Digitalisering gir enorme muligheter for effektivitet, men det introduserer også nye risikoer. Når OT-systemer (Operational Technology) er koblet til internett, øker sårbarheten for angrep - angrep som truer ikke bare data, men også liv, helse og kritiske samfunnsfunksjoner.

Som medlem av Norsk Næringslivs Sikkerhetsråd (NSR) arrangerte vi i dag et webinar med fokus på trussellandskapet for OT i Norge. Nedenfor er våre viktigste takeaways.

‍

‍Et eskalerende trussellandskap

‍Politiets sikkerhetstjenestes årlige trusselvurdering viser et klart skifte: fra en «Lav sannsynlighet» av sabotasje mot norsk kritisk infrastruktur i 2023, til «forhøyet» i 2024, og «Sannsynligvis» innen 2025.

Samtidig har nettkriminalitet blitt verdens tredje største økonomi. En profesjonell, kommersiell «Cybercrime-as-a-Service» -industri har dukket opp, og tilbyr tjenester som utpressing, datatyveri og spionasje.

Kriminelle følger pengene, og betalingsviljen er høyest der konsekvensene av nedetid er alvorlige - for eksempel i produksjon og energiforsyning. Internasjonalt er det en klar trend mot et økende antall angrep rettet mot OT-systemer. Et eksempel er bilprodusenten Jaguar, som ble tvunget til å stanse produksjonen i over en måned, noe som resulterte i tap av 1000 uproduserte biler per dag.

Vi ser også en betydelig økning i hacktivisme, ofte knyttet til geopolitiske konflikter. Etter krigsutbruddet i Midtøsten er det observert flere angrepsforsøk der hackere utnytter internetteksponert utstyr og enkle systemsårbarheter.

‍

‍Når OT blir målet

‍Tradisjonelt har OT-systemer blitt «air-gapped», noe som betyr fysisk isolert fra internett. Denne strategien blir stadig vanskeligere å vedlikeholde.Digitalisering og ekstern tilgang gjør at data kan flyte mellom IT og OT, leverandører kobler eksternt for vedlikehold, og systemeiere har ofte begrenset oversikt over hva som skjer i miljøene deres.

Hendelsen ved Bremanger vannkraftverk er et slikt eksempel: hackere klarte å åpne ventiler som forble åpne i flere timer før angrepet ble oppdaget og håndtert.

‍

‍Juridiske krav og økende forventninger

‍Norge har nå vedtatt loven om digital sikkerhet, som trådte i kraft 1. oktober i år. Lovgivningen er basert på EUs NIS-direktiv fra 2016 og stiller krav til organisasjoner innen sektorer som energi, transport, helsetjenester, vannforsyning og finans.

I tillegg utvider NIS2-direktivet omfanget til å omfatte viktige private sektorer som matproduksjon og kjemisk industri.

Kort sagt: samfunnsforventningene strammer, og det er lurt å starte arbeidet tidlig.

‍

‍Typiske utfordringer i OT-miljøer

‍OT-systemer er ofte komplekse og utdaterte. De har vanligvis:

• Høye tilgjengelighetskrav — systemer kan ikke tas frakoblet uten alvorlige konsekvenser
• Lange livssykluser — mange systemer er 10—20+ år gamle og ble bygget før OT-cybersikkerhet ble en bekymring
• Avhengighet av leverandører for drift, vedlikehold og oppgraderinger
• Begrenset sikt inn i interne prosesser, ofte oppfattet som «svarte bokser»

I tillegg ser vi organisatoriske utfordringer der IT og OT styres av ulike team med ulike rutiner og kulturer. Dette skaper gråsoner der ingen tar fullt ansvar for sikkerheten.

‍

‍Beste praksis: Bygg sikkerhet på OTs vilkår

‍Mange cybersikkerhetsrammer er designet for IT og må tilpasses OT-miljøer. Den internasjonale IEC 62443-standarden er spesielt skreddersydd for OT, og i kombinasjon med NSMs grunnleggende prinsipper gir den et sterkt fundament. De fire kjerneprinsippene fra NSM er også relevante for OT:

• Identifiser og kartlegg — få oversikt over OT-eiendeler og kommunikasjonsmønstre
• Beskytt og opprettholde bygge en sikker arkitektur som skiller kritiske og ikke-kritiske systemer og kontrollerer datastrømmer mellom soner
• Oppdage — etablere overvåkings- og varslingssystemer tilpasset hvert anlegg
• Svar og gjenopprett — integrere drifts- og sikkerhetsfunksjoner for effektiv hendelsesrespons

‍

Nye systemer og ettermontering av eksisterende anlegg

‍Nye investeringer gir en god mulighet til å definere klare sikkerhetskrav. Ved å anvende prinsipper fra IEC 62443 kan systemer struktureres ved hjelp av sone- og ledningsmodeller, sikkerhetsnivåer kan defineres og krav kan stilles til leverandører allerede under anbudsprosessen.For eksisterende anlegg bør arbeidet begynne med kartlegging:

• Hvilket utstyr og kommunikasjon finnes?
• Hvilke sårbarheter er mest kritiske?
• Hva kan angripes, og hva er konsekvensene?

Resultatet av denne vurderingen bør dokumenteres i et sikkerhetskart som inkluderer både raske gevinster og tiltak tilpasset langsiktige mål.

‍

‍Situasjonsbevissthet er nøkkelen

‍Ingen sikkerhetstiltak er effektive hvis du ikke kan se hva som skjer. Sanntidsovervåking av OT-systemer gjør det mulig for organisasjoner å oppdage og reagere på hendelser før de fører til fysiske konsekvenser.

OT-sikkerhet handler ikke lenger bare om tekniske barrierer - det handler om å forstå samspillet mellom operasjoner, teknologi og mennesker. Med økende digitalisering, strengere regelverk og et mer komplekst trussellandskap, må norske organisasjoner ta OT-sikkerhet på alvor.