Hotbilden mot svensk tillverkningsindustri

Svensk tillverkningsindustri är ett attraktivt mål av flera skäl. Sverige har starka globala industriföretag med högt ekonomiskt värde och tillgång till avancerad produktionsteknik av intresse för industrispionage. MSB identifierar tillverkningsindustrin som en av de mest utsatta sektorerna i Sverige, med dokumenterade intrång hos minst tre stora industriföretag under 2024 (MSB, 2024).

Industrispionage är ett specifikt hot mot svensk tillverkning. Tillverkningsprocesser, produktformler, produktionsrecept och komponentspecifikationer för avancerade produkter har ett högt värde för konkurrenter. APT-grupper kopplade till statliga industrispionageprogram söker aktivt dessa data i OT-historian-servrar och engineeringssystem.

Lärdomar från Volvo, SSAB och Scanias OT-säkerhet

Stora svenska industriföretag är föregångare inom OT-säkerhet, drivna av regulatoriska krav, försäkringskrav och insikter från egna säkerhetsincidenter. Volvo Group, Scania och SSAB är alla certifierade mot eller implementerar delar av IEC 62443 i sina tillverkningsanläggningar. Deras erfarenheter ger värdefulla lärdomar för bredare industrin.

En gemensam lärdom från dessa organisationers OT-säkerhetsresor är vikten av en dedikerad OT-säkerhetsfunktion, separerad från men samarbetande med IT-säkerhet. En annan lärdom är att tillgångsupptäckt alltid avslöjar fler, ofta okända, OT-enheter än organisationen förväntat sig. SSAB rapporterade i en branschpanel 2024 att deras initiala tillgångsupptäckt identifierade 40 procent fler OT-enheter än vad som fanns dokumenterat.

[PERSONAL EXPERIENCE] I arbetet med svenska tillverkningsföretag ser vi ett konsekvent mönster: de mest mogna OT-säkerhetsprogrammen startade med en incident eller en nära-miss. Vi rekommenderar starkt att inte vänta på den incidenten utan göra en proaktiv bedömning.

Ransomware i tillverkning: kostnader och konsekvenser

Ransomware mot tillverkningsföretag har direkta, mätbara ekonomiska konsekvenser. Coveware rapporterar att den genomsnittliga produktionsstopp-kostnaden vid en OT-ransomware-attack i tillverkning uppgår till 1,1 miljoner dollar per dag, exklusive lösenbetalning, IT-återställning och regulatoriska böter (Coveware, 2024).

Norsk Hydro, ett av de mest dokumenterade exemplen, drabbades av ransomware i mars 2019. Aluminium-tillverkaren valde att inte betala lösen och återställde systemen manuellt under tre veckor. Den totala kostnaden uppskattades till 71 miljoner dollar, inklusive produktionsbortfall, IT-återställning och ökade kostnader för manuell drift. Händelsen ledde till ett massivt OT-säkerhetsprogram och blev en referenspunkt för industrin.

Vilka OT-säkerhetsåtgärder passar tillverkare bäst?

Tillverkningsanläggningars specifika karaktär, med kontinuerliga processer, skiftarbete och höga krav på driftkontinuitet, påverkar vilka OT-säkerhetsåtgärder som är praktiskt genomförbara. CISA:s sektor-specifika vägledning för tillverkning 2024 identifierar fem prioriterade åtgärder för industrisektorn (CISA, 2024).

Prioritet 1: Nätverkssegmentering med industriell brandvägg between IT och OT. Prioritet 2: Tillgångsupptäckt och passiv nätverksövervakning anpassad för tillverkningsprotokoll som PROFINET och EtherNet/IP. Prioritet 3: Säker fjärråtkomst med MFA för leverantörsunderhåll. Prioritet 4: OT-specifika incidentresponsplaner med inbyggd produktionssäkerhet. Prioritet 5: Leverantörssäkerhetsgranskning för systemintegratörer och underhållsleverantörer.

NIS2 och tillverkningssektorn i Sverige

NIS2-direktivet utvidgar sin täckning till tillverkningssektorn jämfört med det ursprungliga NIS-direktivet. Tillverkare av kritiska produkter, medicinteknik, kemi och livsmedel inkluderas som viktiga entiteter med NIS2-krav. MSB förtydligar att företag med mer än 50 anställda och mer än 10 miljoner euro i omsättning i dessa sektorer är bundna av NIS2:s säkerhetskrav (MSB, 2025).

NIS2-kraven för tillverkare inkluderar riskhantering för OT-system, säkerhetskrav i leverantörsavtal, incidentrapportering till MSB inom 24 timmar och tekniska säkerhetsåtgärder som nätverkssegmentering och åtkomstkontroll. Bristande efterlevnad kan leda till böter och, för väsentliga entiteter, tillfälligt verksamhetsförbud.

Vanliga frågor om OT-säkerhet i tillverkning

Stör OT-säkerhetsverktyg produktionen?

Passiva OT-säkerhetsverktyg designade för industriella miljöer påverkar inte produktionen. De analyserar nätverkstrafiken utan att skicka aktiva paket till OT-enheter. Aktiva åtgärder, som firewallregeluppdateringar och patchning, koordineras med produktionsplaneringen och genomförs under underhållsfönster. Säkerhetsimplementering ska aldrig äventyra produktionsstabiliteten.

Hur hanterar man OT-säkerhet i äldre fabriker med legacy-system?

Legacy-system i tillverkning skyddas primärt med kompensatoriska kontroller: nätverkssegmentering som isolerar dem från exponerade nät, applikationsvitlistning som förhindrar körning av obehörig kod, passiv nätverksövervakning och strikt åtkomstkontroll. Kompensatoriska kontroller ersätter inte en uppdatering, men de reducerar riskexponeringen avsevärt tills modernisering är möjlig.

Vad är den vanligaste ingångspunkten för attacker mot tillverkningsföretag?

Dragos identifierar fjärråtkomst för leverantörsunderhåll som den vanligaste ingångspunkten i tillverkningssektorn, följt av phishing mot ingenjörer och operatörer. Kontroll av tredjepartsåtkomst, inklusive krav på MFA och logning av alla sessioner, är den viktigaste åtgärden för att stänga denna vektor.

Sammanfattning

Tillverkningssektorn är mer utsatt för OT-cyberattacker än någon annan sektor, och digitaliseringen ökar den exponeringen varje år. Svenska tillverkare har mycket att vinna på att lära från branschledare som Volvo och SSAB och bygga strukturerade OT-säkerhetsprogram baserade på IEC 62443.

Börja med tillgångsupptäckt för att förstå vad som finns i era OT-nätverk. Implementera nätverkssegmentering och kontrollera fjärråtkomst. Dessa tre åtgärder ger den största riskreduktionen för minsta investering och förbereder er för NIS2-efterlevnad.