Jag har märkt en känsla av rädsla när jag pratar om IT-OT-konvergens med företag som fortfarande arbetar med äldre system och processer. För dem har operativ teknik (OT) under lång tid varit isolerad från informationsteknik (IT). Att förena dessa två världar är inte lätt. Det kan kännas både skrämmande och riskabelt och jag menar att man har fog för rädslan. Systemen vi pratar om, systemen som driver anläggningar och processer, var aldrig avsedda att utsättas för omvärldsrisker. Det är avsiktligt och av goda skäl. Låt mig förklara.
Om du driver ett företag som arbetar med äldre infrastruktur är chansen stor att dina OT-system har byggts under en annan era. En era där uppkoppling inte var prioriterat. Det var något att undvika. Systemen utformades avsiktligt med lufttäta skott för att säkerställa att de inte skulle vara anslutna till annat än det omedelbara nätverket. Denna slutna miljö bidrog till att förhindra externa hot från hackare eller cyberattacker. Än idag finns det många experter som säger att dessa lufttäta skott bör upprätthållas för att bevara motståndskraften mot cyberangrepp.
Behovet att upprätthålla cybersäkerheten är uppenbart, men det är också ett faktum att nästan all modern utrustning har inbyggd uppkoppling. Du kanske tror att du har bibehållit säkerheten, men i verkligheten kan utrustningen du köper redan vara ansluten på sätt som du inte ens är medveten om. Idag kan till och med ditt VVS-system ha komponenter som är anslutna, vilket möjliggör potentiella överträdelser.
Det är en skrämmande tanke. Dessa system utformades inte för att uppgraderas eller patchas som ett IT-system, därför innebär alla sårbarheter som exponeras en enorm risk. Vi har sett verkliga exempel på vilka problem som detta kan orsaka. Ett viktigt exempel var cyberattacken 2015 mot Ukrainas elnät, som gjorde att stora delar av landet blev utan el. Systemen som attackerades var kritisk infrastruktur, precis de systemtyper som många äldre företag förlitar sig på. Sedan kom NotPetya-attacken 2017, som anses vara en av de mest kostsamma och destruktiva cyberattacker som har ägt rum. Attacken slog ut några av världens största företag genom att utnyttja sårbarheter i OT-system.
Nästan ett decennium senare har cyberattacker som utnyttjar OT-sårbarheter bara blivit mer varierade. I september 2024 tvingades vattenverken i Arkansas City, Kansas, att övergå till manuell drift på grund av cybersäkerhetsproblem. CISA (Cybersecurity and Infrastructure Security Agency) har utfärdat ett meddelande som säger att ”CISA fortsätter att aktivt bemöta utnyttjandet av internettillgängliga apparater inom driftsteknik (OT) och industriella styrsystem (ICS), inklusive de inom vatten- och avloppssystemsektorn (WWS). Utsatta och sårbara OT/ICS-system kan göra det möjligt för cyberhotaktörer att använda standardinloggningsuppgifter, utföra brute force-attacker eller använda andra osofistikerade metoder för att komma åt dessa apparater och orsaka skada.”
När jag tänker på dessa incidenter är det lätt att förstå varför många äldre företag är tveksamma till IT-OT-konvergens. Samtidigt anser jag att denna rädsla, även om det finns fog för den, borde vara själva anledningen till att driva på IT-OT-konvergensen, snarare än att hålla tillbaka.
IT-OT-konvergens sker oavsett om vi gillar det eller inte. Det finns tillräckligt med exempel på fördelarna. Många branscher går redan framåt och använder data från sina OT-system för att öka effektiviteten, förutsäga underhållsbehov och effektivisera sin verksamhet.
Många regeringar och organisationer uppmuntrar aktivt till en sådan konvergens för att driva på Industri 4.0. USA, Kina, Japan och Tyskland främjar modulbaserad, datadriven tillverkning. Företag som utnyttjar IT-OT-konvergens förbereder sig för framgång i detta nya landskapet, där effektivitet, anpassning och data är avgörande. Var lämnar detta äldre företag som inte gör övergången? Jag har ett ord: föråldrade.
Det regulatoriska trycket ökar och kommer att tvinga företag att möjliggöra IT-OT-konvergens, oavsett om man vill eller inte. I Europa ställer NIS 2-direktivet upp nya krav på cybersäkerhet för kritisk infrastruktur, detta innebär att även om företagen vill upprätthålla sina lufttäta system måste de uppgradera sina säkerhetsrutiner för att följa lagen. Vi står också inför cyberattacker som drivs av artificiell intelligens (AI) för att utnyttja sårbarheter. Utan funktioner för data- och realtidsövervakning som kommer från IT-OT-konvergens kommer äldre företag att ha svårare att försvara sig mot dessa AI-drivna attacker. Utan konvergens kommer de inte att ha verktygen för att skydda sig själva.
Vad innebär detta? För det första måste äldre företag inse att IT-OT-konvergens inte är en fråga om, utan när. Nyckeln är att närma sig det med en tydlig strategi. Vi behöver ett enhetligt förhållningssätt till säkerhet, riskhantering och dataintegration, detta innebär att IT och OT inte längre kan fungera som separata enheter.
För några år sedan var OT-cybersäkerhet nästan helt ett ansvar för OT-teamen. På samma sätt hade IT sin sfär och de två möttes aldrig. Idag förändras landskapet snabbt mot större konvergens. Mer än 40 % av företagen placerar nu OT-säkerhet under en CISO (Chief Information Security Officer) och inser att OT-system behöver samma skyddsnivå som IT-system. Denna integration är nyckeln till att hantera riskerna med IT-OT-integration, men det är även en stor förändring i hur vi ser på IT- och OT-rollerna.
OT-system har unika behov och många av dem är utformade för att fungera i 20 eller 30 år. Å andra sidan uppgraderas IT-system betydligt oftare och är konstruerade för att vara flexibla. Men IT-OT-konvergens är inte bara ett tekniskt problem, det är kulturellt. IT- och OT-team talar olika språk, arbetar i olika miljöer och har helt olika prioriteringar. I många företag har dessa två världar sällan mötts och när de har det har det inte alltid varit så smidigt. Ett sätt att lösa detta är genom utbildning och personalutveckling. Både IT- och OT-personal måste förstå utmaningarna och riskerna med konvergens. OT-team måste bekanta sig med praxis inom cybersäkerhet, medan IT-team måste förstå OT-systemens unika krav.
Som inspiration erbjuder jag Beamex egen erfarenhet av IT-OT-konvergens. Beamex kalibratorer, som traditionellt var OT-apparater som användes på fältet för kalibreringsuppgifter, har utvecklats till mycket mer än bara verktyg. Vi har utvecklat programvarulösningar som gör att OT-data som samlas in av våra kalibratorer sömlöst kan integreras med IT-drivna system, som CMMS (Computerized Maintenance Management Systems). Att vi har lösningar inom både OT och IT gör det enklare för oss att förbättra konvergensen, samtidigt som vi bevarar cyberresiliensen. När jag pratar med kunder i äldre branscher har jag ofta använt vårt exempel för att visa hur effektiv IT-OT-konvergens är möjlig.
Genom att omfamna IT-OT-konvergens positionerar vi oss för framgång i en digital framtid. Har du några idéer om hur vi kan påskynda denna konvergens? Om ja, kontakta oss och låt oss planera för en väg mot en tryggare och mindre osäker värld.