DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I)

Transkript

1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I) 1

2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:

3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer og løsninger ved at indbygge informationsteknologi i produkter og produktionsapparat. Vejledningen har fokus på produktionsapparatet. Der bliver dog også skelet til sikkerheden i produkter, i det omfang produkterne indgår i et andet produktionsapparat. Vejledningen ser ikke isoleret på produktionssikkerhed, men prøver at sørge for, at virksomhedens sikkerhed er på plads i alle dele af organisationen. Dermed udbredes sikkerhedsdisciplinen til ikke kun at adressere kontormiljøet, men også at komme rundt i de øvrige dele af virksomheden - særligt også produktionsapparatet. Målgruppen for vejledningen er danske virksomheder, som allerede har eller er i gang med at overveje, enten at bygge intelligens ind i deres eksisterende produkter eller at sætte deres produktionsudstyr på et netværk. Vejledningen falder i tre uafhængige dele. Denne første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. Vejledningen er udformet så den retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Baggrund Forestil dig at produktionen går i stå i en uge. Medarbejderne kan ikke arbejde, men skal have løn. Virksomheden kan ikke overholde sine kontrakter for levering af produkter. Omkostninger af uforudsigelige størrelser ligger og venter om hjørnet, mens det tekniske personale i samarbejde med eksterne konsulenter arbejder i døgndrift for at få produktionsapparatet i gang igen. Forestil dig derefter at de apparater, du har produceret, indeholder en systematisk svaghed, som gør, at de kan fjernstyres til at bryde i brand. Hvis virksomhedens apparater indgår i andre virksomheders produktionsudstyr, kan det betyde, at deres produktion lægges ned. Hvis apparaterne kommer ud i private hjem, kan det få fatale konsekvenser. 3

4 Begge scenarier er mulige i dag. I praksis har vi kendskab til flere cases 1, hvor produktionsapparatet angribes af udefrakommende, eller hvor apparater angribes og funktionaliteten ændres - begge dele med ubehagelige økonomiske konsekvenser som følge. Det er ledelsens ansvar, at minimere risikoen for at ovenstående scenarier opstår. Det er derfor også ledelsens ansvar at sikre, at virksomheden tager hånd om informationssikkerheden på en fornuftig måde. Udviklingstendenser fører til informationssikkerhed overalt Kontormiljøet I takt med udbredelsen af IT er informationssikkerhed gennem det seneste årti kommet på ledelsens dagsorden i de fleste virksomheder. Arbejdet har været centreret om at beskytte de administrative systemer: kontorsystemerne. Mange steder er der blevet udpeget it-sikkerhedsansvarlige, der er lavet risikoanalyser og it-sikkerhedspolitikker, og der er indført sikkerhedsforanstaltninger som backup, firewalls og antivirus. Endelig er man mange steder gået systematisk til værks og for at få en holistisk beskyttelse, har man måske brugt en sikkerhedsstandard som redskab - f.eks. ISO27000-serien 2. DI og DI ITEK har gjort sit til at drive den udvikling fremad og har udgivet talrige vejledninger på dette område, som kan understøtte virksomhederne i denne proces. Baggrunden har været at bidrage til at beskytte danske virksomheders aktiver, så der fortsat kan være høj tillid til disse. Kommunikation med smarte produkter IT har jo ikke begrænset sig til kontormiljøet, men er gået sin sejrsgang overalt. Tilbage i 2004 lavede FN sin vision om The Portable Internet 3, hvor alle via bærbare enheder kunne komme på trådløst internet overalt. Året efter fulgte FN så dette op med rapporten Internet of Things 4, hvor den grundliggende tanke var, at vi ikke alene skulle kommunikere med hinanden via bærbare enheder på det trådløse internet: vi skulle også kunne kommunikere med vores ting, som var koblet op på internettet. FN fulgte op på de strømninger der allerede var på markederne, hvor man kunne kommunikere trådløst via bærbare terminaler med flere og flere af sine ting. Siden 2005 er udviklingen gået hurtigere og hurtigere, og ikke alene er produkterne kommet på internettet - de får også indbygget mere og mere funktionalitet. I dag er mange gammelkendte produkter blevet til "smart devices". Et vindue er ikke bare et stykke glas, der kan fungere som kanal for lys og luft. Det er en smart device, som via sensorer kan åbne og lukke på baggrund af brugerens temperaturpræferencer, som kan lukke, når det begynder at regne, og som har indbyggede smarte gardiner, der kan lukke, hvis solen er for skarp. Plastre er på visse områder smarte devices, som selv kan fortælle noget om patientens tilstand og evt. rapportere det til lægen. Insulinpumper er blevet smarte og kan selv dosere mængden af insulin til sukkersygepatienter, og både insulinpumper og pacemakere kan rapportere patientdata hjem til lægen. 1 Se f.eks. 2 Information Security Management Systems standarder

5 Hacking af smarte produkter I takt med al den intelligens, der til menneskers bedste indbygges i produkterne, er det imidlertid også vigtigt at være opmærksom på sikkerheden. F.eks. har man under overskriften "Hacking the human SCADA system" eftervist, at insulinpumper kan hackes på op til en kilometers afstand 5, og patienten herved kan udsættes for fatale konsekvenser. Tilsvarende har man også vist at pacemakere, som er online for at indrapportere data til lægen, kan hackes med fatale konsekvenser 6. Det, som skulle være menneskers bedste, kan dermed hurtig vise sig at have en bagside. Producenterne bag udstyret har haft fokus på service og funktionalitet, men har ikke haft fokus på, at deres udstyr kan misbruges. En virksomhed, som lancerer et produkt uden at have sikkerheden på plads, har næppe nogen fremtid på markedet, hvis det går rigtig galt. Intelligens i produkterne er altså en god ting for alle parter, men den skal indføres under anvendelse af de rette sikkerhedstiltag. Kommunikation med "det smarte" produktionsapparat I udgangspunktet er produktionsapparatet meget forskelligt fra kontormiljøet. Produktionsapparatet har traditionelt kørt meget isoleret, som proprietære løsninger med dedikeret software og hardware. Kontormiljøet har også tidligere været mere isoleret og baseret på proprietære løsninger end det er i dag 7. Den udvikling, vi har set på kontorområdet, er imidlertid også på vej ind i produktionsapparatet. Ønsket om at kunne kommunikere fra bærbare terminaler via et trådløst netværk med sine apparater (som det var FN's vision) har naturligvis også udstrakt sig til produktionsapparatet - og med god grund: Man kan opnå betydelige effektiviseringsgevinster ved at overvåge, styre og indsamle data direkte fra produktionsapparatet og overføre data direkte til kontormiljøet. Men når man sætter et apparat på nettet, er der også en risiko for, at uvedkommende kan skaffe sig adgang til det. I 2010 fandt det meget omtalte Stuxnet-angreb sted på Iranske atomkraftværker. Angrebet indeholdt en række nye og banebrydende angrebsmetoder. Men i sin grundform var det et angreb på et produktionsapparat, som havde til formål at gøre apparatet uanvendeligt i en periode. Stuxnet-angrebet var ikke det første angreb på produktionsudstyr 8, og man må forvente at se flere af denne type angreb i fremtiden 9. I skrivende stund er der således allerede ved at blive lave nye varianter af Stuxnet 10. Der er derfor al mulig god grund til at gøre sig sine sikkerhedsovervejelser, når man skal have sit produktionsapparat på nettet. Cloud computing De servere, der traditionelt set har understøttet kontormiljøet, er de senere år blevet flyttet ud på nettet med det formål at forbedre effektiviteten yderligere. Dette kalder man cloud computing. Cloud computing består af tre begreber: Software as a Service, hvor programmerne flytter ud i skyen som f.eks. webmail, Infrastructure as a Service, hvor hardwarekomponenterne flytter ud i skyen som f.eks. lagring af filer, og så Platform as a Service, hvor forskellige udviklingsplatforme sendes ud i skyen. Denne udvikling fra kontormiljøet kommer vi muligvis også til at se i forhold til produktionsmiljøet. I dag serviceres virksomhedens produktionsudstyr i en række tilfælde fra en serviceleverandør, der ikke nødvendigvis og 7 F.eks. brugte man tidligere forskellige kommunikationsprotokoller, hvor stort set alt i dag kører på den samme såkaldte internet protokol (IP) En oversigt over angreb kan findes hos Risi, the Repository of Security Incidents,

6 behøver at komme til virksomheden, men i stedet principielt set kan sidde i udlandet. Sådan en service, kunne man sagtens forestille sig, ville blive udbygget, således at f.eks. trafikken i produktionsmiljøets netværk blev routet ud gennem filtre hos en serviceleverandør uden for virksomheden for at blive skannet for virus. Man kunne også forestille sig at logfiler fra de enkelte produktionsapparater, blev overvåget af en ekstern service på nettet. Dette vil åbne virksomhedens produktion yderligere mod omverdenen. Men det skal i den grad gøres med eftertanke fordi produktionsudstyret, som det illustreres i dette baggrundsafsnit, har en anden beskaffenhed end kontormiljøet. Stigende professionalisering blandt de kriminelle En sidste udviklingstendens, som også spiller en rolle, er den stigende professionalisering af kriminelle miljøer rundt omkring i verden. De dage, hvor en informationssikkerhed handlede om sciptkiddies, der kunne deface en hjemmeside 11, er forbi. Bagmændene bag moderne it-kriminalitet er typisk ganske kyndige og har specialiseret viden indenfor programmering og netværksteknologi. Typisk laver disse kriminelle målrettede angreb, hvor de forsøger at maksimere den profit, de kan få ud af indsatsen. Ved siden af denne kriminalitet kan det ikke udelukkes, at fremmede landes regeringer også har en finger med i spillet og faktisk spionerer mod virksomheder for at få adgang til forskningsresultater og kontrakter m.v. og gavne deres eget erhvervsliv. Yderligere er der fra forskellige ekstremistiske grupper i verden en stor interesse for at angribe de produktionsapparater, som udgør hvad vi kan kalde kritisk infrastruktur - herunder produkter og produktionsapparater, som producerer el, rent vand og varme/køling, eller som udgør kommunikations-, transport- eller betalingsinfrastrukturen. Endelig ser vi også en stigning i den politiske aktivisme på nettet, hvor især den finansielle sektors "produktionsapparat" er blevet angrebet - f.eks. i forbindelse med hackergrupperne Anonymous og Lulzsecs støtte til eller modstand af Wikileaks 12. Der er således samlet set en mere kvalificeret trussel mod danske virksomheder på alle fronter. Andre sikkerhedsmæssige forhold Der er ofte stor fokus på ondsindede personer, der forsøger at trænge ind i virksomheden og stjæle data eller sabotere. Det er imidlertid vigtigt at fremhæve, at sikkerhedsbrister også kan opstå på anden vis. Systemmæssige trusler, som f.eks. indbefatter overbelastede systemer, manglende netværksstabilitet eller anden hardwarefejl, skal også adresseres. Ligeledes skal de trusler, som ligger udenfor virksomhedens kontrol, som f.eks. naturkatastrofer (oversvømmelse), strømafbrydelse eller civil uro, adresseres. Særlige udfordringer i produktionsapparatet Produktionsapparatet er i forhold til kontormiljøet særligt udfordrende at arbejde med af to årsager: For det første skal produktionsapparatet i mange tilfælde altid køre. Det nytter ikke noget, at et elselskab lukker ned for strømmen eller et teleselskab for kommunikationsforbindelserne for at opdatere sit produktionsapparat. Tilsvarende gør sig også gældende for en række andre aktører, der har med automatiseret produktion at gøre. For det andet skiftes produktionsudstyret ikke ud med samme frekvens som kontorudstyret. Hvor vi i gennemsnit skifter mobiltelefon hvert år og pc og styresystem hvert tredje år, så holder 11 Børn, som ændrer forsiden af en hjemmeside og f.eks. efterlader en besked om at de kunne bryde ind. 12 Se bl.a. 6

7 produktionssystemet måske op til 30 år. Produktionsapparatet bliver dermed hurtigt ældre systemer at arbejde med, hvor det kan være vanskeligt at få fat i originale dele, at få opdateret disse dele, at få dem til at fungere sammen med nyere produktionsudstyr eller få fat i de rette kompetencer til at gøre arbejdet. Ledelsens rolle og indsats Ledelsen har ansvaret for at minimere de risici, som kan true virksomheden - herunder dens almindelige informationssikkerhed, dens produkter og dens produktionsapparat. Informationssikkerheden adskiller sig på den måde ikke fra finansiel risiko, som ledelsen er vant til at håndtere på daglig basis. Det handler om at skabe de mest gennemsigtige, forudsigelige og troværdige betingelser for virksomheden. Som led heri skal virksomheden også sørge for, at der er taget fornuftigt hånd om informationssikkerheden. Kort fortalt skal ledelsen sikre følgende punkter: 1. Ledelsen skal sørge for, at der udpeges sikkerhedsansvarlige for kontormiljø, fysisk sikring, produkter og produktion Ledelsen skal sørge for at få udpeget en eller flere ansvarlige for sikkerheden i virksomheden. Det kan udmærket være den samme person, der varetager alle fire områder - men det kan også være forskellige personer afhængigt af, hvordan virksomheden har valgt at organisere sig. De(n) sikkerhedsansvarlige skal iværksætte en række initiativer, som beskrevet senere i dette sæt af vejledninger. 2. Ledelsen skal sørge for etablering af sikkerhedsorganisation med funktionsadskillelse Da sikkerhedstrusler udvikler sig over tid, bør ledelsen sikre løbende vidensopdatering af de sikkerhedsansvarlige. Ved udpegelsen af de(n) sikkerhedsansvarlige er det vigtigt at sikre, at sikkerheden varetages fagligt forsvarligt og ikke er afhængig af andre forhold og hensyn i virksomhedens øvrige afdelinger/funktioner. På den måde sikres den mest retvisende vurdering af de risici, virksomheden står overfor. Derfor er det hensigtsmæssigt, at de(n) sikkerhedsansvarlige rapporterer direkte til direktionen og er ledet i deres arbejde af direktionen. Man kan også vælge at lade de(n) sikkerhedsansvarlige rapportere til bestyrelsen, men det gør direktionens ansvar mindre tydeligt. Det kan ikke anbefales, at lade den sikkerhedsansvarlige rapportere til funktionschefer nede i organisationen, som i teorien kunne lede den sikkerhedsansvarlige til forkerte prioriteringer eller undertrykke ubehagelige sikkerhedsvurderinger. Såfremt der er udpeget flere sikkerhedsansvarlige, skal det sikres, at disse samarbejder på tværs i organisationen, så sikkerhedsinitiativerne kommer til at hænge sammen. 3. Ledelsen skal foranledige, at der udarbejdes og godkendes en sikkerhedspolitik med tilhørende uddybende retningslinjer for procedurer, at arbejdet er baseret på en risikoanalyse, og at der er implementeret kontroller, som løbende kan give ledelsen overblik over sikkerhedssituationen Ledelsen skal få udarbejdet og godkende en overordnet sikkerhedspolitik, som viser, hvordan sikkerhed understøtter virksomhedens forretning. Sikkerhedspolitikken skal godkendes af ledelsen, og ledelsen skal synligt i organisationen give sin opbakning til sikkerhedsarbejdet. Ledelsen skal også huske, at sikkerhedspolitikken også gælder for ledelsen selv. Ledelsen har typisk adgang til 7

8 nogle af virksomhedens absolut mest følsomme data, som, hvis de falder i de forkerte hænder, kan true virksomhedens eksistens. Omgangen med disse data betyder, at ledelsen er en særligt interessant målgruppe for de kriminelle 13. Når sikkerhedspolitikken er på plads, vil de sikkerhedsansvarlige udarbejde relevante uddybende retningslinjer, som understøtter politikken i praksis. Disse retningslinjer kan betragtes som instruktioner til arbejdets udførelse, og ledelsen bør derfor også godkende disse retningslinjer. Ledelsen skal sørge for, at der udarbejdes en risikoanalyse, som giver et overblik over hvilke risici virksomheden står overfor, hvilke beskyttelsesforanstaltninger der er taget, og hvilken restrisiko virksomheden dermed står tilbage med. Endelig bør ledelsen sørge for, at der opstilles konkrete kontroller, som viser, at virksomhedens sikkerhed løbende er på plads. Dette kan ske ved at ledelsen kvartalsvist får rapportering om virksomhedens sikkerhedstilstand på baggrund af disse kontroller. Politik, retningslinjer, risikoanalyse og kontroller bør tage udgangspunkt i en sikkerhedsstandard for, at man kan være sikker på, at alle aspekter af sikkerhed er dækket ind. 4. Sikre at regulering - herunder brancheregulering og best practises er overholdt Lovgivning og anden regulering er en særlig faktor, som ledelsen bør sikre, at der er styr på. Overtrædelse af loven kan resultere i straf og vil under alle omstændigheder skade virksomhedens renomme. Flere forskellige love er relateret til informationssikkerhed - bl.a. straffeloven og persondataloven. Ledelsen bør sikre, at disse love overholdes. 5. Sikre at de produkter, der evt. produceres hos virksomheden selv, er sikre Virksomhedens ledelse er ansvarlig for de produkter, der produceres på og sælges af virksomheden. Det er vigtigt, at ledelsen er opmærksom på it produktansvar - dels for ikke at bidrage til at noget går galt hos en kunde, hvor produktet bruges, og dels for af hensyn til aktionærerne at risikominimere på økonomiske fluktuationer i virksomhedens omsætning som følge af dårlig omtale. Ledelsen bør derfor sikre, at der er brugt sikre komponenter i sine produkter, og at produktet er testet grundigt mod fjendtlige angreb. Herunder bør ledelsen have særlig fokus på valg af underleverandører og på de komponenter der her indkøbes til virksomhedens produkter. Spørgsmål? Såfremt ledelsen har brug for hjælp til at komme i gang med arbejdet, kan de øvrige dele af denne serie af vejledninger om produkt- og produktionssikkerhed konsulteres, ledelsen kan læse nogle af DI's øvrige sikkerhedsvejledninger eller ledelsen kan kontakte DI med henblik på at få hjælp eller henvisning til eksperter, der kan hjælpe i en konkret situation. 13 Vi har i de senere år set eksempler på, at man forsøger at målrette angreb mod medlemmerne af direktionen. Lad derfor være med at presse på for at få særligt udstyr, lettere logon eller installation af særlige programmer. 8