OT-kontroll handler ikke bare om sikkerhet
De fleste virksomheter med OT-miljøer har et sikkerhetsprogram. Færre har kontroll. Og de siste årenes alvorligste OT-hendelser startet sjelden med et avansert angrep. De startet med manglende oversikt over hva som fantes i nettverket, ukontrollerte leverandørtilganger som ingen hadde fulgt opp, eller uklart eierskap mellom IT og OT som ingen hadde tatt tak i. Kontroll i OT starter ikke med teknologi. Det starter med oversikt og struktur.
Hva betyr egentlig «kontroll» i et OT-miljø?
I IT-sammenheng er kontroll gjerne definert gjennom tilgangsstyring, logging og hendelseshåndtering. I OT er det mer sammensatt.
Et OT-miljø med reell kontroll kjennetegnes av fire ting:
- Synlighet: du vet hva som finnes i nettverket ditt – inkludert enheter som har vært der i 15 år uten å stå i noe register
- Struktur: det er definert hvem som eier hva, hvem som kan gjøre endringer, og hvilke prosesser som gjelder
- Styring: endringer, tilganger og leverandørforhold håndteres systematisk – ikke ad hoc
- Etterlevelse: kravene fra relevante standarder og regulatorisk rammeverk er forstått, prioritert og under arbeid
Det er ikke uvanlig å ha god sikkerhetsteknologi på plass og likevel mangle kontroll på alle fire punktene.
Hvorfor OT-kontroll er annerledes enn IT-kontroll
OT-miljøer har egenskaper som gjør standard IT-tilnærminger utilstrekkelige:
Lange levetider og legacy-utstyr. En PLC som ble installert for 20 år siden er kanskje ikke patchbar, støtter ikke moderne autentisering, og finnes ikke i noe oppdatert register. Men den er fortsatt kritisk for produksjonen.
Tilgjengelighet trumfer alt. I IT kan du stenge en tjeneste for vedlikehold. I OT kan nedetid bety stans i produksjon, sikkerhetshendelser eller direkte tap. Det betyr at sikkerhetstiltak, inkludert kontrollmekanismer, må tilpasses driftskonteksten.
Leverandøravhengighet er strukturell. Mange OT-systemer leveres av spesialiserte leverandører med egne remote access-løsninger, egne protokoller og egne oppdateringsrutiner. Kontrollen over disse forbindelsene er ofte uklar.
Ansvarsfordelingen er historisk uklar. OT-systemer har tradisjonelt vært driftens ansvar. IT-sikkerhet har ikke hatt mandat inn i OT. Resultatet er gjerne et vakuum der ingen egentlig eier OT-sikkerheten.
De tre vanligste kontrollproblemene vi møter
Basert på erfaringer fra OT-miljøer i norsk industri, energi og maritim sektor er dette de tre temaene som oftest er uavklart, uavhengig av sektortilhørighet eller virksomhetsstørrelse:
1. Asset-oversikt som ikke reflekterer virkeligheten
De fleste virksomheter har et register over alle enhetene sine. De færreste har et register som er oppdatert og komplett. Vi møter jevnlig kraftselskaper og produksjonsbedrifter som ikke kan svare på hvilke enheter som faktisk er koblet til OT-nettverket, og som oppdager dette for første gang under en passiv nettverkskartlegging. Typiske gap:
- Enheter som er koblet på for vedlikehold og aldri fjernet
- Sensorer og RTU-er som ikke er dokumentert
- Systemer med ukjent firmware-versjon og ukjent supportstatus
- Ingen kobling mellom nettverksenheter og ansvarlig driftseier
Passiv nettverksovervåkning som ikke påvirker driften, kan avdekke det faktiske bildet uten å forstyrre produksjon.
2. Leverandørtilgang uten systematisk kontroll
Vedlikeholdsleverandører trenger tilgang. Det er legitimt og nødvendig. Problemet er når denne tilgangen ikke er tidsavgrenset, ikke er logget, ikke er godkjent i forkant, eller gjøres via kanaler som ikke er kontrollert. Vi ser dette i havner, på skip og i produksjonsmiljøer: leverandøren kobler seg på via en VPN-løsning ingen lenger administrerer aktivt, og tilgangen har vært åpen i årevis.
Dette er ikke bare et sikkerhetsproblem, det er et kontrollproblem. Virksomheten vet ikke hvem som er inne i nettverket, når, og hva de gjør der.
3. Uklart eierskap og ansvar
Hvem bestemmer hva som skal endres i OT-nettverket? Hvem godkjenner en ny leverandørtilgang? Hvem håndterer en hendelse som krysser grensen mellom IT og OT?
I flere norske industrimiljøer er svaret fortsatt uklart: IT-avdelingen mener OT er produksjonens ansvar, produksjonen mener sikkerhet tilhører IT. Resultatet er et vakuum, og i vakuumet skjer det ting ingen har oversikt over.
Strukturen som gir kontroll: fem byggeklosser
Kontroll i OT bygges ikke primært gjennom ett enkelt verktøy eller én enkelt standard. Det bygges gjennom et lag av prosesser og styringsmekanismer som henger sammen.
Byggekloss 1: OT-governance
Governance handler om å svare på spørsmål som: hvem eier OT-systemene? Hva er grenseoppgangen mellom IT og OT-ansvar? Hvem har myndighet til å godkjenne endringer?
Konkret betyr det å definere roller og ansvar, etablere et styringsdokument for OT-sikkerhet, og sikre at OT er representert i virksomhetens overordnede risikoarbeid. Det må ikke bli behandlet som et isolert driftsdomene.
Byggekloss 2: Asset lifecycle management
Full kontroll på alle enheter gjennom hele levetiden, fra anskaffelse til utfasing. Det inkluderer:
- Registrering av alle enheter med firmware-versjon, support-status og ansvarlig eier
- Rutiner for innfasing av nytt utstyr (inkludert leverandørkrav)
- Plan for utfasing av legacy-utstyr med kjente sårbarheter
- Jevnlig revisjon av registeret mot det faktiske nettverksbildet
Byggekloss 3: Endringshåndtering (Management of Change)
I OT er endringer risikable. En feilkonfigurert PLC kan stoppe produksjonen. Alle endringer uansett størrelse, bør:
- Risikovurderes før gjennomføring
- Godkjennes av riktig instans
- Testes i kontrollert miljø der det er mulig
- Dokumenteres med tilbakestillingsplan
Management of Change (MOC) er et etablert prinsipp fra prosessindustrien som fungerer like godt som sikkerhetsramme.
Byggekloss 4: Vendor management
Leverandørtilgang bør behandles som en kontrollert prosess, ikke en ad hoc-rutine. Det innebærer:
- Godkjenning av tilgangsforespørsler i forkant
- Tidsavgrenset og sporbar tilgang via kontrollert remote access-løsning
- Krav til leverandørens sikkerhetsnivå (kontraktuelt og teknisk)
- Logg over all aktivitet
For virksomheter underlagt digitalsikkerhetsloven er leverandørkjede-risiko et eksplisitt krav, og ikke et valgfritt tiltak.
Byggekloss 5: Patch- og sårbarhetsstyring tilpasset OT
Patching i OT er ikke det samme som patching i IT. Det kan ikke gjøres løpende uten å påvirke drift, og mange eldre systemer støtter ikke standardpatching. En OT-tilpasset tilnærming inkluderer:
- Kartlegging av kjente sårbarheter mot faktisk installert utstyr
- Prioritering basert på risiko og mulig konsekvens
- Planlagt patchvindu koordinert med driften
- Kompenserende tiltak for systemer som ikke kan patches
Standardene og hvordan de henger sammen
Et vanlig spørsmål vi møter: hvilken standard gjelder for oss, og hva betyr det i praksis?
Her er de tre mest relevante for norske OT-miljøer, og hvordan de utfyller hverandre:
IEC 62443 – OT-spesifikk sikkerhet
Den internasjonale standarden for industriell cybersikkerhet. Bygger på sone- og konduit-prinsippet fra Purdue-modellen og definerer sikkerhetsnivåer (SL 1–4) basert på risiko. IEC 62443 gir den operative dybden av hva som faktisk skal gjøres i OT-nettverket.
ON104 – norsk modenhetsrammeverk
Utarbeidet av Petroleumstilsynet for norsk olje- og gasssektor, men brukes stadig bredere. ON104 gir et modenhetsrammeverk som gjør det mulig å vurdere hvor virksomheten er og hva som er neste steg. Praktisk og konkret.
ISO 27001 – styringssystem og governance
ISO 27001 er ikke primært et OT-rammeverk, men det gir strukturen for styringssystemet – risikostyring, dokumentasjon, revisjoner og kontinuerlig forbedring. Tilpasninger er nødvendige: mange kontroller må kontekstualiseres til OT-virkeligheten (for eksempel logging på legacy-systemer som ikke støtter det, eller tilgangskontroll på feltenheter).
Kombinert gir de tre standardene:
- Strategisk styring og governance (ISO 27001)
- OT-spesifikk sikkerhetsarkitektur og tekniske krav (IEC 62443)
- Modenhetsrammeverk og prioriteringsverktøy (ON104)
Disse tre utfyller hverandre.
Vanlige spørsmål om OT-kontroll og governance
Hva er forskjellen på OT-sikkerhet og OT-kontroll? OT-sikkerhet handler om tekniske tiltak for å beskytte systemer mot trusler. OT-kontroll er det bredere begrepet: oversikt, styring og evne til å drifte, endre og håndtere hendelser på en forutsigbar måte. Sikkerhet er en del av kontroll, men kontroll er mer enn sikkerhet.
Kan vi bruke ISO 27001 som rammeverk for OT? Ja, men det krever aktive tilpasninger. ISO 27001 er bygd for IT-miljøer og forutsetter egenskaper som mange OT-systemer ikke har – som støtte for logging, tilgangskontroll og patching. Der systemene ikke støtter kontrollene direkte, må det dokumenteres kompenserende tiltak. IEC 62443 og ON104 bør supplere.
Hva er Management of Change, og trenger vi det i OT? MOC er et styrt system for å håndtere alle endringer i OT-miljøet, fra konfigurasjonsjusteringer til ny leverandørtilgang. I prosessindustrien er det et veletablert prinsipp. I cybersikkerhetskontekst er det et av de mest effektive tiltakene for å hindre at endringer introduserer nye sårbarheter.
Hvordan håndterer vi leverandørtilgang uten å blokkere nødvendig vedlikehold? Løsningen er ikke å nekte tilgang, men å gjøre den kontrollert. Det finnes OT-tilpassede remote access-løsninger som gir tidsavgrenset, logget tilgang med godkjenningsflyt uten å påvirke driftsstabilitet. Leverandøren får gjort jobben sin; virksomheten beholder oversikten.
Vi har ikke ressurser til å gjøre alt på en gang. Hvor begynner vi? Start med synlighet. Du kan ikke prioritere det du ikke vet om. En passiv kartlegging av OT-nettverket gir et faktabasert grunnlag for å prioritere neste steg, uten å forstyrre driften.
Hva NetNordic bidrar med
Vi arbeider med OT-kontroll med en helhetlig tilnærming. Det betyr at vi kombinerer:
- Passiv asset-kartlegging som gir det faktiske nettverksbildet uten driftspåvirkning
- OT governance-rådgivning – roller, ansvar, prosesser og styringsdokumenter
- Vendor management-støtte – krav, kontrollmekanismer og tekniske løsninger for leverandørtilgang
- Standardtilpasning – vi hjelper virksomheter å forstå hva IEC 62443, ON104 og ISO 27001 faktisk krever av dem, og å prioritere riktig
- OT SOC – kontinuerlig overvåkning som dekker både IT og OT, med analytikere som forstår OT-konteksten og kan skille støy fra reelle hendelser
Det siste punktet er viktig å fremheve: oversikt og struktur er forutsetningen for at en SOC skal gi verdi. En SOC som mottar varsler fra et OT-miljø ingen har full oversikt over, uten prosesser for hvem som skal handle og hvordan, gir støy – ikke kontroll. Veien går fra synlighet via governance til deteksjon. Når de to første er på plass, er en OT SOC det som gjør kontrollen kontinuerlig.
Utgangspunktet er alltid en OT maturity assessment; en strukturert gjennomgang som gir deg et faktabasert bilde av hvor du er, og et konkret roadmap for hva som bør prioriteres.
Tre spørsmål å stille om deres OT-miljø i dag
- Vet du hvilke leverandører som har aktiv tilgang til OT-nettverket ditt akkurat nå, og hva de har tilgang til?
- Har du definert hvem som eier OT-sikkerhetsansvaret, og er det tydelig for alle involverte?
- Vet du hvilke standarder og krav som gjelder for dere, og hva det faktisk betyr for det dere gjør i dag?
Hvis ett eller flere av disse er uavklart, er du ikke alene. Og det er et godt sted å starte.
[Les del 1: Purdue-modellen og nettverksdesign] | [Les del 3: Fra vurdering til etterlevelse]
NetNordic hjelper virksomheter med å bygge reell kontroll i OT-miljøer, fra asset-kartlegging og governance til SOC-integrasjon og standardetterlevelse.
Innholdsfortegnelse
- Hva betyr egentlig «kontroll» i et OT-miljø?
- Hvorfor OT-kontroll er annerledes enn IT-kontroll
- De tre vanligste kontrollproblemene vi møter
- 1. Asset-oversikt som ikke reflekterer virkeligheten
- 2. Leverandørtilgang uten systematisk kontroll
- 3. Uklart eierskap og ansvar
- Strukturen som gir kontroll: fem byggeklosser
- Byggekloss 1: OT-governance
- Byggekloss 2: Asset lifecycle management
- Byggekloss 3: Endringshåndtering (Management of Change)
- Byggekloss 4: Vendor management
- Byggekloss 5: Patch- og sårbarhetsstyring tilpasset OT
- Standardene og hvordan de henger sammen
- IEC 62443 – OT-spesifikk sikkerhet
- ON104 – norsk modenhetsrammeverk
- ISO 27001 – styringssystem og governance
- Vanlige spørsmål om OT-kontroll og governance
- Hva NetNordic bidrar med
- Tre spørsmål å stille om deres OT-miljø i dag
Innholdsfagskategori
Innholdstype
Relatert innhold
Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
Fortinet Security Fabric forklart: Fra brannmur til SOC-overvåking
NIS2 for kommuner: hva betyr kravene i praksis?
Slik sikrer du fjernaksess til pumpestasjoner og vannverk
De fem vanligste sikkerhetsutfordringene i kommunale vannverk
Digitalsikkerhetsloven vs. NIS2: hva er forskjellen?
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!
Siste innhold
Fra vurdering til etterlevelse: slik bygger du OT-modenhet i praksis
Purdue-modellen i OT-sikkerhet: hvorfor den ikke lenger er nok alene