I 2024 ble det oppdaget at norskflaggede fartøy hadde fått infiltrert skadevare gjennom USB-minnepinner. Med NIS2-krav på dørstokken står norske kraftstasjoner, vannverk og produksjonsanlegg overfor en fundamental utfordring: Hvordan beskytte legacy-systemer som er livsviktige for samfunnet, men aldri ble designet for dagens trusselbilde?
I mange av Norges mest kritiske anlegg styres fortsatt produksjonen av PLC-systemer og industrielle kontrollsystemer som er 10-20 år gamle. Disse kan ikke oppdateres uten risiko for produksjonsstans.
– Problemet er ikke at systemene er gamle, men at de aldri ble designet med tanke på dagens trusselbilde, forklarer Stig Mortvedt, business manager for cybersikkerhet i Last Mile AS.
– En kompromittert e-post i IT-nettverket kan gi angripere direkte vei inn i styringssystemene.
Tre konkrete sikkerhetstiltak
1. Virtuell patching – sikkerhet uten nedetid i stedet for å endre sårbare systemer implementeres som et sikkerhetslag som beskytter dem utenfra. Løsninger som TXOne EdgeIPS installeres transparent og fungerer som digitale «skjold» som lærer seg normale trafikkmønstre og blokkerer avvik.
– Dette gir effektiv sikkerhetsforbedring uten nedetid, endringer eller risiko for å bryte sertifiseringer, sier Mortvedt.
2. DMZ – den digitale buffersonen: En DMZ (Demilitarized Zone) fungerer som nøytralt område mellom IT- og OT-nettverk. Selv om angripere kommer seg inn i IT-nettet, hindrer en riktig konfigurert DMZ dem i å nå styringssystemene.
3. Granulær tilgangskontroll: Tradisjonelle VPN-løsninger gir ofte for bred tilgang. Moderne løsninger som Cyolo tilbyr Zero Trust-basert tilgangskontroll hvor hver bruker kun får tilgang til spesifikt nødvendige systemer.
NIS2 endrer spillereglene
– NIS2 gjør cybersikkerhet til lovkrav med betydelige bøter, sier Mortvedt.
– Virksomheter må kunne dokumentere adekvate sikkerhetstiltak.
For kritisk infrastruktur handler det ikke lenger om å reagere på trusler, men om å bygge proaktive forsvar. Nøkkelen ligger i å kombinere flere lag: virtuell patching, nettverkssegmentering og granulær tilgangskontroll.
– Sikkerhet handler om å beskytte mennesker, produksjon og samfunnets grunnleggende funksjoner, avslutter Mortvedt.
Last Mile AS er en norsk leverandør av OT-sikkerhet og kommunikasjonsløsninger for kritisk infrastruktur.
Les mer på lastmile.no
