3. Tilgangskontroll og privilegert tilgang

Privilegert tilgangsstyring (PAM) for OT-systemer er kritisk. Over 60% av OT-sikkerhetsbrudd involverer misbruk av privilegert tilgang (CrowdStrike Global Threat Report, 2025). Prinsippet om minste privilegium, der brukere og systemer bare har tilgang til det de strengt tatt trenger, skal gjelde ogsa i OT. Fjerntilgang til OT-systemer skal alltid krave MFA (multifaktorautentisering) og ga gjennom dedikerte jump-servere med logging.

Leverandortilgang er et sarlig viktig omrade. Mange OT-leverandorer krever fjerntilgang for support, men denne tilgangen er ofte bredere enn nodvendig og mangler tilstrekkelig logging. Implementer leverandorspesifikke tilgangskontoer med tidsbasert tilgang og full sesjonsopptak.

4. Sårbarhetshåndtering tilpasset OT

Tradisjonell patch-og-scan-tilnarming fungerer ikke i OT. OT-systemer kan ikke patches uten planlagte nedetidsvindu, og noen leverandorer krever full sertifisering av oppdateringer. Sarbarhetshardtering i OT krever en risikobasert tilnarming: identifiser de mest kritiske sarbarheten, vurder kompenserende tiltak (virtuell patching, nettverksisolasjon) og planlegg patching for neste vedlikeholdsvindu. (CISA ICS-CERT, 2025)

CISA's KEV (Known Exploited Vulnerabilities)-katalogen er et godt utgangspunkt for prioritering. Sarbarheter med kjent utnyttelse i naturen skal behandles med hoy prioritet, selv i OT. Abonner pa leverandorspesifikke security advisories for dine OT-systemer.

5. Sikker fjerntilgang

Pandemi-arene normaliserte fjerntilgang til OT-systemer, men mange virksomheter implementerte dette uten tilstrekkelig sikkerhet. VPN-losninger beregnet for IT-bruk er ikke alltid egnet for OT, da de kan gi bred nettverkstilgang. Dedikerte OT-fjerntilgangslosninger som Claroty xDome Remote Access, Tosibox eller Zscaler Private Access gir sessionsspesifikk tilgang uten a eksponere hele OT-nettverket. (Claroty, 2024)

All fjerntilgang skal logges og overvakes. Implementer "just-in-time" tilgang der tilgangsrettigheter aktiveres for en spesifikk sesjon og automatisk deaktiveres etter. Dette begrenser angrepsvinduet betraktelig.

6. Kontinuerlig overvaking og trusseldeteksjon

Gjennomsnittlig tid fra inntrenging til deteksjon i OT-miljoer er 197 dager (IBM Cost of a Data Breach Report, 2025). Kontinuerlig overvaking med OT-bevisste deteksjonsverktoy kan redusere denne dramatisk. OT-spesifikke SIEM-regler og anomalideteksjon basert pa baselining av normal nettverksatferd er de to hovedelementene. Varsler skal ogsa verifiseres mot OT-kontekst, da mange IT-baserte varsler er falske positiver i OT-miljoer.

Et OT-SOC, enten internt eller som managed service, gir 24/7 overvaking med OT-kompetanse. Dragos og Claroty tilbyr managed detection and response spesielt for OT-miljoer.

7. Hendelsesresponsplan for OT-miljøer

En hendelsesresponsplan (IRP) for OT ma vare forskjellig fra IT-planen. OT-IRP ma definere nar det er akseptabelt a stenge et system, hvem som har myndighet til a ta den beslutningen, og hvordan produksjonen kan opprettholdes under en hendelse. Planen ma ogsa adressere fysisk sikkerhet og koordinering med driftsorganisasjonen. (CISA, 2023)

Tabletop-ovelser spesifikt for OT-scenarioer er kritisk. Disse ovelsene avdekker gap i planen og sikrer at alle relevante parter, IT-sikkerhet, OT-drift, ledelse og leverandorer, vet sin rolle. Test planen minst arlig og etter vesentlige endringer i miljoet.

8. Backup og gjenopprettingsplaner

OT-backup er mer komplekst enn IT-backup. PLS-konfigurasjoner, engineeringprosjektfiler og HMI-screens er kritiske eiendeler som ma sikkerhetskopieres, men kan ikke enkelt gjenopprettes som standard filer. Mange virksomheter oppdager under en hendelse at de ikke har oppdaterte backuper av OT-konfigurasjonene sine. (Dragos, 2024)

En god OT-backupstrategi inkluderer: regelmassigg sikkerhetskopiering av alle PLS-programmer og konfigurasjoner, testing av gjenoppretting i testmiljo, offline oppbevaring av backuper og dokumentasjon av gjenopprettingsprosessen for hvert kritisk system. Mal for gjenopprettingstid (RTO) ma vare spesifikke for hvert OT-system.

9. Leverandør- og tredjepartsstyring

62% av OT-sikkerhetsbrudd involverer en tredjepart eller leverandor (Ponemon Institute, 2025). OT-leverandorer, integratorer og vedlikeholdsfirmaer har ofte bred tilgang til kritiske systemer. Implementer formaliserte sikkerhetskrav for alle leverandorer med OT-tilgang, inkluder sikkerhetsvurdering i leverandorvalg og krev at leverandorer varsler om sarbarheter i levert programvare og utstyr.

[UNIQUE INSIGHT] En sarlig risikofaktor vi ser i norsk industri er bruk av utenlandske leverandorer til OT-support med VPN-tilgang. Disse leverandorene kan vare underlagt utenlandsk jurisdiksjon og lovgivning som krever samarbeid med fremmede etterretningstjenester. Dette er en geopolitisk risiko som ma vurderes i leverandortilgangsstyringen.

10. Sikkerhetsopplæring for OT-personell

OT-operatorer og ingeniorer er ikke naturlig sikkerhetsbevisste, og mange OT-sikkerhetsbrudd starter med menneskelige feil som phishing-klikk pa IT-siden. Sikkerhetsopplaring ma tilpasses OT-personellets arbeidshverdag og inneholde konkrete eksempler fra industrien. SANS Institute tilbyr spesialisert opplaring for ICS/OT-sikkerhet (kurser som ICS410 og ICS515) som er godt egnet for teknisk personell. (SANS ICS, 2025)

Opplaringen skal ogsa dekke sosiale angrep og fysisk sikkerhet, da OT-personell er et mal for social engineering og fysiske inntrenging. Simuleringer av phishing-angrep rettet mot OT-personell er et effektivt verktoy.

11. Fysisk sikkerhet for OT-komponenter

Cyber-fysisk sikkerhet er spesielt viktig for OT. PLS-skap og kontrollrom ma vare fysisk sikret mot uautorisert tilgang. USB-porter pa OT-systemer skal deaktiveres eller fysisk blokkeres for a hindre usikre enheter fra a introdusere malware. Industroyer-angrepene og Stuxnet brukte begge fysiske tilgang som del av angrepsvektoren. (ESET Research, 2017)

Kameraovervaking og tilgangskontroll med logging til kontrollrom og OT-netverksrom er minimumskrav. Besokende, inkludert leverandorer og revisorer, skal alltid folges av autorisert personell i OT-omrader.

12. Revisjon og compliance-overvaking

Regelmassige OT-sikkerhetsrevisjoner, enten interne eller av tredjepart, sikrer at sikkerhetstiltak faktisk fungerer som forventet. IEC 62443-sertifisering gir ekstern validering av sikkerhetsmodenhet. Digitalsikkerhetsloven krever at virksomheter i kritisk infrastruktur kan dokumentere sitt sikkerhetsarbeid overfor myndighetene. (NSM, 2025)

Kontinuerlig compliance-overvaking ved hjelp av automatiserte verktoy sikrer at konfigurasjonsdrift oppdages. Mange OT-miljoer endres gradvis over tid uten at sikkerhetskonsekvensene vurderes. En konfigurasjonsstyringsprosess som inkluderer sikkerhetsgjennomgang av alle endringer er god praksis.

Ofte stilte spørsmål

Hvilken beste praksis bor vi starte med?

Start alltid med eiendelsoppdagelse. Uten komplett inventar over OT-eiendeler er det umulig a prioritere andre tiltak riktig. Deretter er nettverkssegmentering med IT/OT-separasjon det tiltaket som gir storst umiddelbar risikoreduksjon. Disse to tiltakene alene reduserer angrepsflaten betraktelig. (CISA, 2025)

Hvordan prioriterer vi 12 beste praksiser med begrenset budsjett?

En risikobasert tilnarming er losningen: identifiser de mest kritiske systemene og de mest sannsynlige angrepsvektorene gjennom en OT-sikkerhetsrisikovurdering. Invester forst i tiltak som reduserer risikoen for de mest kritiske systemene mot de mest sannsynlige truslene. Dokumenter prioriteringene for styret. (NIST CSF, 2024)

Hva er de vanligste feilene i OT-sikkerhetsimplementering?

De tre vanligste feilene er: 1) Bruke IT-sikkerhetsverktoy uten OT-tilpasning, som kan forstyrre prosesser. 2) Manglende involvering av OT-driftsorganisasjonen i sikkerhetsplanlegging. 3) Fokus pa teknologi uten tilstrekkelig oppmerksomhet pa prosesser og menneskelig atferd. Alle tre feilene bidrar til sikkerhetslosninger som ikke fungerer i praksis.

Hvor ofte bor OT-sikkerhetspolicyer oppdateres?

Minimum arlig revisjon, og ved vesentlige endringer i miljoet, trusselbildet eller regulatoriske krav. Digitalsikkerhetsloven stiller krav om regelmassigg gjennomgang av sikkerhetspolicyer. NSMs retningslinjer anbefaler at kritiske sikkerhetsrutiner gjennomgas minst hvert halvar. (NSM, 2025)

Konklusjon

Ingen av disse 12 praksisene er rakett-vitenskap, men kombinert representerer de en moden OT-sikkerhetsposisjon. Virksomheter som implementerer disse systematisk reduserer risikoen for vellykkede angrep betydelig. Det viktigste er a starte, og a starte med det rette: en komplett oversikt over OT-eiendelene dine.

OT-sikkerhet er ikke et engangsprosjekt, det er et kontinuerlig program som krever jevnlig oppmerksomhet og ressurser. Digitalsikkerhetsloven og IEC 62443 gir rammeverket. Det gjenstår a fylle det med praktisk handling.