[Oprindeligt publiceret af Center for Cybersikkerhed]
Digitale systemer anvendes i vid udstrækning til styring og overvågning af fysiske systemer i industriel produktion og kritisk infrastruktur. Disse industrikontrolsystemer giver gode muligheder for at effektivisere og optimere forretningen, men med digitaliseringen følger også nye driftsmæssige risici.
Center for Cybersikkerhed har udarbejdet en vejledning, der adresserer nogle af de it-sikkerhedsmæssige udfordringer, man står med i forbindelse med håndteringen af industrikontrolsystemer. Vejledningen er udarbejdet med afsæt i danske virksomheders erfaringer samt internationalt anerkendte anvisninger.
”Industrikontrolsystemer bliver brugt i store dele af samfundets infrastruktur, lige fra vores største kraftværker til små lokale renseanlæg. Derfor er det ekstremt vigtigt, at både den administrative ledelse og den tekniske ledelse tager hånd om sikkerheden for kontrolsystemerne. Et basalt råd er, at man skal holde netværkene adskilt og kortlægge alle forbindelser, der er til kontrolnetværket. Og sørg for at styre, hvem der har adgang til hvad og hvornår,” udtaler Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.
Vejledningen beskriver syv konkrete skridt på vejen til sikkerhed i industrikontrolsystemer, der understøtter de overvejelser, som virksomhedernes sikkerhedsansvarlige bør overveje under drift, udvikling og vedligehold af industrikontrolsystemer. Vejledningen er delt i to, der retter sig mod henholdsvis ledelsen og den faglige ledelse i virksomheder, der anvender industrikontrolsystemer.
De syv skridt er:
- Overblik over det eksisterende system
- Politikker og procedurer
- Awareness og uddannelse af systembrugere
- Segmentering af netværk
- Adgangsstyring
- Komponenterne i systemet
- Overvågning og hændelseshåndtering
Det er en grundlæggende forudsætning for effektiv og sikker teknologianvendelse, at de relevante parter på tværs af virksomheden - operatører, ledelse og udviklere - har forståelse for både de teknologiske muligheder, forretningens behov og it-sikkerheden. Denne forståelse på tværs af virksomheden, gør det muligt at tilpasse håndteringen af digitale risici til konteksten. Derfor anbefaler Center for Cybersikkerhed i vejledningen, at virksomhederne integrerer it-sikkerhed i arbejdet med øvrige forretningsspecifikke risici. Med bedre overblik og bedre sikkerhed som resultat.
Vejledningen kan læses her: Vejledning i håndtering af industrikontrolsystemer
Vejledning til ledelsen:
Ledelsens opgaver i forbindelse med sikring af industrielle kontrolsystemer