Den digitala transformationen pågår för fullt inom den tillverkande industrin. Processer som tidigare sköttes på marken av anställda utförs alltmer av robotar eller av uppkopplade enheter i molnet.  

När allt fler kan ta del av information kan processer snabbas upp och verksamheter bli mer konkurrenskraftiga. För tillverkningsindustrin har det blivit ett konkurrensmedel i sig att kunna erbjuda sina partner tillgång till information och tjänster, exempelvis tillgång till ritningar för att snabba upp tillverkningsprocesser.  

– Allt detta är förstås en fantastisk utveckling. Men när allt fler får access till företagets information och brandväggarnas funktion försvinner, måste man verkligen ha koll på vem som kommer åt vad och varför. Behörighetsfrågan handlar inte längre bara om att hantera anställda utan även om konsulter, partners och nu även robotar, eller RPA, säger Peter Carlsson som arbetar med IAM, identitets- och behörighetshantering, på CGI.  

För tillverkningsindustrin är frågan om Privileged Access Management kanske speciellt viktig, eftersom den handlar om avgörande saker som vem som har rätt att göra inställningar på maskiner i produktionen. För vad skulle hända om någon kom in och med flit orsakar produktionsstopp i en samhällsviktig verksamhet som till exempel livsmedelstillverkning eller elförsörjning? Eller kanske ändrar blandningshalter i medicintillverkningen hos ett läkemedelsföretag?  

I sitt arbete med omvärldsbevakning hittar Peter varje vecka exempel på dataintrång eller på rena interna missar, som att samma person både har access till att sätta sin egen lön och godkänna den, eller att både lägga upp och godkänna inköpsordrar.  

– Ibland tror jag att man hade bättre kontroll förut innan man kom in i it-världen och automatiserade. Då hade man tydliga regelverk och processer i verksamheten. Man bestämde att det bara var maskinchefen som fick gå in och ändra, och folk lydde. Nu är det så enkelt att ge ut behörigheter när det kan ske via ett it-system, säger Peter.  

När Peter är ute och pratar med företag om IAM vill de ofta börja prata om tekniken, för de vill ju ha en lösning, berättar han.  

– Men det är viktigt att lyfta fram att vi inte får tekniken att fungera om vi inte har lösningarna och processerna på plats. Det handlar alltså framför allt om verksamheten och om människor, säger han och fortsätter:  

– Man måste rita upp kartan, definiera upp processer, ha regelverk för vem som får göra vad. Jag brukar ställa huvudfrågorna: vem, vad, hur, varför och när? När man har löst de övergripande bitarna, då kan vi börja prata teknik.  

Industrins utmaningar med behörighetskontroll enligt Peter:

  1. Molnet förändrar säkerhetsinfrastrukturen. Brandväggarnas betydelse förändras och säkerhet handlar istället att ha kontroll över vem som kommer åt vad och varför.  
  2. Företag måste hantera allt fler typer av identiteter. Inte bara anställda utan också konsulter, partners, kunder, robotar blir i allt större utsträckning delar av företagens ekosystem och måste hanteras.  
  3. Digitala hot som hackerattacker och industrispionage blir allt vanligare.  
  4. Allt fler standarder tillkommer med regelverk som måste uppfyllas där stora viten kan tilldelas om så ej sker.  

Peters checklista för att komma i gång och jobba med IAM: 

  • Vem är ansvarig för identitets- och behörighetsinformation i verksamheten totalt och specifikt för produktionsresurser? 
  • Får en nyanställd eller inhyrd person tillgång till resurser och information, och blir han ellre hon försedd med rätt utrustning för att utföra sitt arbete vid rätt tidpunkt? 
  • Har ni full kontroll över vem som har tillgång till vilka resurser och information vid varje ögonblick? 
  • ”Samlar” användare på sig behörigheter när de byter roll i verksamheten som gör att de kan utföra uppgifter som går emot reglerna (som att både skapa en inköpsorder och godkänna den)? 
  • Är ni säkra på att alla behörigheter blir indragna och all utrustning blir återlämnad när en person lämnar sin position, uppdrag eller anställning? 
  • Använder ni molnresurser, IoT, uppkopplade enheter i er produktion? Hur säkerställer ni att det är rätt enhet som kopplar upp sig och lämnar eller hämtar data?  
  • Kan ni identifiera varje enskild enhet som ni kopplar upp?  
  • Kan ni upptäcka om någon försöker koppla upp en enhet med falsk identitet? 
  • Hur skyddar ni produktionsresurser (OT), till exempel vem som får konfigurera blandning, toleranser och liknande för er produktion?  
  • Finns det spårbarhet på vem som har ändrat produktionsinställningar? 
  • Hur skyddar ni statistik så att den inte kan bli manipulerad av någon på ett otillbörligt sätt?

 

Vill ni veta mer om hur vi på CGI kan hjälpa er med IAM, identitets- och behörighetshantering?