Protokoller og kommunikasjonsstandarder

IT-nett bruker standardiserte protokoller som TCP/IP, HTTP, TLS og SMB, som er godt understoettet av sikkerhetsprodukter. OT-miljoer bruker spesialiserte protokoller designet for palitelig, sanntids kommunikasjon, ofte uten innebygde sikkerhetsfunksjoner. Dette er den tekniske kilden til mange OT-sarbarheter.

Modbus og DNP3

Modbus ble utviklet i 1979 og er fremdeles en av de mest utbredte OT-protokollene globalt. Den mangler autentisering og kryptering, noe som betyr at enhver enhet pa samme nettverk kan sende kommandoer til en PLS. DNP3, brukt i energisektoren, har lignende utfordringer, selv om nyere versjoner har lagt til autentiseringsstotte. Begge protokollene er i bruk i norsk industri, inkludert kraft- og vannforsyning.

PROFINET og EtherNet/IP

Nyere OT-protokoller som PROFINET og EtherNet/IP bruker Ethernet-basert kommunikasjon, noe som gjor dem lettere a integrere med IT-nett. Men Ethernet-basert OT betyr ogsa at standard IT-angrepsverktoy kan brukes mot dem. Denne dobbeltheten er en av grunnene til at IT/OT-konvergens oker risikoen selv om det forenkler driften.

Systemlevetid og patchingutfordringer

Gjennomsnittlig levetid for et OT-system er 15-25 ar, sammenlignet med 3-5 ar for IT-utstyr (Claroty, 2025). Dette betyr at mange OT-systemer korer pa utdaterte operativsystemer som Windows XP eller Windows 7, uten tilgang til sikkerhetsoppdateringer. A patche slike systemer er komplisert: leverandorer kan kreve sertifisering av oppdateringer, patches kan pavirke prosessytelse, og nedetid for oppdatering kan vare uakseptabelt kostbart.

Sarbarhetshardtering i OT krever derfor andre metoder enn IT. Kompenserende tiltak som nettverkssegmentering, anomalideteksjon og aksesslistekontroll erstatter tradisjonell patching. I noen tilfeller er virtuell patching, der en brannmur blokkerer utnyttelse av en sarbaret uten a patche selve enheten, den eneste praktiske losningen.

Hva driver IT/OT-konvergens?

Industriell digitalisering, ofte kalt Industri 4.0 eller Smart Manufacturing, driver integrasjonen av IT og OT. Virksomheter kobler OT-systemer til ERP-systemer, sky-plattformer og analyseverktoy for a fa sanntids prosessdata inn i forretningssystemer. IIoT (Industrial Internet of Things) legger til millioner av nye tilkoblede enheter. Resultatet er at OT-nettverk som tidligere var luftgappet fra internett na har direkte eller indirekte tilkobling. (Gartner, 2025)

For norsk industri skjer denne konvergensen i hoyt tempo. Equinors digitale transformasjonsinitiativ, Statkrafts integrerte energistyringssystemer og norsk prosessindustris investeringer i Smart Factory-teknologier er eksempler pa integrasjon som skaper nye OT-angrepsflater.

Hvilken risiko skaper konvergensen?

Konvergensen oker angrepsflaten betraktelig. Et angrep som starter i IT-nettet kan na bevege seg lateralt inn i OT-nettverket uten a krysse en fysisk luftgap. Ransomware-angrep illustrerer dette: Colonial Pipeline-angrepet i 2021 startet i IT-nettverket, men ledelsen valgte a stenge OT-systemer preventivt, noe som resulterte i drivstoffmangel langs hele ostkysten av USA. (CISA, 2021)

[PERSONAL EXPERIENCE] I vurderinger vi har gjort av norske industrivirksomheter finner vi konsekvent at IT- og OT-teamene har lite kunnskap om hverandres nettverk. IT-teamet vet ikke hva som er tilkoblet pa OT-siden, og OT-teamet vet ikke hvilke IT-systemer som har tilgang til OT-nettverket. Dette kommunikasjonsgapet er en av de storrste sarbarhetskilder vi identifiserer.

Kan IT og OT ha en felles sikkerhetsmodell?

Ja, men bare med OT-spesifikke tilpasninger. En "unified security" modell som bruker samme SOC, SIEM og styringsprosesser for bade IT og OT er mulig og anbefalt. Den reduserer siloproblemer, forbedrer hendelsesrespons og gir helhetlig synlighet. Men verktoyene og prosessene ma tilpasses OT-konteksten: passiv overvaking i stedet for aktiv skanning, OT-protokollforstaelse i SIEM-regler, og OT-kompetanse i SOC-teamet. (Dragos, 2025)

Effektiv unified security krever et felles risikosprak. IT og OT ma bruke samme terminologi og rammeverk for risikostyring, gjerne basert pa IEC 62443 kombinert med ISO 27001. Governance-modellen ma ogsa avklare hvem som har beslutningsmyndighet nar IT-tiltak pavirker OT-drift.

Norsk industripraksis: fra siloer til samarbeid

Norsk prosessindustri, olje- og gasssektor og kraftbransje er i ulike faser av IT/OT-integrasjon. Olje- og gassbransjen har historisk investert mest i OT-sikkerhet, delvis drevet av Ptil (Petroleumstilsynet) og PSA-krav. Kraftbransjen er i rask utvikling med Statnetts EKOM-system og Digitalsikkerhetsloven som drivkrefter. Prosessindustrien er mer fragmentert, med stor variasjon mellom store aktorer og SMB-segmentet.

Felles for alle sektorene er behovet for bedre samarbeid mellom IT- og OT-teamene. De mest vellykkede norske virksomhetene vi har jobbet med har etablert tverrfaglige sikkerhetsteam med kompetanse fra begge domener, og har formalisert ansvarsfordeling i skriftlige retningslinjer.

Ofte stilte spørsmål

Kan jeg bruke Splunk eller Microsoft Sentinel til OT-overvaking?

Ja, men du trenger OT-spesifikke innholdsbiblioteker og parsere for OT-protokoller. Splunk og Microsoft Sentinel kan integreres med OT-spesifikke losninger som Dragos, Claroty eller Nozomi Networks som gir OT-protokollforstaelse og leverer normaliserte hendelser til IT-SIEM. (Microsoft Security, 2023)

Hva er en luftgap (air gap) og er den tilstrekkelig sikkerhet?

En luftgap er fysisk isolasjon av OT-nettverk fra IT-nettverk og internett. Historisk ble dette sett pa som tilstrekkelig, men Stuxnet-angrepet viste at luftgapper kan overskrides via USB og andre fysiske media. I dag er rene luftgapper sjeldne i moderne OT-miljoer da forretningsbehov krever datautveksling. (CISA ICS-CERT, 2025)

Hva er forskjellen mellom OT-SOC og IT-SOC?

Et OT-SOC spesialiserer seg pa trusler mot industrielle miljoer og bruker OT-bevisste overvakingsverktoy. Analytikere har kompetanse pa OT-protokoller, industrielle prosesser og ICS-spesifikk malware. Et IT-SOC mangler typisk denne kompetansen. Mange organisasjoner bygger hybride SOC-modeller der OT-spesialister samarbeider med IT-SOC-analytikere. (SANS Institute, 2024)

Hvor lang tid tar det a implementere OT/IT-sikkerhetssegregering?

Et typisk prosjekt for a implementere proper IT/OT-nettverkssegmentering med DMZ tar 3-9 maneder, avhengig av miljoets kompleksitet. Forprosjekt med eiendelsoppdagelse og risikovurdering tar typisk 4-8 uker. Selve nettverksimplementeringen er den mest tidkrevende fasen da den krever planlagte vedlikeholdsvinduer for a minimere produksjonsforstyrrelser.

Gjelder Digitalsikkerhetsloven for vart OT-miljo?

Loven gjelder for virksomheter i sektorer definert som kritisk infrastruktur: energi, transport, helse, vann og avlop, digital infrastruktur og offentlig administrasjon. Hvis din virksomhet leverer tjenester i disse sektorene, gjelder loven. NSMs veileder "Veiledning om gjennomforing av NIS2-krav" gir detaljert veiledning om hvem som er pliktsubjekter. (NSM.no, 2025)

Konklusjon

IT og OT er to ulike verdener med fundamentalt ulike prioriteringer. Men konvergensen er uunngaelig, og med den kommer ny risiko. Losningen er ikke a velge mellom IT- og OT-sikkerhet, men a bygge en integrert sikkerhetsmodell som respekterer begge verdenenes unike krav.

For norske industrivirksomheter betyr dette a investere i OT-kompetanse i sikkerhetsteamene, implementere OT-bevisste overvakingsverktoy og etablere klare prosesser for beslutninger nar IT- og OT-behov kolliderer. Digitalsikkerhetsloven er bade en driver og et rammeverk for dette arbeidet.