Hur når man OT-säkerhet?
Hur påverkar Nis2 och europeiska lagar och regler framtidens arbete? Fredrik Olsson arbetar som IT/OT-ansvarig på Österlen VA och är aktuell som talare på SCADA-säkerhet den 17-18 september i Stockholm. Där kommer han bla att prata om man bör tänka när OT och IT blir alltmer integrerat och sammankopplas, hur Nis2 och europeiska lagar och regler påverkar framtidens arbete samt hur man kan arbeta kostnadseffektivt och inom kommunens ramar. Vi passade på att ställa några frågor till Fredrik inför konferensen där han exempelvis berättar vad deltagarna kan förväntas ta med sig efter hans presentation.
Du är IT/OT-ansvarig på Österlen VA. Kan du berätta lite om dig själv och din roll på företaget?
Österlen VA är ett kommunägt VA-driftbolag som hanterar driften av VA-verksamheterna i Tomelilla och Simrishamns kommuner på vackra Österlen i Skåne. Vi sköter således både dricksvattenproduktionen och spillvattenreningen i de två kommunerna, och båda dessa områden faller under såväl samhällsviktig verksamhet som under NIS2-direktivet. I min roll som IT/OT-ansvarig så ansvarar jag för både bolagets IT- och OT-system och just det faktum att både IT och OT lagts i ett och samma ansvarsområde har visat sig vara en stor fördel då vi arbetar med OT-säkerhet och med implementationen av såväl NIS- som NIS2-direktiven. Då jag är praktiskt lagd finns jag ofta mitt i organisationen och mitt i det dagliga arbetet vilket har varit en stor fördel i arbetet med att nå OT-säkerhet. Förståelsen för, och närheten till verksamheten har kunnat kombineras med de teoretiska, analytiska och organisatoriska bitarna inom ramarna för en och samma roll vilket gett en ganska unik infallsvinkel gällande OT-säkerhetsarbetet.
Din rubrik för ditt föredrag är ”Hur når man OT-säkerhet?”. Kan du ge en lite glimt och teaser hur du ser på hur man når OT-säkerhet?
Att bygga upp, driva och underhålla ett säkert OT-system är ett projekt som kräver kontinuerligt arbete, det blir aldrig färdigt, och det är en otroligt viktig insikt att ha med sig när man planerar för arbetet med att nå OT-säkerhet. Mitt föredrag kommer att fokusera på den praktiska implementationen av ett säkert OT-system och på driften av ett sådant system. Hur omsätter vi krav, design och lagar till ett fungerande system? Hur får man det tekniska systemet och rutiner, processer och regelverk i LIS-systemet att samverka? Hur kan man i en dynamisk organisation bibehålla säkerheten över tid?
OT och IT blir alltmer integrerat och sammankopplas – vilken betydelse kommer det få i framtiden för de som arbetar med dessa frågor?
Här har vi en av de stora utmaningarna framöver, hur ska vi lyckas integrera OT och IT utan att tumma på de säkerhetskrav som ställs på OT-systemen? I många verksamheter så krävs det idag fler och större integreringar mellan OT och IT för att få ihop och effektivisera den dagliga verksamheten, och detta skapar stora säkerhetsmässiga utmaningar i våra OT-system. För att lösa detta problem är det mycket viktigt att redan i designstadiet för ett OT-system få med alla integreringar mot IT-system så att den nödvändiga säkerheten kan designas in på systemnivå i stället för att läggas på i efterhand då man plötsligt kommer på att man behöver ytterligare en integrering. Framöver kommer vi säkerligen att se att detta leder till att de som arbetar med OT- och IT-system kommer behöva designa och driva systemen alltmer integrerat och att mycket av den säkerhet som läggs på OT-systemen kommer att spilla över även på IT-systemen för att på så sätt underlätta såväl integrationer som systemdrift.
En viktig fråga som har påverkat och kommer att påverka säkerhetsarbete är införandet av Nis2. Vad innebär det för Österlen VA och ditt arbete?
Beroende på hur långt man kommit med anpassningarna till NIS-direktivet så kommer NIS2-direktivet att få ganska olika konsekvenser. Har man redan gjort tekniska anpassningar för att uppfylla NIS-direktivet så kommer NIS2-direktivet främst att beröra rutiner, processer och standarder. Detta kommer att innebära omarbetning, eller införande av LIS och i samband med det också ganska stora förändringar i framför allt incidenthanteringen. För att hantera detta så kommer det naturligtvis att ställas fler krav på övervakning, spårbarhet och reglering av OT-system, vilket också varit en av de svaga punkterna i många implementationer av NIS-anpassade system. Om man å andra sidan inte riktigt kommit i mål med många av de tekniska anpassningarna som krävdes redan i NIS-direktivet så har man ett stort arbete framför sig för att komma i fas med NIS2-direktivet. I detta fall behöver man hantera de tekniska anpassningarna och LIS-adapteringen samtidigt, vilket kan visa sig ganska knepigt rent praktiskt, då de i mångt och mycket bygger på varandra.
Du arbetar på ett kommunalt styrt bolag – vad innebär det?
I ett kommunalt styrt bolag, såväl som i ren kommunal verksamhet, så möter man utmaningar som man kanske inte på samma sätt möter i ett privat företag. Kommunal verksamhet spänner över väldigt breda områden vilket också gör att när en kommun ska prioritera så ställs ofta helt olika verksamheter mot varandra, vilket ibland resulterar i att det kan vara svårt att få gehör för de resurser som krävs. Detta gör att budgeten ofta tar större plats i en lösning än vad den kanske gör i ett privat företag. Det kan också på samma sätt ta längre tid att nå fram till beslut, vilket gör att man måste förbereda åtgärder på ett helt annat sätt för att på så sätt minska implementationstiderna då beslut verkligen fattats. Detta har dock både nackdelar och fördelar. Nackdelarna kan vara att det ibland tar längre tid att nå fram då nödvändiga beslut drar ut på tiden samt att det kan vara svårt att nå hela vägen fram då det kommer till dyra tekniska lösningar. Å andra sidan kan fördelarna vara att man spenderar mer tid på att förbereda och analysera en lösning vilket kan göra att lösningen blir mer genomtänkt, samt att man redan i designfasen tittar mer på kostnader vilket gör att man har ökar möjligheten att hitta minst lika effektiva men betydligt billigare lösningar.
Vad hoppas du på att deltagarna ska ta med sig av din presentation?
Min presentation kommer att fokusera på den praktiska implementationen av NIS2-direktivet och de förändringar och anpassningar som faktiskt måste till i den dagliga verksamheten för att man dels ska uppfylla direktivet, dels uppnå en OT-säkerhet som man kan känna sig trygg med i ett samhälle som blir alltmer utsatt. Baserat på det så hoppas jag att deltagarna ska kunna ta med sig en mer praktisk syn på NIS2-direktivet och dess implementering, framför allt då direktivet och säkerheten i många verksamheter måste vägas av mot en hel del andra intressen och prioriteringar och även då inte minst budgetmässiga betänkanden.
Finns det någon annan talare eller programpunkt på konferensen som du är nyfiken på?
Det har redan pratats mycket om innehållet i, och tolkningen av NIS2-direktivet, och även vad som måste göras för att en verksamhet ska uppfylla direktivet, men kanske mindre om hur anpassningsarbetet implementerats eller hanterats i verkligheten. Därför är jag själv väldigt nyfiken på de programpunkter som handlar mer om hur direktivet verkligen förts in, eller håller på att föras in i olika verksamheter och hur det påverkar framför allt det pågående säkerhetsarbetet. Här tycker jag att det ska bli mycket intressant att höra mer från Jimmy Persson på Svenska Stadsnätsföreningen, Emma Johansson från Energiföretagen och även Mattias Lind från Vakin.