For at skabe en cybersikker produktion skal man tænke hele vejen rundt og sikre alt fra fibernettet, der ligger gravet ned under de danske fortove, til videndeling mellem afdelinger. Sådan lød det budskabet fra forskere og virksomheder med ekspertviden inden for IoT-sikkerhed ved MADE Webinar om Cybersikkerhed i produktionen.
Hvad kræver det at introducere IoT i produktionen, når man samtidig vil have et finmasket cybersikkerhedsnet?
Det udfordrer virksomheder i det danske land. Mulige løsninger kan være alt fra at sikre virksomhedens fibernet, der ligger gravet ned under de danske fortove, til at dele viden mellem afdelinger. Til MADE Webinar om cybersikkerhed gav forskere og virksomheder en grundig indflyvning i mulighederne.
At vide hvad man ikke ved
Laura Lynggaard Nielsen, seniorantropolog ved Alexandra Instituttet, har i en større undersøgelse talt med 27 virksomheder om mulige veje og forhindringer i IoT-sikkerhedslandskabet. En udfordring, der går igen er, at viden om- og ansvar for IoT-sikkerhed er svært at placere:
”Virksomheder har typisk en it-afdeling, der sørger for, at pc’en er sikker, og en udviklingsafdeling, der er super dygtig til det maskinelle – men hvem skal og kan tage sig af sikkerheden, når det kommer til IoT-produkter?,” siger Laura Lynggaard Nielsen i et oplæg til MADE Webinar Cybersikkerhed i Produktionen og tilføjer at kompetencerne ofte er ”fragmenteret ud på afdelingerne”.
I undersøgelsen samlede hun medarbejdere fra forskellige afdelinger i hver virksomhed til 1,5 times interview. Der bar frugt – ikke blot for selve undersøgelsen, men også for virksomhederne selv.
”Det at sætte sig sammen og tale om sikkerhed og risiko vil ofte give nye indsigter og pege på lavthængende frugter ift. sikkerhedshuller, der relativt let kan lukkes,” uddyber Laura Lynggaard Nielsen.
En anden løsning er at lappe sikkerhedshuller med eksterne parter. Her viste undersøgelsen en tendens til, virksomheder uden særlig in-house indsigt i IoT-sikkerhed beroede sig på eksterne parter, virksomheder med nogen indsigt tog sig i høj grad selv af IoT-sikkerhed, mens virksomheder med stor indsigt i IoT-sikkerhed – måske lidt overraskende – benyttede mange eksterne kompetencer.
”Jo mere man ved – jo mere ved man også, hvad man ikke ved. Så vil man i højere grad outsource specifikke opgaver for at sikre at de varetages af eksperter på lige netop dét område,” forklarer Laura Lynggaard Nielsen i bedste Sokrates stil.
Zoner og særadgang
Rundt om i de danske hjem hænger blandt andet el- og vandmålere. Målerne fra Kamstrup er nu også blevet beriget med IoT-løsninger, og derfor har selskabet introduceret en række sikkerhedsforanstaltninger, så den nye datastrøm ikke kan hackes.
Løsningerne går blandt andet ud på at begrænse adgangen til data og inddele netværk i zoner. Medarbejderen får kun adgang til de data, der er nødvendige for lige netop den medarbejder at tilgå. Derudover bliver data inddelt i forskellige zoner af netværk – såkaldt segmentering.
Netop segmentering er et nøgleord for virksomheden Multicut, der leverer højkvalitets fræsning og dreje bearbejdning inden for metalproduktion. De har introduceret IoT i selve produktionen til bl.a. at måle på produktionstid, og deres mantra er her, at man bør undgå cloudløsninger. Til MADE webinaret Cybersikkerhed i Produktionen viste de, hvordan produktionen, administrationen og deres IoT-setup var inddelt i tre separate netværk (se billede nedenfor).
Data flyder altså ikke i en stor sky, som alle kan trække data ned fra, men fordeles over forskellige netværk med begrænset adgang.
Undgå, at data opsnappes fra fortovet
Udover zoner, særadgang og at trække på de rette kompetencer internt og eksternt, er et sidste godt råd at kryptere data. Virksomheden Zybersafe har for eksempel lavet en krypteringsløsning, der sikrer fiberforbindelsen mellem lokationer, så data sikkert kan rejse fra en lokation til en anden.
I dag kan enhver, der flytter en fortovsflise og graver sig lidt ned – eller måske blot passerer et vejarbejde, hvor fibrene ligger frit på fortovet, tappe ind i virksomheders interne datastrømme.
”Typisk er der navneskilt med virksomhedsnavn og adresse på fibrene, så det er nemt at finde den, man vil lytte med på,” fortæller salgschef i Zybersafe Michael Stranau til MADE webinaret. Her er mantraet at man bør undgå cloud-løsninger så vidt, det er muligt.
Zybersafe har udviklet hardware, der krypterer og dekrypterer data mellem virksomheders lokationer.
Den løsning benyttes blandt andet på Storebælt, hvor man f.eks. kan fjernstyre en lukning af broen, skulle der opstå en nødsituation.
Her bruger man også det gode råd om segmentering ved at tre forskellige lokationer har adgang til tre forskellige systemer på broen. Data deles derved op og løber ad separate veje til hver sin lokation.