Industriell IKT-sikkerhet: Det du ikke ser, kan du ikke beskytte

Oversikt er viktig for å ivareta en helhetlig risikostyring. For å oppnå oversikt er det viktig å ha kontroll over hvilke systemer og komponenter man har, hvor disse befinner seg og hvilke avhengigheter og sårbarheter som ligger i løsningene man har valgt.

Arbeidet med å identifisere metoder og løsninger for å forbedre oversikt i industrielle IKT-systemer (OT) har pågått over flere år. Begrepet Software Bill of Materials (SBOM) er blitt et stadig mer omtalt konsept. Slike oversikter er også noe Havtil etterspør når vi fører tilsyn med industriell IKT.  Vi ser imidlertid at flere strever med å etablere tilstrekkelig oversikt for OT.

Hva er SBOM?

En SBOM er et detaljert register over programvarekomponentene i et produkt. En god SBOM gir oversikt over, blant annet, navn på komponent (både software og hardware), versjon, leverandørinformasjon, avhengigheter, lisensinformasjon og kjente sårbarheter.

Formålet med en SBOM er å identifisere og mer effektivt respondere til sårbarheter gjennom systemenes levetid. Ved å etablere og vedlikeholde en SBOM forbedres prosesser knyttet til å kartlegge avhengigheter, avdekke eksisterende sårbarheter og overvåke nye sårbarheter gjennom leverandørkjeden.

Oversikt over hvilket utstyr og programvarer man har, gjør at man enklere kan koble disse til kjente sårbarheter på en systematisk måte. Dette reduserer risiko for sårbarheter i komponenter og programvarer man ikke har oversikt over, og derfor ikke vurderer. Slike sårbarheter utnyttes ofte av trusselaktører for å kjøre ondsinnet kode, eller eskalere privilegier.

Gjennom å identifisere avhengigheter blir også kritikaliteten til det enkelte system og programvare bedre kartlagt. Dette kan bidra til å gjøre det enklere å prioritere hvilken rekkefølge sikkerhetsoppdateringer bør gjennomføres eller hvor man har behov for andre risikoreduserende tiltak.

I tillegg gir en SBOM oversikt over komponenter som har nådd eller nærmer seg end-of-life eller end-of-support. Dette gjør det enklere å sette inn kompenserende tiltak og planlegge fremtidige oppgraderinger av komponenter.

Nye krav gir nye muligheter

Fra og med utgangen av 2027 stilles det nye krav til produkter med digitale elementer som skal omsettes i EU, gjennom Cyber Resilience Act (CRA). Ett av disse kravene er at alle slike produkter er pålagt å ha en SBOM.

Havtil erfarer at flere av de store leverandørene til petroleumssektoren er i gang med dette arbeidet. Derfor er dette en gyllen mulighet, både for operatører og redere, til å forbedre oversikten over systemene sine og samhandle med leverandører for å oppnå et bedre overordnet sårbarhetsbilde.

America’s Cyber Defense Agency (CISA), har publisert en oppdatert veileder knyttet til minimumskrav til SBOM for å hjelpe organisasjoner å håndtere softwarerisiko på en mer effektiv måte. Veilederen kan leses her.

Effektiv implementering krever involvering

Effektiv og virkningsfull implementering av SBOM krever, som et minimum, at den inneholder nok informasjon om lisens, leverandør, avhengigheter og sårbarheter, til at det kan gi et korrekt bilde av relevante risikoer.

For å få effekt av SBOM er man også avhengig av at dataene kan korreleres med sårbarhetsdatabaser, vedlikeholdsprogrammer, risikodatabaser og andre relevante datakilder.

En god implementering av SBOM forutsetter med andre ord automatiserte prosesser som føres i et felles, maskinlesbart format, og at de store leverandørene, rederne og operatørene også deltar i dette arbeidet.