Alla artiklar
#ot-security#ncsc#critical-infrastructure#ics#nis2

NCSC:s nya OT-rekommendationer — vad de betyder för din organisation

Alexander Norman

NCSC släppte idag nya riktlinjer för skydd av operativ teknik. Vi sammanfattar de viktigaste åtgärderna och hur de kopplar till det praktiska säkerhetsarbetet.

Nationellt cybersäkerhetscenter (NCSC) publicerade idag två nya dokument om skydd av operativa teknikmiljöer (OT) — system som styr fysiska processer inom industri, energi, vatten och annan kritisk infrastruktur.

Budskapet är tydligt: OT-miljöer är fortfarande en av de mest utsatta delarna i organisationers teknikmiljöer. Systemen har lång livslängd, använder föråldrade protokoll, och var aldrig designade för den uppkoppling de nu lever i.

Varför detta är akut

Attackytan för OT-system växer snabbt. Digitaliseringen driver sammankoppling mellan IT och OT, men säkerheten hänger inte med. NCSC lyfter specifikt att:

  • Många organisationer saknar insyn i sina OT-miljöer — man vet inte vad som finns eller hur det hänger ihop
  • Säkerhetsuppdateringar är svåra att genomföra på system som kör dygnet runt
  • Föråldrade protokoll (Modbus, DNP3, OPC DA) saknar inbyggd autentisering och kryptering
  • Pro-ryska grupper har dokumenterats genomföra destruktiva attacker mot industrianläggningar

Konsekvenserna vid en lyckad attack kan vara samhällskritiska — energiförsörjning, vattenhantering, industriprocesser.

De två nya dokumenten

NCSC har publicerat:

  1. Operativ teknik – rekommendationer för beslutsfattare och organisationer — strategisk vägledning för ledningsgrupper och organisationer
  2. Fördjupade råd och rekommendationer för skydd av OT-miljöer — teknisk detaljnivå för de som implementerar skyddet

Båda finns som PDF på NCSC:s publikationssida.

De viktigaste tekniska rekommendationerna

1. Segmentera OT från IT

Den mest grundläggande åtgärden. OT-nätverket ska vara fysiskt eller logiskt separerat från företagets IT-nät. Specifikt:

  • Separata nätverkszoner för styrsystem, säkerhetssystem och administration
  • Brandväggar mellan zonerna — bara nödvändig trafik tillåts
  • 802.1X för att identifiera och kontrollera anslutna enheter
  • Dokumentera trafikflöden och brandväggsregler — granska regelbundet

2. Begränsa fjärråtkomst

Fjärråtkomst till OT-miljöer är en av de vanligaste attackvektorerna. NCSC rekommenderar:

  • VPN-gateway som första lager
  • Bastion host / jump box som enda ingång till OT-nätverket
  • Ingen direkt åtkomst från internet till OT-enheter
  • Förhindra lateral förflyttning — om en HMI komprometteras ska angriparen inte kunna nå PLC:er

3. Övervaka OT-trafik aktivt

Man kan inte skydda det man inte ser. Rekommendationerna betonar:

  • Kontinuerlig övervakning av OT-nätverkstrafik
  • Detektering av avvikande kommunikationsmönster
  • Logga alla åtkomstförsök och konfigurationsändringar
  • PLC:er och HMI-system är ofta inherent sårbara — övervaka dem extra noga

4. Uppdatera — men med plan

OT-system kan inte patchas lika enkelt som IT-servrar. Men det betyder inte att man ska ignorera uppdateringar:

  • Prioritera uppdateringar baserat på risk — internet-exponerade system först
  • Testa uppdateringar i en staging-miljö innan produktion
  • Ha en plan för system som inte kan uppdateras (kompensatoriska kontroller, nätverksisolering)

5. Vitlista applikationer

Application whitelisting är särskilt effektivt i OT-miljöer där arbetsbelastningen är förutsägbar:

  • Bara godkända program ska kunna köras
  • Förhindrar att skadlig kod exekveras även om den tar sig in
  • Enklare att implementera i OT än IT (färre ändringar i körande program)

6. Backup och återställning

  • Testa regelbundet att backup kan återställas
  • Säkerställ att konfigurationer för PLC:er och HMI lagras offline
  • Ha en tydlig incidenthanteringsplan specifik för OT-scenarier

Kopplingen till NIS2

Dessa rekommendationer kommer inte i ett vakuum. NIS2-direktivet ställer utökade krav på operatörer av kritisk infrastruktur. Organisationer som bedriver samhällsviktig verksamhet måste:

  • Genomföra riskanalyser specifikt för OT-miljöer
  • Implementera tekniska och organisatoriska skyddsåtgärder
  • Rapportera incidenter till NCSC
  • Visa att man aktivt arbetar med säkerhet (inte bara har policyer på papper)

NCSC:s nya publikationer ger en konkret vägledning för hur man uppfyller dessa krav i praktiken.

Relevanta standarder

Rekommendationerna bygger på etablerade ramverk:

  • IEC 62443 — internationell standard för industriell cybersäkerhet, den mest relevanta för OT
  • NIS2-direktivet — EU-krav på cybersäkerhet för kritisk infrastruktur
  • ISO/IEC 27001 — kompletterande för organisatoriska aspekter

Vad du kan göra idag

  1. Inventera — vet du vilka OT-system du har och hur de är anslutna?
  2. Segmentera — finns det brandväggar mellan IT och OT? Eller kör allt på samma nät?
  3. Fjärråtkomst — hur når leverantörer och personal era styrsystem? TeamViewer direkt till en HMI?
  4. Övervaka — loggar ni OT-trafik? Skulle ni märka om en PLC fick ny firmware?
  5. Testa — kör ni penetrationstest mot OT-miljön, eller bara IT?

Hur vi kan hjälpa

Pentesting.se erbjuder säkerhetsgranskning av nätverksinfrastruktur och kan identifiera exponerade OT-system, felkonfigurerad segmentering, och osäkra fjärråtkomstlösningar. Vår discovery-scan hittar automatiskt enheter och tjänster som inte borde vara exponerade.

Ladda ner NCSC:s fullständiga rekommendationer: ncsc.se/sv/publikationer

Alexander Norman driver Adminor AB och Pentesting.se. Vi hjälper nordiska företag att skydda sin infrastruktur — från webbapplikationer till nätverksutrustning och OT-miljöer.

Vill ni se vad er externa angreppsyta egentligen ser ut? Gratis hälsokoll, ingen creditcard, två minuter.

Fler artiklarKör hälsokoll