Tenk deg at en hacker får tilgang til bedriftens IT-nettverk via en phishing-e-post. På få minutter kan angriperen bevege seg fra kontorsystemene til å kontrollere pumper på et vannrenseanlegg, stoppe produksjonen på en oljeplattform, eller slå av strømmen til tusenvis av hjem. Dessverre er dette ikke science fiction – det skjer allerede.
Problemet oppstår fordi mange industribedrifter fortsatt har manglende eller utilstrekkelig sikkerhet mellom sine IT-systemer (kontor-PC-er, e-post, internett) og OT-systemer (industrielle styringssystemer, sensorer, PLC-er). En tradisjonell brannmur ser ikke forskjell på en legitim kommando til en PLC og et angrep – begge ser ut som vanlig nettverkstrafikk.
Her kommer Next-Generation Firewall (NGFW) inn som en kritisk sikkerhetslinje. Den forstår ikke bare at data går mellom punkt A og B, men også hva slags data det er og om det er trygt.
En Next-Generation Firewall (NGFW) representerer den nye generasjonen brannmurer som er spesielt utviklet for å møte dagens komplekse og målrettede cybertrusler – både i tradisjonelle IT-nettverk og industrielle OT-miljøer.
En NGFW kombinerer alle funksjonene fra en tradisjonell brannmur med avanserte sikkerhetsfunksjoner som gir dypere innsikt og bedre kontroll over nettverkstrafikken.
| Funksjon | Beskrivelse | Betydning for OT |
|---|---|---|
| Stateful inspeksjon | Følger forbindelser og kontrollerer trafikk basert på IP, port og tilstand | Grunnleggende sikkerhet som vanlige brannmurer |
| Applikasjonsgjenkjenning | Skiller trafikk basert på applikasjon, ikke bare port | Kan skille mellom f.eks. Facebook og legitime HTTPS-tjenester over port 443 |
| Deep Packet Inspection (DPI) | Analyserer innholdet i datapakker | Kritisk for OT-protokoller som Modbus, DNP3, IEC 60870-5-104 |
| Brukerbasert kontroll | Integrasjon med Active Directory for identitetsbaserte policyer | Kontrollerer tilgang basert på brukeridentitet, ikke bare IP-adresse |
| Intrusion Prevention (IPS) | Detekterer og blokkerer angrep i sanntid | Beskytter mot exploits, scanning og kjente trussel-signaturer |
| SSL/TLS-inspeksjon | Inspeksjon av kryptert trafikk | Oppdager trusler skjult i krypterte forbindelser |
| Sentralisert administrasjon | Enhetlig styring og logging | Viktig for compliance, hendelsesrespons og revisjon |
For å illustrere forskjellen, her er noen praktiske scenarioer:
| Scenario | Tradisjonell brannmur | NGFW |
|---|---|---|
| Kan skille mellom YouTube og firmaportalen over HTTPS? | ❌ Nei, ser bare port 443 | ✅ Ja, gjenkjenner applikasjonen |
| Stopper uautorisert skriving til en PLC via Modbus? | ❌ Nei, ser bare TCP-trafikk | ✅ Ja, analyserer Modbus-kommandoer |
| Blokkerer kjente ransomware-kommandoer? | ❌ Nei, mangler trusselintelligens | ✅ Ja, via IPS og oppdaterte signaturer |
| Kontrollerer brukertilgang basert på rolle? | ❌ Nei, bare IP-basert | ✅ Ja, integrerer med Active Directory |
En NGFW sikrer granulær segmentering mellom IT- og OT-nettverk, som:
NGFW-er med støtte for industrielle protokoller kan:
Moderne NGFW-er gir detaljert innsikt i:
Med innebygd IPS/IDS-funksjonalitet kan NGFW:
Norske virksomheter innen kritisk infrastruktur møter særlige utfordringer og regulatoriske krav. Her er de viktigste NGFW-funksjonene for disse bransjene:
Med NIS2-direktivet og IEC 62443-standarden må norske virksomheter kunne dokumentere:
Implementering av NGFW mellom IT og OT er ikke lenger et spørsmål om "hvis", men "når" og "hvordan". Med økende cybertrusler mot kritisk infrastruktur og strammere regulatoriske krav, er det avgjørende at norske virksomheter tar grep nå.
Slik kommer du i gang:
Ønsker du å diskutere hvordan NGFW kan styrke sikkerheten i deres OT-miljø? Vi i Last Mile har over 20 års erfaring med å levere robuste sikkerhetsløsninger til kritisk infrastruktur i Norge.
Kontakt oss for en uforpliktende gjennomgang av dine sikkerhetsbehov: