OT-sikkerhed flyver under radaren i mange virksomheder
OT-sikkerhed handler ikke længere kun om at beskytte maskiner og industrielle processer. Det handler også om at sikre virksomheders og samfundets fundamentale funktioner i en stadig mere digital og sammenkoblet verden. Men der er store mangler i flertallet af danske produktions- og logistiktunge virksomheder - viser en mini-undersøgelse fra Scm.dk & Produktion.dk Panelet.
OT-sikkerhed er for mange virksomheder langt hen ad vejen en by langt ude i junglen i Fransk Guyana. Området flyver simpelthen under radaren, og det er der mange gode grunde til. Det viser en miniundersøgelse i Scm.dk & Produktion.dk Panelet, hvor der er spurgt ind til OT-praksis. Foto: 123rf.com
Fabrikker og logistikcentre er smækfulde af operationel teknologi (OT), der bliver mere og mere avanceret. Hvis OT ikke virker, så går fabriks- eller logistikcenterdriften i stå, og det kan hurtigt blive rigtigt dyrt i form af kriseindsats, tabt omsætning, tabte kunder og så videre. Sker det over en bred kam hos mange virksomheder, kan det også hurtigt blive både dyrt og kritisk for vitale samfundsfunktioner. Og det er ikke en hypotetisk mulighed, mængden og alvorligheden i cyberangreb stiger kraftigt i disse år. Angrebene er både geopolitisk motiverede og regulær it-kriminalitet – og angriberne bliver hastigt dygtigere.
OT-sikkerhed er lige så vigtigt som almindelig it-sikkerhed. Men sådan bliver det bare ikke behandlet derude på fabriks- og logistikgulvene. OT-sikkerhed er for mange virksomheder langt hen ad vejen en by langt ude i junglen i Fransk Guyana. Området flyver simpelthen under radaren, og det er der mange gode grunde til. Det viser en miniundersøgelse i Scm.dk & Produktion.dk Panelet, hvor der er spurgt ind til OT-praksis.
Men hvad er OT? Respondenterne i undersøgelsen gør særligt brug af PLC-styrede produktionslinjer, batchstyringssystemer, industrielle HMI-paneler samt CNC-maskiner og i mindre grad industrirobotter, sensorer, avancerede IoT-løsninger samt predictive maintenance-systemer inden for produktion. På lager- og logistiksiden gør respondenterne særlig brug af automatiske palleteringsrobotter, transportbånd, AS/RS, vægt- og dimensioneringsscannere, AGV’er samt kølekædeovervågning. De gør også brug – men i mindre grad – af automatiske sorteringsanlæg, pick-by-light, RFID-porte og scannere, temperatur- og miljøsensorer samt dock management-systemer.
1 ud af 4 har strategi
Undersøgelsen viser, at kun en fjerdedel arbejder ud fra en formel strategi og governance for OT-sikkerhed. Den viser også, at graden af bevidsthed er relativ lav med en score på 2,47 på en Likert-skala fra 0 til 5, hvor 5 er højeste score. Det er noget, der kører som en mere eller mindre usynlig del af driften og påkalder sig begrænset opmærksomhed (så længe, der ikke sker driftsforstyrrelser).
Forfatterne – professor Jan Stentoft, SDU og administrerende direktør Jørgen Hartig, SecuriOT - bag undersøgelsen kommenterer: ”En mulig forklaring er, at OT-sikkerhed i mange virksomheder fortsat betragtes som et teknisk eller driftsmæssigt ansvarsområde frem for et strategisk ledelsesområde. Fokus har traditionelt været rettet mod stabil drift, oppetid og produktionseffektivitet, mens systematisk sikkerhedsstyring af OT-miljøer først i de senere år er blevet et større fokusområde”.
Kun 9 procent har oplevet sikkerhedsbrud
En meget menneskelig forklaring på den lave opmærksomhed på OT-sikkerhed kunne være, at kun 9 procent af respondenterne rent faktisk har oplevet en sikkerhedshændelse i OT-miljøet. Andre undersøgelser inden for it-sikkerhed viser, at de virksomheder, der har oplevet sikkerhedsbrister, meget hurtigt får langt mere opmærksomhed på området. Forfatterne bag undersøgelsen formulerer: ”Man kan frygte, at det samme mønster gør sig gældende for OT-sikkerhed”.
Gamle systemer bliver angivet som en udfordring for OT-sikkerhed af 43 procent. 71 procent svarer også, at OT-systemer og administrative IT-systemer ikke er adskilte eller kun delvist adskilte. Det åbner op for, at der kan ske uønskede spredninger af risici mellem systemdomænerne.
Læs også: Forsvarsvirksomhed skalerer produktion i takt med global efterspørgsel
66 procent angiver, at de sjældent eller aldrig foretage risikovurderinger af OT-systemer. Det åbner op for relative høje risici, og det peger ifølge undersøgelsens forfattere på behov for større ledelsesmæssigt fokus på OT-relateret risikostyring. Det bliver understøttet af, at 64 procent ikke har nogen OT-beredskabsplan.
OT-sikkerheden er lav
Undersøgelsen viser, at OT-teknologier udgør en vital del af moderne produktions- og logistikdrift, men at sikkerheden halter gevaldigt. Det halter med bevidsthed, organisatorisk ansvar, ressourcer, kompetencer, systemopgraderinger, netværkssegmentering, risikovurderinger og beredskabsplaner. Mange har tager de første spænde trin mod en mere struktureret styring, og mange har etableret overblik over OT-systemlandskabet og tilhørende dokumentation. Men det er stadig på et umodent og utilstrækkeligt niveau, og der er lang vej endnu.
Som forfatterne til undersøgelsen formulerer det: ”Samlet set tegner undersøgelsen et billede af virksomheder, som i stigende grad er afhængige af OT-systemer for at understøtte produktion og logistik, men hvor den strategiske styring, risikohåndtering og organisatoriske forankring endnu ikke er fuldt udviklet. Der synes derfor at være et betydeligt potentiale for at styrke ledelsesmæssigt fokus, dokumentation, risikostyring og beredskabsarbejde, så OT-området i højere grad understøttes som et forretningskritisk og strategisk aktiv”.
Find den fulde rapport her.
