Fem steg i en OT-säkerhetsbedömning

En strukturerad OT-säkerhetsbedömning följer fem tydliga steg. Varje steg bygger på det föregående och producerar dokumenterade resultat som utgör underlaget för åtgärdsplanen. Tidsåtgången varierar men en medelstor industriell anläggning kräver typiskt 4-8 veckor för en fullständig bedömning.

Steg 1: Scopning och förberedelse

Scopning definierar vad som ska ingå i bedömningen. Inkluderar det alla OT-system eller ett specifikt segment? Vilka geografiska platser? Vilka leverantörers system? En tydlig scope-definition förhindrar scope creep och säkerställer att bedömningen ger ett verksamhetsrelevant resultat. Förberedelsen inkluderar också insamling av befintlig dokumentation: nätverksdiagram, systemregister och befintliga säkerhetspolicyer.

Steg 2: Tillgångsupptäckt och inventering

Passiv nätverksanalys identifierar alla OT-tillgångar i scope-miljön. Verktygen speglar nätverkstrafiken och identifierar enheter utan att skicka aktiva förfrågningar. Resultatet är en komplett tillgångsinventering med enhetstyp, firmware-version, kommunikationsprotokoll och nätverksposition. För många organisationer är detta den första fullständiga inventering de genomför.

Steg 3: Sårbarhetsanalys och hotmodellering

Identifierade tillgångar matchas mot kända sårbarheter i databaser som ICS-CERT-råd, CVE och leverantörers säkerhetsbulletiner. Hotmodellering kartlägger realistiska attackvägar mot kritiska system. STRIDE-metodiken (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) anpassad för OT ger strukturerad hotanalys. Varje sårbarhet värderas baserat på exploaterbarhet, exponering och konsekvens.

Steg 4: Granskning av säkerhetskontroller

Kontrollgranskning jämför befintliga säkerhetskontroller mot valda ramverk, typiskt IEC 62443 eller NIST 800-82. Granskas gör: nätverkssegmentering och firewallregler, åtkomsthantering och autentisering, loggning och monitorering, incidentresponsrutiner och fysisk säkerhet. Granskningen genomförs via intervjuer med drifts- och säkerhetspersonal, dokumentgranskning och passiv nätverksanalys.

Steg 5: Riskrapport och åtgärdsplan

Den avslutande riskrapporten presenterar fynd, riskvärdering och prioriterade åtgärder. Fynd kategoriseras i kritiska, höga, medelstora och låga risker. Åtgärdsplanen specificerar rekommenderade kontroller, uppskattad tidsåtgång och förväntad riskreduktion. En bra rapport är ett verksamhetsdokument som kan presenteras för ledning och styrelse, inte bara ett tekniskt appendix.

[CHART: Matris för riskrankning i OT-säkerhetsbedömning - exploaterbarhet x konsekvens - källa: IEC 62443]

Intern eller extern bedömning: vad passar er?

Interna OT-bedömningar drar nytta av djup systemkännedom men riskerar blinda fläckar och normalisering av brister. Externa bedömningar ger objektiv syn men kräver längre inlärningsfas. En kombinationsmodell, intern förberedelse och datainsamling kombinerat med extern analys och validering, ger ofta bäst resultat. För regulatorisk efterlevnad under NIS2 accepterar MSB i regel externa bedömningar som del av revisionsunderlaget.

[PERSONAL EXPERIENCE] I vår erfarenhet ger externa bedömare konsekvent en mer komplett bild av riskbilden, eftersom de inte är präglade av organisationens interna antaganden om vad som är normalt. Det vanligaste fyndet i externa OT-bedömningar är inte tekniska brister utan otillräcklig dokumentation och otydliga ansvarsförhållanden.

Hur kopplar OT-bedömningen till NIS2-efterlevnad?

NIS2-direktivet, implementerat i svensk lag 2025, kräver att operatörer av samhällsviktiga tjänster genomför och dokumenterar riskanalyser för sina nätverks- och informationssystem, inklusive OT-system. En strukturerad OT-säkerhetsbedömning uppfyller detta krav när den dokumenteras korrekt och kopplas till genomförda åtgärder (MSB, 2025).

MSB har publicerat vägledning för hur NIS2-riskanalysen ska genomföras och dokumenteras. Bedömningar baserade på IEC 62443 eller NIST 800-82 accepteras som metodik. Viktigt är att bedömningen inte är ett statiskt dokument, den ska uppdateras när hotbilden eller systemkonfigurationen förändras.

NIS2 och OT-säkerhet: efterlevnadsguide

Vanliga frågor om OT-säkerhetsbedömningar

Hur lång tid tar en OT-säkerhetsbedömning?

En fullständig bedömning av en medelstor industriell anläggning tar typiskt 4-8 veckor, inklusive planering, datainsamling, analys och rapportskrivning. En riktad bedömning av ett specifikt segment, som SCADA-nätverksarkitektur eller fjärråtkomstsäkerhet, kan genomföras på 2-3 veckor. Tidsåtgången påverkas av anläggningens storlek, dokumentationsstatus och tillgång till nyckelpersoner.

Stör bedömningen produktionen?

En korrekt genomförd OT-säkerhetsbedömning stör inte produktionen. Passiv nätverksanalys, dokumentgranskning och intervjuer påverkar inte OT-system. Om aktiva tekniska tester krävs, exempelvis validering av firewallregler, sker det i samordning med driftansvarig och under kontrollerade former utanför produktionstid.

Vad kostar en OT-säkerhetsbedömning?

Kostnaden varierar beroende på scope och anläggningens komplexitet. En enklare riktad bedömning för ett SMF kan kosta 150 000-300 000 kronor. En fullständig bedömning av en komplex industriell anläggning med hundratals OT-tillgångar kan kosta 500 000-1 500 000 kronor. Jämför det med den genomsnittliga kostnaden för en OT-ransomware-incident på 4,7 miljoner dollar.

Sammanfattning

En OT-säkerhetsbedömning är investeringen som ger er en objektiv bild av var ni faktiskt befinner er säkerhetsmässigt, inte var ni tror att ni befinner er. Med det underlaget kan ni prioritera rätt åtgärder baserat på verklig risk, uppfylla NIS2-kraven och bygga ett säkerhetsarbete som faktiskt gör skillnad.

Börja med att definiera scope, samla in befintlig dokumentation och välj rätt verktyg för tillgångsupptäckt. Resten av processen följer naturligt därifrån.

Opsio OT-säkerhetstjänster