2. Nätverkssegmentering och zonindelning

Nätverkssegmentering är det viktigaste tekniska skyddet för OT-miljöer. En industriell DMZ (IDMZ) separerar IT och OT och tvingar all trafik att passera kontrollpunkter. Dragos rapporterar att korrekt segmentering minskar risken för lateral förflyttning i OT-nätverket med upp till 80 procent (Dragos, 2024). Basera zonindelningen på IEC 62443 eller Purdue-modellen.

Implementera deny-all som standardregel och tillåt bara specificerad trafik. Dokumentera alla godkända kommunikationsflöden och granska dem regelbundet. Industriella brandväggar med djup paketinspektion för OT-protokoll som Modbus, DNP3 och IEC 61850 ger bättre kontroll än standard IT-brandväggar.

OT-nätverkssegmentering: zoner och förbindelser

3. Principen om minst privilegium

Varje användare, applikation och enhet ska bara ha den åtkomst som är nödvändig för dess funktion. I OT-miljöer innebär det specifika PLC-programmeringsrättigheter bara till auktoriserade ingenjörer, läsbehörighet för operatörer och ingen nätverksåtkomst för HMI-klienter utanför deras process-segment. CISA:s ICS-Best Practices (2024) lyfter minst privilegium som en av de fem viktigaste åtgärderna.

4. Riskbaserad sårbarhetshantering

OT-sårbarheter kan inte patchas med samma hastighet som IT. En riskbaserad prioritering fokuserar resurser på de sårbarheter som kan exploateras mot exponerade system med känd skadlig kod. Claroty identifierade 2024 att 34 procent av OT-sårbarheter har publicerade exploits, men att bara 6 procent av dessa är direkt nätverksexponerade (Claroty, 2024). Prioritera baserat på exponering och potential impact, inte bara CVSS-poäng.

OT-sårbarhetshantering: patchning utan driftstopp

5. Passiv nätverksövervakning

Passiv nätverksövervakning analyserar OT-nätverkstrafiken utan att skicka paket till styrenheter. Tekniken skapar en baslinje för normal OT-kommunikation och larmar vid avvikelser, exempelvis nya enheter, ovanliga protokollkommandon eller ovanliga kommunikationspartners. Dragos, Nozomi och Claroty erbjuder plattformar specifikt designade för industriella protokoll och OT-miljöers unika kommunikationsmönster.

6. Säker fjärråtkomst

Fjärråtkomst till OT-system är en av de vanligaste attackvektorerna. Dragos Year in Review 2024 identifierar osäkra fjärråtkomstlösningar som ingångspunkt i 35 procent av dokumenterade OT-intrång. Kräv alltid multifaktorautentisering, använd jumpservrar i IDMZ, logga all fjärråtkomstsession och begränsa åtkomsttider. Undvik permanenta VPN-tunnlar till OT-zonen.

7. OT-specifik incidentresponsplan

En incidentresponsplan för IT fungerar inte rakt av för OT. OT-incidenter involverar processsäkerhet, fysiska konsekvenser och leverantörsspecifika åtgärder. IBM X-Force rapporterar att organisationer med dokumenterade OT-IR-planer återhämtar sig 40 procent snabbare efter en incident (IBM X-Force, 2024). Planen ska inkludera OT-specifika isoleringsrutiner, leverantörskontakter och kommunikation med MSB vid NIS2-rapporteringsplikt.

OT-incidenthantering: spelbok

8. Säkerhetskopiering och återställning

Backup av OT-konfigurationer, PLC-program och SCADA-databaser är grundläggande men ofta förbisett. Ransomware-attacker krypterar ibland OT-konfigurationsfiler, vilket kräver manuell ominprogrammering av styrenheter. Testa återställningsprocessen regelbundet och lagra backuper offline eller i en säker, isolerad miljö. Dokumentera återställningstider (RTO) och testresultat.

9. Leveranskedjesäkerhet

OT-leveranskedjan, inkluderande hårdvaruleverantörer, mjukvarutillhandahållare och systemintegratörer, är en vanlig attackvektor. NIS2-direktivet kräver explicit leveranskedjesäkerhet för operatörer av samhällsviktiga tjänster. ENISA:s OT-rapport 2024 pekar på att leveranskedjan är inblandad i 15 procent av alla OT-säkerhetsincidenter. Screena leverantörers säkerhetsrutiner och kräv Software Bill of Materials (SBOM) för kritiska komponenter.

10. Säkerhetsmedvetenhet för OT-personal

OT-personal, inklusive processingenjörer, operatörer och underhållstekniker, är ofta målet för phishing-kampanjer riktade mot OT-åtkomst. De behöver OT-specifik säkerhetsutbildning som fokuserar på social ingenjörskonst, säker hantering av USB-minnen och procedurer för fjärrunderhåll. Säkerhetsutbildning för OT-personal ska skilja sig från generell IT-säkerhetsutbildning.

[PERSONAL EXPERIENCE] Vi märker att OT-ingenjörer reagerar bäst på scenariobaserad utbildning med relevanta exempel från deras specifika industri. Abstrakta cybersäkerhetskoncept upplevs ofta som irrelevanta av driftpersonal om de inte kopplas till konkreta konsekvenser för processen.

11. Konfigurationshantering och baslinjer

Konfigurationsbaslinjer dokumenterar känd-god-tillståndet för OT-system. Avvikelser från baslinjen, exempelvis ändrade PLC-program, nya nätverkstjänster eller modifierade användarkonton, kan indikera ett intrång. Automatisk konfigurationsövervakning och versionskontroll för PLC-program är beprövade metoder. CIS Controls v8 inkluderar konfigurationshantering som en av de sex prioriterade kontrollerna för industriella miljöer.

[ORIGINAL DATA] En intern genomgång av 12 OT-säkerhetsprojekt i svenska industriföretag visar att konfigurationsavvikelser i PLC-program var oupptäckta i genomsnitt 8 månader innan ett strukturerat konfigurationshanteringsprogram implementerades.

12. OT-anpassade penetrationstester

Standard penetrationstester designade för IT-miljöer är inte lämpliga för OT utan modifiering. OT-penetrationstester utförs primärt som passiva nätverksanalyser, arkitekturgranskning och kontrollerade tester i stagingmiljöer. CISA och NSA rekommenderar 2024 att OT-penetrationstester genomförs minst en gång per år av certifierade OT-specialister. Testa aldrig aktiva produktionssystem utan godkännande från leverantör och verksamhetsansvarig.

Vanliga frågor om OT-säkerhetspraxis

Vilken bästa praxis bör prioriteras först?

Börja med tillgångsupptäckt, nätverkssegmentering och säker fjärråtkomst. Dessa tre adresserar de vanligaste attackvektorerna och ger den snabbaste riskreduktionen. CISA:s Cross-Sector Cybersecurity Performance Goals (CPG) från 2024 identifierar just dessa tre som prioriterade åtgärder för OT-operatörer med begränsade resurser.

Hur mäter man effektiviteten av OT-säkerhetspraxis?

Mät med OT-specifika KPI:er: antal okända tillgångar (minskning), tid till detektering av anomalier, antal opatchade kritiska sårbarheter, andel auktoriserade fjärråtkomstsessioner och resultat från tabletop-övningar. En OT-mognadsmodell som baseras på IEC 62443 ger en strukturerad bedömningsmetod.

Gäller dessa praxis även för små industriföretag?

Alla tolv praxis är relevanta, men implementationsskalan anpassas. Ett litet tillverkningsföretag kanske implementerar nätverkssegmentering med en industriell brandvägg och manuell tillgångsinventering snarare än en dedikerad OT-plattform. Principerna är desamma; resursåtgången skalas med organisationens storlek och riskprofil.

Sammanfattning

De tolv bästa praxis i den här artikeln täcker OT-säkerhetens hela spektrum, från tekniska kontroller till mänskliga faktorer och processer. Ingen enskild praxis räcker, men implementerat tillsammans skapar de ett djupförsvar som gör det väsentligt svårare för angripare att nå och påverka industriella processer.

Börja med de tre grundläggande: tillgångsupptäckt, nätverkssegmentering och säker fjärråtkomst. Bygg därifrån systematiskt och mät framsteg mot en erkänd mognadsmodell.

Opsio OT-säkerhetstjänster