logo
    Kontakt oss
    Tilbake

    Derfor er risikoanalyse kjernen i deres OT-sikkerhet

    Av Stig Mortvedt | 11. februar 2026

     

    Hva skjer hvis kontrollsystemet som styrer vannforsyningen plutselig slutter å svare og tusenvis av husstander står uten vann i springen? Hva hvis en turbin i et kraftverk stopper og strømmen forsvinner i hele kommunen? Eller hva hvis styringssystemet i en trafikkert tunnel svikter midt i rushtiden? 

     For virksomheter som drifter kritisk infrastruktur, er ikke dette bare tekniske problemer. Det er hendelser som truer samfunnssikkerheten, økonomien og virksomhetens omdømme. 

     Mange norske anlegg innen kraft og vann og avløp (VA) bygger fortsatt på styringssystemer som har stått og gått i 20–30 år. De fungerer fortsatt fint, men de ble ikke bygget med cybersikkerhet i tankene. I tillegg er OT-nettverket ofte flatt, slik at kommer du inn ett sted, har du i praksis tilgang til de fleste systemene på nettet. I en slik hverdag holder det ikke å anta at ting er sikre bare fordi de har fungert lenge. Det er her risikoanalysen kommer inn, ikke som en teoretisk øvelse, men som selve fundamentet for en trygg og lovlig drift. 

     

    Risikoanalyse er ikke valgfritt lenger 

    Med innføringen av Digitalsikkerhetsloven fra 1. oktober 2025 er risikoanalyse blitt et lovkrav for virksomheter som leverer samfunnsviktige tjenester. Loven krever at dere har oversikt over systemene deres og at dere vurderer risikoen for hendelser som kan ramme sikkerheten. 

    Kort fortalt: Du kan ikke sikre det du ikke vet at du har. 

     For kraft og VA betyr dette at man må gå systematisk til verks for å kartlegge alt fra SCADA-systemer og PLS-er til sensorer og kommunikasjonslinjer. Målet med loven er å løfte sikkerheten fra å være brannslukking til å bli en planlagt del av virksomhetsstyringen. 

     

    Vil du ha en enkel innføring i hva Digitalsikkerhetsloven er, og hvordan den er annerledes fra NIS2? 
    👉🏻 Les mer i denne artikkelen. 

     

    Når IT og OT smelter sammen 

    Før var OT-verdenen isolert fra omverdenen. Man stolte på et "air gap", en tanke om at systemene var trygge fordi de ikke var koblet til internett. I dag er situasjonen en helt annen. 

    For rundt ti år siden startet digitaliseringen av produksjonssystemene for alvor. Det som tidligere var analoge systemer med seriekoblinger ble gradvis koblet sammen i nettverk, slik at man kunne hente ut sanntidsdata og styre produksjonen mer effektivt. Plutselig kunne ledelsen sitte på kontoret og se hva som skjedde i produksjonen akkurat nå, i stedet for å vente i to uker på et Excel-ark med gamle tall. 

     

    Dette skiftet har skapt en ny virkelighet: 

    IT-trusler på avveie: De fleste angrep starter på IT-siden. En phishing-e-post på kontoret kan gi en angriper administrasjonsrettigheter som gjør at de kan bevege seg videre ned til styringssystemene i produksjonen. Det er der de store konsekvensene ligger. 

    Flate nettverk: Mange eldre anlegg har flate nettverk der alt utstyr kan snakke med alt. Kommer en angriper seg inn ett sted, har de i praksis tilgang til alle maskinene i hele anlegget. Det finnes ingen digitale murer som stopper dem. 

    Uoversiktlig fjernaksess: Mange leverandører har egne løsninger for fjernstyring. Det er ikke uvanlig at et anlegg har syv eller åtte ulike fjernaksessløsninger fra forskjellige systemintegratører, hver med sin inngang til produksjonsnettet. Uten en risikoanalyse har man sjelden full kontroll på hvem som er inne i systemene, når de er der, og hva de faktisk gjør.  

    Hva en god risikoanalyse gir dere og hvordan man går frem 

    En risikoanalyse i et OT-miljø starter med å kartlegge alle komponentene i produksjonen. Det høres enkelt ut, men i praksis er det ofte kaos. Noen har oversikten i et Excel-ark som ikke er oppdatert på flere år. Andre har en perm på et kontor. Noen vet ikke engang hva som står der ute. 

    Moderne verktøy kan hjelpe. Ved å sette en sensor på nettverket kan man automatisk kartlegge alle PLS-er, SCADA-systemer, sensorer og annet utstyr som er koblet til. Verktøyet gir dere en oversikt over blant annet:  

    • Hvilket utstyr som er så gammelt at det ikke lenger får sikkerhetsoppdateringer 
    • Hvilke systemer som er feilkonfigurert og snakker med enheter de ikke burde 
    • Hvor dere har flate nettverk der en inntrenger kan bevege seg fritt 

    Når dere har denne oversikten, kan dere begynne å prioritere. Ved å bruke anerkjente modeller, som Purdue-modellen, kan man dele nettverket inn i soner. Da ser man raskt hvilke deler av anlegget som er mest sårbare og hvor konsekvensene av en feil er størst. 

    Det handler om å finne de lavthengende fruktene. Kanskje er det viktigere å sikre den ene turbinen som forsyner hele kommunen, enn å oppgradere ti mindre kritiske sensorer. Risikoanalysen gir dere svaret på hvor pengene bør brukes for å gi mest mulig sikkerhet tilbake. 

     

    Mer enn bøter: Hva står egentlig på spill? 

    Digitalsikkerhetsloven plasserer ansvaret for sikkerhetsnivået direkte hos styret og toppledelsen. Det er ikke lenger nok å overlate digital sikkerhet til IT-sjefen eller en ingeniør i driften. Ledelsen må forstå risikoen for å kunne allokere riktige ressurser. 

     Ja, loven åpner for bøter og i verste fall fengselsstraff, men det som virkelig står på spill er: 

    Produksjonsstopp: Hva koster det per time eller dag hvis anlegget står? For mange kraftselskap og vannverk kan det bety millioner i tapte inntekter og store konsekvenser for innbyggere og næringsliv. 

    Omdømmetap: Hva skjer med tilliten i kommunen hvis vannforsyningen blir hacket eller strømmen forsvinner? For en samfunnskritisk virksomhet er tillit selve fundamentet, og et vellykket angrep kan skape en usikkerhet hos innbyggere og myndigheter som det tar lang tid å reparere. 

    Leveringsevne: Mister dere kunder eller kontrakter hvis dere ikke kan levere som avtalt? I en konkurranseutsatt bransje kan det være avgjørende å vise at dere har kontroll på sikkerheten. 

    En gjennomført risikoanalyse er ledelsens beste verktøy for å vise at man tar dette ansvaret på alvor og at man har kontroll på virksomhetens viktigste verdier. 

     

    Fra analyse til handling 

    Risikoanalysen er ikke et mål i seg selv, men starten på en prosess. Når dere har gjort analysen, sitter dere igjen med en liste over tiltak. Kanskje 15 punkter som alle trenger oppmerksomhet. Da må dere prioritere de tiltakene som er mest kritiske, koster minst, og gir mest mulig effekt. Det er slik dere bygger sikkerhet som faktisk fungerer i praksis. 

    For virksomheter innen kraft og VA er målet tydelig: kritisk infrastruktur skal fungere 24/7. Ved å ha full oversikt over risikoen i egen virksomhet, går dere fra å være reaktive til å ha kontroll og være forberedt. 

    Mange opplever likevel at steget fra en ferdig analyse til faktiske tekniske endringer er krevende. I Last Mile hjelper vi dere med å omsette analysen til praktiske løsninger som fungerer i en travel driftsdag. Vi bistår med alt fra den første kartleggingen til installasjon og oppsett av utstyret som trengs for å gjøre jobbhverdagen både enklere og sikrere. 

     

    Ønsker dere en uforpliktende prat om hvordan dere kan komme i gang med risikoanalysen, eller vil dere ha en vurdering av dagens OT-sikkerhet? Ta kontakt med oss i Last Mile for en uforpliktende prat. 

    Temaer

    OT-cybersikkerhet NIS2 Kraft Last Mile AS

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.