logo
    Kontakt oss
    Tilbake

    Next-Generation Firewall (NGFW) for OT-miljøer: Hvorfor sikkerhet mellom IT og OT er kritisk

    Av Stig Mortvedt | 5. september 2025

    Next-Generation Firewall (NGFW) er en kritisk sikkerhetslinje. Den forstår ikke bare at data går mellom punkt A og B, men også hva slags data det er og om det er trygt.

    Tenk deg at en hacker får tilgang til bedriftens IT-nettverk via en phishing-e-post. På få minutter kan angriperen bevege seg fra kontorsystemene til å kontrollere pumper på et vannrenseanlegg, stoppe produksjonen på en oljeplattform, eller slå av strømmen til tusenvis av hjem. Dessverre er dette ikke science fiction – det skjer allerede.

    Problemet oppstår fordi mange industribedrifter fortsatt har manglende eller utilstrekkelig sikkerhet mellom sine IT-systemer (kontor-PC-er, e-post, internett) og OT-systemer (industrielle styringssystemer, sensorer, PLC-er). En tradisjonell brannmur ser ikke forskjell på en legitim kommando til en PLC og et angrep – begge ser ut som vanlig nettverkstrafikk.

    Her kommer Next-Generation Firewall (NGFW) inn som en kritisk sikkerhetslinje. Den forstår ikke bare at data går mellom punkt A og B, men også hva slags data det er og om det er trygt.

    En Next-Generation Firewall (NGFW) representerer den nye generasjonen brannmurer som er spesielt utviklet for å møte dagens komplekse og målrettede cybertrusler – både i tradisjonelle IT-nettverk og industrielle OT-miljøer.

    Hva skiller en NGFW fra tradisjonelle brannmurer?

    En NGFW kombinerer alle funksjonene fra en tradisjonell brannmur med avanserte sikkerhetsfunksjoner som gir dypere innsikt og bedre kontroll over nettverkstrafikken.

    Hovedfunksjoner i en NGFW

    Funksjon Beskrivelse Betydning for OT
    Stateful inspeksjon Følger forbindelser og kontrollerer trafikk basert på IP, port og tilstand Grunnleggende sikkerhet som vanlige brannmurer
    Applikasjonsgjenkjenning Skiller trafikk basert på applikasjon, ikke bare port Kan skille mellom f.eks. Facebook og legitime HTTPS-tjenester over port 443
    Deep Packet Inspection (DPI) Analyserer innholdet i datapakker Kritisk for OT-protokoller som Modbus, DNP3, IEC 60870-5-104
    Brukerbasert kontroll Integrasjon med Active Directory for identitetsbaserte policyer Kontrollerer tilgang basert på brukeridentitet, ikke bare IP-adresse
    Intrusion Prevention (IPS) Detekterer og blokkerer angrep i sanntid Beskytter mot exploits, scanning og kjente trussel-signaturer
    SSL/TLS-inspeksjon Inspeksjon av kryptert trafikk Oppdager trusler skjult i krypterte forbindelser
    Sentralisert administrasjon Enhetlig styring og logging Viktig for compliance, hendelsesrespons og revisjon

     

    Tradisjonell brannmur vs. NGFW: Praktiske forskjeller

    For å illustrere forskjellen, her er noen praktiske scenarioer:

    Scenario Tradisjonell brannmur NGFW
    Kan skille mellom YouTube og firmaportalen over HTTPS? ❌ Nei, ser bare port 443 ✅ Ja, gjenkjenner applikasjonen
    Stopper uautorisert skriving til en PLC via Modbus? ❌ Nei, ser bare TCP-trafikk ✅ Ja, analyserer Modbus-kommandoer
    Blokkerer kjente ransomware-kommandoer? ❌ Nei, mangler trusselintelligens ✅ Ja, via IPS og oppdaterte signaturer
    Kontrollerer brukertilgang basert på rolle? ❌ Nei, bare IP-basert ✅ Ja, integrerer med Active Directory

     

    Hvorfor NGFW mellom IT og OT er essensielt

    1. Segmentering og risikominimering

    En NGFW sikrer granulær segmentering mellom IT- og OT-nettverk, som:

    • Begrenser spredning av angrep (som ransomware) fra IT til OT
    • Kontrollerer hvilken trafikk og protokoller som får passere
    • Håndhever "least privilege"-prinsippet

    2. Dyptgående inspeksjon av OT-protokoller

    NGFW-er med støtte for industrielle protokoller kan:

    • Analysere og filtrere trafikk på applikasjonsnivå
    • Oppdage unormale kommandoer, som uautoriserte "write"-operasjoner
    • Stoppe skadelige forespørsler før de når kritiske systemer

    3. Økt synlighet og overvåking

    Moderne NGFW-er gir detaljert innsikt i:

    • Kommunikasjonsmønstre mellom IT og OT
    • Anomalier og uvanlig trafikkaktivitet
    • Potensielle policy-brudd og sikkerhetshendelser

    4. Proaktiv trusselbeskyttelse

    Med innebygd IPS/IDS-funksjonalitet kan NGFW:

    • Oppdage og blokkere kjente sårbarhetsutnyttelser
    • Hindre lateral bevegelse av trusselaktører
    • Integreres med trusselinformasjon for løpende oppdateringer

    Spesielle krav for vann/avløp og energibransjen

    Norske virksomheter innen kritisk infrastruktur møter særlige utfordringer og regulatoriske krav. Her er de viktigste NGFW-funksjonene for disse bransjene:

    Protokollstøtte for kritisk infrastruktur

    • Modbus/TCP: Standard i mange industrielle systemer
    • DNP3: Vanlig i energisektoren og vannbehandling
    • IEC 60870-5-104/101: Brukt i kraftproduksjon og distribusjon
    • OPC Classic/OPC UA: Kommunikasjon mellom SCADA og feltsystemer

    Driftssikkerhet og tilgjengelighet

    • Fail-safe-funksjonalitet: Trafikken må kunne fortsette selv ved systemfeil
    • Redundant arkitektur: Aktiv/passiv konfigurasjon for høy oppetid
    • Industriell maskinvare: Tåler temperaturvariasjoner og industrielle miljøer

    Segmenteringsstrategier

    • Kontrollsone: SCADA-servere og operatørstasjoner
    • Feltutstyrssone: PLC-er, HMI-er og sensorer
    • DMZ-sone: Sikker kommunikasjon mellom IT og OT
    • Mikrosegmentering: Detaljert kontroll innad i hver sone

    Compliance og dokumentasjon

    Med NIS2-direktivet og IEC 62443-standarden må norske virksomheter kunne dokumentere:

    • Komplett logging av all trafikk mellom IT og OT
    • Hendelsesrespons og forensiske muligheter
    • Regelmessig testing og vedlikehold av sikkerhetskontroller

    Implementeringsanbefalinger

    Planleggingsfasen

    1. Asset-kartlegging: Komplett oversikt over OT-miljøet
    2. Risikovurdering: Identifiser kritiske kommunikasjonsveier
    3. Segmenteringsstrategi: Definer soner og trafikkregler

    Tekniske vurderinger

    • Velg NGFW med spesifikk OT-protokollstøtte
    • Sikre tilstrekkelig ytelse for sanntidskommunikasjon
    • Planlegg for redundans og failover-scenarioer

    Drift og vedlikehold

    • Etabler prosedyrer for policyendringer
    • Implementer kontinuerlig overvåking og varsling
    • Planlegg regelmessig testing av sikkerhetskontroller

    Veien videre

    Implementering av NGFW mellom IT og OT er ikke lenger et spørsmål om "hvis", men "når" og "hvordan". Med økende cybertrusler mot kritisk infrastruktur og strammere regulatoriske krav, er det avgjørende at norske virksomheter tar grep nå.

    Slik kommer du i gang:

    • Gjennomfør en sikkerhetsvurdering av ditt IT/OT-miljø, vi bistår gjerne med dette
    • Evaluer eksisterende segmenteringsløsninger - her har vi spesialister med dybdekompetanse som kan bistå dere
    • Utarbeid en implementeringsplan basert på risiko og forretningsbehov - også her bistår vi dere ved behov

    Ønsker du å diskutere hvordan NGFW kan styrke sikkerheten i deres OT-miljø? Vi i Last Mile har over 20 års erfaring med å levere robuste sikkerhetsløsninger til kritisk infrastruktur i Norge. 

    Kontakt oss for en uforpliktende gjennomgang av dine sikkerhetsbehov:

    Temaer

    OT-cybersikkerhet Kommune Industrielt nettverk Last Mile AS

    Stig Mortvedt's photo

    Av: Stig Mortvedt

    Stig Mortvedt er business manager Cyber Security løsninger for kritisk infrastruktur i Last Mile AS. Han har bred erfaring fra både salg, forretningsutvikling og ledelse i ulike bransjer, både som leverandør, forhandler og sluttbruker. Han har over 25 års erfaring fra Telecom og IT-bransjen hvor han hovedsakelig jobbet innen salg og ledelse både nasjonalt og internasjonalt. De siste 10 årene har han jobbet med fokus på forretningsutvikling innen industrisektoren og hvordan man skal sikre OT-infrastrukturen med fleksible, skalerbare og brukervennlige cyber løsninger. Stig er økonom og er opptatt av å få kommunisert nytteverdi og behov for endringsledelse til beslutningstakere slik at investeringene blir lønnsomme, og norske industriarbeidsplasser blir bevart.