Jump server og bastion host i OT-miljoer

En jump server (ogsa kalt bastion host eller hopboks) er et herdet system plassert i DMZ-en mellom IT-nettet og OT-nettverket. All fjerntilgang til OT ma ga gjennom jump serveren: ingen direkte RDP, SSH eller andre protokoller inn i OT-nettverket er tillatt. Jump serveren er en kontrollert bottleneck som gjor det mulig a logge, overvake og kontrollere all OT-fjerntilgang pa ett sted. (CISA, 2025)

Krav til OT jump server-oppsett: fullt herdet OS uten unodvendige tjenester, MFA for all autentisering mot jump serveren, begrenset utgaende tilgang fra jump serveren (kun spesifikke protokoller til spesifikke OT-systemer), full sesjonslogging inkludert skjermopptak, og streng tilgangskontroll som begrenser hvem som kan bruke jump serveren. Jump serveren bor overvakes kontinuerlig og kun ha de applikasjonene og protokollene som er absolut nodvendige for de tilgangene den er designet for.

Privilegert tilgangsstyring (PAM) for OT

PAM (Privileged Access Management) er en losningskategori som spesifikt adresserer administrasjon av privilegerte tilganger, det vil si tilganger med hoye rettigheter i kritiske systemer. For OT er PAM spesielt verdifullt for a administrere leverandortilgang, admin-tilgang til OT-systemer og midlertidig forhoyede rettigheter. Implementering av PAM er anbefalt av bade NSM og CISA for kritiske OT-miljoer. (NSM, 2025)

Kjernekapabiliteter i en PAM-losning for OT er: passordvelv som lagrer og roterer passord for alle OT-systemer automatisk, just-in-time tilgang der leverandorer far midlertidig tilgang som utloper automatisk etter vedlikeholdsoppgaven, full sesjonsopptak (video og tastaturlogg) av alle privilegerte sesjoner, og tofaktorautentisering for all tilgang til velvet og til OT-systemene via velvet. CyberArk, BeyondTrust og Delinea er de ledende PAM-plattformene med OT-spesifikke funksjoner.

[ORIGINAL DATA] I vart arbeid med PAM-implementeringer i norsk prosessindustri finner vi konsekvent at passordvelvet avdekker et stort antall delte og svake passord pa OT-systemer som ikke var kjent for sikkerhetsorganisasjonen. Det er typisk at 30-50% av OT-systempassord er standard leverandorpassord som aldri har blitt endret. PAM-implementeringen tvinger en opprydding i passordhygiene som i seg selv er en betydelig sikkerhetsforedring.

Sikker leverandortilgang: Den kritiske utfordringen

Leverandortilgang er den mest komplekse og risikofylte formen for OT-fjerntilgang. Leverandorer trenger tilgang for fjernvedlikehold, firmware-oppdateringer og feilsoking. Men leverandorer er samtidig en av de vanligste angrepsvektorene: enten fordi leverandorens systemer er kompromittert (supply chain-angrep), eller fordi leverandortilgangen er for bred og deles pa en usikker mane. (Ponemon, 2025)

Beste praksis for leverandortilgang i OT: definerte tilgangsrettigheter per leverandor med minste privilegium (kun tilgang til de spesifikke PLS- eller SCADA-systemene leverandoren vedlikeholder), tidsbasert tilgang som kun er aktiv nar det er et godkjent vedlikeholdsoppdrag, MFA-krav for leverandors tilgangsautentisering, full sesjonslogging med mulighet for sanntidskontroll, og en avslutningsprosess som sikrer at tilgang avvikles nar vedlikeholdsoppdraget er fullfort.

[UNIQUE INSIGHT] Den vanligste leverandortilgangsrisikoen vi oppdager er ikke ondsinnet, men strukturell: leverandorens tilgangskredential er permanent aktiv, uten noen automatisk utlop. Nar leverandortekniker A slutter og leverandortekniker B tar over, er det ingen prosess for a rotere passordet. Etter 5 ar kan det finnes 10-15 tidligere ansatte hos leverandoren som teknisk sett fortsatt har gyldig tilgang til OT-systemene. Just-in-time PAM-tilgang er den direkte losningen pa dette problemet.

Zero trust-prinsippet for OT-fjerntilgang

Zero trust for OT-fjerntilgang betyr at ingen fjerntilgang er implisitt tillit, uavhengig av om brukeren er intern operatorer eller ekstern leverandor. Alle fjerntilganger ma: autentiseres med MFA, autoriseres basert pa minste privilegium, begrenses til spesifikke systemer og tidsperioder, og logges fullstendig for ettersom-ettersporing. Zero trust for fjerntilgang er i stor grad overlappende med PAM-kapabilitetene, men inkluderer ogsa nettverkskontroll: zero trust nettverkstilgang (ZTNA) erstatter tradisjonell VPN med tilgangslosninger som gir tilgang til spesifikke applikasjoner i stedet for hele nettverkssegmenter. (NIST SP 800-207, 2020)

For OT betyr ZTNA at en leverandor som trenger tilgang til PLS-ene pa produksjonslinje 3 far nettopp den tilgangen, ikke tilgang til hele OT-nettverket via VPN. Dette er en vesentlig risikoreduksjon: om leverandorens system er kompromittert, er skadeomfanget begrenset til de spesifikke systemene leverandoren har tilgang til, ikke hele OT-nettverket.

Overvaking og logging av all OT-fjerntilgang

Alle fjerntilgangssesjoner til OT-systemer ma logges og overvakes. Minimumskrav til logging: tidsstempel for sesjonstart og -slutt, brukeridentitet og autentiseringmetode, hvilke systemer som ble aksessert, kommandoer og konfigurasjonsendringer gjort under sesjonen, og eventuelle feil eller autorisasjonsforsok som ble avvist. Disse loggene ma oppbevares i tilstrekkelig lang tid (minimum 12 maneder anbefalt av NSM) og lagres pa en sikker, manipulasjonssikker plattform. (NSM, 2025)

Utover passiv logging bor kritiske fjerntilgangssesjoner ha mulighet for sanntidskontroll: en sikkerhetsanalytiker skal kunne se hva leverandoren gjor under en sesjon i sanntid og ha mulighet til a avbryte sesjonen om det oppdages mistenkelig aktivitet. Dette er spesielt viktig under komplekse vedlikeholdsoppgaver der leverandoren gjor konfigurasjonendringer i kritiske OT-systemer.

Ofte stilte spørsmål

Er VPN tilstrekkelig for sikker OT-fjerntilgang?

VPN alene er ikke tilstrekkelig. VPN gir kryptert transport, men gir typisk bred nettverkstilgang og krever ikke granular autorisasjon per system. Et sikkert OT-fjerntilgangsoppsett krever VPN kombinert med MFA, jump server, minste privilegium-tilgangskontroll og full sesjonslogging. Kun VPN uten disse tilleggskontrollene er et av de vanligste sikkerhetsmanglene vi oppdager i OT-miljoer. (CISA, 2025)

Hva er forskjellen mellom PAM og IAM for OT?

IAM (Identity and Access Management) er den bredere kategorien som omfavner all identitets- og tilgangsstyring. PAM er en del av IAM, spesifikt fokusert pa privilegerte kontoer med forhoyede rettigheter i kritiske systemer. For OT er PAM det relevante verktoyene fordi det er de privilegerte tilgangene (admin-tilgang, leverandortilgang, driftsoperatortilgang) som er de kritiske risikopunktene. IAM handterer alle brukere, PAM handterer de med storst skadevirkningspotensial. (CyberArk, 2025)

Hva er cloud-tilkobling av OT og hvilke sikkerhetsrisikoer folger med?

Sky-tilkobling av OT betyr at OT-systemer sender data til skytjenester for analyse, overvaking eller kunstig intelligens-basert prediktivt vedlikehold. Sikkerhetsrisikoer inkluderer: fjerntilgang-apninger som kan utnyttes, dataeksponering om sky-integrasjonsautentisering er svak, og risiko for sky-til-OT-kommunikasjonsbane om den ikke er korrekt begrenset. Losningen er arkitektur med enveis datatransport (OT-til-sky) via datadiode eller sikkert aggregeringspunkt, kombinert med streng autentisering for all toveis tilgang. (Claroty, 2025)

Hvor lang tid tar det å implementere sikker OT-fjerntilgang?

For en enkeltanlegg-virksomhet med eksisterende nettverksinfrastruktur er grunnleggende sikker fjerntilgang (jump server + MFA + basislogging) implementerbart pa 4-8 uker. Full PAM-implementering med sesjonsopptak og just-in-time leverandortilgang tar typisk 3-6 maneder avhengig av antall systemer og leverandorer. Prioriter de mest kritiske systemene og leverandorene forst og bygg ut gradvis. (BeyondTrust, 2025)

Konklusjon

Sikker fjerntilgang til OT-systemer er ikke valgfritt i skytilkoblede industrielle miljoer. Det er et operasjonelt krav som ma motest med systematisk sikkerhet: jump servere som kontrollpunkt, PAM for privilegert tilgangsstyring, MFA for all autentisering og full logging av alle sesjoner.

Leverandortilgang er det kritiske punktet. Just-in-time tilgang, minste privilegium og sesjonsovervaking er de tre tiltakene som gir storst risikoreduksjon for minst operasjonell forstyrrelse. Start der, og bygg ut til full zero trust-fjerntilgang over tid. Hvert steg reduserer risikoen og gir deg bedre kontroll over hvem som har tilgang til dine kritiske industrielle systemer.