Slik designer du OT-sikkerhetssoner

Et typisk OT-nettverk bor minst ha folgende soner:

• Enterprise/IT-sone (Niva 4-5): Kontornett, ERP, e-post og internettilgang. Lavest OT-sensitivitet
• DMZ (Buffer-sone): Mellomlag mellom IT og OT. Inneholder data-historiker, jump-servere og filer for toveis datautveksling
• OT-produksjonssone (Niva 3): MES, SCADA-servere, historian, engineering-stasjoner
• OT-kontrollsone (Niva 2): HMI, DCS-kontrollere, operatorstasjoner
• OT-feltsone (Niva 0-1): PLS, RTU, feltinstrumenter. Hogst isolasjonskrav
• Safety-sone (separat): Safety Instrumented Systems (SIS) skal vare fysisk separert fra alle andre soner

[PERSONAL EXPERIENCE] I implementeringsprosjekter finner vi at kunder gjerne tror de har et segmentert nettverk nar de egentlig bare har VLAN-segmentering uten strenge brannmurregler mellom VLAN-ene. VLAN-er er et godt grunnlag, men segmentering er ikke fullfort uten eksplisitte brannmurpolicyer som begrenser trafikk til kun det som er strengt nodvendig.

DMZ mellom IT og OT: Design og implementering

Den demilitariserte sonen (DMZ) er bufferen mellom IT og OT-nettverk. Den implementeres typisk med to brannmurer: en inn mot IT og en inn mot OT, med DMZ i midten. Ingen direkte kommunikasjon er tillatt mellom IT og OT, all kommunikasjon ma passere gjennom DMZ. (NIST SP 800-82r3, 2023)

DMZ inneholder typisk:

• Data-historiker: OT-siden skriver data til historiker i DMZ, IT-siden leser fra historiker. Ingen direkte OT-til-IT-kommunikasjon
• Jump-server: All fjerntilgang til OT-systemer via autorisert jump-server med MFA og sesjonsopptak
• Antivirusprogramvare/fil-sanitisering: Filer som overforsel mellom IT og OT sjekkes i DMZ
• Proxy-tjenester: Kontrollert kommunikasjon til leverandorer og sky

DMZ-brannmurene skal konfigureres med deny-all som default policy, og kun nodvendige protokoller og porter apnes eksplisitt. Reglene skal dokumenteres og gjennomgas regelmassigg.

Data-dioder: Enveiskommunikasjon i OT

En data-diode er hardware som tvinger all kommunikasjon til a ga kun en vei, typisk fra OT til IT (for dataeksport), aldri tilbake. Data-dioder er den sterkeste formen for nettverksseparasjon og er spesielt relevant for Safety Instrumented Systems og de mest kritiske produksjonssonene. Leverandorer som Waterfall Security Solutions, Hirschmann og Fox-IT leverer data-diodelosninger til industrielt bruk. (Waterfall Security, 2025)

En data-diode eliminerer risikoen for at IT-angrep kan komme seg inn i OT-nettverket via tilkoblingspunktet. Ulempen er at den begrenser bidireksjonell kommunikasjon, noe som kan komplisere leverandortilgang og remote support-scenarier. For de mest kritiske installasjonene (kraftverk, kjemisk industri) er data-dioder beste praksis.

Brannmurregler for OT-nettverk

OT-brannmurer skal konfigureres annerledes enn IT-brannmurer. Grunnprinsippet er "deny-all, permit-by-exception": all trafikk er blokkert som standard, og kun eksplisitt dokumenterte protokoller og porter mellom spesifikke kildeadresser og destinasjoner tillates. OT-brannmurer ma ogsa forsta OT-protokoller som Modbus, DNP3 og PROFINET for a kunne inspisere innholdet i pakker, ikke bare headers. (ISA, 2022)

Fortinet, Palo Alto Networks og Cisco tilbyr industrielle brannmurer med innebygde OT-protokollparsere. Dedikerte OT-brannmurer som Tosibox og Hirschmann er designet spesifikt for industrielle miljoer og har lavere interferens med industrielle prosesser.

VLAN og mikrosegmentering i OT

VLAN (Virtual Local Area Network) er et logisk segmenteringsverktoy som kan brukes til a skille OT-trafikk pa et fysisk nettverk. VLAN-segmentering er enklere a implementere enn fysisk nettverksseparasjon, men gir svakere isolasjon da VLAN-hopping-angrep er dokumentert. For de fleste OT-miljoer er VLAN kombinert med strenge brannmurregler mellom VLAN-ene tilstrekkelig. (NIST SP 800-82r3, 2023)

Mikrosegmentering, der individuelle OT-enheter eller sma grupper av enheter segmenteres fra hverandre, gir den fineste granulariteten. Moderne OT-sikkerhetsplattformer som Claroty og Nozomi kan gi anbefalinger for mikrosegmentering basert pa observert kommunikasjonsmonstre.

Nettverkssegmentering og skyintegrasjon

Skyintegrasjon av OT-data krever en gjennomtenkt segmenteringslosning. Det sikre monsteret er enveiskommunikasjon: OT-data flommer fra OT-sonen via DMZ til en sky-plattform, uten returkommunikasjon til OT. Skybaserte OT-overvakingsplattformer som Azure IoT Hub og AWS IoT Greengrass kan konfigureres for dette monsteret. (Microsoft Azure, 2025)

[UNIQUE INSIGHT] Den vanligste skyintegrasjonsfeilen vi ser er at IoT-agenter pa OT-enheter gis toveis kommunikasjonstilgang til skyen, noe som betyr at sky-siden kan sende kommandoer tilbake til OT-enheter. For de fleste produksjonsscenarioer er dette unodvendig og representerer en unodvendig risiko. Vurder om skyintegrasjonen faktisk trenger skrivetilgang til OT, eller om lesing er tilstrekkelig.

Vanlige feil i OT-nettverkssegmentering

De fem vanligste segmenteringsfeilene vi ser i norsk industri:

1. VLAN uten brannmurregler: VLAN alene gir ikke tilstrekkelig segmentering uten eksplisitte deny-all brannmurpolicyer
2. For bred tilgang i DMZ: DMZ-en gir brede tilganger i stedet for prinsippet om minste privilegium
3. Leverandor-VPN uten segmentering: Leverandorer gis VPN-tilgang som gir tilgang til hele OT-nettverket, ikke bare de spesifikke systemene de trenger
4. Ikke-dokumenterte regler: Brannmurregler er implementert men ikke dokumentert, noe som gjor revisjon og feilsoking vanskelig
5. Segmentering ikke vedlikeholdes: Nettverksendringer legges til uten a oppdatere segmenteringsarkitekturen, og soner sprekker gradvis opp

Ofte stilte spørsmål

Er VLAN-segmentering tilstrekkelig for OT?

VLAN-segmentering er et godt grunnlag, men er ikke tilstrekkelig alene. VLAN-hopping er en dokumentert angrepsteknikk. For tilstrekkelig OT-segmentering trenger du VLAN kombinert med strenge Layer 3-brannmurregler mellom alle VLAN-er, med deny-all som default policy. For de mest kritiske sonene (SIS, kritiske PLS-grupper) anbefales fysisk nettverksseparasjon. (NIST SP 800-82r3, 2023)

Hva er kostnadene ved OT-nettverkssegmentering?

Kostnadsomradet er bredt: fra 500 000 NOK for grunnleggende IT/OT-separasjon i et enkelt anlegg til flere millioner for full sonebasert segmentering etter IEC 62443 i et komplekst produksjonsanlegg. Investering er typisk far lavere enn konsekvensene av et OT-angrep, som gjennomsnittlig koster 4,9 millioner dollar for industrielle virksomheter (IBM Security, 2025). Be om ROI-kalkyle som del av prosjektvurderingen.

Kan vi segmentere OT uten produksjonsstans?

Ja, men det krever noy planlegging. Passiv eiendelsoppdagelse og nettverkskartlegging kan gjores uten avbrudd. Brannmurimplementering gjores i vedlikeholdsvindu. En trinnvis tilnarming der man starter med IT/OT-grensen og gradvis implementerer intern OT-segmentering minimerer produksjonsrisikoen. Plan for ca. 3-9 maneder for et fullstendig segmenteringsprosjekt.

Hva er en data-diode og nar trenger vi den?

En data-diode er hardware som tvinger kommunikasjon til a ga kun en vei. Den er anbefalt for: Safety Instrumented Systems (SIS), kritiske prosessanlegg der enhver tilbakekommunikasjon fra IT er uakseptabel, og for de hogste sikkerhetsnivane (SL 3-4 i IEC 62443). For de fleste OT-miljoer er en tobrannmuret DMZ tilstrekkelig, men data-dioder gir et ekstra lag av sikkerhetsgaranti.

Konklusjon

Nettverkssegmentering er ikke bare en sikkerhetskontroll, det er grunnlaget for all meningsfull OT-sikkerhet. Uten segmentering er overvaking, tilgangskontroll og hendelsesrespons dramatisk vanskeligere. Med riktig segmentering kan til og med en begrenset sikkerhetsposisjon motstå mange angrepsscenarior.

Start med IT/OT-separasjon og en enkel DMZ. Det er bedre a ha en enkel men korrekt segmentering enn en kompleks og dariig vedlikeholdt. Bygg ut sondesignens granularitet gradvis ettersom organisasjonens OT-sikkerhetsmodenhet oker.