Kaffemaskine stopper virksomhed

Kaffemaskine stopper virksomhed

IoT-enheder er fantastiske men også problemfyldte, hvis sikkerheden ikke er på plads, kan det få katastrofale konsekvenser

Af Lars Bennetzen

De fleste produktionsvirksomheder har fuldkomment styr på deres produktionsapparat. Det er designet til at være driftssikkert, for de fleste virksomheder kan ikke tåle, at deres produktionsapparat er nede i bare få minutter – det koster alt for mange penge.

- Virksomhederne har tænkt driftssikkerheden ind, men de har som regel ikke tænkt på it-sikkerheden, forklarer Leif Jensen, General Manager Nordic & Baltic for Kaspersky Lab.

Det er dog ikke så underligt, at produktionsnetværket traditionelt set ikke har den store it-sikkerhed. Det er normalt et totalt isoleret netværk uden adgang til, eller kontakt med omverdenen, og it-sikkerhed har historisk set aldrig været noget, der har spillet en rolle her.

Når så pludselig forbundne enheder gør sit indtog på arbejdspladsen, så introduceres der dog en fejlkilde, som virksomheden ofte ikke har spekuleret på.

- IoT-enheder er forbundet til internettet i et eller andet omfang, og det betyder også, at den er udsat for de samme trusler som din pc, siger Leif Jensen.

Det betyder, at det er vigtigt at adskille produktionsnetværket fra resten af virksomheden. Generelt så skal følsomme netværk isoleres, så de ikke kan nås fra den del af netværket, der har internetadgang.

Problemer trods påpasselighed

Men nogle gange kan man gøre alt rigtigt, og så går det alligevel galt, og det var tilfældet for en produktionsvirksomhed, som Kaspersky Lab lige har hjulpet.

- I dette tilfælde havde de faktisk gjort alt rigtigt. Deres produktionsnetværk var fysisk adskilt fra det netværk, der havde internetadgang, så der burde ikke være problemer, fortæller Leif Jensen.

Men problemerne dukkede alligevel op, for der blev købt en kaffemaskine, der kunne kobles til lokalnetværket. Derved kunne den styres og vedligeholdes af folk på det netværk, så langt så godt.

- Men en dag kom der en servicetekniker og konstaterede, at maskinen jo ikke var forbundet til internettet. Han spurgte, om det var muligt at koble den på det trådløse netværk og fik login og password dertil af en medarbejder. Snart var maskinen forbundet til det store internet og kunne nu selv bestille kaffe og service, husker Leif Jensen.

Men en anden ting var sket, for ved at koble kaffemaskinen til det lokale WiFi og dermed til det store internet, blev der også skabt en bro mellem internettet og produktionsnetværket. Kaffemaskinen blev efterfølgende ramt af et stykke malware, og derfra sprang den malware ind på produktionsnetværket og inficerede de pc’er, der var koblet til det.

- Masser af maskiner blev inficeret med ransomware og produktionsvirksomheden lukkede ned i en lang periode. Det kostede ikke alene tid, men også masser af penge, fortæller Leif Jensen.

Manglende omtanke

Når det gik galt for den virksomhed i eksemplet, så var det, fordi folk ikke vidste, hvad de havde med at gøre. Medarbejderne var bare ikke godt nok uddannede til at håndtere de nye enheder som en forbunden kaffemaskine.

Det er et typisk scenarie, vi har her. Du har to adskilte systemer (produktion og drift), et helt normalt setup. Men fordi der ikke er viden nok hos medarbejderne eller en klar procedure for, hvordan man klarer disse ting, så kan det ske, at ting som denne kaffemaskine kan komme på nettet og samtidig være forbundet til produktionsnettet, noget der aldrig bør ske, pointerer Leif Jensen.

Faktisk er det et lysende eksempel på, hvad problemet er. Der er ikke tænkt it-sikkerhed ind fra starten af. I dette tilfælde er det oprindelige system opfundet, før it-sikkerhed var et egentligt problem.

- Men scenariet er stadig det samme. Vi har to adskilte systemer, produktion og drift, et helt normalt setup, forklarer Leif Jensen og fortsætter:

- Men fordi der ikke er viden nok hos medarbejderne eller en klart defineret procedure for, hvordan man håndterer disse ting, så kan det ske, at ting som denne kaffemaskine kan komme på nettet og samtidig være forbundet til produktionsnettet.

I dette tilfælde var det en forbunden kaffemaskine, der dannede bro mellem et vigtigt produktionsnet og internettet, men nogle gange er det langt mere enkle fejl, der sætter en virksomhed i en sårbar situation.

- Jeg har oplevet, at medarbejdere får lov til at tage deres arbejdscomputere med ind i lukkede netværk og slutte dem til. Problemet er, at disse computere jo sagtens kan være inficerede med malware, der så smutter videre ind på produktionsnetværket, forklarer Leif Jensen.

Vi stoler på hinanden

Problemet er, mener Leif Jensen, at vi har en kultur i Danmark, hvor vi tror det bedste om hinanden. Det kan vi også sagtens gøre her i vores lille lukkede land, men internettet kender ingen grænser.

- Når det kommer til it-sikkerhed, så skal vi tro det værste om folk, pointerer Leif Jensen.

Men Leif Jensen er hurtig til at tage en del af skylden på egne skuldre, eller rettere på it-sikkerhedsbranchens skuldre.

- Mange tror, at advarsler om it-trusler er overdrevet, og det er nok lidt vores egen skyld. Vi var meget tidligt ude og advare, og måske har mange følt, at vi har råbt ulv for ofte, siger Leif Jensen.

It-sikkerhedsbranchen har gjort it-trusler alt for besværlige og komplicerede at forstå. Der er en forventning om, at almindelige brugere og folk forstår, hvad ting som ransomware og bot-net er, men det er langt fra tilfældet.

- Vi har ikke været gode nok til at formidle informationen, så folk kan forstå det, mener Leif Jensen.

Han mener ikke, at folk gør noget i ond vilje, men at folk generelt ikke har den fornødne viden til at forholde sig til dagens it-trusler.

Han påpeger, at IoT ikke alene er kommet for at blive, men at det også er en god ting.

- Men det er også en god adgangsvej for it-trusler, og derfor er det vigtigt, at virksomheder forstår det, adskiller følsomme netværk fra internettet og ikke mindst uddanner folk til at forstå alvoren i situationen, siger Leif Jensen.

I dag er stort set alle IoT-enheder sårbare overfor trusler, ikke mindst de billige, der kommer fra lande som Kina, hvor sikkerheden ikke har højeste prioritet.

- Derfor så jeg gerne en mærkningsordning af IoT-enheder. En ordning der viste hvilket sikkerhedsniveau, de enkelte enheder har, slutter Leif Jensen.