Arla efter Stuxnet-skræk: It-sikkerhed skal væk fra it-afdelingen

Da Stuxnet-malwaren begyndte at brede sig, fik it-sikkerhedschefen hos Arla travlt. Hvis Stuxnet kunne stoppe produktionen, ville konsekvenserne være enorme.

I dag er malwaren Stuxnet blevet gennemskuet og inddæmmet. Målet var centrifuger i det iranske atomprogram, og afsenderen af det højst avancerede cybervåben var efter alt at dømme USA og Israel.

Men i sommeren 2010, da Stuxnet hurtigt bredte sig og ramte store firmaer som Mærsk, var der stor mystik om truslen. Og hos Arla var man alvorligt bange for, om Stuxnet ville finde vej til koncernens mange mejerier og skabe ravage i de proces-systemer, som ormen var rettet mod. Det skete heldigvis ikke.

»PLC-systemerne er vores mest kritiske it-system. Og vi har tusindvis af WinCC-systemer, der styrer alt fra pasteuriseringstemperatur, til robotter og pakkelinjer,« forklarede Arlas it-sikkerhedschef, Jens Roed Andersen, til Dansk IT's konference om it-sikkerhed.

Hvad Arla havde af tekniske modtræk for at beskytte industrisystemerne, skrev Version2 om i oktober. Men processen satte gang i nogle tanker om, at der skulle meget mere end teknik til at dæmme op for problemet med målrettet malware.

Læs også: Her er Danish Crowns og Arlas Stuxnet-ormekur

For det første må ledelsen indse, at her er en reel trussel, som kræver handling i hele organisationen ? ikke bare i it-afdelingen.

»Dem, der sidder på pengekassen i toppen og beslutter, om vi skal bruge penge på at patche eller købe nye servere, bliver nødt til at forstå, hvad det her drejer sig om. Vi må have opgraderet ledelsens viden om disse trusler,« sagde Jens Roed Andersen.

Gabet mellem top og bund skal lukkes

I den henseende var Stuxnet lidt af et scoop, for nu kunne selv direktørerne se, at der var en reel trussel mod produktionsapparatet.

»Vores udfordring er at få lukket gabet mellem dem, der laver noget - håndværkerene, mejerister - og så de strategisk placerede i toppen. Det kommer til at tage tid. Men jeg tror ikke, vi har så lang tid, før der kommer en ny Stuxnet,« sagde han.

Nu er koden til Stuxnet nemlig ude i det fri, klar til at andre kan kopiere metoden og skabe nye it-trusler mod produktionsanlæg.

»Meget af koden var ikke krypteret eller kompileret, så det er nemt at se, hvordan den virker. Dem, der stod bag, var åbenbart ikke så bange for at blive opdaget,« forklarede han efter oplægget, til Version2, med henvisning til de formodede parter bag Stuxnet: efterretningstjenester i USA og Israel.

It-sikkerhed må ikke ligge under it-chefen
Og skal man beskytte sig mod en 'Stuxnet 2', skal hele organisationen stramme op for sikkerhedsniveauet. Det hjælper for eksempel ikke, at it-sikkerhedsfolkene fastsætter en politik, som ikke bliver håndhævet af resten af firmaet.

»Der skal være konsekvenser, hvis man ikke følger sikkerhedspolitikken. Det er derfor, at direktøren skal kende til problemet og lægge sin vægt bag. Men de fleste direktører skyder it-sikkerhed væk som noget teknisk, som it-afdelingen må klare,« vurderede Jens Roed Andersen.

Faktisk bør it-sikkerhed slet ikke høre under it-afdelingen, mener han, men skal i stedet have en mere selvstændig plads i organisationen.

»80 procent af it-sikkerhedscheferne rundt omkring refererer til it-chefen. Men det dur ikke. Kan den sikkerhedsansvarlige så gå ud og kritisere it-løsningerne i firmaet? Nej, det er en uhellig alliance,« forklarede han.

Og selvom han ikke mener, at vejen frem er opdragelse og uddannelse af brugerne, også kendt som awareness, skal der dog være en vis forståelse for, hvornår man skal tænke sikkerhed ind i en løsning.

For eksempel var en afdeling i Arla gået i gang med at lægge et it-system ud i skyen. Men uden at analysere sikkerheden i det.

»Jeg spurgte 'hvilke kontroller har I for at sikre, at det kun er de rigtige, der kan logge ind?' Det vidste de ikke, man skulle have kontrol af,« lød det fra it-sikkerhedschefen.

Da Stuxnet først dukkede op, var mange sikkerhedsfolk, inklusiv Jens Roed Andersen, forundrede. Der var nemlig ingen umiddelbar 'payload', altså den del, der skulle give bagmændene en økonomisk gevinst.

Men har hackerne først fået våben i arsenalet, der kan lamme Arlas produktion, er det ikke svært at tænke sig til, hvordan fremtidens trussel kan lyde: En kidnapning af produktionsapparatet.

»Vi er meget afhængige af vores teknologi i produktionen, fordi vi er en ægte 24/7-forretning og arbejder med friske fødevarer, som skal behandles med det samme,« forklarede han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Deleted User

For en god ordens skyld: Arla har ikke været ramt af Stuxnet! Men firmaet tog truslen meget seriøst, da man brugte industrisystemer af samme slags, som Stuxnet gik efter, og iværksatte derfor en del modforanstaltninger.

vh.

Jesper Version2

  • 0
  • 0
#3 Lenny Hansson

Hej Jeg må da sige at Jens Roed Andersen har så evig ret når han siger at IT-Sikkerhed ikke skal ligge i IT-Afdelingen. Det tror jeg på kunne gavne mange virksomheder. Jeg har selv oplevet for tit at man ser IT-Chefer der virkelig ikke aner hvad IT-Sikkerhed er noget.

\Lenny

  • 0
  • 0
#4 Jan Sommer

Jens Roed Andersen er på sporet, og har ret. Som jeg ser det svarer til at Regnskabsrevisorene er ansat under Firmaernes regnskabsafdelinger. IT-Sikkerhedsovervågning ligger sikkert bedst eksternt, eller i en udskilt, intern Quality assurance (QA) afdeling, væk fra IT-afdelingen

  • 0
  • 0
#5 Mette Nikander

Glædeligt at konstatere at større virksomheder som Arla,efterhånden har fået et ændret og mere alvorligt syn på cybekriminalitet og absolut et godt forslag fra Jens Roed Andersens side, at IT sikkerhedsansvaret ikke skal være placeret under IT chefen eller i det hele taget i IT afdelingerne. Det er helt korrekt, at det er problemstillinger der bør involvere topledelsen. Som sikkerhedsrådgivere ser vi ofte i virksomheder, at IT afdelingen end ikke har kendskab eller nok indsigt til hvad topledelsen anser for mest forretningskritisk ved tab af data og hvilke data der er mest kritiske og behøver beskyttelse.Topledelsen forstår tilgengæld ofte ikke trusselsbilledet og allokerer derfor ikke midler og ressourcer nok til at problemerne kan hindres optimalt, til stor frustration for de ansvarlige IT sikkerhedsfolk.Mere dialog og mere optimale processer er nødvendige.

Så med andre ord dejligt med et frisk pust fra Arla,- lad os ikke håbe at nogen vil gøre mælken sur for de gode tiltag:-)

Med venlig hilsen Mette Nikander/C-cure

  • 0
  • 0
Log ind eller Opret konto for at kommentere