Livscykel och patchning: fundamentala skillnader

OT-system har långa livscykler, typiskt 15-30 år, med sällan tillgängliga säkerhetsuppdateringar och komplexa patchningsprocesser. IoT-enheter har kortare livscykler, 3-7 år, och uppdateras via automatiska OTA-uppdateringar (Over-The-Air). Denna skillnad påverkar säkerhetsstrategin fundamentalt: OT kräver kompensatoriska kontroller för opatchade system, medan IoT kräver ett strukturerat OTA-uppdateringsprogram och end-of-life-hantering.

En specifik utmaning är att IoT-enheter i industriella miljöer ibland behandlas som OT och därmed aldrig uppdateras. En industriell IoT-sensor med en 5-år-gammal firmware och känd kritisk sårbarhet, men behandlad som ett OT-system med lång livscykel, skapar en onödig risk som kunde elimineras med en enkel OTA-uppdatering.

IIoT: bryggan mellan OT och IoT

Industrial IoT (IIoT) beskriver IoT-enheter som deployeras i industriella miljöer för datainsamling och processoptimering. IIoT-sensorer mäter vibration, temperatur, tryck och flöde, och data skickas till analytiska plattformar för prediktivt underhåll och processoptimering. IIoT sitter i gränslandet: det är inte klassisk OT (det styr sällan processer direkt) men det är inte heller konsument-IoT (det deployeras i kritiska industriella miljöer).

IIoT-specifika säkerhetsutmaningar

IIoT skapar tre specifika säkerhetsutmaningar. Synlighetsproblem: IIoT-enheter deployeras ofta utan IT- eller OT-säkerhetsteamets kännedom, vilket skapar okänd nätverksexponering. Kommunikationsflödesutmaningen: IIoT-data skickas ofta direkt till molnet, kringgåendes OT-nätverkets säkerhetskontroller. Hanteringsansvaret: IIoT ägs ofta av driftavdelningen men deras säkerhet förbises i OT-säkerhetsprogrammet och IT-säkerhetsprogrammet.

Konsekvenser vid kompromiss: OT vs IoT

Den viktigaste praktiska skillnaden between OT och IoT ur ett säkerhetsperspektiv är konsekvenserna vid kompromiss. En komprometterad OT-styrenhet kan orsaka fysisk skada, produktionsstopp, miljöutsläpp eller personskada. En komprometterad IoT-temperatursensor orsakar typiskt dataintrång, potentiell privacy-kränkning eller, vid aggeration, DDoS-attacker via botnäts. Konsekvensskillnaden är grunden för OT-säkerhetens kompromisslösa krav på tillgänglighet och isolering.

Undantag finns: en komprometterad IIoT-enhet i ett prediktivt underhållssystem som manipulerar sensordata kan indirekt orsaka produktionsskador om falska mätvärden leder till felaktiga underhållsbeslut. Gränslinjen är inte alltid tydlig, och riskbedömning ska göras för varje IIoT-enhet baserat på dess funktionella koppling till OT-processer.

Hur skyddar du OT och IoT i samma industriella miljö?

En konvergerad OT/IoT-säkerhetsarchitektur i industriell miljö kräver differentierade säkerhetsstrategier baserade på enheternas funktion och risknivå. NIST SP 800-213, IoT Cybersecurity Guideline, ger kompletterande vägledning till NIST SP 800-82 för miljöer med bägge teknologierna (NIST, 2022).

Strategin inkluderar: klassificering av alla industriella nätverksenheter som OT eller IoT baserat på funktion och koppling till processstyrning. IIoT-enheter placeras i dedikerade IIoT-VLAN separerade från OT-kontrollnätverket. IIoT-kommunikation till molnet kanaliseras via säkrade proxytjänster snarare än direkt molnanslutning. OT-säkerhetsverktyg (Dragos, Claroty, Nozomi) identifierar och klassificerar automatiskt nätverksenheter.

[PERSONAL EXPERIENCE] I OT-säkerhetsbedömningar av industriella anläggningar med IIoT-implementeringar hittar vi nästan alltid att IIoT-enheter är placerade i samma nätverkssegment som OT-styrenheter, utan segmentering. Det skapar en direkt attackyta against OT-system via IIoT-enheter som ofta är direkt internetanslutna. Segmentering av IIoT i dedikerade VLAN är en prioriterad åtgärd.

Vanliga frågor om OT vs IoT-säkerhet

Kan ett IT-SOC hantera IoT-säkerhetsincidenter?

Ja, för standard IoT. IT-SOC kan hantera IoT-säkerhetsincidenter med kompletterande IoT-detekteringsverktyg och larmregler. OT-SOC krävs när IoT-incidenten har potential att påverka OT-system eller industriell process. I en industriell miljö med IIoT rekommenderas en integrerad approach där IT-SOC och OT-SOC samarbetar med tydliga gränssnitt för IIoT-incidenter.

Kräver NIS2 specifika åtgärder för IoT i industriella miljöer?

NIS2 kräver att alla nätverks- och informationssystem som stödjer samhällsviktiga tjänster säkras, vilket inkluderar IIoT-enheter i industriella miljöer som är del av OT-infrastrukturen. Specifika IoT-säkerhetskrav preciseras i EU Cybersecurity Act och, från 2024, EU Radio Equipment Directive (RED) som ställer cybersäkerhetskrav på IoT-enheter. Kombinationen av NIS2 och RED skapar ett komplett regulatoriskt ramverk för IoT i industriella miljöer.

Hur gör man en riskbedömning för IIoT-enheter i industriell miljö?

Riskbedömning av IIoT börjar med att besvara tre frågor: Har enheten direkta styrfunktioner som påverkar processen? Kommunicerar enheten med OT-styrenheter? Kan manipulerade data från enheten påverka processbeslut? Om svaret är ja på någon fråga ska enheten behandlas med OT-säkerhetsprinciper. Om nej, kan IoT-säkerhetsprinciper tillämpas. Dokumentera klassificeringen och låt den ligga till grund för nätverkssegmentering och säkerhetsåtgärder.

Sammanfattning

OT och IoT har fundamentalt olika säkerhetsarkitekturer, livscykler och konsekvenser vid kompromiss. IIoT skapar ett gränsland som kräver differentierade säkerhetsstrategier baserade på enheternas funktion. I industriella miljöer med bägge teknologierna är klassificering och segmentering grundstenen i säkerhetsarkitekturen.

Börja med att inventera och klassificera alla industriella nätverksenheter som OT, IIoT eller IoT. Segmentera IIoT i dedikerade VLAN och kanalisera molnanslutningar via säkrade proxytjänster. Det är de åtgärder som ger störst riskreduktion i konvergerade OT/IoT-miljöer.