Datakriminalitet er en økende utfordring for norske bedrifter. Den økende digitaliseringen og sammensmeltningen av ulike datasystemer gir kriminelle nye muligheter. Ved å gjennomføre risikovurderinger, risikoanalyse og finne tiltak, kan man få et vern mot datakriminalitet. Standarder vil gi krav og metoder til hvordan man kan utarbeide et effektivt datavern.
Trond Salater
Fagsjef for automatisering i Norsk Elektroteknisk Komite (NEK)
Data-angrep er det ingen som er sikret mot å oppleve. Selv Norges største bedrifter blir angrepet og avisene skriver lange artikler om utpressing og tap i flere hundremillionersklassen. Det brukes betydelige summer for å beskytte seg mot slike angrep og det er vanskelig å tenke seg en digitalisering uten sikring mot fiendtlig inntrengning.
Datasikkerhet
Cyber security, cybersikkerhet eller datasikkerhet er ulike navn på håndtering av sikkerhetsutfordringene ved digitalisering. Innenfor datasikkerhet regner man inn både maskinvare, programvare og kommunikasjon mellom ulike aktører som elementer hvor sikkerhetstiltak er nødvendig. Disse elementene er med oss i brorparten av de arbeidsoppgavene og prosessene vi til daglig er involvert i. Uten datasikkerhet vil derfor samfunnssikkerhet, personvern og generell trygghet være i fare. Datasikkerhet er med andre ord avgjørende for at vi kan ta digitaliseringen helt ut.
Norsk Elektroteknisk Komite (NEK)
NEK er det norske medlemmet i det internasjonale standardiseringsorganet IEC. NEK har gitt ut en rekke standarder som omhandler datasikkerhet. Standardene gir krav til hvilke risikovurderinger, analyser og forslag til tiltak man må gjennomføre. Med analysen på plass får man kravene til riktig tiltak.
Informasjon eller operasjon
Etter hvert som det digitale bildet blir mer og mer komplekst har det blitt vanlig å skille mellom informasjonsteknologi (IT) og operasjonell teknologi (OT).
Informasjonsteknologi er det administrative systemet i en bedrift, og innbefatter registrering, behandling og lagring av data. Typiske funksjoner er regnskap, CRM og logistikk.
Operasjonsteknologi er bedriftenes produksjonssystem. Dette er i økende grad automatisert og utført av roboter basert på bruk av sensorer. I et OT-system ønsker man ikke produksjonsstopp, og oppetiden er den høyeste prioriteten. Tradisjonelt har man konsentrert seg mindre om datasikkerhet innenfor OT, da løsningene ikke har vært koblet mot det administrative nettet som kan nås fra utsiden av bedriften.
Systemene smelter sammen
I dag smelter IT og OT mer og mer sammen. Produksjonen styres på bakgrunn av data fra IT-systemet. Får uvedkommende adgang til systemene kan produksjonsstans være et av de fiendtlige angrepene, som gjerne kan følges av utpressing.
– Uten den nødvendige sikringen av IT- og OT-systementene kan data blitt manipulert av kriminelle, og produksjonen kan stanses eller feilaktig bli både for høy og for lav. Manipulering av produksjon kan gi alvorlige konsekvenser, ikke bare for produsent, men for hele markedet, forteller Trond Salater, fagsjef for automatisering i NEK.
Datasikkerhet
Sammenkoblingen mellom systemene gir flere mulige angrepsvinkler for datakriminelle. Tidligere var de digitale truslene gjerne forbundet med spredning av virus gjennom e-post eller direkte hacking av datasystemet. I dag finnes det stadig flere muligheter. De ulike delene av verdikjeden skal kommunisere og kriminelle ser etter det svakeste leddet. Dette kan like gjerne være gjennom en leverandør, programvare eller bruk av usikret Internet of Things.
– NEK har lenge lagt stor vekt på datasikkerhet, både for IT og OT systemene. Ved å følge standardenes krav kan man sikre bedriftenes data og produksjonsprosesser. Klarer man å sikre disse mot angrep unngår man å bli offer for utpressing etter et dataangrep forteller Trond Salater, fagsjef for automatisering i NEK.
Tekst:
Tekst: Arild Kjærnli, markeds- og kommunikasjonssjef i Norsk elektroteknisk komite