I industrivirksomhederne har IT og OT traditionelt været adskilt og ikke samarbejdet. Det har skabt forskellige kulturer og sikkerhedsløsninger. For at kunne skabe et sikkert miljø, der både inkluderer IT og OT, må man bygge bro over de kulturelle og tekniske forskelle. Med den forestående industri 4.0 er det noget af en hastesag.
Fremstillingsindustrien og andre procesbaserede virksomheder med avancerede maskiner gennemgår netop nu en transformation, som man plejer at sammenfatte med begrebet industri 4.0. Det handler for en stor dels vedkommende om at anvende avancerede, smarte og stadig mere forbundne maskiner. Og bagved ligger der ny og avanceret software.
Det kan man kalde ”IT i nye klæder” eller, ifølge den etablerede fagterminologi, ”OT” (Operational Technology eller Operations Technology).
Det indebærer i mange virksomheder, at IT-afdelingens ansvarsområde udvides til ”gulvet”, hvilket ikke går helt smertefrit. Det betyder ikke mindst store udfordringer, når det kommer til IT-sikkerhed. Det er noget af det, man arbejder med hos Fortinet:
– Sikkerhedstilgangen er ofte forskellig for dem, der arbejder med traditionel IT, og dem, der arbejder med OT. Disse grupper har indtil nu ikke haft så meget kontakt med hinanden, fortæller Jonas Thulin, chef hos Fortinet i Danmark.
Kort fortalt handler sikkerhedstilgangen for traditionel IT i høj grad om at sørge for, at hemmelige data forbliver hemmelige, at beskytte individers integritet og i mindre grad om at garantere tilgængelighed. For dem, der arbejder med OT, ligger fokus først og fremmest på tilgængeligheden. Hvert minut, en virksomhed i fremstillingsindustrien står stille, er et dyrt minut.
Det giver ikke bare de to grupper vanskeligheder med at kommunikere med hinanden; i værste fald opstår der deciderede konflikter. Med risiko for, at IT-sikkerheden ikke lever op til standarden. Der er med andre ord i høj grad tale om et kulturelt problem.
Hvordan løser man denne konflikt? Findes der argumenter, som alle kan bakke op om?
– Det handler om kontinuitet i virksomheden, for den påvirker det økonomiske resultat for virksomheden, siger Brian Hayashi Sørensen, sikkerhedskonsulent hos Fortinet i Danmark.
På det mere konkrete plan handler det om, at forskellige dele af en virksomhed kræver forskellige tekniske løsninger. Fortinet laver sine egne sikkerhedsløsninger, både med hardware og software, og indleder typisk et projekt med at kortlægge processerne hos kunden.
– De tekniske miljøer skal adskilles for traditionel IT og OT, ved at man opbygger separate netværk, forklarer Brian Hayashi Sørensen, men samtidigt skal kommunikationen mellem dem understøttes.
Det viser sig ofte, at der kræves mest arbejde med OT-miljøet. Udstyret, der findes her, har traditionelt ikke været tilsluttet internettet, men bliver det i stadig højere grad, hvilket naturligt nok resulterer i nye sikkerhedsudfordringer.
I baggrunden ligger hele tiden de forskellige mål for IT- og OT-afdelingerne: IT vil begrænse adgangen til ressourcer, mens OT ønsker et så åbent miljø som muligt for nemmere at kunne garantere tilgængeligheden. I den malstrøm er et af målene, at OT-miljøet skal være lige så sikkert som IT-miljøet.
I mange tilfælde indebærer et fokus på OT-miljøet, at IT-afdelingen skal gøre en stor indsats for at gøre sikker OT til en del af den overordnede IT-strategi. Det kan også indebære, at der bliver brug for uddannelse af IT-personalet.
Når forskellige grupper i virksomheden, som ikke har haft så meget at gøre med hinanden, bliver klogere på de andres arbejde og begynder at kommunikere, kommer man nærmere en mere sikker hverdag.
Det er vigtigt så hurtigt som muligt at begynde at arbejde for at sikre alle tekniske miljøer i begge miljøer. Og det er vigtigt at vælge den rigtige partner med den ekspertise, der passer til din virksomhed. Stadig flere OT-miljøer lever med meget komplicerede IT-miljøer, og det er vigtigt at tage styringen.