Kripos: Rapport om trusselen mot OT-avhengige virksomheter

2. mai 2025
Lesetid: 4 min

Kripos’ temarapport “Trusselen mot OT-avhengige virksomheter” (2025) er et strategisk varsel til både myndigheter og næringsliv. Rapporten synliggjør hvordan cyberkriminalitet nå også truer fysiske prosesser gjennom operasjonell teknologi (OT).

Rapporten gir en grundig oversikt over truslene mot OT-avhengige virksomheter, og hvordan disse dermed truer alle sider av samfunnet. Svært mye av det vi i dag tar for gitt, er avhengig av OT for å produsere, levere og vedlikeholde leveranser av varer og tjenester.

Rapporten er merket TLP:GRØNN og kan derfor ikke deles på nettsidene. Ta kontakt med Kripos for å be om rapporten.

Rapportens viktigste punkter for næringslivet:

OT-systemer er i økende grad sårbare for cyberangrep

Operasjonell teknologi som styrer fysiske prosesser, fra vannforsyning og energiproduksjon til produksjonsanlegg, ble i utgangspunktet utviklet uten tanke på cybersikkerhet. Etter hvert som OT-systemene kobles til internett og virksomhetssystemer for effektivisering, eksponeres gamle systemer for moderne digitale trusler.

OT-avhengige virksomheter kan ikke lenger stole på at tradisjonell fysisk sikring (gjerder, låser, videoovervåking) er nok for å beskytte sine kjerneprosesser. Alle virksomheter som benytter OT, enten direkte eller via leverandører, må forstå at cybersikkerhet nå er direkte knyttet til fysisk driftssikkerhet.

Mangel på en slik forståelse og tilstrekkelig sikring kan føre til produksjonsstans, miljøskader, skader på mennesker og tap av store verdier.

Cyberkriminelle aktører retter seg nå mot fysiske prosesser

Tidligere var påvirkning av fysiske prosesser primært en trussel fra statlige aktørers. Nå ser vi at også cyberkriminelle bevisst eller ubevisst påvirker OT-systemer, gjennom blant annet løsepengevirus og datatyveri. I enkelte tilfeller har slike angrep medført direkte fysiske konsekvenser.

Virksomhetene må være klar over at trusselaktørene i dag er mer ressurssterke, bedre organisert, og langt mer målrettede enn tidligere. Det er ikke lenger et spørsmål om noen vil forsøke å angripe. Det er kun et spørsmål om hvem som blir rammet og hvor godt de er forberedt.

Norske virksomheter kan ikke basere sin sikkerhet på at de “ikke er interessante mål”. Økt målretting betyr at angrep på mindre aktører kan forplante seg til store, samfunnskritiske konsekvenser via forsyningskjedene.

Sammenkoblingen av IT og OT skaper nye angrepsflater

For å effektivisere drift har mange virksomheter integrert IT-systemer (forretningsprosesser) med OT-systemer (produksjonskontroll). Dette skaper nye angrepsveier for cyberkriminelle, særlig der det mangler robuste segmenteringer, autentiseringskontroller og kontinuerlig overvåking.

Ledelsen må forstå at IT- og OT-sikkerhet ikke kan behandles som to separate områder. De er uløselig koblet sammen, og svakheter på ett område vil kunne få katastrofale følger på det andre.

Manglende nettverkssegregering og dårlig tilgangskontroll kan føre til at virksomheter mister kontrollen over sentrale produksjonsprosesser ved en cyberhendelse. Det betyr kostbare driftsavbrudd og potensielt farlige situasjoner.

Kompetansegap og gammel teknologi forsterker risikoen

Det finnes et betydelig kompetansegap i norsk næringsliv:

  • Mange som arbeider med OT har begrenset forståelse for cybersikkerhet.
  • Mange som arbeider med cybersikkerhet har liten forståelse for OT-systemenes spesielle krav til stabilitet, sikkerhet og sanntidskontroll.

Samtidig er mye av OT-infrastrukturen i bruk i dag både gammel og vanskelig å oppgradere uten betydelige investeringer.

Det er nødvendig med en systematisk satsing på tverrfaglig kompetanseheving. Bedrifter må investere i folk som forstår både OT og cybersikkerhet, og i opplæring av eksisterende personell.

Virksomheter som ikke tar tak i kompetanseutfordringen, risikerer å mangle evne til å forebygge, oppdage og håndtere angrep effektivt. Dette øker både risikoen for alvorlige hendelser og tiden det tar å gjenopprette driften etter et angrep.

Trusselbildet krever økt beredskap og samarbeid

Selv om Norge hittil har unngått de største hendelsene, skyldes det i noen grad tilfeldigheter, ikke systematisk bedre sikkerhet. Kripos peker på at trusselbildet vil fortsette å utvikle seg raskere enn virksomhetenes evne til å tilpasse seg, hvis de ikke tar grep nå.

Alle virksomheter som er avhengige av OT bør:

  • Utarbeide realistiske beredskapsplaner for cyberhendelser
  • Øve på håndtering av hendelser som påvirker både IT- og OT-systemer
  • Styrke samarbeid med myndigheter, bransjefora og andre aktører for å dele informasjon om trusler og erfaringer om god risikohåndtering.

Virksomheter som ikke har beredskap for cyberfysiske hendelser, vil være svært utsatt for langvarige og kostbare avbrudd ved angrep.

Oppsummert

Cybertrusler mot OT-avhengige virksomheter er reelle, voksende og potensielt ødeleggende.

Næringslivets sikkerhetsråd mener at sikkerhet i cyber-fysiske systemer er en forutsetning for å sikre konkurranseevne, samfunnsansvar og nasjonal motstandsdyktighet i årene som kommer. Det betyr at næringslivet må forberede seg. Vi anbefaler:

  • Ledelsen må sørge for at de er klar over disse utfordringene
  • Sikkerhetsarkitekturen rundt OT må styrkes for å møte et trusselbilde som utvikler seg
  • Kompetansegapet må tettes
  • OT-avhengige virksomheter må ha robuste beredskapsplaner
  • Virksomhetene må samarbeide tettere på tvers av sektorer.
DSC 0605 1

Bjarte Malmedal Fagdirektør digital sikkerhet bma@nsr-org.no +47 99094838

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.