Operationella OT-säkerhetsrisker

Operationella risker uppstår i daglig drift och underhåll av OT-system. De är ofta osynliga tills de manifesteras i en incident. Exempel: okontrollerad användning av USB-minnen i OT-nätverket, leverantörers fjärranslutningar utan MFA, delade inloggningsuppgifter without individuell spårbarhet och felaktig konfiguration vid systembyte eller uppgradering. SANS ICS-undersökning 2024 identifierar operationella risker som orsak till 31 procent av OT-incidenter.

Åtgärder för operationella risker inkluderar: USB-policy och kontroll, strukturerad leverantörsåtkomstprocess med MFA och loggning, individspecifika OT-konton och revision, och change management-process för OT-konfigurationsändringar med testvalidering och rollback-plan.

Organisatoriska OT-säkerhetsrisker

Organisatoriska risker är de mest underskattade i OT-säkerhetsarbetet. De inkluderar otydligt ägarskap för OT-säkerhet, brist på OT-specifik säkerhetskompetens, avsaknad av OT-säkerhetsprogram och policy och bristande integration between OT-drift och IT-säkerhet. Gartner identifierar organisatoriska risker som den primära bromsen för OT-säkerhetsmognadsframsteg hos 60 procent av industriella organisationer (Gartner, 2024).

Åtgärder: tydlig RACI-matris för OT-säkerhetsansvar, dedikerat OT-säkerhetsprogram med budget och resurser, OT-specifik säkerhetsutbildning för driftpersonal, gemensamma incidentrespons-övningar for IT och OT och regelbunden ledningsrapportering av OT-säkerhetsstatus.

[IMAGE: Riskmatris med de fyra OT-riskategorierna och deras interaktioner - sökterm: OT security risk categories matrix]

Externa OT-säkerhetsrisker

Externa risker kommer från hotaktörer och organisationens externa relationer. Statliga APT-grupper, ransomware-aktörer och hacktivister är primära externa hotaktörer. Leveranskedjan är en extern risk som inkluderar komprometterade mjukvaruuppdateringar, osäkra OT-leverantörer och systemintegratörer med privilegierad OT-åtkomst. ENISA rapporterar att leveranskedjeattacker mot OT ökade med 42 procent under 2024 (ENISA, 2024).

Åtgärder: abonnemang på OT-specifik hotintelligens (Dragos Worldview, ICS-CERT-råd), leverantörssäkerhetsgranskning och kontraktskrav, SBOM-krav för kritisk OT-mjukvara och deltagande i sektorsspecifika ISAC (Information Sharing and Analysis Centers) för hotinformationsutbyte.

Hur prioriterar man OT-riskåtgärder?

Riskprioritering ska baseras på en kombination av exploaterbarhet (hur enkelt är det att exploatera risken?), exponering (är systemet nätverksexponerat?) och konsekvens (vad händer om risken realiseras?). CISA:s Cross-Sector Cybersecurity Performance Goals identifierar de fem höst-prioriterade åtgärderna för OT-operatörer: MFA, backup, fjärråtkomstskydd, nätverkssegmentering och leverantörskontroll (CISA, 2024).

[PERSONAL EXPERIENCE] Vi rekommenderar att riskprioritering börjar med att identifiera de tre OT-system vars kompromiss skulle ha mest allvarliga konsekvenser (säkerhets- eller produktionsmässigt) och som har den svagaste befintliga säkerhetsprofilen. Åtgärder för dessa system ger den snabbaste substantiella riskreduktionen och är ofta det starkaste argumentet för att fortsätta OT-säkerhetsprogrammet.

OT-säkerhetsbedömning: utvärdera er ställning Opsio OT-säkerhetstjänster