| Åtgärd | Risk som reduceras | Standard/ramverk | Prioritet |
|---|---|---|---|
|
Nätverkssegmentering + Industrial DMZ Purdue-modell med brandväggar mellan nivåer |
Ransomware, laterala rörelser | IEC 62443-3-3 SR 5.1, NIST SP 800-82 5 | 1 – Kritisk |
|
Fjärråtkomstkontroll MFA, Jump Server, personliga konton, JIT-access, session recording, VPN enbart till DMZ |
Obehörig åtkomst | IEC 62443-3-3 SR 1.1–1.2, SR 2.1, NIST SP 800-82 5.2 | 1 – Kritisk |
|
OT-IDS (passiv övervakning) SPAN-port/TAP, OT-specifik IDS, baslinje av normal trafik, SIEM-integration |
PLC-manipulation, anomalidetektering | IEC 62443-3-3 SR 3.2, SR 6.1–6.2, NIST SP 800-82 6.2 | 2 – Hög |
|
RBAC och behörighetshantering Kvartalsvis granskning, automatisk revokering |
Obehörig åtkomst, PLC-manipulation | IEC 62443-3-3 SR 3.2, SR 6.1–6.2, NIST SP 800-82 6.2 | 2 – Hög |
|
Loggning, övervakning och SIEM Centraliserad loggsamling, SIEM-korrelation, 12 månaders retention |
Forensik, spårbarhet | IEC 62443-3-3 SR 2.8–2.12, SR 6.1, NIST SP 800-82 6.2 | 3 – Medel |
Prioritet 1 = Implementera omedelbart. Prioritet 2 = Inom 3 månader. Prioritet 3 = Inom 6 månader.