IT-säkerhet kontra OT-säkerhet: fundamentala skillnader

Att komma från IT-säkerhet och tro att OT är "samma sak fast med äldre system" är det vanligaste misstaget vi ser. Skillnaderna är strukturella, inte bara tekniska.

Den omvända prioriteringen av CIA-triaden (Confidentiality, Integrity, Availability) genomsyrar alla beslut. I IT-världen kan du stänga ned ett komprometterat system medan du utreder. I OT-världen kan du inte stänga ned en kärnreaktor eller ett vattenreningsverk utan mycket goda skäl och noggrant planerade procedurer.

Grundläggande begrepp du måste behärska

Innan du kan verka som konsult behöver du djup förståelse för de system du ska skydda:

Styrsystem och deras roller

• SCADA (Supervisory Control and Data Acquisition) – övervakar och styr processer över stora geografiska ytor, typiskt inom energi och vatten
• DCS (Distributed Control Systems) – distribuerade styrsystem för kontinuerliga processer som kemi- och pappersindustri
• PLC (Programmable Logic Controllers) – programmerbara styrenheter för specifika automationsuppgifter
• SIS (Safety Instrumented Systems) – skyddssystem som förhindrar farliga situationer; att manipulera dessa är bokstavligen livsfarligt
• RTU (Remote Terminal Units) – fjärrstyrenheter som kommunicerar med SCADA i geografiskt spridda system

Purduemodellen – OT-säkerhetens referensarkitektur

Purduemodellen (ISA-95) delar upp industriella nätverk i nivåer från fysiska processer (nivå 0) till affärssystem (nivå 5). Varje konsult måste kunna rita och förklara denna modell i sömnen. Den definierar var segmenteringsgränser ska finnas och hur dataflöden mellan IT och OT ska kontrolleras – ofta via en industriell DMZ mellan nivå 3 och 4.

Karriärvägen: steg för steg

1. Akademisk grund (2–5 år)

En teknisk högskoleutbildning ger nödvändig grundkompetens. De mest relevanta programmen i Sverige inkluderar:

• Automationsteknik / Mekatronik – ger förstahandskunskap om PLC-programmering, processreglering och industriella protokoll
• Elektroteknik med inriktning elkraftsystem – värdefullt för energisektorn
• Datateknik / Cybersäkerhet – ger IT-säkerhetsbasen men kräver komplettering inom automation
• Industriell IT – nyare program som explicit adresserar IT/OT-konvergensen

KTH, Chalmers, Linköpings universitet och Mälardalens universitet erbjuder relevanta program. Uppsala universitetets forskning om cyberfysiska produktionssystem (CPPS) har också bidragit till att formalisera kunskapsområdet akademiskt.

En masterexamen är inte strikt nödvändig men ger fördjupning som skiljer dig från mängden, särskilt inom forskningstung rådgivning.

2. Praktisk erfarenhet (3–5 år)

Här faller de flesta karriärplaner. Ingen blir trovärdig OT-säkerhetskonsult direkt från universitetet. Du behöver operativ erfarenhet i minst en av dessa roller:

• Automationsingenjör – programmera PLC:er, konfigurera SCADA-system, förstå produktionens krav inifrån
• Nätverkstekniker i industriell miljö – designa och underhålla OT-nätverk med industriella switchar, brandväggar och protokollanalys
• IT-säkerhetsanalytiker med OT-exponering – arbeta i en SOC som övervakar både IT- och OT-trafik
• Drifttekniker i processindustri – förstå den fysiska verkligheten som systemen styr

Från Opsios perspektiv: de bästa OT-säkerhetskonsulterna vi samarbetar med har nästan alltid en bakgrund som automationsingenjörer som sedan vidareutbildat sig inom cybersäkerhet – inte tvärtom. Förståelsen för vad systemen faktiskt gör i den fysiska världen går inte att ersätta med certifieringar.

3. Certifieringar som betyder något

Certifieringslandskapet inom OT-säkerhet är mer fokuserat än inom generell IT-säkerhet. Här är de som faktiskt öppnar dörrar:

Många kompletterar med generella certifieringar som CISSP eller CompTIA Security+ som grundläggande kunskapsbevis, men dessa allena signalerar inte OT-kompetens.

Ett ärligt råd: En GICSP utan erfarenhet av att stå i ett kontrollrum och förstå varför en operatör reagerar som den gör är mindre värd än den ser ut. Certifieringar validerar kunskap – de ersätter inte erfarenhet.

4. Bygga specialistkompetens (löpande)

OT-säkerhet kräver kontinuerlig vidareutveckling inom:

• Hotlandskapet – grupper som Sandworm, Volt Typhoon och FrostyGoop-malware förändrar spelplanen löpande
• Standarder – ISA/IEC 62443 uppdateras, NIS2 implementeras nationellt, sektorsspecifika krav tillkommer
• Teknik – nya angreppsvektorer mot industriella protokoll, OT-specifik NDR (Network Detection and Response), mikrosegmentering
• Leverantörsekosystem – Siemens, ABB, Schneider Electric, Rockwell Automation har alla unika säkerhetsarkitekturer

NIS2 och det regulatoriska trycket

NIS2-direktivet har förändrat spelplanen för OT-säkerhet i Sverige fundamentalt. Operatörer av samhällsviktig verksamhet – energi, vatten, transport, hälso- och sjukvård, livsmedelsproduktion – måste nu kunna påvisa systematisk riskhantering av sina OT-miljöer.

Konkret innebär detta:

• Riskanalyser som explicit inkluderar OT-system och industriella nätverk
• Incidentrapportering med strikta tidsramar (24 timmar initial notifiering, 72 timmar detaljerad rapport)
• Leverantörskedjegranskning – säkerhet i hela kedjan, inklusive automationsleverantörer
• Ledningsansvar – styrelseledamöter kan hållas personligt ansvariga för bristande cybersäkerhet

Detta skapar en strukturell efterfrågan på OT-säkerhetskonsulter som kan hjälpa organisationer att uppfylla kraven – inte som en engångsinsats utan som löpande rådgivning.

Molnsäkerhet och compliance

Vad Opsio ser i praktiken: vanliga brister i svenska OT-miljöer

Från vår SOC/NOC-verksamhet och de kunduppdrag vi hanterar ser vi återkommande mönster:

• Flat nätverksarkitektur – ingen segmentering mellan kontor och produktion. En phishingattack mot ekonomiavdelningen kan nå PLC:er direkt.
• Standardlösenord på SCADA-gränssnitt – fortfarande vanligare än någon vill erkänna
• Ingen OT-specifik övervakning – IT-SOC:en ser inte OT-trafiken, och driftteamet övervakar bara processtillgänglighet, inte säkerhetshändelser
• Föråldrade operativsystem – Windows XP och Windows Server 2003 lever kvar i produktionsmiljöer utan möjlighet till patchning
• Bristfällig dokumentation – nätverksdiagram som inte stämmer, okända anslutningar, "shadow OT"-enheter

En kompetent OT-säkerhetskonsult identifierar och adresserar dessa brister systematiskt – inte genom att tvinga IT-policyer på OT-miljön, utan genom att designa säkerhetskontroller som respekterar produktionens krav.

Managerade molntjänster

Karriärmöjligheter och lönebild

OT-säkerhet är ett nischområde med kraftig efterfrågan. Enligt CNCF Annual Survey och branschrapporter från Gartner har kompetensbristen inom OT-säkerhet konsekvent lyfts som en av de mest kritiska utmaningarna för industriella organisationer.

Typiska karriärvägar:

• OT-säkerhetskonsult (anställd) – hos säkerhetsföretag, managerade tjänsteleverantörer eller storföretag med egen OT-säkerhetsorganisation
• Fristående rådgivare – ofta mest lönsamt efter 8–10 års erfarenhet och etablerat nätverk
• CISO med OT-ansvar – allt fler organisationer söker säkerhetschefer som förstår både IT och OT
• OT-säkerhetsarkitekt – designar säkerhetsarkitektur för nya anläggningar och uppgraderingar

Lönenivåerna i Sverige för OT-säkerhetskonsulter med 5+ års erfarenhet och relevanta certifieringar ligger generellt högre än motsvarande IT-säkerhetsroller, drivet av utbudsbristen.

Hur du kommer igång – konkret handlingsplan

Om du befinner dig i början av denna karriärväg, prioritera följande:

1. Skaffa teknisk grund – automationsteknik eller datateknik med kompletterande kurser i det andra området

2. Sök operativ erfarenhet – automationsingenjör, nätverkstekniker i industriell miljö, eller SOC-analytiker med OT-exponering

3. Bygg ett labb – investera i en begagnad PLC (Siemens S7-1200 går att hitta för rimliga pengar), installera OpenPLC, experimentera med Modbus-trafik och analysera den med Wireshark

4. Certifiera dig strategiskt – GICSP efter 2–3 års erfarenhet, komplettera med ISA/IEC 62443

5. Nätverka i communityn – SANS ICS-konferenser, svenska SCADA-säkerhetsevent, MSB:s samarbetsforum för samhällsviktig verksamhet

6. Följ hotlandskapet – Dragos Inc:s årsrapporter, CISA ICS-CERT-rådgivningar, Mandiant-rapporter om OT-hot

Managerad DevOps

Slutord

OT/ICS-säkerhet är inte en trend – det är en strukturell nödvändighet. Sveriges industri, energisektor och kritiska infrastruktur digitaliseras i allt högre grad, medan hotaktörer med statlig backing explicit riktar in sig på industriella styrsystem. NIS2 sätter regulatorisk press bakom det som redan var operativt brådskande.

Vägen till att bli en kompetent OT-säkerhetskonsult är lång – räkna med 5–8 år från utbildningsstart till att du kan leda komplexa uppdrag självständigt. Men för den som investerar tiden finns få karriärvägar inom cybersäkerhet som är lika meningsfulla eller efterfrågade. Du skyddar inte data – du skyddar de system som håller samhället igång.

Vanliga frågor

Vilken utbildning behövs för att bli OT/ICS-säkerhetskonsult?

En teknisk högskoleutbildning inom automation, elkraft, datateknik eller cybersäkerhet ger bäst grund. Komplettera med branschcertifieringar som GICSP eller ISA/IEC 62443. Viktigast är dock praktisk erfarenhet av industriella styrsystem – teori utan drifterfarenhet räcker inte.

Vad är skillnaden mellan IT-säkerhet och OT-säkerhet?

IT-säkerhet skyddar primärt data (konfidentialitet först). OT-säkerhet skyddar fysiska processer och prioriterar tillgänglighet – ett produktionsstopp kan innebära fysisk fara eller miljöskador. OT-system har dessutom livslängder på 15–25 år, vilket gör patchhantering fundamentalt annorlunda.

Hur påverkar NIS2 efterfrågan på OT-säkerhetskonsulter?

NIS2-direktivet ställer explicita krav på riskhantering och incidentrapportering för operatörer av samhällsviktig verksamhet – inklusive energi, vatten och tillverkning. Svenska organisationer måste bevisa att de hanterar OT-risker aktivt, vilket driver efterfrågan på specialistkompetens kraftigt.

Vilka certifieringar är mest värdefulla inom OT-säkerhet?

GICSP (Global Industrial Cyber Security Professional) från SANS/GIAC är den mest respekterade. ISA/IEC 62443-certifieringarna är starka för den som arbetar nära automationsstandarden. GRID (GIAC Response and Industrial Defense) kompletterar för incidenthantering.

Kan man övergå från IT-säkerhet till OT-säkerhet?

Ja, och det är en vanlig karriärväg. Nätverkssäkerhet, penetrationstestning och incidenthantering översätts väl. Men du måste investera tid i att förstå industriella protokoll (Modbus, OPC UA, Profinet), realtidskrav och den operativa verkligheten i en produktionsanläggning.