Riskbilden för svensk och internationell industri förändras. Cyberkriminella siktar allt oftare in sig på att slå ut produktion och kritisk drift i utpressningssyfte, snarare än att stjäla data.
Andreas Gotthardsson, Director Systems Engineering på Fortinet, ser hur många företags IT-säkerhet inte räcker till för att skydda den operativa tekniken (OT).
En fundamental förändring i cyberkriminellas metoder pågår just nu, och den är direkt riktad mot hjärtat av både internationell och svensk industri. Fokus har förflyttats från datastölder till att lamslå själva verksamheten. Genom att attackera och stänga ner den operativa tekniken (OT) – de system som styr fysiska processer i fabriker, elnät och transport – kan angripare kräva lösensummor för att återställa driften.
Enligt Andreas Gotthardsson, Director Systems Engineering på Fortinet, kan detta innebära att många företag lever med en omedveten risk, eftersom deras traditionella IT-säkerhet ofta är verkningslös i en industriell miljö.
“Att skydda en fabrik som man skyddar ett kontor kan få katastrofala följder. OT-miljön har helt andra prioriteringar och sårbarheter. Här handlar det om att säkerställa oavbruten produktion och fysisk säkerhet, inte att skydda e-postservrar”, säger Gotthardsson.
Budskapet till ledningsgrupper är tydligt: det är dags att agera. Utvecklingen kräver ett skifte från ett reaktivt försvar till en informerad samt proaktiv säkerhetsstrategi och -position. I praktiken innebär en sådan ansats att försvaret inte längre byggs enbart på generella best practices. I stället utgår det från konkret underrättelseinformation om angriparna – vilka hotaktörer som riktar in sig på branschen, vilka taktiker, tekniker och procedurer (TTP:er) de använder och vilka sårbarheter de typiskt utnyttjar.
Genom att kartlägga angriparnas beteende – gärna med hjälp av ramverk som MITRE ATT&CK for ICS – kan organisationer prioritera rätt skyddsåtgärder. Försvaret kan testas kontinuerligt mot realistiska attackscenarier, och intrång kan upptäckas tidigt i attackkedjan i stället för efter att produktionen redan störts.
En informerad säkerhetsposition innebär också att organisationens människor, processer och teknik är samordnade kring samma bild av hotet. Säkerhetsteam, OT-ingenjörer och ledning delar en gemensam förståelse för hur en attack skulle se ut, hur den skulle utvecklas och vilka affärsmässiga konsekvenser den skulle få – vilket gör det möjligt att fatta välgrundade beslut om risk, investeringar och respons, i stället för att förlita sig på antaganden.
För företagets säkerhetschef (CISO) och ledning innebär detta en konkret checklista:
- Identifiera era kronjuveler: Vilka system är absolut kritiska för er drift?
- Täpp till luckorna: Granska alla kopplingar mellan IT- och OT-nätverken. Oskyddade anslutningar är en öppen dörr för angripare.
- Skydda det oskyddbara: Äldre industrisystem kan ofta inte uppdateras eller patchas. Implementera kompenserande skydd som isolerar, segmenterar och kontinuerligt övervakar dessa system.
- Operationalisera hotunderrättelser: Säkerställ att information om relevanta hotaktörer aktivt styr detekteringsregler, incidenthanteringsrutiner och säkerhetsinvesteringar – inte bara hamnar i kvartalsrapporter.
“Utmaningen är inte längre bara teknisk, den är i högsta grad strategisk. Att ignorera riskerna kopplat till den operativa tekniken är en affärsrisk som inget industriföretag har råd att ta”, avslutar Gotthardsson.
