Opsio - Cloud and AI Solutions
5 min read· 1,228 words

SCADA-Sikkerhet: Beskytte Industrielle Overvåkingssystemer i 2026

Publisert: ·Oppdatert: ·Gjennomgått av Opsios ingeniørteam
Opsio Team

SCADA-Sikkerhet: Beskytte Industrielle Overvåkingssystemer i 2026

SCADA (Supervisory Control and Data Acquisition) er nervesystemet i moderne kritisk infrastruktur. De styrer kraftnett, vannforsyning, gassrorledninger og produksjonsprosesser. Nettop fordi de er sa kritiske er de attraktive angrepsmalsettinger: 34% av alle identifiserte OT-sarbarheter i 2025 var i SCADA-komponenter (Dragos Year in Review, 2025). Industroyer, BlackEnergy og FrostyGoop er eksempler pa SCADA-spesifikk malware med dokumenterte reelle angrep. Denne guiden gir en komplett oversikt over SCADA-sikkerhet.

Viktige punkter

  • 34% av OT-sarbarheter i 2025 var i SCADA-komponenter (Dragos)
  • SCADA-systemer bruker protokoller som DNP3, IEC 60870 og Modbus uten innebygd sikkerhet
  • Sonebasert SCADA-arkitektur med DMZ er minimumskrav for forsvarlig sikkerhet
  • Harding av SCADA-servere og klienter inkluderer OS-herding, deaktivering av unodvendige tjenester og sterkt tilgangsstyring
  • Passiv overvaking med anomalideteksjon er den mest effektive deteksjonsmetoden for SCADA

Hva er SCADA og hvorfor er det et sikkerhetsmål?

SCADA-systemer samler inn data fra sensorer og feltenheter (via RTU og PLS), presenterer dataene for operatorer via HMI, og tillater operatorer a sende styringskommandoer tilbake til feltenhetene. De brukes i kraftnett (overvakning av substasjoner og belastning), olje- og gassrorledninger, vannbehandlingsanlegg og prosessanlegg. Et enkelt SCADA-system kan overvake hundrevis av lokasjoner over et stort geografisk omrade. (CISA ICS-CERT, 2025)

SCADA-systemer er attraktive angrepsmalsettinger fordi de er sentraliserte: kompromittering av ett SCADA-system kan gi tilgang til og kontroll over et helt geografisk system. Og fordi SCADA-systemer typisk kommuniserer med IT-nettverk for rapportering, er de tilgjengelige fra IT-siden av nettverket.

Vanlige SCADA-sårbarheter og angrepsvektorer

SCADA-sarbarheter fordeler seg pa tre kategorier. Plattformsarbarheter er sarbarheter i SCADA-serverens OS (Windows Server), database (MS SQL) og applikasjonskomponenter. Mange SCADA-servere kjorer pa Windows-versjoner uten sikkerhetsoppdateringer. Protokollsarbarheter er sarbarheter i SCADA-kommunikasjonsprotokollene: Modbus, DNP3 og IEC 60870-5-101 ble designet uten autentisering og kryptering. Konfigurasjonssarbarheter er svak tilgangskontroll, unodvendige tjenester aktivert og standardpassord som aldri er endret. (CISA ICS Advisory, 2025)

[UNIQUE INSIGHT] En underrapportert sarbarhetskategori er "engineering workstation exposure": de PC-ene som ingeniorer bruker til a programmere SCADA er typisk kraftige Windows-maskiner med bade OT-protokolltilgang og internettilgang. De er det svakeste leddet mellom IT og OT, og bor behandles med sarlig streng sikkerhet.

Gratis eksperthjelp

Trenger dere eksperthjelp med scada-sikkerhet?

Våre skyarkitekter hjelper dere med scada-sikkerhet — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.

Solution ArchitectAI-spesialistSikkerhetsekspertDevOps-ingeniør
50+ sertifiserte ingeniører4.9/5 kundevurdering24/7 support
Helt gratis — ingen forpliktelseSvar innen 24t

Sikker SCADA-arkitektur: Sonebasert design

En sikker SCADA-arkitektur bygger pa Purdue-modellen og IEC 62443 soneprinsippet. SCADA-servere plasseres pa Purdue-niva 2 (kontrollsoner), ikke eksponert mot IT-nettverk. All kommunikasjon mellom SCADA og IT-siden ga gjennom DMZ med data-historiker for enveis datautrekk. Fjerntilgang til SCADA gjores kun via kontrollerte jump-servere i DMZ med MFA og sesjonsopptak. (NIST SP 800-82r3, 2023)

SCADA-systemets innebygde kommunikasjon til feltenheter (RTU, PLS) skal vare i et separat feltnett (niva 1-2) uten direkte tilgang fra IT-nettverk. Enveis dataflyt fra feltnett til SCADA-server sikrer at angrep pa SCADA-serveren ikke kan spre seg til feltenheter direkte.

SCADA-herding: Konkrete konfigurasjonstiltak

SCADA-servere og klienter skal herdes (hardenes) for a fjerne unodvendige angrepspunkter. Konkrete hardningstiltak:

  • OS-herding: Fjern unodvendige Windows-roller og tjenester (IIS, SQL Express, etc.); deaktiver unodvendige nettverksdelinger; aktiver Windows Defender eller tilsvarende AV
  • Tilgangskontroll: Prinsipp om minste privilegium; separate kontoer for operatortilgang og administratortilgang; deaktiver lokale administratorkontoer
  • Nettverkstjenester: Deaktiver RDP om ikke strengt nodvendig; fjern TeamViewer, VNC og andre fjernstyringsverktoy som ikke er godkjent
  • USB-kontroll: Deaktiver USB-porter pa SCADA-servere; bruk gruppepolicyer for a blokkere ukjente USB-enheter
  • Patchniva: Patching i planlagte vedlikeholdsvindu; virtual patching for kritiske sarbarheter som ikke kan patches umiddelbart

SCADA-protokollsikkerhet: DNP3, IEC 60870 og IEC 61850

SCADA-protokoller designet for industri har begrensede innebygde sikkerhetsfunksjoner. DNP3, brukt i energisektoren, har DNP3 Secure Authentication (SA) som muliggjor meldingsautentisering uten a kreve kryptering av alle meldinger. IEC 60870-5-104 (telecontrol for kraftsektoren) mangler innebygd kryptering og autentisering i grunnversjonen. IEC 61850, nyere standard for digitale substasjoner, har bedre innebygde sikkerhetsfunksjoner men krever aktiv konfigurasjon. (NERC CIP, 2024)

For SCADA-kommunikasjon som ikke kan krypteres pa protokollniva, bruk VPN-tunnel eller kryptert overforsel pa nettverksniva mellom SCADA-servere og RTU/PLS. Applikasjonslag-proxy i DMZ kan ogsa gi ekstra lag av kontroll over SCADA-kommunikasjonen.

Sikker fjerntilgang til SCADA-systemer

Fjerntilgang til SCADA er nodvendig for leverandorsupport og drift av geografisk spredte systemer. Men direkte eksponering av SCADA-systemer pa internett er en kritisk risiko. Shodan, soksemotoren for internett-tilkoblede enheter, indekserer jevnlig SCADA-grensesnitt eksponert pa internett, inkludert norske anlegg. (Shodan, 2025)

Sikker fjerntilgang til SCADA krever: VPN med MFA som inngangspunkt, deretter jump-server i DMZ med sesjonsopptak, og derfra begrenset tilgang til SCADA. Leverandorer skal ha egne, begrensede tilgangskontoer som deaktiveres automatisk nar support-oppdrag er avsluttet. Tilgang skal logges komplett, inkludert tastaturinntasting og skjermopptak.

SCADA-overvåking og anomalideteksjon

Kontinuerlig overvaking av SCADA-nettverkstrafikk gir mulighet for a oppdage anomalier som kan indikere kompromittering. Passiv overvaking med verktoy som Dragos eller Claroty analyserer SCADA-protokolltrafikk og varsler pa avvik fra normal atferd, for eksempel uventede Modbus write-kommandoer eller nye nettverkstilkoblinger til SCADA-servere. (Dragos, 2025)

[PERSONAL EXPERIENCE] I OT-sikkerhetsprosjekter finner vi konsekvent at baselining av normal SCADA-atferd er det viktigste trinnet for effektiv anomalideteksjon. Uten en baseline er alle varsler potensialt falske positiver. Ta deg tid til a etablere en god baseline (minst 2-4 uker med normal drift) for aktiverer anomalivarsling.

Patch-management for SCADA uten nedetid

SCADA-systemer i kritisk infrastruktur kan ikke patches uten a involvere driftsorganisasjonen. Patching krever planlagte vedlikeholdsvindu (typisk nattetid eller helg), testing av patches i testmiljo for produksjonsinstallasjon, og leverandorgodkjenning av patches der leverandoren krever dette. 40% av SCADA-sarbarheter i 2025 hadde patches tilgjengelig men ikke installert (Dragos, 2025), noe som viser at patch-management er en konkret utfordring.

For sarbarheter som ikke kan patches umiddelbart, bruk virtuell patching: brannmurregler eller IDS-regler som blokkerer kjente exploitforsok uten a patche selve systemet. Dette er en midlertidig losning inntil properr patching kan gjennomfores.

Ofte stilte spørsmål om SCADA-sikkerhet

Hva er forskjellen mellom SCADA og DCS?

SCADA (Supervisory Control and Data Acquisition) er typisk geografisk distribuert og overvaker mange lokasjoner over store omrader via kommunikasjonsnettverk. DCS (Distributed Control System) er lokalt distribuert innenfor ett anlegg og gir tett, sanntids prosesskontroll. SCADA er vanlig i kraftnett og rorledninger, DCS i raffinaderier og prosessanlegg. Sikkerhetsprinsippene er like, men drifts- og tilgangsmonstere er ulike. (ISA, 2022)

Kan SCADA-systemer patche mens de er i drift?

Sjelden, og aldri uten grundig planlegging. De fleste SCADA-systemer krever omstart for patches, noe som betyr nedetid. Leverandorer krever ofte sertifisering av patches for de er godkjent for SCADA-systemer. Plan alltid patching for vedlikeholdsvindu i samarbeid med driftsorganisasjonen og leverandor. For sarbarheter som ikke kan vente, bruk virtuelle patchingmekanismer som mellomlosning.

Hva er Shodan og er SCADA-systemene vare synlige der?

Shodan er en soksemotor som indekserer internett-tilkoblede enheter, inkludert eksponerte SCADA-grensesnitt. Sjekk om dine SCADA-systemer dukker opp pa shodan.io via soket pa IP-adresser og portnumre. Alle funn pa Shodan skal behandles som kritiske sarbarheter: fjern internetteksponering umiddelbart og implementer VPN-basert fjerntilgang. (Shodan)

Hva er OPC-UA og er det sikkert for SCADA-integrasjon?

OPC-UA (Open Platform Communications Unified Architecture) er en moderne industriell kommunikasjonsprotokoll med innebygd sikkerhet (kryptering og autentisering). OPC-UA er det anbefalte protokollet for integrasjon mellom SCADA og IT/sky-systemer, da det gir bedre sikkerhet enn eldre protokoller som OPC-DA. Satt opp riktig er OPC-UA en god losning for sikker SCADA-dataeksport til historiker og ERP. (OPC Foundation, 2024)

Konklusjon

SCADA-sikkerhet er en komplex disiplin som kombinerer arkitekturtenkning, protokollkunnskap og operasjonell praxis. De grunnleggende prinsippene er imidlertid enkle: isolar SCADA fra IT-nettverk via DMZ, herd SCADA-servere og klienter, sikre fjerntilgang med MFA og jump-servere, og overvak kontinuerlig for anomalier.

Med SCADA-spesifikk malware som Industroyer2 og FrostyGoop i omlab er SCADA-sikkerhet ikke lenger et nisjeomrade for spesialister. Det er kjerneoppgaven for alle som drifter kritisk infrastruktur i Norge.

Om forfatteren

Opsio Team
Opsio Team

Cloud & IT Solutions at Opsio

Opsio's team of certified cloud professionals

View all articles →

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.