Hoppa till huvudinnehåll

Känner du alla i ditt serverrum?

06 Oct 2016

Då trenden är bruten och IT och OT allt ivrigare kopplas samman med alla de fördelar som det innebär så ökar, som bekant, även riskerna.

Vi skyddar oss med klassiska komponenter och bygger vår infrastruktur med traditionella byggstenar. Tidigare räckte ofta detta tillsammans med att det fanns ett naturligt ”airgap” mellan IT och OT. Nu är gapet nästan borta och begreppet OT nära likaså.

IT och OT är nära nog samma nät där det förhoppningsvis finns en zonindelning med tydliga och kontrollerade gränssnitt.

Skydd av samhällskritiska system

Att det finns långa fingrar som från de större nationernas olika underrättelsetjänster i hög grad försöker påverka det egna landets tillverkare att skapa okända bakdörrar i säkerhetsprodukter, råder det ingen tvekan om. Hur väl de lyckats med sina intentioner går det däremot bara att spekulera om.

Det finns många exempel på detta och det vore naivt att anta att det inte skulle kunna finnas funktioner inbyggda i våra vanligaste komponenter som ger dem möjlighet att avlyssna och kontrollera trafik. De länder som vi ofta skaffar utrustningar ifrån har underrättelsetjänster med mycket starkt inflytande.

Beroende på hur samhällskritiskt ditt system är så ökar alltså anledningen att fundera på om det räcker att skydda sig med klassiska komponenter som anskaffats via traditionella leverantörer från de mest namnkunniga tillverkarna.

Det tidigare ”airgappet” försvårade betydligt möjligheterna att få insyn i våra produktionsmiljöer och även möjligheterna att påverka dataflödena i dessa.

Att konstruera en fungerande infrastruktur utan att anskaffa den här typen av produkter är självfallet väldigt svårt då det ligger i sin natur att det är omöjligt att veta vilka komponenter som kommer med objudna gäster.

Behov av gränsnitt mellan IT och OT

Därför är det viktigt att vi tar tillbaka delar av vårt tidigare ”airgap”, det behöver konstrueras tydligare och starkare gränssnitt mellan IT och OT. I dessa behöver det vara tydligt definierat och kontrollerat vilka flöden som kan förekomma och vad dessa får innehålla.

För att göra detta och kunna lita på gränssnittet behövs produkter med hög assurans där det går att säkerställa att det inte följer med någon okänd komponent.

Med ett sådant gränssnitt har vi inte bara skaffat oss kontroll över vad som kan flöda mellan zonerna, vi har även gjort det mycket svårt för eventuella objudna gäster som redan finns i vår produktionsmiljö att kommunicera med omvärlden. De har därmed gjorts tandlösa.

Gästskribent: Peter Österberg, SCADA-säkerhetsexpert på HexBit AB www.hexbit.se