Nulltillit for OT: Identitetsbasert Sikkerhet i Industrielle Miljøer
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Nulltillit for OT: Identitetsbasert Sikkerhet i Industrielle Miljøer
Zero Trust (nulltillit)-arkitektur, grunnlagt pa prinsippet "aldri stol pa, alltid verifiser", er blitt en dominerende sikkerhetsparadigme i IT. 78% av globale IT-ledere planlegger zero trust-initiativ inkludert OT innen 2026 (Gartner, 2025). Men zero trust ble opprinnelig designet for IT-miljoer, og direkte applikasjon pa OT er problematisk. Sanntidskrav, legacy-protokoller og prosessrisiko ved avbrutte forbindelser krever gjennomtenkte OT-spesifikke tilpasninger.
Viktige punkter
- 78% av IT-ledere planlegger zero trust inkludert OT innen 2026 (Gartner)
- Zero trust i OT krever tilpasning: sanntidskrav og legacy-protokoller ma respekteres
- Identitetsstyring for OT-enheter (ikke bare brukere) er kjernen i OT zero trust
- Mikrosegmentering er det primere zero trust-verktoyete i OT-nettverk
- "Minste privilegium" er malet, men krever gradvis implementering i OT for a unnga driftsforstyrrelse
Hva er zero trust og hvorfor er det relevant for OT?
Zero trust er en sikkerhetsmodell der ingen enhet, bruker eller system er implisitt klarert, uavhengig av om det befinner seg innenfor nettverksperimeteren. Alle tilganger krever autentisering og autorisasjon, og minste privilegium-prinsippet gjelder overalt. Zero trust er spesielt relevant for OT fordi de tradisjonelle OT-sikkerhetsstrategiene, nettverksisolasjon og perimeterbasert sikkerhet, ikke lenger er tilstrekkelige i konvergerte IT/OT-miljoer. (NIST SP 800-207, 2020)
Den klassiske OT-sikkerhetsmodellen antok at ting innenfor OT-nettverket var klarerte. Zero trust utfordrer denne antagelsen: en PLS som er kompromittert av Stuxnet-lignende malware er ikke klarert bare fordi den er pa OT-nettverket. En leverandor-PC som er koblet til OT via VPN er ikke klarert bare fordi den er autentisert.
Zero trust i OT: Kritiske tilpasninger til IT-modellen
Tre fundamentale tilpasninger er nodvendig for zero trust i OT-kontekst. Forst: sanntidskrav. Zero trust-verifisering i IT kan innebere latens pa millisekunder. I OT kan slike forsinkelser forstyrre prosesstyringen. Zero trust-implementeringer i OT ma vare utformet for a ha neglisjerpbar latens pa kritiske kontrollbaner. Andre: legacy-enheter. Mange OT-enheter kan ikke delta i moderne identitets- og autentiseringsprotokoller. Kompenserende tiltak som nettverkssegmentering og proxy-autentisering erstatter enhetidentitet der direkte autentisering ikke er mulig. Tredje: tilgjengelighetsprioritet. Zero trust skal ikke blokkere nodvendig drift. Fallback-mekanismer som lar produksjonen fortsette ved autentiseringsfeil, med logging, er nodvendige. (NIST SP 800-207, 2020)
[PERSONAL EXPERIENCE] I OT zero trust-implementeringer ser vi at det storste hindret ikke er teknisk, men kulturelt. OT-driftsorganisasjonen er redd for at zero trust vil gi autentiseringsfeil som stopper produksjonen. Demonstrer tidlig at implementeringen er designet med produksjonskontinuitet som prioritet, og at alle kritiske driftsbaner er testet grundig for aktivering.
Trenger dere eksperthjelp med nulltillit for ot?
Våre skyarkitekter hjelper dere med nulltillit for ot — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Identitetsstyring for OT-enheter og -brukere
Identitetsstyring i OT zero trust omfavner bade menneskelige brukere og maskiner/enheter. For brukere betyr det sterk autentisering (MFA) for all OT-tilgang, rollebasert tilgangskontroll (RBAC) som begrenser tilgang til det som er strengt nodvendig, og sesjonsbasert tilgang som utloper automatisk. For enheter betyr det enhetssertifikater eller nettverksbasert identitetskontroll (NAC) som verifiserer at enheter er kjente og godkjente for den kommunikasjonen de gjor. (ISA/IEC 62443, 2022)
For legacy-OT-enheter som ikke kan delta i moderne identitetsprotokoller, er proxy-basert identitetsstyring losningen: en PKI-autentisert proxy-enhet representerer legacy-enheten og autentiserer kommunikasjon pa dens vegne. Dette skaper et identitetslag over enheter som ikke naturlig har det.
Mikrosegmentering som zero trust-verktøy i OT
Mikrosegmentering er implementering av zero trust pa nettverksniva: i stedet for brede nettverkssoner der enheter stoler pa hverandre, segmenteres nettverk sa granulert som mulig, ideelt per enhet eller per liten enhetsgruppe. All kommunikasjon mellom segmenter krever eksplisitt autorisasjon. I OT-miljoer gir mikrosegmentering den sterkeste formen for lateral bevegelsesbegrensning: en kompromittert PLS kan ikke kommunisere med andre PLS-er uten at det er eksplisitt tillatt. (NIST SP 800-82r3, 2023)
Moderne OT-sikkerhetsplattformer som Claroty og Nozomi kan anbefale mikrosegmenteringsregler basert pa observert normal kommunikasjon, noe som gjor implementeringen langt mer praktisk enn manuell konfigurering. Start med a observere, deretter implementer regler basert pa det observerte.
Minste privilegium i industrielle miljøer
Prinsippet om minste privilegium, at brukere og systemer bare har tilgang til det de strengt tatt trenger, er kjernen i zero trust. I OT er det tre kategorier av tilgang som krever sarlig oppmerksomhet. Bruker-tilgang: operatorer trenger tilgang til HMI, ingeniorer til engineering-stasjoner, men ikke begge deler. Admin-tilgang: systemadministratorer trenger admin-tilgang til OT-systemer, men ikke til produksjonsdata. Leverandor-tilgang: den mest kritiske og oftest oversette kategorien. (Dragos, 2025)
[UNIQUE INSIGHT] Vi har gjennomgatt mange leverandortilgangskonfigurasjoner i norsk industri. Den vanligste feilen er at leverandorer far bred nettverkstilgang ("tilgang til OT-nettverket") nar de egentlig bare trenger tilgang til to-tre spesifikke PLS-enheter. Minste privilegium-prinsippet skal bety nettopp minste: identifiser de spesifikke systemene leverandoren trenger tilgang til, og tillat bare det.
Kontinuerlig verifisering i OT-kontekst
Kontinuerlig verifisering betyr at en enhet eller brukers tilgang ikke er permanent klarert, men re-verifiseres kontinuerlig basert pa atferd og kontekst. I OT kan dette implementeres som: automatisk logging av all OT-nettverksaktivitet med anomaliovervaking, sesjonstimeout som krever re-autentisering etter inaktivitet, og nettverksovervaking som flagge aktivitet som avviker fra normalt kommunikasjonsmonstre. (CISA, 2025)
Full agentbasert kontinuerlig verifisering av OT-enheter (som i IT zero trust) er sjelden mulig gitt legacy-enhetsbegrensninger. Nettverksbasert atferdsanalyse (passiv overvaking) er den primere metoden for kontinuerlig verifisering i OT, der OT-overvakingsplattformer overvaker kommunikasjon og varsler pa avvik.
Trinnvis implementering av zero trust for OT
Zero trust-implementering i OT er en multi-ar reise, ikke et enkeltprosjekt. Anbefalt implementeringsrekkefolgje:
- Eiendelsoppdagelse og -inventar (Maned 1-2): Du kan ikke implementere zero trust uten a vite hvem som kommuniserer med hvem
- Nettverkssegmentering (Maned 3-6): Grunnleggende IT/OT-separasjon og sonebasert segmentering er forutsetning for zero trust
- Sterk bruker-autentisering (Maned 4-6): MFA for alle menneskelige tilganger til OT-systemer
- Privilegert tilgangsstyring (Maned 6-9): PAM-system for administrasjon av privilegerte OT-tilganger
- Mikrosegmentering (Maned 9-18): Gradvis implementering av enhetsniva-segmentering basert pa observert trafikk
- Kontinuerlig verifisering (Lopende): OT-overvaking med anomalideteksjon som backend for zero trust-verifisering
Ofte stilte spørsmål
Kan zero trust stoppe produksjonen i OT?
Zero trust implementert uten tilstrekkelig testing og fallback-mekanismer kan potensielt forstyrre OT-kommunikasjon. Men en riktig designet zero trust-arkitektur for OT er utviklet med produksjonskontinuitet som krav, ikke som ettertanke. Alle kritiske driftsbaner ma testes grundig i testmiljo for implementering. Start med ikke-kritiske systemer og skaler gradvis. (NIST SP 800-207, 2020)
Hva er forskjellen på zero trust for IT og zero trust for OT?
Tre hovdforskjeller: (1) OT zero trust ma tolerere legacy-enheter som ikke kan delta i identitetsprotokoller. (2) OT zero trust ma ha neglisjerpbar latens pa kritiske kontrollbaner. (3) OT zero trust ma ha fallback-mekanismer som sikrer produksjonskontinuitet ved autentiseringsfeil. IT zero trust kan designes mer stringent uten disse begrensningene. (Dragos, 2025)
Er zero trust nodvendig i tillegg til nettverkssegmentering?
Ja. Nettverkssegmentering begrenser lateral bevegelse mellom soner, men stoler pa at alt innenfor en sone er sikkert. Zero trust eliminerer denne antagelsen og krever verifisering ogsa innad i soner. Kombinasjonen av god nettverkssegmentering og zero trust-prinsipper for autentisering og autorisasjon gir den sterkeste sikkerhetsposisjonen. (NIST, 2024)
Hva er NAC og hvordan brukes det i OT?
NAC (Network Access Control) er en teknologi som verifiserer at enheter som kobler til nettverket er kjente, godkjente og i samsvar med sikkerhetspolicyer. I OT kan NAC brukes til a hindre ukjente enheter fra a koble seg til OT-nettverket, noe som er spesielt verdifullt ved leverandorbesok og ved kobling av ny utstyr. Implementer NAC gradvis, start med nye kolingspunkter far eksisterende enheter inkluderes. (Cisco ISE, 2025)
Konklusjon
Zero trust for OT er ikke en myte eller et uoppnaaelig ideal, det er en pragmatisk tilnarming som kan implementeres trinnvis i industrielle miljoer. Nokkelen er tilpasning til OT-realitetene: sanntidskrav, legacy-enheter og tilgjengelighetsprioritet.
Start med de grunnleggende prinsippene, sterk brukerautentisering og nettverkssegmentering, og bygg gradvis mot mer granular mikrosegmentering og enhetidentitet. Hvert steg reduserer risikoen, og det er bedre a implementere zero trust gradvis enn a vente pa en fullstendig implementering som aldri kommer.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.