I takt med att allt fler samhällsviktiga funktioner kopplas upp mot digitala system ökar behovet av att säkra de fysiska komponenterna bakom. El, vatten, värme och annan infrastruktur är idag inte längre slutna system, de är en del av digitala miljöer. Men när systemen blir mer tillgängliga ökar möjligheten att utnyttja publika sårbarheter i tekniken. Dessa utnyttjas av antagonister och ger allvarliga konsekvenser på viktiga samhällsfunktioner menar Mikael Andersson som jobbar med säkra nät på Tutus.
Säkerhet i OT-nätverk
Historiskt har system som styr samhällsviktiga funktioner varit säkra i slutna miljöer. Styrsystem för elnät och dricksvattentillförsel är exempel på typiska känsliga infrastrukturer av industriell karaktär, som med den ökade digitaliseringen, kan vara särskilt känslig om systemen är uppkopplade och nåbara via IP baserade nätverk.
“OT, eller operationell teknologi, är system som styr fysiska känsliga infrastrukturer. Idag är många av dem uppkopplade via traditionella administrativa IT-arkitekturer som gör dem sårbara på ett sätt vi inte sett tidigare”, säger Mikael.
Uppkopplat kan betyda utsatt
Många av dagens lösningar inom OT-säkerhet skyddas med hjälp av kommersiella IT-säkerhetsprodukter från internationella leverantörer. Ofta har dessa sitt ursprung i administrativa nätverksmiljöer och innehåller kända publika sårbarheter, så kallade CVE:r. Samma teknik används alltså både i administrativa miljöer och i känsliga OT-miljöer, trots att riskbilden ser helt annorlunda ut.
“Till skillnad från intrång i administrativa nätverk, där det främst handlar om tillgång till information, så kan ett intrång i ett OT-system påverka människors liv och hälsa. Det handlar om att säkra dricksvatten, elförsörjning eller rening av avloppsvatten. Misslyckas vi där, så blir konsekvenserna snabbt påtagliga”.
“Vi kan inte skydda morgondagens infrastruktur med gårdagens skydd. Många OT-miljöer förlitar sig fortfarande på lösningar som utvecklats för kontorsnätverk. De är inte byggda för att tåla de ökade hotbilder vi ser idag”.
Svenska lösningar för svenska behov
Tutus har en annan utgångspunkt. Som svensk leverantör med lång erfarenhet av att skydda kommunikation och system i känsliga miljöer, inte minst inom försvar, utvecklas lösningar med säkerhet som utgångspunkt, inte som tillägg.
“Vi bygger inte OT-nätverk, men vi säkrar dem. Våra lösningar är gjorda för att fungera i miljöer där kompromisser inte är ett alternativ. Och det är där vi har en viktig roll att spela, inom både känsliga infrastrukturer men även ur ett totalförsvarsperspektiv.”
Kryptering, nyckelhantering och isolerade lösningar
Vad krävs för att skydda OT-system? Mikael pekar på tre grundpelare:
- Stark kryptering som ger hög tillgänglighet av styrsystemen och en minskad attackyta
- Säker nyckelhantering som skapar konfidentialitet och integritet
- Ett oberoende av molntjänster för automatiska säkerhetsuppdateringar.
“Det handlar inte bara om tekniska funktioner utan också om ett genomtänkt systemtänk. En god entropi i nyckelgenerering, post quantum säker kryptering och tydliga åtkomstkontroller är avgörande”, menar Mikael.
Nästa steg för OT-säkerhet
I takt med att regleringar som NIS2 träder i kraft, ökar trycket på organisationer att ta sin OT-säkerhet på allvar. Det har kommit att bli en del av Sveriges nationella säkerhetsstrategi.
“Vi står inför ett paradigmskifte. OT-säkerhet är inte längre ett specialistområde för några få, utan en nödvändighet för alla samhällsaktörer. Här vill vi vara den trygga partnern som hjälper till att bygga upp den nivå som krävs”.
