen i Ukraine.
Samtidig var transport og logistik under pres under corona-krisen, på grund af restriktioner og manglende medarbejderressourcer i de forskellige led i vareforsyningen. Her er der tale om konkrete fysiske hændelser og afledte effekter, som risikerede at påvirke vitale samfundsmæssige funktioner.
Det kræver dog ikke nødvendigvis sprængstof eller mangel på chauffører og lagermedarbejdere at lamme energi- eller fødevareforsyningen. Cyberangreb på anlægs digitale systemer kan også gøre stor skade.
Det fortæller Lars Hermind fra virksomheden, Armis, som bl.a. beskæftiger sig med sikkerhedssystemer til Operational Technology, eller blot OT.
- Det kan lade sig gøre at lamme et lands vigtigste funktioner, anlæg og institutioner ved at angribe dem digitalt. Cyberangreb fra kriminelle eller fra fjendtlige statsmagter kan på den måde både lamme sygehuse, kritisk infrastruktur, industrivirksomheder og bedrive spionage, hvis man ikke beskytter sig ordentligt, siger Lars Hermind.
Firewall er ikke længere nok
Som han kommer ind på, er det sammensmeltningen af IT og OT, som har gjort mange organisationer, installationer, services og virksomheder sårbare.
- For bare 15-20 år siden var it-sikkerhed et relativt veldefineret område, som var forholdsvist enkelt at have med at gøre. Der var nogle let genkendelige trusler mod it-systemet, som måske nok kunne sætte en computer ud af spillet og også kunne udnytte dens mailsystem til at sende spammails fra.
- Grundlæggende var det dog trusler, som man kunne gardere sig mod ved at installere en firewall. De seneste 10 år har vi set, at rigtig mange elementer i både industrielle anlæg, i transport- og logistikvirksomheder, sygehuse, bolig- og bygningskomplekser, energiforsyning og handelsvirksomheder er forbundet via komplekse og digitale kommunikationssystemer og -enheder.
Regional Sales Director for Norden og Benelux, Lars Hermind, har oplevet stigende interesse for Armis’ løsninger det seneste års tid.
’Connectivity’ skaber udfordringer for sikkerheden, fordi professionelle hackere og cyberkriminelle finder adgang til centrale styringssystemer via nogle af de elektroniske eller digitale enheder, som er koblet op i systemerne.
På den måde er det muligt at finde vej til centrale styresystemer eller til vigtige informationer og data, som det tidligere var endog meget svært at få adgang til som hacker.
Og dermed er det pludselig muligt for kriminelle at lægge hele virksomheder og organisationer ned og også lamme driften i nogle af de institutioner, som er utroligt vigtige for at opretholde og sikre, at samfundet fungerer.
Ind via Smart-Tv’et
Armis har udviklet et sikkerhedssystem, som detekterer cyberangreb i Operational Technology-anlæg. Det sker ved at forsyne alle de elektronisk og digitalt forbundne enheder med en detekteringssoftware, som overvåger den digitale trafik.
’Collective Asset Intelligence Engine’ udgør rygraden i sikkerhedssystemet. Det er en gigantisk ’crowd-sourcet’ og cloudbaseret anlægs-vidensbase, som indeholder data om et hav af anlægs-profiler. Og altså blandt andet om enheder såsom smart-tv, overvågningskameraer, temperaturstyring, IoMT-enheder, servere og andet OT-udstyr.
Hver profil indeholder unikke oplysninger om de enheder, de består af og om, hvor ofte hver aktive enhed kommunikerer med andre enheder. Profilerne registrerer hvilke protokoller det kører, hvor meget data der typisk transmitteres, om enheden normalt er stationær, hvilken software der kører på hver enhed og mange andre informationer.
Vidensbasen registrerer, opbevarer og holder styr på alle enheders aktiviteter. Og den overvåger og kortlægger løbende forbindelserne og kommunikation mellem forskellige enheder og tjenester i anlægget.
Det giver systemet og Armis mulighed for at forstå relationerne og enhedernes afhængighed af hinanden i de specifikke miljøer. Og det betyder, at systemet har en ’normal’-tilstand som fremtidige aktiviteter i systemet refererer til.
System beregner risiko-score
- Systemløsningen detekterer, hvis der pludselig er unormal høj aktivitet eller er uregelmæssigheder, som ikke bør finde sted. Det aktiverer en alarm, som betyder, at de ansvarlige på anlægget skal se nærmere på sagen og verificere, om der er tale om et angreb, hvorefter service- og securitymedarbejderne kan tage affære og undersøge sagen nøjere. Er der uventet og unormal aktivitet, bliver der slået endegyldigt alarm til virksomhedens ansvarlige, siger Lars Hermind.
Et anlæg med mange forbundne enheder er ifølge Lars Hermind mere kritisk for virksomheden og bør derfor prioriteres højere end ’stand-alone’ enheder, selvom sårbarhederne i enkeltstående enheder kan være alvorlige.
- Cyberkriminalitet er i kraftig fremmarch, og virksomheder såvel som offentlige organisationer ønsker at sikre sig så godt som muligt, siger Lars Hermind fra Armis’ danske kontor for Norden og Benelux.
Armis’ system beregner en risikoscore for hver enhed baseret på dens kritiske påvirkning af virksomheden. Systemet beregner også, hvor sårbar enheden er, hvor stor risikoen er for en udnyttelse af sårbarheden, og hvor kritisk det kan blive for virksomheden.
- På baggrund af den kvalitative og valide analyse af hændelserne er det muligt at graduere set-up’et af systemet, så man kun skal reagere på de vigtige hændelser, hvis man ønsker det. Samtidig kan både virksomheden selv eller Armis’ alarmcentral stå for overvågningen af systemet.
Efterspørgsel på anlægssikring
Armis er en forholdsvis ny virksomhed. Den blev grundlagt for godt syv år siden i Californien. Det danske kontor, hvor Lars Hermind er ansat som Regional Sales Director for Norden og Benelux, blev etableret sidste år. Armis’ løsninger er da også blevet stærkt efterspurgte i løbet af virksomhedens korte levetid.
- De usikre tider, vi lever i sammenholdt med, at it-kriminaliteten er blevet utroligt professionaliseret og målrettet, betyder, at virksomheder, organisationer og offentlige institutioner i stigende grad sikrer både deres interne it-systemer og den ’Operational Technology’, de har i drift.
- Man kan ramme det ene ved at angribe det andet og vice versa. Det er der altså kommet øget bevågenhed om, siger Lars Hermind, som nævner, at han allerede har været i kontakt med flere interesserede virksomheder.