1. RS Home
  2. RS Event Center
  3. Production Line maintenance

7 gode råd: Slik sikrer du industrielle IoT-løsninger mot hackere

Det finnes all mulig grunn til at tro at hackere i stigende grad
sikter seg inn på de mange IoT-løsningene som industrien
har begynt å implementere de siste årene. Hvis
produksjonsbedrifter først blir stengt ned av hackere, kan det
bli skikkelig dyrt.

Når alle produksjonsanlegg i industrien er forbundet via nettet, så er de løsninger like sårbare som normale datamaskiner

«Hackerangrep handler ikke bare om å skaffe seg tilgang til data. Hvis en hacker kan true med å stenge ned produksjonen i en bedrift, så kan det bli mye dyrere, og dermed kan de forlange mye høyere beløp», forklarer sikkerhetssjefen hos RS Components, Joseph da Silva.

«Når alle produksjonsanlegg i industrien er forbundet via nettet, så er de løsninger like sårbare som normale datamaskiner. De kan hackes, tas kontroll over eller stanses av folk med fiendtlige hensikter.»

Advarselen kommer fra Joseph da Silva, som arbeider som sikkerhetssjef hos RS Components. Men han ønsker ikke å skape frykt for teknologi.






7 gode råd: Slik sikrer du IIoT-enhetene dine

Joseph da Silva, som arbeider som sikkerhetssjef hos RS Components, kommer her med syv råd for hvordan du sikrer IIoT-enhetene dine.

1. Skift standardpassord

De fleste industrielle IoT-enheter (IIoT) har et standardpassord. Det må endres umiddelbart. Unngå for alt i verden utstyr der passordet er kodet inn i maskinvaren, fordi de passordene allerede er kjent av alle hackere.

2. Separate nettverk

Unngå å koble industrielle IoT-enheter til firmanettverket eller til det samme nettverket som utstyret som styrer produksjonen. Det er også viktig at en IIoT-enhet ikke har tilgang til flere nettverk, fordi den da kan benyttes som bro mellom de forskjellige nettverkene.

3. Fjern unødvendige funksjoner

Den store smart-TV-en som henger på veggen i styrerommet, har garantert både Bluetooth, en mikrofon og en USB-inngang som ingen bruker. Og så har den helt sikkert en nettleser, slik at den kan komme på nett. Slå av alt det som dere likevel ikke bruker.

4. Oppdater styresystemer og programvare

Det er helt normalt at det blir funnet svakheter i programvare. Men selv om mange leverandører rutinemessig stiller oppdateringer til rådighet som skal fjerne sårbarhetene, så blir de i mange tilfeller ikke installert. Sørg for å oppdatere IIoT-enheter, og sørg for å ha en fast prosedyre som sikrer at oppdateringene blir installert.

5. Test, test, test

Få en sikkerhetsekspert som har erfaring med industrielt IoT til å utføre en penetrasjonstest. Det er et spesialistfelt som krever kunnskap om PLS-enheter og SCADA-systemer. Selv om du ikke kan følge alle rådene deres, så må du lage en risikobasert vurdering av hva det er viktig å få gjort noe med – før folk med fiendtlige hensikter bestemmer seg for at prøve seg.

6. Hvem gjør hva?

Selv om du har kjøpt en samlet løsning, er det stadig viktig å vite hvilke underliggende deler som inngår. Om dataene dine ligger i en skyløsning, er det verdt å undersøke hvilket firma som står for løsningen, og hvordan den er sikret.

7. Ha en plan klar for dersom det går galt

Sist, men ikke minst: Sørg for å ha en nødplan. Gjennomgå de mulige scenariene, og kontroller om nødplanen deres vil kunne fungere i en reell situasjon. Hvis dere blir rammet av hackere, må det være helt klart hvem som skal gjøre hva. Hvis dere har en veldokumentert plan liggende tilgjengelig – inklusive planer for hva som skal kommuniseres – så vil det spare dere for en masse tid og adrenalin.

Han ønsker i stedet at folk blir like bevisste på sikkerhet for industrielle IoT-løsninger (IIoT) som de er med alt annet innenfor IT-verdenen.

Den industrielle IoT-utviklingen har ikke fått den samme oppmerksomheten som da Internett gjorde sitt inntog. Men den er like omfattende.

«Alt som beveger seg i en industriløsning, vil før eller senere bli slitt. Derfor kan det også lønne seg å overvåke utstyret. Ved hjelp av nøyaktige målinger av for eksempel mengden vibrasjoner eller gjennomstrømning kan man forutsi når de forskjellige delene må skiftes ut. Dermed kan man minimere utgiftene forbundet med en dyr produksjonsstopp», forklarer Joseph da Silva.

Utfordringen er at alt utstyr som er koblet til Internett, også kan hackes. Og konsekvensene kan bli mer drastiske enn det man normalt ser.

IoT-hacking mer lønnsomt enn ransomware

I 2018 var mediene fylt med historier om ransomware, der virusrammede datamaskiner ble kryptert, og der hackerne krevde en høy løsepengesum for å låse dem opp igjen. Den tendensen frykter Joseph da Silva også vil ramme industribedrifter.

«Hackerangrep handler ikke bare om å skaffe seg tilgang til data. Hvis en hacker kan true med å stenge ned produksjonen i en bedrift, så kan det bli mye dyrere, og dermed kan de forlange mye høyere beløp», forklarer Joseph da Silva.

Han peker også på at det med IIoT-hacking kan være vanskeligere å utarbeide en nødplan.

«Det er forholdsvis overkommelig å sikre backup av data i bedriften, slik at man raskt kan gjenetablere PC-er og arbeidsplasser. Det er mye vanskeligere – for ikke å si umulig – for f.eks. en næringsmiddelbedrift å ha backup av alle produksjonsfasilitetene.»

Energisektoren er et opplagt mål

«Energi- og transportsektorene er opplagte mål, fordi konsekvensene for et helt samfunn raskt blir veldig store når strømmen forsvinner eller ingen kan ta toget», sier Joseph da Silva.

At det ikke bare er en teoretisk mulighet, ble klart da hackere i 2016 med hell klarte å stenge ned en transformatorstasjon i Ukraina, slik at en femtedel av Kievs strømforsyning forsvant.

I andre tilfeller benyttes uskyldige IIoT-enheter bare som en snarvei for å skaffe seg adgang til et firmas nettverk. Sikkerhetsfirmaet Darktrace fortalte i sin 2017-rapport om et amerikansk forsikringsselskap, hvis nettverk ble brukt som utgangspunkt for hackere som ville bruke datakraften for å høste bitcoins.

Hacking er underrapportert

Joseph da Silva mener at IIoT-hacking underrapporteres i mediene. «De nye GDPR-regler forplikter bedrifter til å offentliggjøre om brukernes data kan være eksponert for hackere. Den samme åpenheten finnes ikke innen IIoT-hacking.»

«Derfor blir det svært sjeldent gjort offentlig kjent at en bedrift er rammet. De er ikke forpliktet til å fortelle noe, og de har ikke noen interesse av å være åpne om det, tvert imot», forklarer Joseph da Silva.

Han understreker at bedrifter ikke må la seg skremme vekk fra de mange fordelene de får ved å bruke IoT-enheter.

«Vi har i stedet utarbeidet 7 gode råd, som er en god sjekkliste. Hvis man begynner her, så er man godt på vei mot å sikre seg mot hackerne. Det handler bare om at få inn den samme forståelsen av viktigheten av IT-sikkerhet som man har med all annen IT», sier Joseph da Silva.

Ønsker du å finne ut mer?

Ta en snakk med RS Components, som ikke bare leverer IIoT-utstyr, men som også har bred erfaring med rådgivning om implementering av IIoT-løsninger og dermed bidrar med ytterligere perspektiver og rådgivning når det gjelder bekymringer om sikkerhet.

Kontakt Sales Director Scandinavia Claus Pedersen på claus.pedersen@rs-components.com for mer informasjon.

Du finner mer informasjon om RS Components IoT-løsninger her.


 

© RS Components AS. Fredrik Selmers vei 6, 10th floor, 0663 Oslo