Segmentering: Nettverket som stopper angrepet
Et flatt nettverk gir angripere fritt spillerom. Segmentering stopper dem i døren. Dette er artikkel 3 av 5 i serien «Når sikkerhet svikter – og tilliten ryker»
Mange virksomheter bruker store ressurser på å holde angripere ute.
Færre stiller det like viktige spørsmålet: Hva skjer hvis noen likevel kommer inn?
I et flatt nettverk er svaret enkelt – og ubehagelig: angripere kan bevege seg dit de vil. Til produksjonssystemer. Til pasientdata. Til kraftforsyningskontroller. Segmentering er det arkitekturvalget som gjør at én kompromittert enhet ikke betyr at alt er tapt.
Hvorfor dette er kritisk nå
NIS2-direktivet stiller eksplisitte krav til nettverkssegmentering for alle virksomheter i kritisk infrastruktur. Konvergensen mellom IT og OT øker dramatisk – og med den, angrepsflaten mot produksjon og driftsystemer. Norske virksomheter er blant de minst forberedte i Norden. Et flatt nettverk er en av de vanligste svakhetene vi avdekker.For ledelse og styret betyr dette: nettverksarkitektur er ikke lenger bare et IT-spørsmål – det er et risikospørsmål.
Hva er nettverkssegmentering – og hvorfor er det avgjørende?
Nettverkssegmentering betyr at et nettverk deles inn i isolerte soner, slik at trafikk mellom sonene kontrolleres og begrenses. En enhet i én sone kan ikke fritt kommunisere med enheter i en annen sone – med mindre det er eksplisitt tillatt.
Tenk på det slik: Et usegmentert nettverk er som et kontorbygg der alle dører alltid er åpne. Kommer noen seg forbi resepsjonen, har de tilgang til alt – serverrom, direktørkontor, arkiv. Et segmentert nettverk gir alle rom egne låser. En inntrenger i lobbyen forblir i lobbyen.
| Flatt nettverk | Segmentert nettverk |
| Én inngang gir tilgang til alt | Innganger er isolert per sone |
| Lateral bevegelse er uproblematisk | Lateral bevegelse blokkeres aktivt |
| Skaden sprer seg fritt | Skaden begrenses til kompromittert sone |
| Ingen varsling om intern trafikk | Unormal trafikk oppdages og varsles |
| OT og IT deler nettverk | OT og IT er fysisk og logisk adskilt |
Segmentering beskytter primært to av de tre verdiene i CIA-triaden: konfidensialiteten ved at data ikke er tilgjengelig på tvers av soner, og integriteten ved at systemer i én sone ikke kan manipuleres fra en annen. Men i praksis beskytter det også tilgjengeligheten – fordi et angrep som begrenses, ikke kan stanse hele virksomheten.
IT og OT: Den kritiske koblingen som mange undervurderer
I industri, energi og kritisk infrastruktur er nettverkssegmentering ikke bare et IT-spørsmål. Det er et spørsmål om driftssikkerhet, fysisk sikkerhet – og i ytterste konsekvens, samfunnssikkerhet.
Når IT og OT kobles tettere i produksjonsmiljøer og kraftnett, øker behovet for segmentering dramatisk. Et kompromittert kontornettverk skal aldri kunne gi tilgang til produksjonsmiljøet. Men i mange virksomheter er det akkurat det det gjør.
| Scenarie | CIA-verdi truet | Mulig konsekvens |
| Kontornettverket brukes som springbrett inn i OT | Tilgjengelighet (A) | Produksjonsstans |
| Eldre SCADA-system koblet til moderne nett | Integritet (I) | Manipulerte prosessdata |
| Remote access ikke segmentert fra driftsmiljø | Konfidensialitet (C) | Driftsdata eksponert eksternt |
| Leverandørtilgang uten sonebasert kontroll | Alle tre (C, I, A) | Komplett kompromittering av driftsnett |
Det er særlig relevant for virksomheter som er NIS2-pliktige – energi, transport, helse og kritisk infrastruktur. NIS2 krever eksplisitt at disse virksomhetene implementerer tiltak for å begrense skade ved sikkerhetshendelser. Segmentering er ett av de mest effektive tiltakene for å oppfylle dette kravet.
Et kompromittert kontornettverk skal aldri kunne gi tilgang til produksjonsmiljøet. Men i mange virksomheter er det akkurat det det gjør.
Erik Ramstad, Head of Network Infrastructure & CyberSecurity, NetNordic
Tekniske og organisatoriske tiltak – begge er nødvendige
Segmentering er ikke et produkt du kjøper og skrur på. Det er et arkitekturvalg som krever både teknisk implementering og organisatorisk forankring. Uten begge deler vil løsningen over tid miste sin effekt.
Tekniske tiltak som utgjør grunnmuren:
- VLAN-segmentering som separerer ulike deler av nettverket logisk
- Mikrosegmentering for granulær kontroll innad i soner
- Zero Trust-arkitektur: aldri stol på, alltid verifiser – uavhengig av posisjon i nettverket
- Tydelig OT/IT-separasjon med sonearkitektur basert på Purdue-modellen eller tilsvarende
- Overvåking integrert med SOC – slik at avvikstrafikk oppdages, ikke bare blokkeres
Organisatoriske tiltak som holder det i stand:
- Tydelig eierskap til nettverksarkitektur og policy – hvem har ansvar?
- Oppdatert oversikt over alle enheter og tilganger i alle soner
- Rutiner for endringshåndtering – nye enheter skal ikke kobles til uten vurdering
- Jevnlig opplæring av drifts- og IT-personell på tvers av faggrenser
Et mønster vi ser gjentakende:
Tekniske segmenteringstiltak er implementert – men dokumentasjonen er utdatert. Nye enheter kobles til uten å følge sonearkitekturen. Over tid eroderer segmenteringen. Løsningen: behandle nettverksarkitektur som et levende dokument, ikke en engangsjobb.
Fra teori til virkelighet: Hva som faktisk skjedde
Det beste argumentet for segmentering er ikke en teoretisk modell. Det er hva som skjer når det testes mot virkeligheten.
En norsk virksomhet som kjøpte nettverksinfrastruktur fra NetNordic opplevde et reelt innbruddsforsøk. Fire personer forsøkte å koble seg til nettverket for å kartlegge miljøet og hente ut informasjon. Det er den klassiske første fasen i et målrettet angrep: stillferdig rekognosering.
De kom ikke inn.
Hva som ble beskyttet – og hvorfor:
Konfidensialitet: Ingen informasjon nådde angriperne. Kartleggingsforsøket ga ingenting. Integritet (I): Ingen systemer ble berørt. Ingen data ble endret eller manipulert. Tilgjengelighet (A): Driften fortsatte uten avbrudd. Kunden merket ingenting. Kunden visste ikke at forsøket hadde funnet sted – før NetNordic presenterte det i neste statusmøte.
Det er forskjellen på sikkerhet som er lagt på og sikkerhet som er bygget inn. Segmenteringen var ikke en reaksjon på trusselen. Den var der fra dag én – designet inn som en del av nettverksarkitekturen.
Dette er nettverksarkitektur – element 2 i grunnmuren for digital tillit.
NaaS: Nettverkssikkerhet som integrert tjeneste
For mange virksomheter er ikke utfordringen mangel på vilje til å segmentere. Det er mangel på kapasitet og kompetanse til å bygge og vedlikeholde en robust nettverksarkitektur over tid.
Network as a Service (NaaS) fra NetNordic løser dette ved å levere nettverkssikkerhet og segmentering som en integrert, skalerbar tjeneste – med overvåking koblet direkte til vår SOC. Det betyr at avvik i nettverkstrafikken ikke bare logges, men oppdages og håndteres i sanntid.
Hva en NaaS-leveranse fra NetNordic inkluderer
- Nettverksdesign og segmenteringsarkitektur tilpasset virksomhetens miljø på både IT og OT-siden
- Løpende overvåking og hendelseshåndtering integrert med NetNordic SOC
- Vendor-agnostisk tilnærming – vi velger beste løsning for ditt miljø, ikke vår margin
- Skalerbar arkitektur som vokser med virksomheten – fra 200 til 200 000 ansatte
Virksomheter som vurderer NaaS spør gjerne: «Mister vi kontroll når vi outsourcer nettverket?» Svaret er det motsatte. Med full dokumentasjon, transparent rapportering og klar ansvarsfordeling får ledelsen bedre oversikt – ikke mindre.
Spørsmålet er ikke om du blir angrepet, men hva som skjer etterpå
De fleste alvorlige sikkerhetshendelser starter med noe lite: én enhet som kompromitteres, ett passord som phishes, én sårbarhet som utnyttes. Det er ikke mulig å garantere at intet slikt vil skje.
Det som er mulig, er å sikre at det lille ikke blir det store. At én kompromittert enhet ikke gir tilgang til hele produksjonsmiljøet. At ett vellykket phishing-angrep ikke betyr at all kundeinformasjon er eksponert.
Det er det segmentering gjør. Det er det nettverksarkitektur handler om. Og det er kjernen i grunnmuren for digital tillit.
Neste artikkel tar for seg element 3: kontinuerlig testing og overvåking. For selv den beste nettverksarkitekturen bør testes mot virkeligheten – før angriperne gjør det.
Er nettverksarkitekturen din robust nok – også for OT-miljøene? Book en uforpliktende gjennomgang med våre nettverks- og sikkerhetseksperter!
Videre i serien
→ Artikkel 4: Test deg selv – før angriperne gjør det
→ Artikkel 5: Sikkerhet er et lederansvar
→ Artikkel 3: Segmentering: nettverket som stopper angrepet
← Artikkel 2: AI – den nye angrepsflaten
← Artikkel 1: Når et cyberangrep blir en omdømmekrise
Kilder og referanser
NetNordic NaaS-kundecase: fire innbruddforsøk stoppet (anonymisert, 2025)
NIS2-direktivet (EU) 2022/2555 – krav til nettverkssikkerhet og hendelseshåndtering
IEC 62443 – industriell nettverkssikkerhet og OT-segmentering
TEK Norge: Cybersikkerhet i Norge – Nordisk benchmark 2025 (NyAnalyse, desember 2025)
Erik Ramstad
Head of Network Infrastructure & CyberSecurityInnholdsfortegnelse
- Hva er nettverkssegmentering – og hvorfor er det avgjørende?
- IT og OT: Den kritiske koblingen som mange undervurderer
- Tekniske og organisatoriske tiltak – begge er nødvendige
- Et mønster vi ser gjentakende:
- Fra teori til virkelighet: Hva som faktisk skjedde
- NaaS: Nettverkssikkerhet som integrert tjeneste
- Hva en NaaS-leveranse fra NetNordic inkluderer
- Spørsmålet er ikke om du blir angrepet, men hva som skjer etterpå
Innholdsfagskategori
Innholdstype
Relatert innhold
Kontakt Oss
Fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!
