Statsstøttede trusselaktorer mot OT

Dragos identifiserer ni aktive statsstotte grupper som retter seg mot industrielle miljoer i 2025. De mest aktive inkluderer VOLTZITE (Kina), KAMACITE (Russland) og ELECTRUM (Russland/Iran). For Norge er spesielt russiske aktorer relevante gitt Norges geografiske naborskap og strategiske plassering i NATO. (Dragos Threat Intelligence, 2025)

NSM (Nasjonal sikkerhetsmyndighet) advarer spesifikt om okt aktivitet mot norsk energisektor og maritim infrastruktur. Norges posisjon som Europas storste gasseksportor etter Russlands invasjon av Ukraina har gjort norsk gasinfrastruktur til et strategisk mal. Hendelsen med avskjaring av undersjokabel til Svalbard i 2022 er et eksempel pa hybride trusler mot norsk infrastruktur. (NSM Trusselrapport, 2025)

Hvordan endrer AI trusselbildet for OT?

AI gjor det mulig a automatisere rekognosering i OT-nettverk pa en mate som tidligere krevde dyp domeneekspertise. AI-verktoy kan na analysere pakkedata fra OT-nettverk, identifisere sarbarheter og generere skreddersydde angrepskodr uten at angriperen forstar OT-protokollene i detalj. (SANS Institute, 2025)

[ORIGINAL DATA] Opsios trusselintelligens-team har observert okt bruk av AI-genererte phishing-epost rettet mot OT-ingeniorer og -operatorer i norsk industri. E-postene er skreddersydd med referanser til spesifikke industrielle systemer og prosesser som tidligere krevde innsideinformasjon a kjenne til. Denne utviklingen indikerer at angripere bruker AI til a skaffe kontekstuell kunnskap for mer overbevisende angrep.

Pa forsvarssiden gir AI ogsa nye muligheter: anomalideteksjon i OT-nettverk med AI/ML-modeller kan oppdage subtile avvik fra normal atferd som tradisjonelle regelbaserte systemer mister. Plattformer som Dragos, Claroty og Nozomi Networks integrerer AI-basert anomalideteksjon i sine OT-overvakingslosninger.

Norsk kritisk infrastruktur: Spesifikke risikoer

Norsk kritisk infrastruktur har tre spesifikke risikoomrader i 2026. Forst: energisektoren. Equinors offshore-installasjoner, Statnetts stronett og norske vannkraftanlegg er alle attraktive mal. Felles for dem er voksende IT/OT-integrasjon og enorm skadevirkningspotensial. (Petroleumstilsynet, 2025)

Andre: maritim sektor. Norge er en av verdens storste skipsfartsnasjoner, og automatiserte havner og skip med digitaliserte navigasjons- og styringssystemer er nye OT-malsettinger. GPS-forstyrrelser og cyberangrep mot maritim OT oker i Norskehavet.

Tredje: vannforsyning. Norske kommuner driver SCADA-baserte vannforsyningssystemer med varierende sikkerhetsmodenhet. NSM-rapporten fra 2024 identifiserte kritiske sarbarheter i norske kommunale SCADA-systemer for vann og avlop.

OT-spesifikk malware å kjenne til

Kunnskap om OT-spesifikk malware er viktig for forsvarstilpasning. De mest relevante i 2026:

• Industroyer2 (2022): Russisk statssponset malware som retter seg mot ukrainsk elektrisitetsinfrastruktur. Bruker IEC 104-protokollen for direkte angrep pa SCADA-systemer
• FrostyGoop (2024): Malware som utnyttet ENIP/CIP-protokollen for a manipulere industrivarmesystemer i Ukraina og forse over 600 leiligheter uten varme
• Triton/TRISIS (2017-): Statssponset malware som retter seg mot Safety Instrumented Systems (SIS), selve sikkerhetstiltakene i kjemiske og petrokjemiske anlegg. Dets utbredelse forblir en alvorlig trussel
• PIPEDREAM/Incontroller (2022): Modulart rammeverk for angrep pa en rekke OT-protokoller, avslort av CISA og Schneider Electric

(CISA ICS-CERT Advisory, 2024)

Hva er de mest effektive forsvarstiltakene?

Mot det aktuelle trusselbildet er de fem mest effektive forsvarstiltakene: nettverkssegmentering med DMZ som hindrer lateral bevegelse fra IT til OT; kontinuerlig overvaking med OT-bevisst deteksjon som kan oppdage angrep som Industroyer2 og FrostyGoop; herding av fjerntilgang med MFA og minste privilegium; eiendelsoppdagelse for a vite hva som er eksponert; og regelmassigg OT-spesifikk trusselintelligens for a holde seg oppdatert pa nye trusler. (Dragos, 2025)

For Safety Instrumented Systems (SIS) er fysisk nettverksseparasjon (ikke bare logisk segmentering) den eneste tilstrekkelige beskyttelsen mot Triton-lignende angrep. SIS skal aldri vare tilkoblet OT-nettverket uten eksplisitt risikovurdering og godkjenning.

Ofte stilte spørsmål

Er norske energiselskaper reelle mål for statsstøttede aktorer?

Ja. NSM-trusselvurderingen for 2025 eksplisitt navngir norsk energisektor som et primart mal for statsstotte russiske og kinesiske aktorer. Norges rolle som storleverandor av naturgass til Europa og Norges NATO-medlemskap gjor norsk energiinfrastruktur strategisk viktig. (NSM Trusselrapport 2025)

Kan losepengeangrep faktisk skade fysisk OT-utstyr?

Ja, i to scenarioer. Forst ved direkte manipulasjon av prosessparametere (sjelden, men mulig med avansert malware som PIPEDREAM). Andre ved at gjenoppstarting av krypterte systemer skjer feil og forstyrrer prosesser som krever kontrollert nedstengning. Fysisk skade pa utstyr er dokumentert ved industrielle sikkerhetsbrudd. (Dragos, 2024)

Hva er forskjellen på hacktivister og statsstøttede aktorer i OT-kontekst?

Hacktivister retter seg mot OT for synlig forstyrrelse, men mangler typisk teknisk dybde for avanserte OT-angrep. Statsstotte aktorer har langtidsperspektiv, soper tid pa rekognosering, og har ekspertise pa OT-protokoller og industrielle prosesser. Kombinasjonen der statsstotte aktorer bruker hacktivistfasade er ogsa dokumentert. (Mandiant, 2025)

Hvordan holder vi oss oppdatert på OT-trusselintelligens?

Abonner pa: CISA ICS-CERT advisories (gratis), Dragos Year in Review (gratis), NSMs trusselrapporter (gratis), og for betalte losninger Dragos Platform eller Claroty med innebygd trusselintelligens. ISAC-er (Information Sharing and Analysis Centers) for energi- og industrisektorene er ogsa verdifulle kilder for sektorspassert trusselintelligens.

Konklusjon

OT-trusselbildet i 2026 er mer alvorlig og komplekst enn i noe tidligere ar. Kombinasjonen av profesjonalisert losepengekriminalitet, statsstotte aktorer og AI-assisterte angrep representerer en kvalitativ heving av trusselnivaret. For norske industrivirksomheter er dette ikke en hypotetisk framtidig utfordring, det er dagens virkelighet.

Det gode budskapet er at forsvarstiltakene er kjente: nettverkssegmentering, eiendelsoppdagelse, kontinuerlig overvaking og god hendelsesresponsplanlegging. Det er ikke mangel pa losninger som er problemet. Det er prioritering og implementering.