Sikkerhet fra første stund

Som produktsikkerhetsansvarlig er jeg en del av et team med et ganske stort ansvar. Cybersikkerhet har lenge vært et sentralt tema for prosessindustrien, og det blir bare viktigere og viktigere for hver dag som går. Smarte sensorer gir store fordeler – de muliggjør tilkobling av prosessanlegg helt ned til det laveste feltnivået, slik at anleggsoperatører får bedre oversikt over prosessene sine og dermed bredere muligheter for optimalisering. Men slike fremskritt har også en negativ side, ved at de utgjør en større angrepsflate for cyberkriminelle, som blir stadig mer utspekulerte. Det er derfor vi har eksperter på cybersikkerhet – for å sikre at vi gir kundene våre best mulig sikkerhet.

Dette gjelder også sensorer, fordi alle sensorer med et digitalt grensesnitt utgjør et potensielt angrepspunkt for cyberangrep. For å forhindre slike angrep følger vi prinsippet om «sikkerhet fra første stund» – det vil si at vi i Endress+Hauser bygger sikkerhet inn i programvaren og maskinvaren vår helt fra den første utviklingsfasen, og opprettholder denne sikkerheten gjennom hele produktets livssyklus. I tillegg leverer vi kontinuerlig oppdateringer av programvare og fastvare for å sikre at produktene våre alltid har den aller nyeste beskyttelsen.

Vår strategi, helt fra produktutviklingsfasen, er å vurdere spørsmålet om hvem som skal ha tilgang til hvilke funksjoner, ut fra et risikoperspektiv. Tenk deg et bryggeri utstyrt med våre sensorer: Bryggerimestrene må vite ølets sukker- og alkoholinnhold, så de må ha tilgang til måleverdiene fra instrumentene. Men de trenger ikke full tilgang, som ville ha gitt dem mulighet til å endre sensorinnstillingene. Slik tilgang er med rette forbeholdt vedlikeholdspersonalet.

Ved å bruke rollebasert tilgangskontroll på denne måten kan vi redusere risikoen for angrep. Skrivebeskyttelse mot uautoriserte endringer trenger ikke bare å være digital. På mange instrumenter kan dette også implementeres ved hjelp av en utstyrslås – en bryter som betjenes manuelt. I løpet av produktutviklingen gjennomfører vi også penetrasjonstester, der vi tenker som hackere og prøver å bryte gjennom sikkerheten i produktene våre. Disse simulerte cyberangrepene gjør det mulig for oss å avdekke potensielle sårbarheter og forbedre sikkerhetstiltakene våre.

EU-loven om cybersikkerhet trådte i kraft i desember i fjor. I henhold til denne forskriften må produkter med digitale elementer oppfylle visse standarder for cybersikkerhet. Bedrifter har en overgangsperiode på tre år til å tilpasse produktene sine til disse nye kravene.

Vi er godt forberedt på denne forskriften. Våre produktutviklingsprosesser fikk IEC 62443-4-1-sertifisering fra det uavhengige sertifiseringsorganet TÜV Rheinland allerede i 2021 og ble resertifisert i fjor. Det fine med dette er at sertifiseringen vår allerede oppfyller mange av kravene i loven om cybersikkerhet. Det at vi kom tidlig i gang med dette arbeidet og har engasjert oss aktivt i standardiserings- og bransjeorganisasjoners initiativer, har vist seg å være svært lønnsomt. Vi trenger helhetlige sikkerhetsløsninger for prosessindustrien, og den eneste måten å utvikle dem på er gjennom et tett samarbeid med kundene våre.

Løsningene vi har utviklet, setter allerede standarden. Endress+Hauser har for eksempel utviklet et ekstra sikkerhetslag for Bluetooth, med CPace-protokollen som hovedkomponent. I 2020 kåret en forskningsgruppe fra internettstandardiseringsorganet IETF løsningen vår til vinner av en kryptografikonkurranse. Og uavhengig av dette klassifiserte i 2016 det München-baserte Fraunhofer-instituttet AISEC beskyttelsesnivået til Endress+Hausers Bluetooth-sikkerhetsutvidelse som «høyt». Det er vi ganske stolte av. Det er dette som inspirerer teamet mitt og meg til stadig å forbedre cybersikkerheten til produktene våre.