R-22—Side 20

R-22Hardware – den oversete sikkerhedstrussel Alle er efterhånden opmærksomme på truslerne mod vores it-systemer. Det handler essentielt om angreb på svagheder i software. Men hvad med hardwaren? Sikkerhed relateret til PLC’er, ICS’er, industrirobotter, pumper osv. er sjældent i fokus - og ofte består sikkerheden blot af et standard-password. Formentlig fordi hardware traditionelt har været adskilt fra it-systemerne i øvrigt. Men efterhånden som hardware kobles sammen med it-systemer, er der dog god grund til at ændre den tankegang Foto: www.freepik.com. AF / TIM NIELSEN Advokat & partner i Dahl Advokatpartner- selskab 20 Hacking, ransomware, cyberangreb osv. Ja, listen over trusler mod it-systemer er lang. Hvor der er software, er der svaghed. Hvor softwaren er koblet på et netværk, er svagheden tilgængelig. Særligt hvis netværket er koblet på internettet - hvilket de fleste jo er i dag. Sikring af it-systemer får derfor tiltagende fokus. Der er få tilbage, som ikke ved, at it-sikkerhed er en prioritet. Desværre gives samme prioritet ikke til sikring af hardware - og dermed virksomhedens produktionsap- parater, populært kaldet OT-sikkerhed (Operationel Teknologi). Hardware er i dag softwarestyret. Både i form af firmwaren indbygget i selve hardwaren. Men også styresystemer anvendt af operatøren. Hardware er samtidig netværksforbundet. Sagt på en anden måde: Hardware er sårbar på samme måde som it-systemer i øvrigt. Ifølge Dahl Advokatpartnerselskab bør OT-sikkerhed - sikringen af hardware - derfor have samme prioritet og opmærksomhed som it-sikkerhed. Og netop OT-sik- kerhed er et af Dahls fokusområder, når de deltager på R-22. HVAD ER PROBLEMET EGENTLIG? Sikkerhed handler om at beskytte mod svagheder. Svagheder i hardware kan udnyttes direkte i forhold til selve hardwaren, eksempelvis til at slukke for svejse robotter eller på anden måde stoppe produktionen. Den kan også udnyttes til at skade produktionen på an- den måde, eksempelvis ved at overbelaste en maskine eller få den til at skabe fejl i produkter - for eksempel fødevarer - som i sidste ende påvirker slutbrugeren. Svagheden kan også udnyttes indirekte som en »bag- dør« ind i virksomhedens it-systemer. Det kan eksem- pelvis være ved at omgå en firewall via en labelprinter, hvorved der åbnes op for adgang til forretningshem- melige produktionsdata. Derved kan svaghederne i hardware åbne for angreb på virksomheders øvrige it-systemer såsom servere, økonomisystemer osv. Mere avancerede »supply chain hacks« kan også ske gennem hardware - eksempelvis ved at inficere softwaren på en hardwarekomponent, så der senere kan opnås adgang til maskinen, som komponenten integreres i. Hardware er med andre ord i dag software - og skal der- for beskyttes på samme måde. Marts 2022 23.–25. marts 2022 / Odense, DKSide 19Side 21