Hva skjer når cyberangrep rammer den fysiske verden?
Kan «hvem som helst» lamme en flyplass eller et vannkraftverk med kunstig intelligens? Dette bør du vite om OT-sikkerhet – og derfor er det så viktig i 2026.
Er det mulig å hacke en bil? Hva med å ta kontroll over en oljeplattform, en flyplass eller et sykehus gjennom digitale inngangsporter? Det er sjelden vi hører om slike tilfeller. I hvert fall der konsekvensene blir skikkelig alvorlige.
Men det skjer faktisk at cyberangrep, enten direkte eller indirekte, rammer den fysiske verdenen.
Som da en prorussisk hackergruppe testet oss med et damanlegg i Bremanger. Eller mer nylig, da en lignende gruppering tok seg inn i industrielle styresystemer ved flere polske vannverk.
Ingen av disse hendelsene lyktes i å lamme viktige deler av samfunnet. I Norge har vi sterke fagmiljøer innen drift, sikkerhet og kritisk infrastruktur. Det er en viktig grunn til at mye fungerer godt.
Likevel er det farlig å tro at vi er immune mot cyberangrep som kan påvirke strøm, vann, helse, industri – eller andre kritiske funksjoner.
– Alt som er koblet på nett, er i teorien også tilgjengelig for hvem som helst, fra hvor som helst. I prinsippet kan noen sitte på Filippinene eller i Argentina og nå OT-systemer i Norge – selv om sikkerhetsmekanismer på flere nivåer stopper de aller fleste forsøk, sier Maria Bartnes, leder for DNVs forskningsprogram for cybersikkerhet.
– Hvis noen utenfra begynner å justere på temperaturmålere på en oljeplattform, eller tukler med hvor mye av ulike kjemikalier som skal tilsettes drikkevannet, så sier det seg selv at dette kan få alvorlige konsekvenser.
Hva er OT?
- OT står for operasjonell teknologi, og kan forklares som digitale systemer som styrer fysiske prosesser.
- Det kan være sensorer på en oljeplattform, kontrollsystemer i et vannverk, laststyring i strømnettet, produksjonslinjer i en fabrikk eller systemer i et skip.
- Stadig flere OT-systemer kobles i dag til IT-systemer og nettverk for å effektivisere drift og hente ut andre gevinster. Det åpner samtidig for nye typer angrep, som systemene opprinnelig ikke ble designet for å kunne stå imot.
OT – et tyngre skip å snu enn IT
OT-sikkerhet har vært et tema lenge. Likevel er det flere grunner til at det er mer aktuelt enn på lenge.
Mye av dette handler om kunstig intelligens. Når svært mange OT-enheter allerede er blitt koblet opp mot internett, uten grunnleggende cyberhygiene, kan verktøy basert på store språkmodeller på minutter screene tusenvis av disse, og identifisere kjente sårbarheter og foreslå måter å utnytte dem på.
Da KI-selskapet Anthropic i vår valgte å ikke lansere sin svært kraftige KI-modell Mythos offentlig, var en hovedbegrunnelse at den kunne finne og utnytte sårbarheter i programvare som operativsystemer og nettlesere. Det er nettopp en slik evne – etter hvert også rettet mot systemene som styrer fysiske prosesser – som nå bekymrer OT-miljøet.
Mens tradisjonelle IT-systemer enklere kan skrus av, segmenteres og sikkerhetsoppdateres fortløpende, er nemlig OT et langt tyngre skip å snu.
– Du kan ikke bare restarte et system som styrer en kritisk prosess på en oljeplattform. Du må ha planlagte vedlikeholdssykluser over tid, og du må være helt sikker på at en oppdatering faktisk fungerer før du ruller den ut, sier Bartnes.
Og selv om KI også brukes på forsvarssiden, er utviklingen en katt-og-mus-lek som primært gagner angripere.
– Når du skal sikre et system må du sikre absolutt alle dører, vinduer og andre innganger. Angriperen trenger bare å finne én inngang. Så det er et ganske krevende kappløp, sier hun.
Hva skjer når OT-systemer kobles til nett?
OT-systemer ble lenge utviklet for å operere i isolerte miljøer, med mål om å styre én bestemt prosess, pålitelig, stabilt og over lang tid – gjerne ti, tjue eller tretti år. Sikkerhet ble sjelden bygget inn fra start, annet enn at de skulle virke i lang tid og feile på en sikker måte.
– I OT har oppetid og fysisk sikker drift vært førsteprioritet. Systemene skulle holde vannet rennende, skipet i gang, strømmen stabil og produksjonen oppe.
I dag kobles stadig flere av disse systemene tettere sammen med IT-systemer og internett. Intensjonen er gjerne mer effektiv drift, lavere kostnader ved fjernstyring, monitorering og raskere feilretting – samt at man kan få mer verdi ut av data som blir samlet inn fra OT-systemer.
Baksiden av medaljen er at gammel teknologi blir eksponert for trusler som den aldri var ment å utsettes for. Tilkoblinger mot kontornettet, fjerninnlogging for leverandører og datastrømmer til og fra sensorer og analysemotorer åpner samtidig for at OT-systemer kan angripes utenfra av ondsinnede aktører.
– Alt dette øker antallet mulige innganger dramatisk. Samtidig blir det vanskeligere å ha oversikt over dem, forklarer Bartnes.
Mer ustabil verden
På toppen av dette er verden mer ustabil enn på lenge. Med geopolitisk uro, nye maktkamper og krig i Europa har OT-systemer som styrer kritisk infrastruktur blitt et legitimt mål.
– Samtidig ser vi mange flere potensielle trusselaktører. Vi ser for eksempel i mye større grad angrep gjennom statsstøttede grupper, forteller Bartnes.
– Målet deres kan være å lamme kritisk infrastruktur, men like gjerne også å skape kaos og uforutsigbarhet.
Virksomheter møter også mer regulatorisk press, der digitalsikkerhetsloven, NIS2 og Cyber Resilience Act stiller krav til sikkerhet i digitale produkter og leverandørkjeder.
Leverandørlag, gamle komponenter og fjerntilgang
En utfordring med OT-sikkerhet er at det kan være vanskelig å ha oversikt over egne systemer, tilkoblinger og sårbarheter. Mye handler om at OT-miljøer ofte er bygget opp i flere lag.
Nederst finner du sensorer, målere og utstyr som styrer fysiske prosesser. Over dette ligger kontrollsystemer, lokale styringssystemer og mer overordnede systemer som gir oversikt og styring på tvers.
I praksis betyr det at mange løsninger skal snakke sammen. Ofte kommer de også fra ulike leverandører, som Siemens, ABB, Honeywell eller andre store aktører.
– På toppen kommer lokale tilpasninger, eldre komponenter og løsninger som er sveiset sammen over tid – ofte med fokus på funksjonalitet og drift, uten at cybersikkerhet er blitt vurdert i særlig grad, forklarer Wiktor Miklaszewicz, OT-sikkerhetsrådgiver i mnemonic.
– Da får man avhengigheter og en stor potensiell sårbarhetsflate som ikke nødvendigvis er dokumentert.
En slik svakhet kan for eksempel være en gammel server som fortsatt er koblet til nett, selv om den egentlig skulle vært faset ut. Det kan også være et kamera, en alarm, en sensor eller en leverandørstyrt komponent med fjerntilgang.
– Hvis noen tenker at skygge-IT er skummelt, er skygge-OT enda skumlere, sier han.
Han sier at det ikke er uvanlig at systemer som skulle være dekommisjonert for lenge siden fortsatt kjører og i noen tilfeller snakker med internett, selv om virksomheten trodde de var tatt ut av drift.
– Så lenge de er koblet til internett, med mulighet for fjerntilgang, er det en angrepsflate som kan bli utnyttet, sier han.
Hva er skygge-IT og skygge-OT?
Skygge-IT er maskinvare, programvare eller tjenester som blir introdusert inn i driftsmiljøet på en ikke-kontrollert måte. Det kan være en skytjeneste en avdeling har tatt i bruk på egen hånd, en app installert utenom rutinene, eller utstyr koblet til nett uten kontroll.
Skygge-OT er det samme fenomenet i den operasjonelle teknologien, med OT-komponenter og tilkoblinger som ikke er godkjent og forankret i virksomheten – eller gamle installasjoner og integrasjoner som ingen lenger har oversikt over.
Felles for begge er at de utgjør en angrepsflate virksomheten ikke vet at den har, og dermed heller ikke beskytter seg aktivt mot.
Dette bør virksomheter gjøre nå
Så hva bør man egentlig gjøre? Bartnes peker på tre ting: skaff oversikt, rydd i gamle systemer og gjør en risikovurdering på tvers av IT og OT.
– Du må vite hvilke systemer du har og hva som er inngangene. For hvis du ikke har oversikt, så vet du heller ikke hva du skal beskytte, begynner Bartnes.
Det betyr oversikt over systemer, nettverk, leverandører og tilganger. Det betyr også opprydning i gamle komponenter, ubrukte servere, glemte integrasjoner og utdaterte systemer.
– Jeg tror mange er mye bedre på å legge til nye komponenter og programvare, og ikke like gode til å fjerne det som er utdatert, sier Bartnes.
Risikovurderingen bør svare på helt praktiske spørsmål:
– Hva er viktigst å holde i gang? Hvor lenge kan dere være ute av produksjon? Hvilke systemer må fungere også dersom IT-siden rammes? Hvilke manuelle eller lokale rutiner finnes dersom digitale verktøy faller bort?
Bartnes mener også at ledere bør stille noen konkrete spørsmål til dem som har ansvar for IT og OT i virksomheten:
Disse spørsmålene bør du stille din nærmeste IT/OT-ansvarlige:
- Når gjorde vi sist en risikovurdering som dekket både IT og OT? Hva lærte vi av den? Hvilke funn bekymrer oss mest? Hvem eier oppfølgingen?
- Hvilke leverandører har tilgang til OT-miljøet vårt? Hvordan er fjerntilgangen sikret? Vet vi når en leverandør er inne i systemene?
- Hvilke gamle komponenter har vi fortsatt i drift? Finnes det servere, kameraer, sensorer, alarmer eller integrasjoner som burde vært faset ut?
Når de spørsmålene er stilt, blir neste steg å gjøre arbeidet mer konkret. Miklaszewicz peker særlig på fem grep som kan gjøre OT-sikkerheten bedre:
Fem tips for bedre OT-sikkerhet:
1. Få oversikt over OT-miljøet ditt:
Det er vanskelig å snakke om cybersikkerhet når man ikke har oversikt over komponentene som utgjør OT-miljøet. Et komplett og dokumentert OT-eiendelsregister vil hjelpe deg med å oppdage skygge-OT og være et sentralt punkt for videre sikkerhetsarbeid.
2. Leverandørstyrte komponenter og maskiner kan være en blindsone:
Et kamera, en alarm, en maskin eller et annet digitalt system kan ha kapabiliteter som lar leverandøren koble til remote, ofte uten at virksomheten fullt ut har oversikt over hvordan den styres. Gå derfor gjennom OT-miljøet og dokumenter tydelig hvilke komponenter eller systemer som styres, driftes eller vedlikeholdes av leverandører. Ser du en maskin med antenne eller annen kommunikasjonsmodul, bør du avklare om leverandøren har mulighet til å koble seg til for service, feilsøking eller vedlikehold. Still tydelige krav til sikker fjerntilgang, logging, tilgangsstyring, oppdateringer og varsling ved hendelser – og deaktiver alle funksjoner dere ikke benytter dere av.
3. Der det er mulig, jobb med segmentering:
Majoriteten av cybersikkerhetshendelser knyttet til OT starter på IT-siden. Å ha kontroll på integrasjonen og dataflyten mellom OT- og IT-nettverket er derfor et av de viktigste tekniske tiltakene. Slik segmentering hindrer for eksempel at et løsepengevirus på «kontorsiden» sprer seg videre til produksjonsmiljøet, og bidrar til trygg drift selv om IT-siden blir rammet av et angrep.
4. Lag en patch-plan som passer OT-hverdagen:
I OT-miljøer kan man sjelden bare skru av, oppdatere og starte på nytt. Oppdateringer må planlegges nøye, testes og prioriteres ut fra både risiko og konsekvenser i drift. Når du har oversikt over komponentene i OT-miljøet, trengs det en prosess for å vurdere konsekvensene av både sårbarheter og eventuell patching.
Denne vurderingen hjelper med å avgjøre om det må patches umiddelbart, ved neste vedlikeholdsvindu eller om sårbarheten må håndteres på andre måter. Dette kan beskrives som en now, next, never-tilnærming. Det viktige er at «never» ikke betyr at sårbarheten glemmes – sårbarheten må fortsatt overvåkes over tid, og beslutningen bør revurderes dersom forutsetningene endrer seg.
5. Øv på OT-scenarioer med cyberaspekter:
I OT-verden øves det ofte mye på driftssiden, men sjeldnere på cyberhendelser og avhengighetene mellom IT og OT. Dermed får man heller ikke alltid testet hvordan OT-personell, IT-personell, ledelse og eksterne leverandører faktisk kommuniserer og samhandler når en sikkerhetshendelse oppstår.
En god start er en diskusjonsbasert øvelse, ofte kalt en table-top exercise, der man samler personer med ulike perspektiver og ansvarsområder i samme rom. Deretter presenterer man et OT-relevant scenario med en cyberdimensjon og spør: «Dette har skjedd, hva gjør vi nå?» På den måten får man testet roller, ansvar, beslutningsprosesser og samhandling i praksis.
Den skjulte kunnskapen i organisasjonen
Mange virksomheter har mye kunnskap om egne systemer. Drift kjenner anleggene. IT kjenner nettverkene. Utfordringen er at kunnskapen ofte ligger spredt.
– Hvis du samler alle ansatte i en bedrift, har man sikkert ganske god oversikt til sammen. Spørsmålet er om den er for fragmentert til at man klarer å jobbe godt med sikkerhet, sier Bartnes.
Tradisjonelt har OT og IT også vært to ulike miljøer. OT har hatt ansvar for at prosessen går trygt og stabilt. IT har hatt ansvar for nettverk, systemer, brukere og digital sikkerhet.
– De som er veldig gode på OT sitter ofte andre steder enn dem som er gode på IT. Når dette i større grad smelter sammen, må man snakke sammen, sier hun.
– Man må forstå at en endring i IT-systemer «her borte» faktisk kan få konsekvenser for OT «der borte». Får man til å jobbe helhetlig med dette, er mye gjort.
