Tradisjonelle sikkerhetsmodeller for operasjonell teknologi bygget på ett premiss: fysisk isolasjon. Systemer som ikke var koblet til omverdenen, kunne heller ikke angripes fra den. Det premisset holder ikke lenger.
Digitaliseringen av OT-miljøer — fjernaksess for leverandører, integrasjoner mot IT-systemer, sanntidsdata til skyen — har gradvis fjernet grunnlaget for perimeterbasert sikkerhet. Zero Trust er ikke et svar på en hypotetisk fremtid. Det er en respons på infrastrukturen vi allerede har bygget.
Et moderne vannverk er ikke lenger en isolert maskin i et teknikkrom. Det er et nettverkspunkt med PLC-er som kommuniserer via Modbus, HMI-er med Windows-grensesnitt, SCADA-systemer som rapporterer til en driftssentral 40 kilometer unna, og ekstern servicetilgang fra leverandører som aldri setter foten på anlegget.
Hvert integrasjonspunkt representerer en potensiell angrepsvektor. Problemet er sjelden at noen tok en uforsvarlig beslutning — hvert enkelt steg mot økt tilkobling hadde legitim begrunnelse. Samlet har de endret risikobildets fundamentale karakter.
Amerikanske myndigheter, gjennom samarbeid mellom CISA, Department of Energy og FBI, konkluderer med at nettverksbasert perimetersikkerhet ikke lenger er tilstrekkelig for kritisk infrastruktur. Zero Trust-rammeverket er det anbefalte alternativet.
Zero Trust er ikke en teknologi du anskaffer. Det er en sikkerhetsmodell basert på ett grunnleggende skifte i antagelser.
Den tradisjonelle modellen antar at alt innenfor nettverksgrensen er trygt. Zero Trust antar at ingen forbindelse, enhet eller bruker er pålitelig — uavhengig av plassering i nettverket. Tilgang gis ikke basert på nettverkstilhørighet, men på kontinuerlig verifisering av identitet, kontekst og atferd.
I praksis betyr dette at en PLC som kommuniserer med SCADA-systemet ikke får tilgang fordi den alltid har fått det. Den får tilgang fordi forbindelsen samsvarer med et kjent og godkjent mønster — riktig kilde, destinasjon, protokoll og tidspunkt. Avvik resulterer i blokkering, ikke bare varsling.
Ingen kan beskytte det de ikke kjenner til. Fullstendig oversikt over alle OT-enheter er derfor grunnlaget for ethvert sikkerhetsarbeid — og det viser seg konsekvent å være vanskeligere enn forventet.
Virksomheter som gjennomfører systematisk kartlegging, finner jevnlig utstyr de ikke visste var tilkoblet: eldre engineering-stasjoner, testenheter som aldri ble fjernet, kommunikasjonsmoduler installert av leverandører og siden glemt. En nettverkskomponent som har sittet i et skap i ti år, kommuniserer fortsatt — spørsmålet er bare med hva.
Plattformer som Armis kartlegger OT-nettverk passivt, uten å sende trafikk som forstyrrer produksjonen, og bygger en løpende inventarliste over tilkoblede enheter. Det er utgangspunktet for videre sikkerhetsarbeid.
Nettverkssegmentering reduserer ikke sannsynligheten for et innbrudd. Det begrenser konsekvensene når innbruddet skjer — og det er den relevante variabelen i OT-sammenheng.
En angriper som kompromitterer en engineering-stasjon, vil søke å bevege seg videre mot SCADA-systemer, historian servers og prosessnettverk. Uten segmentering er dette fri bevegelse. Med segmentering møter angriperen kontrollerte grenser som kjøper tid for deteksjon og respons.
Effektiv segmentering i OT-miljøer innebærer:
Tydelig separasjon mellom IT- og OT-nettverk
Dedikert DMZ mellom sonene
Brannmurer mellom produksjonsområder
Mikrosegmentering rundt kritiske systemer
Westermo leverer nettverksinfrastruktur som er konstruert for industrielle miljøer med krav til robusthet og deterministisk kommunikasjon. Clavister bidrar med brannmursløsninger som kombinerer dyp pakkeinspeksjon med OT-protokollforståelse.
Fjernaksess er en operativ nødvendighet for de fleste OT-miljøer. Leverandører må kunne koble seg til, ingeniører må kunne overvåke anlegg de ikke befinner seg ved. Spørsmålet er ikke om fjernaksess skal tillates, men under hvilke betingelser.
En åpen VPN-tunnel som gir bred nettverkstilgang, er problematisk fordi den eksponerer langt mer enn det som er nødvendig for den aktuelle oppgaven. Prinsippet om minst nødvendig tilgang tilsier at en ekstern aktør skal ha tilgang til akkurat det systemet oppgaven krever, i det tidsvinduet som er nødvendig, med full logging.
Minimumsstandarden er multifaktorautentisering kombinert med rollebasert tilgang og sesjonsopptak. Løsninger som Cyolo er utviklet spesifikt for OT-miljøer og muliggjør granulær tilgangsstyring uten å eksponere det underliggende nettverket.
OT-nettverk er karakterisert av stabil, forutsigbar kommunikasjon. Det er en egenskap som kan utnyttes sikkerhetsstrategisk: avvik fra normalmønsteret er enklere å identifisere enn i dynamiske IT-miljøer.
En PLC som normalt sender 200 pakker per minutt til SCADA-systemet og plutselig genererer ti ganger så mye trafikk, representerer et statistisk avvik som er detekterbart — forutsatt at overvåkningskapasiteten er på plass. Kontinuerlig nettverksovervåkning muliggjør deteksjon av:
Uautoriserte kommandoer til PLC-er eller andre feltutstyr
Prosessverdier utenfor normalt driftsvindu
Kommunikasjon mot ukjente destinasjoner
Lateral bevegelse mellom nettverkssoner
Tidlig deteksjon endrer ikke at et angrep har funnet sted. Det endrer konsekvensens omfang — fra ukontrollert hendelse til håndterbar situasjon med begrenset skadeomfang.
OT-miljøer stiller krav som skiller implementeringen fundamentalt fra tilsvarende prosesser i IT-infrastruktur. Mange systemer har lang levetid, proprietære protokoller og strenge krav til tilgjengelighet. En PLC fra 2009 som styrer et prosessanlegg uten toleranse for nedetid, kan ikke behandles etter standard IT-sikkerhetslogikk.
Zero Trust i OT må innføres gradvis, med grundig testing og i nært samarbeid med tre fagmiljøer som sjelden kommuniserer tilstrekkelig: driftsoperatører som kjenner prosessene, automasjonsingeniører som kjenner systemene, og IT-sikkerhetskompetanse som kjenner truslene. Fraværet av ett av disse perspektivene øker risikoen for feil som rammer produksjonen.
For kommuner, energiselskaper, VA-virksomheter og industribedrifter vil Zero Trust i OT i stigende grad bli en del av regulatoriske forventninger. NIS2-direktivet og tilhørende norsk implementering peker i denne retningen.
Tilnærmingen krever ikke en fullstendig transformasjon som første steg. De mest effektive inngangspunktene er:
Etablere komplett oversikt over OT-enheter og nettverkstopologi
Segmentere nettverk og begrense lateral bevegelse
Sikre all ekstern tilgang med MFA og minst nødvendig tilgang
Innføre kontinuerlig nettverksovervåkning og anomalideteksjon
Utvikle og øve beredskaps- og gjenopprettingsplaner for OT-hendelser
Hvert av disse stegene har selvstendig verdi og legger grunnlag for neste fase. Virksomheter som starter dette arbeidet nå, posisjonerer seg bedre for både det aktuelle trusselbildet og kommende myndighetskrav.