16 gode råd til hvordan vandselskabet sikrer sig mod cyberangreb
De gode råd tager udgangspunkt i anbefalinger og erfaringer fra SektorCERT, Center for Cybersikkerhed og DANVAs Netværk for it- og cybersikkerhed.
Jesper With- Indgå i samarbejde om cybersikkerhed med andre forsyninger, hvis du vurderer, at opgaven er for stor at klare alene. Vær sikker på at der er en klar opgavefordeling af aftaler med samarbejdspartnere og leverandører på plads, så en opgave ikke falder ned mellem to stole. Husk at inddrage alle lag af organisationen.
- Implementér leverandørens anbefalinger for at sikre jeres systemer. Leverandører tilbyder ofte løsninger til at sikre deres systemer.
- Indgå i samarbejde med eksperter, hvis man ikke har dem i eget hus. Har man åbne systemer, skal man som minimum følge producentens vejledning og hele tiden være opdateret. Manglende opdateringer er den nemmeste vej ind for en virus eller en hacker. Sørg for at have en opdateringspolitik for alle computere, servere, firewalls, antivirus mv. – og at systemerne bliver opdateret.
- Vurdér, om fjernadgang er afgørende. I så fald skal man etablere et sikkert system. Adgangen til styring af systemer og kontorsystemer bør ikke være på samme netværk, men holdes adskilt for at reducere sikkerhedsrisici. Dertil er det vigtigt at have logning slået til på fjernadgangen, så man kan overvåge og kontrollere, hvem der forbinder sig til systemet. Man kan fx se loginforsøg, der enten er fejlet eller foretaget på mistænkelige tidspunkter. Loggen giver viden om angrebsforsøg mod fjernadgangen.
- Hvis styringssystemer skal være tilgængelige på internettet, betyder det, at man eksponerer sig selv. Hvis det er nødvendigt at arbejde med OT-systemer fra andre lokationer, så brug en sikker fjernadgang. Beskyt fjernadgangen ved at benytte en sikker VPN (Virtual Private Network). En VPN bruges til at sikre datatrafikken mellem afsender og modtager.
- Brug flerfaktor-autentifikation. Fjernadgang til kritiske systemer bør sikres med flerfaktor- autentifikation. Flerfaktor-autentifikation kan fx være en kombination, hvor man både indtaster et password og efterfølgende skal godkende på en smartphone.
- Brug stærke passwords til alle systemer. Skift standard-passwords. Brug passwords på minimum 15 tegn og genbrug ikke passwords. Gem ikke passwords i Word-filer, noter eller lignende på computeren.
- Brug definerede roller til at give adgang til de dele af netværket og data, som de enkelte medarbejdere skal have adgang til. Giv ikke flere adgang end højest nødvendigt. Har en medarbejder brug for selv at installere programmer, bør det ske via fx separat BrugerAdmin-konto.
- Få overblik over anlæggets mest kritiske systemer og adgangen til dem. Et overblik giver viden om, hvilke systemer der er kritiske, hvem der skal have adgang til dem, og hvor det er særlig vigtigt at sikre sig mod angreb.
- Segmenter netværket. Adskil OT-netværket fra det øvrige netværk. Så bliver det eksempelvis sværere for hackere at få adgang til OT-netværket fra andre systemer.
- Hold alle systemer opdateret. Al software vil have fejl og sikkerhedshuller, som hackere kan opdage og udnytte. Løbende sikkerhedsopdateringer sørger for at lukke hullerne.
- Hav backup og disaster-plan med udførligt beskrevet og testet backup procedure for alle systemer – og en plan for hvad der skal ske hvis det værst tænkelige sker.Det er ikke nok med én backup til en anden lokal server. Skal testes løbende.
- Phishing er en stor del af hverdagens trusler. Den klart overvejende del af alle virus, cryptolockers, malware og ransomware kommer via en e-mail til en medarbejder. Et godt filter reducerer risikoen for, at farlige mails lander i indbakken, som kan åbnes ved et uheld.
- Brug de nyeste firewallteknologier. En standard antivirus og en gammeldags firewall rækker slet ikke. En god antivirus bør også indeholde webadresse-scanning, beskyttelse mod ransomware og forsvar mod andre trusler. De nyeste firewalls blokerer for indgående angreb fra internettet og overvåger ind- og udgående trafikmønstre.
- Lav en beredskabsplan, så alle ved, hvad de skal gøre, og hvem de skal ringe til, hvis der er brug for hjælp. CFCS har 24/7 Situationscenter, man kan ringe til. CFCS og SektorCert indsamler viden om, hvad der sker, som andre kan få glæde af.
- Følg anbefalingerne fra Center for Cybersikkerhed og SektorCERT. Så har man sikret sig et langt stykke ad vejen. Nogle af anbefalingerne koster penge, men hverken CFCSs eller SektorCERTs er særlig dyre. Og slet ikke i forhold til de skader, der kan ske, hvis man ikke gør det nødvendige.
- Er du interesseret i at deltage i DANVAs netværk for it- og cybersikkerhed, kan du læse mere her.
- Er du interesseret i at deltage i DANVAs beredskabsnetværk, kan du læse mere her.
