Tillverkningsföretag, liksom många andra verksamheter, blir alltmer digitaliserade. Att bli uppkopplad och datadriven har många fördelar, inte minst för att öka effektiviteten, höja kvaliteten och bättre kunna hantera hela verksamhetens försörjningskedja. För att kunna uppnå detta behöver tillverkande företag ha system som kontrollerar hela tillverkningsflödet, från inköp till slutleverans och service. Denna typ av övergripande systemlösningar öppnar dock även för cybersäkerhetshot. Det finns flera undersökningar som visar att cyberattackerna mot tillverkningsföretag i världen har ökat kraftigt. Enligt siffror från Trend Micro blev exempelvis 89 procent av verksamheterna attackerade under det senaste året.
Jennie Hagman är Director Consulting Expert in Cybersecurity på CGI och har jobbat med cybersäkerhet nästan hela sitt yrkesliv och där kommit i kontakt med många tillverkande företag.
- Tillverkningsföretag har mycket att vinna på att digitalisera sin verksamhet, säger Jennie Hagman. I produktionstunga verksamheter finns dock stora mängder enheter och komponenter. När alla dessa kopplas ihop direkt eller indirekt med nätverk och den övriga infrastrukturen ökar både riskerna för cybersäkerhetsincidenter och attackytorna dramatiskt.
Alla verksamheter med någon form av digitalisering utsätts för cybersäkerhetsrisker. Eftersom Sverige generellt sett ligger långt fram digitalt gör det också att riskerna ökar. För tillverkningsföretag kan cybersäkerhetsincidenterna få långtgående konsekvenser. Stannar produktionen innebär det ofta stora intäktsbortfall.
- Mitt intryck är att tillverkande företag inte alltid hinner med att säkra allt de digitaliserar, säger Jennie Hagman. Tillverkande företag har en mycket komplex verksamhet med många olika digitala delar, industriella styrsystem, IoT och OT. Detta skapar en komplex miljö som kräver en större insats med mer planering och eftertanke när det gäller säkerheten. Många tillverkande företag har också mycket invecklade försörjningskedjor med många led från råvaror, komponenter, förädling, produktion, transporter, leverans och service. Det kräver att också underleverantörerna tas med i säkerhetstänkandet, vilket komplicerar bilden ytterligare.
Tillverkningsföretags samhällskritiska ansvar
Cybersäkerhetsriskerna för tillverkningsföretag är dock inte enbart viktiga för den egna verksamheten. Viss tillverkning kan också vara samhällskritisk.
- Vi måste ju faktiskt ha vatten, el, mat och mediciner, varor som också produceras av tillverkande företag, säger Jennie Hagman. Att denna typ av produktion är sårbar för säkerhetsincidenter eller dataintrång gör den ännu viktigare att skydda. Även här är det viktigt att nagelfara underleverantörernas motståndskraft och medvetenhet kring cybersäkerhetshoten.
De samhällskritiska aspekterna kommer också in i nya direktiv, som NIS2, som för Sveriges del blir en del av det svenska lagrummet senast i oktober 2024.
- Det tidigare NIS-direktivet hade inte några specifika krav på tillverkande företag, men det har NIS2, säger Jennie Hagman. Oktober 2024 kan tyckas avlägset, men med så komplexa system och försörjningskedjor som tillverkande företag har är det hög tid att se över regelefterlevnaden inom detta område.
Jennie Hagman tar även upp att tillverkningsföretag ofta inte haft sina tillverkande system kopplade till nätet historiskt sett. Det har gjort att de inte behövt odla en lika stark tradition av strategiskt cybersäkerhetsarbete, varför det kan finnas mycket att göra för att få hela verksamheten på banan.
- Det är naturligtvis viktigt att ha ett systematiskt cybersäkerhetsarbete för hela verksamheten, säger Jennie Hagman. Ledningen måste gå i bräschen för detta och arbeta med en säkerhetsstrategi där säkerhet och kostnader är i balans.
Arbeta med säkerhet på alla nivåer
Till skillnad från andra typer av digitala system som har regelbundna uppdateringar och säkerhetspatchar, så är många digitala produktionssystem ganska statiska. Det kan leda till säkerhetsluckor som inte åtgärdas under lång tid.
- Det finns ytterligare ett direktiv som är viktigt för tillverkningsföretag, som heter Cyber Resillience Act, och reglerar att tillverkningsföretag inte får ha kända säkerhetsluckor i produkter med digitala komponenter, fortsätter Jennie Hagman. Vid tester som genomfördes 2020 hade hälften av alla produkter med digitala komponenter ändå kända säkerhetsluckor.
Om intrycket är att producerande verksamheter legat steget efter cybersäkerhetsmässigt, så är det hög tid att försöka komma i kapp. Jennie Hagman ser nämligen att området med regler och krav för tillverkande företag är under kraftig utveckling:
- Jag tror att det verkligen blivit tydligt hur samhällskritisk mycket av tillverkningen är, vilket gjort att tillverkningsföretag sannolikt kommer att få fler direktiv och regler att förhålla sig till, särskilt när det gäller cybersäkerhet. För att kunna uppfylla dessa krav och regler är det viktigt att gå till väga på ett systematiskt sätt med cybersäkerhetsarbetet. Verksamheterna måste jobba både från grunden och från ledningsnivå. Mitt tips är att få kontroll på exakt vilka tillgångar man har, avgöra säkerhetsriskerna för dessa tillgångar och sedan applicera säkerhetslösningar som kan hantera dem. Samtidigt är det viktigt att företagsledningar också har det strategiska tänket, gör riskanalyser och planerar för regelefterlevnaden.
CGI har en lång erfarenhet av att arbeta med cybersäkerhet på alla plan från den strategiska nivån och neråt. Kompetens finns också för att ackreditera system så att säkerheten finns med genom hela livscykeln samt att arbeta med anställda för att öka medvetenheten om säkerhetsrisker och bidra till att skapa en säkerhetskultur. Dessutom har CGI stor erfarenhet av att arbeta med just tillverkningsindustrin och känner väl till vilka krav som ställs på branschen.
Kontakta oss för att höra mer om hur du kan utvärdera din säkerhetsmognad om du är ett tillverkande företag.