Anders Gjendemsjø (til v.) og Dag Nesfossen.Foto: Camilla Aadland
Anders Gjendemsjø (til v.) og Dag Nesfossen.Foto: Camilla Aadland
Anders Gjendemsjø (til v.) og Dag Nesfossen.Foto: Camilla Aadland

- Ta kontroll på digital sikkerhet

Havbruksnæringen driver en stadig innovasjon for å optimalisere produksjon, drift, logistikk og kvalitet. Større grad av automatisering og fjernstyring presser seg frem.

Dette bidrar til å sikre effektivisering i bransjen og gir mulighet for økt presisjon. I løpet av de siste årene har mange selskaper i stadig større grad utnyttet teknologi og digitalisering for å vokse og forbedre sine produkter og tjenester, eksempelvis fjernstyring av lokaliteter.

Komplekse sårbarheter

Med denne teknologiske utviklingen følger flere og mer komplekse sårbarheter, som eksponerer havbruksnæringen for stadig flere trusler i den digitale verden (cyber risk). Akkurat som man ikke vil stå uten brannalarm, trygge rømningsveier og et drillet brannvesen dersom en brann bryter ut, så er det viktig å ha en plan for hvordan man forebygger cyberangrep, hvordan man oppdager innbrudd, og hvordan man håndterer hendelser og gjenoppretter.

Den nye teknologien

Denne kommentaren er en del av en serie kommentarer fra aktører i NCE Seafood Innovation Cluster. Kommentarene vil ta for seg ny teknologi som kunstig intelligens, tingenes internett og digital sikkerhet og hvordan dette kan brukes i havbruksnæringen. 

Spørsmålet som møter mange virksomheter i dag er:

Hvordan skal vi håndtere den forhøyede risikoen for cyberangrep, men likevel ta del i mulighetene ny teknologi og digitalisering representerer?

Konseptuelt er ikke dette mer komplekst enn det helt grunnleggende HMS-arbeidet virksomheter allerede driver med. Selskaper bør ha en strategi på digital sikkerhet som ikke bare fokuserer på å forbli sikker (sammenlignbart med å installere en brannalarm og definere rømningsveier), men også bli mer årvåken (sørge for at man får med seg når alarmen går) og motstandsdyktig (et brannvesen som kommer raskt, forsikring som dekker gjenopprettelse, avtaler med underleverandører av utstyr) mot utviklingen av cybertrusler. 

Sikring er de forebyggende aktivitetene, årvåkenheten gjør at man oppdager problemer i det de inntreffer, og motstandsdyktigheten gjør at man raskt gjenoppretter etter en hendelse.

Sikker: 

Organisasjoner må kontinuerlig opprettholde deres grunnleggende sikkerhetsfunksjoner, for å beskytte seg mot trusler og overholde krav og forskrifter. Noen sentrale faktorer her er:

  • God kontroll på systemer (asset management)
  • En plan for oppgradering av både hardware og software (lifecycle management, patch management)
  • God tilgangsstyring
  • Segregering og beskyttelse av nettverket
  • Begrenset bruk av administratorrettigheter

Årvåken: 

Organisasjoner må etablere evne til å oppdage sikkerhetsbrudd, overvåke og forutse nye trusler slik at de holder tritt med utviklingen innen cyber risk. Avhengig av størrelsen på virksomheten så kan det være hensiktsmessig å starte et partnerskap med en leverandør for å få et godt nivå på dette arbeidet. Kjernen er å oppdage avvik fra normalbildet, for så å forstå om det er et forsøk på tyveri eller sabotasje. I hovedsak handler dette om:

  • Trusselforståelse
  • Sikker logging
  • En evne til å lese og forstå logger

Motstandsdyktig: 

Organisasjoner bør forstå at ingen cyberforsvar kan være 100 prosent effektive, og de må derfor utvikle evnen til å reagere på uunngåelige cyberangrep og gå tilbake til normal drift så raskt som mulig. Sentrale faktorer her er:

  • Et team som kan lede en hendelseshåndtering
  • En generell plan for håndteringen
  • Backup som testes regelmessig
  • Redundans på virksomhetskritiske systemer

Vi mener denne tredelingen er sentral i en risikobasert tilnærming for å sikre eksisterende drift og legge grunnlaget for innfasing av ny teknologi i organisasjonen. De mest vellykkede bedriftene vil gå utover tradisjonell risikostyring (bare unngå eller begrense et cyberangrep), ved å ta strategiske, beregnede risikoer for å maksimere fordelen av fremskritt innen digitalisering.

Uhellet kan være ute:

I løpet av de siste par årene har vi blitt vitne til cyberangrep der store organisasjoner har blitt rammet uten nødvendigvis å være et direkte mål. Dette viser at selv om man opererer et i miljø med tilsynelatende begrensede antall fiendtlige aktører så er man likevel eksponert for utilsiktede angrep som kan potensielt medføre store kostnader. Et par eksempler fra den senere tid på dette er:

  • Mai, 2017: WannaCry viruset rammet rundt 200 000 datamaskiner på tvers av 150 land. En av de største organisasjonen som ble rammet var engelske National Health Service sine sykehus der ca. 70 000 enheter ble rammet, herunder PC'er, MR scannere, og blod-lagrings kjølere. Patch management kunne motvirket denne kampanjen i stor grad.
  • Juni, 2017: NotPetya viruset rammet selskaper som Maersk, DHL og Mondelez. Maersk alene estimerte et tap på ca 2,5 milliarder kroner som en direkte konsekvens av å bli rammet. Segregering av nettverk, om enn bare mellom ulike land i virksomheten, ville redusert dette fra å være et globalt lammende angrep til å bli et lokalt Ukrainsk problem, og gjort det til en størrelsesorden billigere å gjenopprette fra.

I begge tilfellene var det grunnleggende sikkerhetsfunksjoner som kunne begrenset omfanget.

Hvor skal man begynne?

Sikkerhet er ikke ensbetydende med å bruke mye penger eller ha de dyreste verktøyene. Fokuser på det viktigste og vurder operative behov i forhold til tilgjengelighet på systemer. Slike vurderinger ville være en avveining mellom tilgjengelighet og kostnadsnivå. Dersom din bedrift kan klare seg uten tilgang til regnskapssystemet eller e-post i et døgn vil dere kunne benytte en rimeligere sikkerhetsløsning enn om dere er avhengig å ha det på luften igjen i løpet av et par timer.

Eksemplene over er allmenngyldige for all næringsvirksomhet men prinsippene gjelder også for mer spesialisert næringsvirksomhet. Ser vi på havbruk og lokalitet som er automatisert og fjernstyrt vil en naturlig vurdering være hvor lang tid systemene kan være utilgjengelig, eksempelvis hvor lang fôringsstans er akseptabel? 

Systemenes tilgjengelighet styres av forskjellige parametere, f.eks. redundans i kommunikasjon- og datalinjer, sikkerhetskopi av data og arkitektur og tilgjengelighet på personell. Vanligvis er økt tilgjengelighet knyttet til økt kostnad og nøkkelen ligger i å finne en god balanse her.

Må ta aktivt grep på digital sikkerhet

Veien til en god og balansert cyber risikostyring begynner med å kartlegge og få oversikt over hva som er viktigst for bedriften, produksjonsanlegg, kommunikasjonslinjer, data, infrastruktur, etc. Neste steg er å vurdere hvilke aktører og type trusler (virus, svindel, menneskelig feil, etc.) som er mest relevant å sikre seg mot. Med dette som utgangspunkt kan organisasjonen bevisstgjøres gjennom å utvikle og implementere aktive læringsscenarier som gir en praktisk forståelse av trusler og konsekvenser.

Havbruksnæringen er en industri preget av åpenhet og deling, dette er et utmerket utgangspunkt for også å etablere felles samarbeidsarenaer knyttet til cyber-risiko. Andre bransjer har startet dette allerede og her er det bare muligheter for å vinne. Hovedbudskapet må være at man tar et aktivt grep på digital sikkerhet på samme måte som vi gjør med sikkerhet på andre områder. Økt fokus på god sikkerhetskultur, har hatt en positiv utvikling i havbruk de siste årene. Digital sikkerhet handler også i stor grad om å bygge god kultur.

Her kan du lese de andre artiklene i serien:

( VILKÅR )
 
Del saken