← All articles

NCSC:s nya OT-rekommendationer — vad de betyder för din organisation

Alexander Norman
ot-securityncsccritical-infrastructureicsnis2

Nationellt cybersäkerhetscenter (NCSC) publicerade idag två nya dokument om skydd av operativa teknikmiljöer (OT) — system som styr fysiska processer inom industri, energi, vatten och annan kritisk infrastruktur.

Budskapet är tydligt: OT-miljöer är fortfarande en av de mest utsatta delarna i organisationers teknikmiljöer. Systemen har lång livslängd, använder föråldrade protokoll, och var aldrig designade för den uppkoppling de nu lever i.

Varför detta är akut

Attackytan för OT-system växer snabbt. Digitaliseringen driver sammankoppling mellan IT och OT, men säkerheten hänger inte med. NCSC lyfter specifikt att:

  • Många organisationer saknar insyn i sina OT-miljöer — man vet inte vad som finns eller hur det hänger ihop
  • Säkerhetsuppdateringar är svåra att genomföra på system som kör dygnet runt
  • Föråldrade protokoll (Modbus, DNP3, OPC DA) saknar inbyggd autentisering och kryptering
  • Pro-ryska grupper har dokumenterats genomföra destruktiva attacker mot industrianläggningar

    • Konsekvenserna vid en lyckad attack kan vara samhällskritiska — energiförsörjning, vattenhantering, industriprocesser.

    De två nya dokumenten

    NCSC har publicerat:

  • Operativ teknik – rekommendationer för beslutsfattare och organisationer — strategisk vägledning för ledningsgrupper och organisationer
  • Fördjupade råd och rekommendationer för skydd av OT-miljöer — teknisk detaljnivå för de som implementerar skyddet

    • Båda finns som PDF på NCSC:s publikationssida.

    De viktigaste tekniska rekommendationerna

    1. Segmentera OT från IT

    Den mest grundläggande åtgärden. OT-nätverket ska vara fysiskt eller logiskt separerat från företagets IT-nät. Specifikt:

  • Separata nätverkszoner för styrsystem, säkerhetssystem och administration
  • Brandväggar mellan zonerna — bara nödvändig trafik tillåts
  • 802.1X för att identifiera och kontrollera anslutna enheter
  • Dokumentera trafikflöden och brandväggsregler — granska regelbundet

    • 2. Begränsa fjärråtkomst

    Fjärråtkomst till OT-miljöer är en av de vanligaste attackvektorerna. NCSC rekommenderar:

  • VPN-gateway som första lager
  • Bastion host / jump box som enda ingång till OT-nätverket
  • Ingen direkt åtkomst från internet till OT-enheter
  • Förhindra lateral förflyttning — om en HMI komprometteras ska angriparen inte kunna nå PLC:er

    • 3. Övervaka OT-trafik aktivt

    Man kan inte skydda det man inte ser. Rekommendationerna betonar:

  • Kontinuerlig övervakning av OT-nätverkstrafik
  • Detektering av avvikande kommunikationsmönster
  • Logga alla åtkomstförsök och konfigurationsändringar
  • PLC:er och HMI-system är ofta inherent sårbara — övervaka dem extra noga

    • 4. Uppdatera — men med plan

    OT-system kan inte patchas lika enkelt som IT-servrar. Men det betyder inte att man ska ignorera uppdateringar:

  • Prioritera uppdateringar baserat på risk — internet-exponerade system först
  • Testa uppdateringar i en staging-miljö innan produktion
  • Ha en plan för system som inte kan uppdateras (kompensatoriska kontroller, nätverksisolering)

    • 5. Vitlista applikationer

    Application whitelisting är särskilt effektivt i OT-miljöer där arbetsbelastningen är förutsägbar:

  • Bara godkända program ska kunna köras
  • Förhindrar att skadlig kod exekveras även om den tar sig in
  • Enklare att implementera i OT än IT (färre ändringar i körande program)

    • 6. Backup och återställning

  • Testa regelbundet att backup kan återställas
  • Säkerställ att konfigurationer för PLC:er och HMI lagras offline
  • Ha en tydlig incidenthanteringsplan specifik för OT-scenarier

    • Kopplingen till NIS2

    Dessa rekommendationer kommer inte i ett vakuum. NIS2-direktivet ställer utökade krav på operatörer av kritisk infrastruktur. Organisationer som bedriver samhällsviktig verksamhet måste:

  • Genomföra riskanalyser specifikt för OT-miljöer
  • Implementera tekniska och organisatoriska skyddsåtgärder
  • Rapportera incidenter till NCSC
  • Visa att man aktivt arbetar med säkerhet (inte bara har policyer på papper)

    • NCSC:s nya publikationer ger en konkret vägledning för hur man uppfyller dessa krav i praktiken.

    Relevanta standarder

    Rekommendationerna bygger på etablerade ramverk:

  • IEC 62443 — internationell standard för industriell cybersäkerhet, den mest relevanta för OT
  • NIS2-direktivet — EU-krav på cybersäkerhet för kritisk infrastruktur
  • ISO/IEC 27001 — kompletterande för organisatoriska aspekter

    • Vad du kan göra idag

  • Inventera — vet du vilka OT-system du har och hur de är anslutna?
  • Segmentera — finns det brandväggar mellan IT och OT? Eller kör allt på samma nät?
  • Fjärråtkomst — hur når leverantörer och personal era styrsystem? TeamViewer direkt till en HMI?
  • Övervaka — loggar ni OT-trafik? Skulle ni märka om en PLC fick ny firmware?
  • Testa — kör ni penetrationstest mot OT-miljön, eller bara IT?

    • Hur vi kan hjälpa

    Pentesting.se erbjuder säkerhetsgranskning av nätverksinfrastruktur och kan identifiera exponerade OT-system, felkonfigurerad segmentering, och osäkra fjärråtkomstlösningar. Vår discovery-scan hittar automatiskt enheter och tjänster som inte borde vara exponerade.

    Ladda ner NCSC:s fullständiga rekommendationer: ncsc.se/sv/publikationer

    ---

    Alexander Norman driver Adminor AB och Pentesting.se. Vi hjälper nordiska företag att skydda sin infrastruktur — från webbapplikationer till nätverksutrustning och OT-miljöer.