NEWS AND EVENTS
Praktisk OT-sikkerhet i norsk industri: Fra lovkrav til gjennomførbare tiltak
Av Christer Hølestøl, Security Analyst, Securenok
Praktisk OT-sikkerhet i norsk industri: Fra lovkrav til gjennomførbare tiltak
I februar deltok jeg og Nina Hesby Tvedt på live-sendingen «OT-sikkerhet i 2026». Sendingen var arrangert av NITOs fagnettverk for cybersikkerhet sammen med Kiwa og Securenok.
Et av målene for sendingen var å skape en helhetlig forståelse for dagens OT-sikkerhetslandskap. Vi dekket sentrale områder som trusselbildet, lovverk og rammeverk for beste praksis. I tillegg var målet at seerne skulle kunne identifisere risiko i egne OT-miljøer, samt få kunnskap om konkrete grep for å redusere den.
I denne teksten trekker jeg frem noen hovedpoenger fra innlegget mitt. Ønsker du å se innlegget mitt og resten av sendingen, finner du opptaket her:
OT-sikkerhet i 2026 – webinaropptak fra NITO på YouTube
Hvordan ettermontere OT-sikkerhet i eksisterende anlegg?
Mange eksisterende anlegg har høy cyberrisiko.
De ble opprinnelig ikke ble laget for å håndtere risikoen som følger av et stadig mer digitalisert OT-miljø. Samtidig kan mange risikoreduserende tiltak være vanskelige å implementere i praksis. OT-miljøer har høye krav til oppetid og korte vedlikeholdsvinduer.
Hvordan kan man da forbedre OT-sikkerheten i eksisterende anlegg på en praktisk gjennomførbar måte?
Kartlegg svakheter i anleggets OT-miljø
Nøkkelen er først å kartlegge svakheter i det eksisterende anleggets OT-miljø. Brudd med beste praksis utgjør svakheter som øker risikoen for cyberhendelser.
Trusselaktører utnytter som regel en kombinasjon av svakheter i OT-miljøet. I innlegget mitt bruker jeg to angrep fra 2025 – ett fra Bremanger og ett fra Polen – for å illustrere hvordan svakheter som usikker fjernaksess, svake passord og mangelfull segmentering til sammen gjør angrep på OT-miljøer mulig.
Selv om svakheter går igjen på tvers av OT-miljøer, vil risikoprofilen variere fra anlegg til anlegg. Dette krever en god forståelse av hvordan OT-miljøet faktisk kommuniserer internt, med andre nettverk og eventuelt med internett.
Det avgjørende er å identifisere de konkrete svakhetene som gjelder for ditt miljø. For det er disse trusselaktører vil forsøke å utnytte.
Identifiser risikoreduserende tiltak i tråd med beste praksis
Når anleggets svakheter er avdekket, er neste steg å identifisere risikoreduserende tiltak. Her kommer rammeverk og modeller for beste praksis til sin rett.
I innlegget mitt bruker jeg Purdue-modellen for å illustrere hvordan et OT-miljø bør se ut. Jeg trekker frem synlighet, soneinndeling i OT-miljøet og sikker fjernaksess som viktige prinsipper for å redusere risikoen for cyberhendelser.
Videre må risikoreduserende tiltak implementeres lagvis. Dette kalles «Defense-in-depth» og går ut på at dersom en trusselaktør kommer seg rundt ett sikkerhetstiltak, vil det være mange andre sikkerhetstiltak som fortsatt beskytter OT-miljøet.
Sett at en trusselaktør klarer å kompromittere fjernaksess til anlegget, for eksempel, vil effektiv soneinndeling være et ekstra lag av sikkerhet som forhindrer trusselaktøren i å få direkte tilgang kritisk OT-utstyr.
Et pragmatisk veikart for å oppnå beste praksis i eksisterende anlegg
Selv når svakheter er avdekket og risikoreduserende tiltak er identifisert, gjenstår fortsatt den praktiske utfordringen: Hvordan implementerer man tiltakene på en praktisk gjennomførbar måte?
Et viktig poeng er at risikoreduserende tiltak vil være mer eller mindre inngripende for driften. For eksempel vil det være mindre inngripende å avinstallere unødvendig programvare på en engineering-PC enn å omstrukturere nettverksarkitekturen.
Basert på dette kan man lage et pragmatisk veikart for OT-sikkerhet. I innlegget bruker jeg figuren under som et eksempel på hvordan et slikt veikart kan se ut:
.png)
Ideen er å reduserere risiko på kort sikt ved å implementere mindre inngripende tiltak som ikke fører til lange perioder med nedetid. Mer inngripende tiltak utsettes til senere vedlikeholdsvinduer med planlagt nedetid.
Veien til å faktisk implementere beste praksis i eksisterende anlegg er en realistisk, målrettet forbedringsplan. En plan som hensyntar det enkelte OT-miljøets krav og risikoprofil.
Å formulere en slik plan krever innsikt i trussellandskapet, beste praksis og det aktuelle OT-miljøets oppførsel.
OT-sikkerhet i 2026 – webinaropptak fra NITO på YouTube
Insights from Norway’s cybersecurity experts
OT-sikkerhet i matindustrien starter med innsikt
Som prosjektleder i OT-sikkerhetsprosjekter møter jeg ofte det samme utgangspunktet hos industribedrifter: Man vet mye om produksjonen, prosessene og utstyret – men langt mindre om hvordan den digitale infrastrukturen faktisk ser ut i praksis.
Norskutviklet OT-sikkerhetsteknologi for industri og kritisk infrastruktur
Norsk industri blir stadig mer digitalisert. Produksjonslinjer, prosessanlegg, energisystemer og kritisk infrastruktur kobles tettere sammen med moderne IT-systemer, eksterne leverandører og digitale tjenester. Samtidig øker behovet for cybersikkerhetsløsninger som faktisk er utviklet for industrielle miljøer.
Sterk oppslutning rundt OT-konferansen 2026 – samler ledende fagmiljøer i Stavanger
OT-konferansen 2026 går av stabelen 29. april i Stavanger, og årets utgave peker seg allerede ut med et program som samler noen av de mest sentrale aktørene innen OT-sikkerhet og industriell digitalisering.
Økt behov for kontroll i komplekse automasjonsmiljøer i olje og gass
Digitaliseringen av olje- og gassindustrien har de siste årene gitt betydelige gevinster i form av effektivisering, bedre datagrunnlag og økt fleksibilitet. Samtidig har utviklingen ført til en betydelig økning i kompleksitet – og dermed også i risiko.
Hvordan få kontroll på OT-miljøet i praksis – erfaringer fra IVAR
For IVAR IKS er stabil drift ikke bare et mål – det er en forutsetning for at samfunnet skal fungere. Som leverandør av vann- og avløpstjenester til rundt 360 000 innbyggere på Nord-Jæren, forvalter virksomheten kritisk infrastruktur der konsekvensene av svikt er umiddelbare og omfattende.
Beredskapsåret 2026: Er vann og avløp i norske kommuner godt nok sikret?
Kommunal vannforsyning er blant samfunnsfunksjonene som omfattes av digitalsikkerhetsloven. Loven trådte i kraft 1. oktober 2025 og stiller grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Regelverket innebærer også at ansvaret for digital sikkerhet er tydelig plassert hos virksomhetens øverste ledelse.
Stricter Security Requirements for Critical Services from 1 October 2025 under theDigital Security Act
O nFriday, 20 June, the Norwegian government decided in a Council of State meeting that the Digital Security Act will enter into force on 1 October 2025. At the same time, the Digital Security Regulation was adopted, entering into force concurrently with the Act.
Bremanger Breach: Lessons from a Norwegian Dam Hack
Earlier this year, unidentified hackers breached the control system of a Norwegian dam at Risevatnet, in Bremanger. The hackers discovered that the dam had a Human Machine Interface (HMI) exposed on the Internet and was able to gain access by exploiting a weak password.p
Digitalization: Opportunities and New Risks
Digitalization offers enormous opportunities for efficiency, but it also introduces new risks. When OT systems (Operational Technology) are connected to the internet, vulnerability to attacks increases—attacks that threaten not only data, but also lives, health, and critical societal functions.