SensorFu Beacon: Kontinuerlig overvåkning av nettverksisolasjon i OT-miljøer

Mange OT-miljøer tror de er sikre bak brannmurer og VLAN-segmentering, men menneskelige feil skaper ofte skjulte lekkasjer. SensorFu Beacon fungerer som en kontinuerlig "penetrasjonstest" som forsøker å bryte ut av isolerte nettverk – og varsler umiddelbart dersom det lykkes. Slik blir "trust but verify" til praksis, ikke bare teori.

Hva er SensorFu Beacon?

SensorFu Beacon er et spesialisert overvåkingsverktøy som kontinuerlig verifiserer at isolerte eller segmenterte nettverk faktisk forblir isolerte. Løsningen fungerer ved å forsøke å etablere kommunikasjon med utsiden ("calls home") gjennom ulike kommunikasjonskanaler – og varsler umiddelbart dersom en slik forbindelse lykkes.

Viktig: Beacon påvirker ikke eksisterende OT-nettverkstrafikk og belaster ikke systemets ytelse.

Hvorfor er Beacon viktig i OT-miljøer?

1. Automatisert og kontinuerlig overvåkning I OT-miljøer stilles det strenge krav til at industrielle nettverk, ICS (Industrial Control Systems) og SCADA-systemer skal være helt isolerte for å forhindre uautorisert tilgang og cyberangrep. Tradisjonelle revisjoner er punktinspeksjoner som kan overse feil som oppstår mellom kontrollene. Beacon overvåker kontinuerlig – 24/7 – og oppdager lekkasjer øyeblikkelig når de oppstår.

2. Enkel implementering i komplekse OT-strukturer OT-miljøer har ofte air-gaps, VLAN-segmentering, brannmurer og flere lag med beskyttelse. Beacon kan tilpasses alle disse scenarioene og er enkel å distribuere og installere.

3. Oppdager vanlige, men lett oversette feil De mest kritiske feilene i OT-nettverk skyldes ofte menneskelige feil som:

• Feil port i switch
• Feil VLAN-tagging
• IPv6-konfigurasjoner som ikke er stramt satt opp
• Utilsiktet åpne brannmurregler

4. "Trust but verify" – også for tredjepart-administrerte nettverk Mange OT-nettverk driftes av eksterne leverandører. Beacon krever ikke spesielle tillatelser eller omfattende infrastruktur, og gir mulighet til å verifisere – ikke bare stole på – leverandørers påstander om nettverksisolasjon.

5. Styrker investeringer i OT-sikkerhet med operasjonell innsikt Beacon gir mer enn bare varsler – den dokumenterer hvilken protokoll som lekket (f.eks. DNS), tidspunkt og type lekkasje. Denne informasjonen kan integreres i SIEM-systemer, asset-styring eller IEC 62443-rammeverk for OT-styring og respons.

Eksempel på bruk i OT-miljø

Case: Industrielt kontrollnettverk isolert med VLAN og brannmur

1. En Beacon installeres fysisk i OT-segmentet og forsøker å kontakte Beacon Home
2. En feilkonfigurert brannmur eller IPv6-konfigurasjon gir Beacon tilgang via DNS-forespørsel
3. Beacon kontakter Home og varsler umiddelbart om lekkasjen
4. Driftsteamet får varsel via Slack eller API og kan iverksette tiltak
5. Detaljer logges i SIEM-løsning – inkludert lekkasjetype og tidspunkt
6. Lekkasjen rettes opp, og sikkerheten forblir kontinuerlig overvåket

Oppsummering av egenskaper og relevans:

SensorFu Beacon er derfor en svært nyttig løsning for OT-miljøer der nettverksisolasjon er essensiell – enten det gjelder kraft, produksjon, vann/avløp eller annen kritisk infrastruktur.

Plassering og myndighetskrav

🔧 Hvor kan Beacon installeres i et OT-miljø?

1. Mellom IT og OT (perimetersikring)

• Plassering: På innsiden av OT-nettverket (bak brannmuren mot IT)
• Formål: Verifisere at brannmuren faktisk blokkerer uønsket trafikk
• Typisk funn: Utilsiktet åpnet port eller aktiv IPv6-trafikk som ikke blokkeres

2. I SCADA-nettverket

• Plassering: Virtuell Beacon i SCADA-servermiljøet eller på HMI
• Formål: Kontinuerlig overvåke at SCADA-segmentet ikke lekker mot kontornett eller internett
• Typisk funn: VLAN-feil, DNS-lekkasje eller feil i segmenteringen

3. Ved kritiske kontrollsystemer (PLC-nivå)

• Plassering: Beacon (f.eks. Raspberry Pi) koblet i samme switch som PLC-ene
• Formål: Sikre at produksjonsnettverkene er "airgap-like"
• Typisk funn: Trafikk via glemte management-grensesnitt

4. Remote access/leverandørsoner

• Plassering: I DMZ eller dedikert leverandør/VPN-nettverk
• Formål: Overvåke at eksterne brukere kun får tilgang til avtalte OT-soner
• Typisk funn: Policy-brudd der leverandør får utilsiktet tilgang til SCADA-server

5. Backup- og engineering-workstations

• Plassering: På engineering laptop/VM for PLC- eller HMI-vedlikehold
• Formål: Verifisere at enheter ikke utilsiktet åpner for internett-trafikk
• Typisk funn: Skjulte tunneler via Windows-oppdateringer eller adminverktøy

Myndighetskrav og standarder

SensorFu Beacon oppfyller ikke krav alene, men gir bevis og kontinuerlig verifikasjon som bidrar til compliance:

🔹 IEC 62443 (Industriell cybersikkerhet)

• 62443-3-3 SR 3.1 – Network Segmentation: Beacon verifiserer at segmentering fungerer
• SR 3.2 – Communication Integrity: Avdekker utilsiktede protokoller

🔹 NIS2 (EU-direktivet for kritisk infrastruktur)

• Artikkel 21: Krav om kontinuerlig overvåkning → Beacon gir sanntidsvarsling
• Krav om sikring av nettverks- og informasjonssystemer → Beacon dokumenterer at isolasjon opprettholdes

🔹 ISO 27001/27019 (for energisektoren)

• Kontroll A.13 – Nettverkssikkerhet: Krav om sikring av nettverksgrenser → Beacon gir kontinuerlig bevis

🔹 NVE/KraftCERT-anbefalinger (Norge)

• Beacon støtter "trust but verify"-prinsippet i norsk kraftberedskap

🔹 NSM Grunnprinsipper for IKT-sikkerhet (Norge)

• Grunnprinsipp 2.2 – Segmentering
• Grunnprinsipp 3.4 – Kontinuerlig sikkerhetsmåling

Konklusjon

SensorFu Beacon kan plasseres ved alle kritiske soner i OT-miljøet og bidrar til å oppfylle krav i IEC 62443, NIS2, ISO 27001/27019, NVE/KraftCERT og NSM Grunnprinsipper – spesielt innen segmentering, kontinuerlig overvåkning og verifikasjon.

Vil du vite mer om hvordan dere kommer i gang? Kontakt Stig på Stig@lastmile.no i dag!