Trinn 2: Gap-analyse mot rammeverk

Med eiendelsregisteret pa plass er neste skritt en gap-analyse som maler navarende sikkerhetsposisjon mot et anerkjent rammeverk. IEC 62443 og NIST SP 800-82 er de to vanligste referansene for OT. Gap-analysen identifiserer spesifikt hvilke kontroller som mangler eller er ufullstendig implementert. (NIST SP 800-82r3, 2023)

Typiske gapmomenter som avdekkes i norske vurderinger:

• Manglende nettverkssegmentering mellom IT og OT
• Svak tilgangskontroll, spesielt for fjerntilgang og leverandorer
• Ingen systematisk sarbarhetsovervakning for OT-systemer
• Manglende OT-spesifikk hendelsesresponsplan
• Ingen logging eller minimal logging fra OT-enheter
• Utdaterte backuper av PLS-programmer og konfigurasjonsfiler

Trinn 3: Trusselmodellering for OT

Trusselmodellering i OT-kontekst identifiserer hvilke trusselaktorer som er relevante for din virksomhet, hvilke angrepsveier de har tilgjengelig og hva konsekvensene vil vare. STRIDE-metoden tilpasset OT, eller Dragos' OT-spesifikke trusselmodelleringsrammeverk, er gode utgangspunkter. For kritisk infrastruktur gir NSMs trusselrapporter kontekstuell informasjon om norsk-relevante aktorer. (NSM, 2025)

En god OT-trusselmodell inkluderer fysiske konsekvensscenarioer. Hva skjer om angripere slutter av kjoleanlegget? Hva om de manipulerer trykkreguleringen? Disse scenarioene hjelper organisasjonen a forsta den reelle risikoen utover tap av data, og er sarlig viktige for sikkerhetsargumentasjon overfor ledelse og styre.

Trinn 4: Sårbarhetsvurdering

Sarbarhetsidentifikasjon i OT krever en kombinasjon av passiv nettverksovervaking, gjennomgang av kjente CVE-er for identifiserte enheter og konfigurasjonsgjennomgang. CISA's ICS-CERT advisories og leverandorenes egne security bulletins er primare kilder. Penetrasjonstesting av OT-systemer er mulig, men krever streng kontroll og planlegging for a unnga driftsforstyrrelse. (CISA ICS-CERT, 2025)

Sarbarheter rangeres basert pa: CVSSv3-score, utnyttbarhet (er det kjent exploitkode?), eksponeringsgrad (er enheten direkte tilgjengelig fra IT-nettet?), og konsekvens av utnyttelse. IEC 62443 definerer en risikorangering spesifikt for OT-kontekst som er mer nyansert enn rene CVSSv3-scorer alene.

Trinn 5: Risikorangering og prioritering

Basert pa eiendelsregisteret, gap-analysen og sarbarhetsidentifikasjonen produseres en risikorangering. Risikoen beregnes som: Sannsynlighet for angrep multiplisert med konsekvens av vellykket angrep. I OT-kontekst inkluderer konsekvens bade finansielle tap, helse- og sikkerhetspavavirkning og miljokonsekvenser. (IEC 62443-3-2, 2020)

Prioriteringen av tiltak folger vanligvis dette monsteret:

1. Umiddelbare tiltak (0-30 dager): Kritiske sarbarheter med kjent utnyttelse og hoy eksponering
2. Kortsiktige tiltak (1-3 maneder): Nettverkssegmentering og tilgangskontroll
3. Mellomlange tiltak (3-12 maneder): Overvakingsinfrastruktur og hendelsesresponsplan
4. Strategiske tiltak (1-3 ar): Oppdatering av utdatert utstyr og sikkerhetsarkitekturredesign

Intern vs ekstern OT-sikkerhetsvurdering

Interne vurderinger er kostnadseffektive for lopende risikovurdering og oppfolging av tidligere funn. Ekstern vurdering gir uavhengig validering, bransjebenchmarking og friske oyne som ser blindpunkter den interne organisasjonen har. Digitalsikkerhetsloven anbefaler ekstern vurdering for virksomheter i kritisk infrastruktur. (NSM Veiledning, 2025)

Det beste er en kombinasjon: lopende intern overvaking og vurdering, med ekstern uavhengig vurdering annethvert ar eller etter vesentlige endringer i miljoet. Velg ekstern vurderingspartner med dokumentert OT-sikkerhetskompetanse og sektorerfaring. Sertifiseringer som ISA/IEC 62443 Cybersecurity Expert og GICSP (GIAC Industrial Cyber Security) er gode kvalitetsindikatorer.

Fra vurderingsrapport til handlingsplan

En vurdering uten handlingsplan er bortkastet ressurs. Rapporten skal ikke bare liste funn, men gi et klart, prioritert veikart med ansvarsfordeling og tidslinje. Hvert funn skal beskrives med: konsekvens, sannsynlighet, anbefalt tiltak, estimert kostnad og tidslinje for implementering. (Dragos, 2024)

[ORIGINAL DATA] Opsios erfaring fra OT-vurderinger av norske industrivirksomheter viser at de fleste organisasjoner kan adressere 40-60% av de identifiserte risikoene uten ekstra budsjettering, ved a optimalisere eksisterende systemer og prosesser. Den storste verdiskapingen fra en god OT-vurdering er prioriteringen, ikke bare identifikasjonen av problemer.

Ofte stilte spørsmål

Hvor lang tid tar en OT-sikkerhetsvurdering?

En innledende gap-analyse av et mellomstort OT-miljo tar 1-2 uker. En fullstendig vurdering inkludert passiv eiendelsoppdagelse, dybdevurdering og rapportskriving tar typisk 4-8 uker. Kompleksiteten i miljoet og tilgangen til nettverksdokumentasjon er de storste variablene. Planlegg for tilstrekkelig tid sa rapporten gir reell verdi. (ISA, 2025)

Hva koster en OT-sikkerhetsvurdering?

Kostnadene varierer fra 150 000-300 000 NOK for en grunnleggende gap-analyse til 500 000-1 500 000 NOK for en fullstendig vurdering av et komplekst industrianlegg. Investeringen er typisk lavere enn kostnadene ved et enkelt sikkerhetsbrudd, som gjennomsnittlig koster 4,9 millioner dollar for industrielle miljoer (IBM Security, 2025). Be om fast pris og definer scope tydelig.

Kan en OT-sikkerhetsvurdering forstyrre produksjonen?

En riktig gjennomfort passiv vurdering skal ikke forstyrre produksjonen. Unnga aktiv skanning og penetrasjonstesting i produksjonstid uten planlegging. Konfigurasjonsgjennomgang og nettverksanalyse er typisk ikke-inngripende. Koordiner alltid med driftsorganisasjonen og ha en klar kommunikasjonsplan pa plass for hvert tiltak.

Bor vi gjore OT-vurderingen internt eller eksternt?

Ekstern vurdering anbefales for forste gang, og deretter annet hvert ar for uavhengig validering. Intern oppfolging mellom eksterne vurderinger er god praksis. Digitalsikkerhetsloven anbefaler ekstern vurdering for virksomheter i kritisk infrastruktur. For ISO/IEC 62443-sertifisering er ekstern revisjon et krav. (NSM, 2025)

Konklusjon

En OT-sikkerhetsvurdering er ikke et engangsprosjekt, det er starten pa et kontinuerlig forbedringsprogram. Den systematiske tilnarmingen, fra eiendelsoppdagelse til prioritert handlingsplan, gir organisasjonen kunnskapen den trenger for a ta informerte beslutninger om OT-sikkerhetsinvesteringer.

Digitalsikkerhetsloven stiller krav om dokumentert risikovurdering for virksomheter i kritisk infrastruktur. En strukturert OT-sikkerhetsvurdering oppfyller disse kravene og gir samtidig den praktiske oversikten organisasjonen trenger for a forbedre seg.