Når det kommer til OT, er synlighed fundamentet for effektiv sikkerhed

Af Phil Muncaster • 18. November 2025

IT rammer ofte overskrifterne, især nu hvor vi går ind i en ny tidsalder med AI-drevet alting. Men det er driftsteknologi (OT), der stadig får en stor del af verden til at dreje rundt. Fra produktionsanlæg til kraftværker og hospitaler til transportnetværk, interagerer denne teknologi typisk med den fysiske verden for at styre vitale industrimaskiner. Der er bare ét problem: den blev aldrig rigtig designet til at håndtere det 21. århundredes cybertrusselslandskab.^st århundrede.

Dette er grunden ny vejledning fra National Cyber Security Center (NCSC) bør hilses velkommen af OT-operatører. Den understreger det afgørende første skridt til at sikre OT: synlighed. Og den foreslår ISO 27001 som en god måde at nå dertil.

Hvorfor OT-sikkerhed er vigtig

I betragtning af at OT kører industrielle kontrolsystemer, kræver det ikke et stort spring af fantasi at forstå, hvad der står på spil. Kapring af sådanne systemer ville gøre det muligt for trusselsaktører potentielt at forstyrre kritisk infrastruktur (CNI). Faktisk blev kinesiske statsstøttede fjender sidste år opdaget i amerikanske CNI-netværk, efter at have forudpositionerede sig at aktivere destruktive angreb i tilfælde af en militær konflikt.

Udover den potentielle fysiske skade på enkeltpersoner og hele samfund, som sådanne angreb kan medføre, kan de påføre CNI-udbydere og andre OT-operatører en stor økonomisk og omdømmemæssig byrde. For blot et par måneder siden... Marsh McLennan forsøgte at kvantificere omfanget af denne risiko ved hjælp af sin proprietære skadesdatabase og anden efterretningsinformation. Den beregnede, at den årlige økonomiske risiko forbundet med OT-hændelser kunne være så meget som 329.5 mia. dollars (250 mio. pund).

Udfordringen er, at OT-systemer ofte er dårligt beskyttede. Udstyr holder meget længere end typisk IT-udstyr, hvilket betyder, at det ofte skal køre ældre software og operativsystemer, hvortil der ikke længere findes patches. Hvis der teoretisk set er sikkerhedsopdateringer tilgængelige, prioriteres oppetid normalt frem for sikkerhed. Og disse maskiner opererer ofte i kritiske miljøer, hvor det er logistisk udfordrende at tage dem offline for at teste og installere patches. Forældede og usikre kommunikationsprotokoller kan også skabe yderligere sikkerhedsrisici.

Hvad NCSC siger

NCSC's tilgang er fornuftig: man kan ikke beskytte det, man ikke kan se. Derfor ønsker de, at OT-operatører først fokuserer på at skabe et "definitivt overblik" over deres OT-arkitektur. Dette går meget dybere end blot en liste over aktiver, herunder:

Komponenter såsom enheder, controllere, software og virtualiserede systemer, alle klassificeret efter kritikalitet, eksponering og tilgængelighedskrav
Tilslutning: dvs. hvordan disse aktiver interagerer inden for OT-netværket og videre
Bredere systemarkitektur herunder zoner, ledninger og segmenteringsforanstaltninger; bestemmelser om modstandsdygtighed; og begrundelsen bag designvalg
Adgang til forsyningskæde og tredjeparter: dvs. hvilke leverandører, integratorer og tjenesteudbydere der opretter forbindelse til OT-miljøet, og hvordan forbindelser administreres og beskyttes
Forretnings- og effektkontekst: Forståelse af, hvad der ville ske fra et operationelt, økonomisk og sikkerhedsmæssigt perspektiv, hvis et aktiv/en forbindelse svigtede eller blev kompromitteret

NCSC's vejledning, som også blev formet af agenturer i USA, Canada, New Zealand, Holland og Tyskland, er baseret på fem principper. Den instruerer OT-operatører i at udvikle processer til etablering og styring af deres "definitive record", identifikation og kategorisering af aktiver, identifikation og dokumentation af konnektivitet og dokumentation af tredjepartsrisiko.

Beskyttelse af din endelige registrering

Måske mest interessant er Princip 2: etablering af et program til styring af OT-informationssikkerhed. Dette bliver afgørende i betragtning af følsomheden af de oplysninger, der er indeholdt i den endelige registrering. Det kan omfatte design- og forretningsoplysninger, identitets- og autorisationsdata, driftsdata relateret til realtidskontrol af OT-systemer og cyber- og sikkerhedsrisikovurderinger.

Modstandere kan bruge denne efterretning til at "finjustere" deres angreb ved at opbygge et kontekstuelt billede af systemarkitekturen og udvælge komponenter, der skal målrettes og udnyttes, siger NCSC. "Din organisation bør have klart dokumenterede politikker og procedurer for, hvordan hver type information skal sikres," tilføjer den – og opfordrer organisationer til at overveje den klassiske "CIA"-triade. Det betyder at sikre:

Følsomme oplysninger er kun tilgængelige for systemer og brugere, der er autoriseret til at have adgang (fortrolighed)
Oplysningerne er komplette, intakte og pålidelige, og de er ikke ændret (integritet)
Organisationer beskytter informationen mod afbrydelser, forsinkelser og serviceforringelse (tilgængelighed)

ISO 27001-fordelen

NCSC anbefaler, at OT-operatører "bruger standarder som f.eks. ISO / IEC 27001 at hjælpe med implementeringen af et OT-informationssikkerhedsstyringssystem.” Det er musik i ørerne på ISMS.online CPO, Sam Peters, der siger, at det afspejler en voksende konsensus: “Principperne for et struktureret, risikobaseret informationssikkerhedsstyringssystem gælder lige så effektivt for OT, som de gør for IT.”

Peters fortæller ISMS.online, at han, efter at have arbejdet med standarden i mange år, ved præcis, hvor effektiv den kan være til at hjælpe med at håndtere OT-relaterede risici.

"Jeg ved af egen erfaring, at ISO 27001 giver en ensartet tilgang til synlighed af aktiver, konfigurationsstyring og ændringskontrol – alt sammen afgørende i komplekse, ældre OT-miljøer, hvor uplanlagte ændringer kan have sikkerhedsmæssige konsekvenser i den virkelige verden," tilføjer han. "Det styrker også sikkerheden på tværs af forsyningskæder ved at formalisere, hvordan tredjepartsadgang, patching og vedligeholdelse styres."

ISO 27001 hjælper også fra et teknisk perspektiv med at hjælpe organisationer med at bygge bro over kløften mellem IT og OT gennem "fælles terminologi, standardiserede kontroller og evidensbaseret risikohåndtering", siger Peters.

"Det understøtter bestemt NCSC's opfordring til et definitivt overblik over OT-arkitekturen, der sikrer, at sikkerhedsbeslutninger er baseret på præcis, aktuel systemviden snarere end antagelser," konkluderer han.

"For at være helt klar, handler det ikke om at integrere IT-kontroller oven på OT. Det handler om at anvende et gennemprøvet ledelsessystem, der tager højde for de unikke begrænsninger i industrielle systemer, prioriterer tilgængelighed, sikkerhed og robusthed, samtidig med at sporbarhed og løbende forbedringer opretholdes. Den balance er præcis, hvad OT har haft brug for i et stykke tid."

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Læs mere fra Phil Muncaster

Cyber sikkerhed 3 December 2025

Hvad lovforslaget om cybersikkerhed og modstandsdygtighed betyder for kritisk infrastruktur

Det har været længe undervejs. Lovforslaget om cybersikkerhed og modstandsdygtighed (CSRB) har været undersøgt helt tilbage i 2024, og det har nu endelig...

Phil Muncaster

Cyber sikkerhed 11. November 2025

Hvad Deloitte Australia-sagaen siger om risiciene ved at administrere AI-banner

Hvad Deloitte Australia-sagaen siger om risiciene ved at håndtere AI

Generativ AI (GenAI) har nået de højeste niveauer af branchehype, siden den brød frem i slutningen af 2022. Nu træder den ind i det, som Gartner kalder...

Phil Muncaster

Cyber sikkerhed 6. November 2025

NCSC siger "Det er tid til at handle", men hvordan?

Det er usædvanligt at se et åbent brev fra en virksomhedsleder i starten af en regeringsrapport om cybersikkerhed. Især en person, hvis virksomhed har j...

Phil Muncaster