← All articles

NCSC:s nya OT-rekommendationer — vad de betyder för din organisation

Alexander Norman
ot-securityncsccritical-infrastructureicsnis2

Nationellt cybersäkerhetscenter (NCSC) publicerade idag två nya dokument om skydd av operativa teknikmiljöer (OT) — system som styr fysiska processer inom industri, energi, vatten och annan kritisk infrastruktur.

Budskapet är tydligt: OT-miljöer är fortfarande en av de mest utsatta delarna i organisationers teknikmiljöer. Systemen har lång livslängd, använder föråldrade protokoll, och var aldrig designade för den uppkoppling de nu lever i.

Varför detta är akut

Attackytan för OT-system växer snabbt. Digitaliseringen driver sammankoppling mellan IT och OT, men säkerheten hänger inte med. NCSC lyfter specifikt att:

  • Många organisationer saknar insyn i sina OT-miljöer — man vet inte vad som finns eller hur det hänger ihop
  • Säkerhetsuppdateringar är svåra att genomföra på system som kör dygnet runt
  • Föråldrade protokoll (Modbus, DNP3, OPC DA) saknar inbyggd autentisering och kryptering
  • Pro-ryska grupper har dokumenterats genomföra destruktiva attacker mot industrianläggningar

Konsekvenserna vid en lyckad attack kan vara samhällskritiska — energiförsörjning, vattenhantering, industriprocesser.

De två nya dokumenten

NCSC har publicerat:

  1. Operativ teknik – rekommendationer för beslutsfattare och organisationer — strategisk vägledning för ledningsgrupper och organisationer
  2. Fördjupade råd och rekommendationer för skydd av OT-miljöer — teknisk detaljnivå för de som implementerar skyddet

Båda finns som PDF på NCSC:s publikationssida.

De viktigaste tekniska rekommendationerna

1. Segmentera OT från IT

Den mest grundläggande åtgärden. OT-nätverket ska vara fysiskt eller logiskt separerat från företagets IT-nät. Specifikt:

  • Separata nätverkszoner för styrsystem, säkerhetssystem och administration
  • Brandväggar mellan zonerna — bara nödvändig trafik tillåts
  • 802.1X för att identifiera och kontrollera anslutna enheter
  • Dokumentera trafikflöden och brandväggsregler — granska regelbundet

2. Begränsa fjärråtkomst

Fjärråtkomst till OT-miljöer är en av de vanligaste attackvektorerna. NCSC rekommenderar:

  • VPN-gateway som första lager
  • Bastion host / jump box som enda ingång till OT-nätverket
  • Ingen direkt åtkomst från internet till OT-enheter
  • Förhindra lateral förflyttning — om en HMI komprometteras ska angriparen inte kunna nå PLC:er

3. Övervaka OT-trafik aktivt

Man kan inte skydda det man inte ser. Rekommendationerna betonar:

  • Kontinuerlig övervakning av OT-nätverkstrafik
  • Detektering av avvikande kommunikationsmönster
  • Logga alla åtkomstförsök och konfigurationsändringar
  • PLC:er och HMI-system är ofta inherent sårbara — övervaka dem extra noga

4. Uppdatera — men med plan

OT-system kan inte patchas lika enkelt som IT-servrar. Men det betyder inte att man ska ignorera uppdateringar:

  • Prioritera uppdateringar baserat på risk — internet-exponerade system först
  • Testa uppdateringar i en staging-miljö innan produktion
  • Ha en plan för system som inte kan uppdateras (kompensatoriska kontroller, nätverksisolering)

5. Vitlista applikationer

Application whitelisting är särskilt effektivt i OT-miljöer där arbetsbelastningen är förutsägbar:

  • Bara godkända program ska kunna köras
  • Förhindrar att skadlig kod exekveras även om den tar sig in
  • Enklare att implementera i OT än IT (färre ändringar i körande program)

6. Backup och återställning

  • Testa regelbundet att backup kan återställas
  • Säkerställ att konfigurationer för PLC:er och HMI lagras offline
  • Ha en tydlig incidenthanteringsplan specifik för OT-scenarier

Kopplingen till NIS2

Dessa rekommendationer kommer inte i ett vakuum. NIS2-direktivet ställer utökade krav på operatörer av kritisk infrastruktur. Organisationer som bedriver samhällsviktig verksamhet måste:

  • Genomföra riskanalyser specifikt för OT-miljöer
  • Implementera tekniska och organisatoriska skyddsåtgärder
  • Rapportera incidenter till NCSC
  • Visa att man aktivt arbetar med säkerhet (inte bara har policyer på papper)

NCSC:s nya publikationer ger en konkret vägledning för hur man uppfyller dessa krav i praktiken.

Relevanta standarder

Rekommendationerna bygger på etablerade ramverk:

  • IEC 62443 — internationell standard för industriell cybersäkerhet, den mest relevanta för OT
  • NIS2-direktivet — EU-krav på cybersäkerhet för kritisk infrastruktur
  • ISO/IEC 27001 — kompletterande för organisatoriska aspekter

Vad du kan göra idag

  1. Inventera — vet du vilka OT-system du har och hur de är anslutna?
  2. Segmentera — finns det brandväggar mellan IT och OT? Eller kör allt på samma nät?
  3. Fjärråtkomst — hur når leverantörer och personal era styrsystem? TeamViewer direkt till en HMI?
  4. Övervaka — loggar ni OT-trafik? Skulle ni märka om en PLC fick ny firmware?
  5. Testa — kör ni penetrationstest mot OT-miljön, eller bara IT?

Hur vi kan hjälpa

Pentesting.se erbjuder säkerhetsgranskning av nätverksinfrastruktur och kan identifiera exponerade OT-system, felkonfigurerad segmentering, och osäkra fjärråtkomstlösningar. Vår discovery-scan hittar automatiskt enheter och tjänster som inte borde vara exponerade.

Ladda ner NCSC:s fullständiga rekommendationer: ncsc.se/sv/publikationer

Alexander Norman driver Adminor AB och Pentesting.se. Vi hjälper nordiska företag att skydda sin infrastruktur — från webbapplikationer till nätverksutrustning och OT-miljöer.