Virksomheter har ofte et sterkt behov for å øke tilgjengeligheten til tjenester, for eksempel Sentral Driftskontroll (SD). Dette gjøres iblant ved å eksponere dem på internett. Det er forsvarlige og uforsvarlige måter å gjøre dette på.

Tiltak for sikring kan være VPN med multifaktorautentisering (MFA), helst i kombinasjon med hvitelisting av IP-adresser for tilgang.

Målet med å unngå eksponering mot internett er å redusere angrepsflaten. I tillegg ønsker man å skape en “forsvar i dybden”-strategi. Dette vil si at det er flere sikkerhetslag som en angriper må komme seg gjennom. Man ønsker å unngå at en angriper kompromitterer OT-systemer som er eksponert ut mot internett kombinert med et enkelt brukernavn og passord (enfaktor).

Samarbeid mellom IT, OT og leverandører

En trygg og god tilgangsløsning krever godt samarbeid mellom IT- og OT-arbeidere, og ofte leverandører.

Til tross for at OT styrer det fysiske i en installasjon, benyttes det i stor grad IT-systemer til å kommunisere og styre enheter på tvers av ulike lokasjoner. For eksempel innloggingspanel og rutere.

I mange tilfeller leverer OT-leverandører også IT-utstyret. Dette gjør at virksomheten ikke alltid har like god oversikt over sikkerhetspraksisen, utført arbeid, rutinemessige sikkerhetsoppdateringer og utfasing av eldre operativsystem.

Vi anbefaler generelt å samarbeide med leverandører vedrørende fjernaksessløsninger.
Et eksempel er at dere benytter VPN kombinert med phishingresistent MFA. Leverandør ønsker å bruke TeamViewer eller annen fjerntilgangløsning som ikke følger policyen deres.

Dette krever at deres tilrettelegger for leverandør, for eksempel ved å utlevere egen PC som de må bruke ved fjerntilgang fremfor at de setter opp sin egen løsning.

Hvordan skal vi sikre oss?

Første steg er å kartlegge hva man eksponerer på internett og hvilke tjenester dette er. Er de bak VPN, en nettside med innloggingsportal eller en ruter/brannmur?

Kartleggingen og herdingsarbeidet kan i flere tilfeller kreve involvering av IT-personell, men også leverandører om de har levert OT-tjenestene med IT-komponenter.

Når kartleggingen er gjort, anbefaler vi at dere gjennomgår sikkerhetsmekanismer: