Varför MDR som en tjänst – tre frågor och svar

Antalet cyberangrepp mot kritisk infrastruktur och dess system ökar – varför?

Industriella informations- och styrsystem är nyckelkomponenter i samhällsviktiga verksamheter. Systemen används för att övervaka och styra den infrastruktur och de processer som behövs för till exempel distribution av el och vatten. Skulle ett avbrott i dessa styrsystem ske, kan det leda till allvarliga konsekvenser för samhället.

En utmaning som verksamheter inom kritisk infrastruktur har är att dessa styrsystem inte är anpassade efter det digitaliserade samhället, vilket innebär att systemen ofta lider av cybersäkerhetsproblem som är svåra att både upptäcka och inte minst åtgärda. Behovet av digitalisering innebär att bland annat SCADA-nätverk och automationssystem inte är isolerade på samma sätt som tidigare, vilket utsätter dem för samma cyberhot som andra IT-system. Styrsystemen blir därför ett extra attraktivt mål för cyberattacker, eftersom deras grundskydd är sämre samt på grund av det allmänt växande hotet om attacker.

Risken för att styrsystem under de kommande åren kommer att utsättas för ännu fler riktade, komplexa och bättre utvecklade attacker är stor. Detta innebär att samhällskritiska verksamheter alltid måste ligga i framkant när det gäller kunskap om hur hotbilden mot deras organisation ser ut, bland annat genom att regelbundet genomföra risk- och säkerhetsanalyser. Det är även viktigt att ligga steget före och ha uppdaterade monitoreringstekniker, som hela tiden har de bästa förutsättningarna för att i god tid upptäcka potentiella hot eller risker i de kritiska systemen.

Hur kan en organisation ta sig an de säkerhetsrelaterade utmaningar som kopplas till de industriella informations- och styrsystemen?

Först och främst är det viktigt att ha en bra överblick och status för utrustning och nätverk kopplade till de industriella informations- och styrsystemen, så att det är möjligt att upptäcka säkerhetsrelevanta händelser och cyberattacker så tidigt som möjligt. Ju tidigare du kan upptäcka – desto mindre är risken för allvarliga konsekvenser.

Nyckeln i sammanhanget är bra rutiner för att samla in och inte minst logga samt övervaka kritiska produktionsservrar som SCADA, Historian, HMI etc. För att få full överblick bör verksamheten även identifiera och inte minst analysera all trafik på själva produktionsnätet. Detta för att eliminera onormala trafikmönster mellan enheter i produktionen.

Egen teknologi för monitorering vs. monitorering som en tjänst?

Monitorering är en investering som kräver kunskap och expertis inom området. Om verksamheten har den kunskap som krävs är det vanligt att organisationen köper teknik och utrustning på egen hand av olika leverantörer, och därmed använder sina egna resurser för att säkerställa nödvändig säkerhet på OT-sidan. Utmaningarna i dessa fall är blandade, men eftersom det kräver både hög orderkompetens för inköp av teknisk utrustning och inte minst rekrytering av rätt kompetens för att kunna tolka informationen, samt använda och underhålla tekniken så blir investeringen ofta både tidskrävande och onödigt dyrt. Därför kan det löna sig att investera i monitorering som en tjänst, där man förutom den fysiska lösningen även köper expertisen som krävs för att till fullo kunna dra nytta av all värdefull information som en monitorering av kritiska system kan erbjuda.

När en verksamhet investerar i sin egen teknologi för monitorering uppstår även problematiken att de nödvändiga produkterna som behövs köps in från olika leverantörer. Ofta är det så att säkerhetsprodukter från olika leverantörer, som inte är byggda för att arbeta ihop, inte fungerar bra tillsammans och resultatet blir att den övergripande hotbilden som en monitoreringstjänst bör leverera inte blir helt tillförlitlig. Att bygga en egen organisation för monitoreringstjänsten kan därför bli tidskrävande och verksamheten kan även bli mer sårbar för förändringar om den nödvändiga kompetensen inte hela tiden underhålls.