Hvorfor jeg har valgt OT Sikkerhed som valgfag på 2. semester

I mit kommende 2. semester på IT Sikkerhed-uddannelsen har jeg taget en meget bevidst beslutning om at specialisere mig yderligere ved at vælge OT Sikkerhed (Operational Technology Security) som mit primære valgfag.

Når man læser IT-sikkerhed, falder det ofte naturligt at fokusere på IT (Information Technology) – altså beskyttelsen af data, servere, netværk og software, hvor de primære konsekvenser ved et angreb er datatab eller brud på persondatasikkerhed. Men på operationsgulvet og ude i samfundets kritiske infrastruktur findes en helt anden teknologiverden, nemlig OT.

Hvad er OT, og hvorfor er det kritisk?

Operational Technology adskiller sig markant fra traditionel IT. OT er den hardware og software, der specifikt overvåger eller styrer fysiske processer, enheder og infrastruktur. Det er systemerne, der styrer:

• Elnettet og atomkraftværker
• Vandforsyningernes rensningsanlæg
• Produktionslinjerne på fabrikker (f.eks. medicin-fremstilling)
• Trafiklys, tognet og maritime fragtskibe

Når et klassisk IT-miljø bliver hacket, mister man data (C-I-A: Fortrolighed). Når et OT-netværk (SCADA/ICS) bliver hacket, kan filtrene på et vandværk stoppe, elektriciteten i en hel by kan lukke ned, eller en robotarm på en fabrik kan operere uden for sine sikkerhedsmargener. I OT handler sikkerhed frem for alt om Safety og Availability – altså at beskytte menneskeliv og holde den fysiske verden kørende.

Det Voksende Trusselsbillede i OT

Traditionelt var OT-systemer “air-gapped” – isoleret fuldstændig fra det internet-bundne IT-netværk. Men med Industri 4.0 og fremmarchen af Internet of Things (IoT) bliver disse vitale systemer hastigt koblet på skyen for effektivisering og fjernovervågning. Det har åbnet en enorm angrebsflade, som hackerne i høj grad har opdaget.

Mit valg af valgfag bunder netop i denne alarmerende udvikling. Seneste rapportering tegner et dystert billede:

• Ransomware er eksploderet i produktionen: Førende cybersikkerhedsfirmaer for OT rapporterer en massiv stigning af ransomware målrettet mod industrielle organisationer. Trusselsaktører ved, at fabrikanter taber svimlende summer for hver time et samlebånd står stille, hvilket presser dem til at betale løsesummen hurtigere.
• Avancerede statssponserede grupper (APTs): Hvor script kiddies går efter lette IT-penge, går cybermilitære enheder efter OT. Analytikere (som bl.a. Dragos) sporer nu dusinvis af nye, dedikerede hacking-grupper, som direkte kortlægger forsyningsnetværk. Disse aktører udfører ikke nødvendigvis destruktive angreb her og nu, men de “graver sig ned” for at kunne slukke for samfundskritisk infrastruktur i tilfælde af storpolitiske konflikter.
• Manglende synlighed (Visibility): En kæmpe udfordring, som bekræfter behovet for specialister, er dvaletiden (“dwell time”). Gennemsnittet for hvor længe en angriber formår at sidde ubemærket i et OT-miljø, før de bliver opdaget, er skræmmende højt (ofte adskillige uger), simpelthen fordi organisationer mangler den rette netværksmonitorering af deres produktionsudstyr.

Der er i dag en skrigende mangel på hybride profiler, som forstår både IT-netværk (TCP/IP, Firewalls) og de mere obskure OT-protokoller (Modbus, DNP3, BACnet). Det er netop det hul, jeg ønsker at dygtiggøre mig til at fylde ved at tage OT-sikkerhed som valgfag.

Kilder

• Dragos OT Cybersecurity Year in Review - Industriførende rapport om trusselsaktører og sårbarheder i ICS/OT.
• SANS Institute: Industrial Control Systems Security - Verdens førende ressource for træning og forskning i ICS/OT-sikkerhed.
• CISA: Cybersecurity for Industrial Control Systems - Officielle guidelines og alerts fra det amerikanske agentur for infrastruktur-sikkerhed.
• ICS-CERT Advisories (CISA) - CISA’s officielle advarselsside for kendte sårbarheder i industrielle kontrolsystemer.