← Tillbaka till portfolio
Julian Rieger
OT-Säkerhetsrapport – GreenTyre Recycling AB
Kurs: Riskhantering och strategier för industriell cybersäkerhet | Kunskapsgruppen Stockholm | 2025–2026
Bilagor Bilaga B: Riskmatris Bilaga C: Säkerhetsåtgärdstabell Bilaga D: Kontinuitetsplan

1. Introduktion

1.1 Scenario och uppdrag

GreenTyre Recycling AB är ett svenskt företag specialiserat på miljövänlig återvinning av uttjänta däck genom pyrolysprocess. Anläggningen drivs dygnet runt med fem pyrolysreaktorer som hanterar cirka 50 ton däck per dag, och omvandlar dem till pyrolysolja, carbon black, stålkord och gas.

Företaget har nyligen genomgått en digital transformation och VD:n är orolig för cybersäkerhetsrisker efter att ha läst om flera ransomware-attacker mot industriföretag. Som nyligen anställd OT-säkerhetskonsult har jag fått i uppdrag att analysera och förbättra säkerhetsläget.

1.2 Nuläge

Anläggningen har nyligen digitaliserats med:

Verksamheten klassificeras som "viktig entitet" enligt NIS2-direktivet då den ingår i avfallshanteringssektorn och kemisk industri.

Identifierade problem i nuläget:

1.3 Metod och avgränsningar

Analysen bygger på: IEC 62443, NIST SP 800-82 Rev. 3, STRIDE-hotmodellering, NIS2-direktivet (EU 2022/2555), Purdue-modellen.

2. Nätverkstopologi och Säkerhet

2.1 Nuvarande arkitektur

GreenTyres produktionsmiljö omfattar: 5 pyrolysreaktorer med individuella styrsystem, centralt SCADA-system (Siemens WinCC), 12 PLC:er (Siemens S7-1500), HMI-paneler vid varje reaktor, Historian-databas för processdata.

2.2 Purdue-modell implementation

Den föreslagna arkitekturen följer Purdue-modellen med tydlig zonindelning och en DMZ (L3.5) som säker övergång mellan IT och OT.

2.3 Trafikflöden mellan Purdue-lager

Internet (L5) → Office Network (L4)

Extern trafik passerar Brandvägg 1, enbart VPN och HTTPS tillåts.

Office Network (L4) → Factory DMZ (L3.5)

FW2 begränsar trafiken strikt — enbart anslutningar till Jump Server och loggöverföring tillåts. Ingen direkt åtkomst från kontorsnät till OT möjlig. Externa konsulter terminerar VPN direkt i Factory DMZ via dedikerad regel.

Factory DMZ (L3.5)

Innehåller SOC med SIEM, Jump Server (med session recording), Patch Management (WSUS), Network Management och backuplösningar.

Factory DMZ → Operations (L3)

FW3 tillåter enbart godkända flöden: Jump Server → SCADA/Engineering WS via RDP, WSUS-patchar till Windows-system, OT-loggar till Log Collector i DMZ.

Operations (L3) → Supervisory Control (L2)

FW4 separerar Operations från kontrollnivån. SCADA-servrar, Engineering Workstations, HMI-paneler och trådlösa accesspunkter. CCTV och elektronisk tillträdeskontroll.

Process Control (L1) och Physical Process (L0)

PLC:er (Siemens S7-1500) styr fysisk process via PROFINET. Safety PLC har separat nätverk för säkerhetskritiska funktioner (nödstopp) via PROFISAFE.

2.4 Fjärråtkomst via Jump Server

Ingen direkt VPN-åtkomst till OT-nätverk tillåts. Åtkomstkedja:

  1. Extern användare ansluter via VPN, autentiseras mot Active Directory
  2. VPN terminerar i DMZ (L3.5) via FW2 — enbart trafik till Jump Server
  3. På Jump Server krävs MFA och session recording startar automatiskt
  4. FW3 tillåter enbart RDP till specifikt godkända målsystem
  5. Session timeout 15 min, alla sessioner loggas och spelas in

2.5 Övervakning och loggning

IDS/IPS passivt på L2 via SPAN-port/TAP. Kritiska loggpunkter: brandväggar, SCADA-åtkomst, PLC-programmering, AD-autentisering, Jump Server-sessioner. NTP-synkronisering för korrekta tidsstämplar.

2.6 Single Points of Failure (SPOF)

SPOFPåverkanRiskreducering
SCADA-serverTotal processövervakning förloradRedundant server (hot standby)
Safety PLCSäkerhetsfunktioner offlineRedundant CPU, fail-safe design
DMZ-brandväggIT/OT-kommunikation brutenHA-kluster med automatisk failover
Historian-databasFörlust av processhistorikReplikering + daglig backup
PROFINET-switchKommunikation till PLC:er brutenRing-topologi med MRP
StrömförsörjningTotalstoppUPS + nödgenerator

3. Hotanalys och Riskbedömning

3.1 Metodik

STRIDE-hotmodellering: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege. Analysen fokuserar på produktionslinjen (L0–L2).

3.2 Identifierade hot (STRIDE)

Hot 1: Ransomware mot SCADA-system (T, D) — Kritisk

Ransomware krypterar SCADA-servrar och HMI via spear-phishing → lateral movement → exploatering av Jump Server → spridning till SCADA. Hög sannolikhet (ökar kraftigt enligt CISA), kritisk konsekvens (200 000 SEK/timme produktionsstopp).

Hot 2: Obehörig fjärråtkomst via komprometterad VPN (S, E) — Hög

Stulna VPN-credentials ger åtkomst till Jump Server och vidare till produktionssystem.

Hot 3: PLC-programmanipulation (T, E) — Kritisk

Komprometterad Engineering WS → TIA Portal → modifierad PLC-kod som ändrar processparametrar eller inaktiverar säkerhetsfunktioner. Medel sannolikhet, kritisk konsekvens (brand, miljöutsläpp).

Hot 4: Dataläckage via Historian-replikering (I) — Medel

Komprometterat IT-system → åtkomst till replikerad processdata. Underlättar rekognosering för framtida angrepp.

Hot 5: Supply chain-attack via firmware (T, S) — Medel

Trojaniserad firmware introducerar bakdörr i PLC/SCADA. Låg sannolikhet, kritisk konsekvens.

Se Bilaga B för komplett riskmatris.

4. Säkerhetsåtgärder

4.1 Gap-analys

Baserat på hotanalysen har sex åtgärdsområden identifierats. Se Bilaga C för komplett säkerhetsåtgärdstabell.

4.2 Beskrivning av åtgärder

Åtgärd 1: Nätverkssegmentering och Industrial DMZ (Kritisk, Prio 1)

Purdue-modellen implementeras med brandväggar mellan varje nivå, Industrial DMZ med Jump Server, VLAN-segmentering och separat nätverk för Safety-system.

Åtgärd 2: Fjärråtkomstkontroll (Kritisk, Prio 1)

MFA på Jump Server, personliga konton, Just-in-Time (JIT) access med tidsbegränsade behörigheter, session recording. VPN enbart till DMZ. Eliminerar den vanligaste attackvektorn.

Åtgärd 3: OT-IDS (Hög, Prio 2)

Passiv nätverksövervakning via SPAN-port/TAP med OT-specifik IDS (Nozomi, Claroty, Dragos eller SNORT/Suricata för OT). Baslinje av normal trafik, larm vid anomalier, SIEM-integration.

Åtgärd 4: RBAC och behörighetshantering (Hög, Prio 2)

Rollbaserad åtkomstkontroll med separation: Operatör / Tekniker / OT-ingenjör / OT-admin / Leverantör. Kvartalsvis granskning, automatisk revokering vid avslut.

RollSCADA-visaSCADA-styraPLC-läsaPLC-ändraAdmin
OperatörJaJaNejNejNej
TeknikerJaJaJaNejNej
OT-ingenjörJaJaJaJaNej
OT-adminJaJaJaJaJa
LeverantörJaNejJaNejNej

Åtgärd 5: Loggning, övervakning och SIEM (Medel, Prio 3)

Centraliserad loggsamling via syslog-server i DMZ. Loggar från brandväggar, SCADA, AD och Jump Server. SIEM-korrelation, NTP-synkronisering, 12 månaders retention.

Åtgärd 6: Utbildning och riskmedvetenhet

Utbildningsprogram för anställda. Öppen kultur kring riskrapportering.

Åtgärd 7: Eliminera fysiska risker

Skalskydd, passersystem, ID-brickor. Hantering av utskrivna dokument.

5. Incidenthantering och Kontinuitetsplan

Se Bilaga D för fullständig kontinuitetsplan med rollfördelning, RTO och backup-strategi.

5.1 Backup-strategi (3-2-1-principen)

TypFrekvensRetentionVerifiering
Full backupVeckovis (söndag)4 veckorMånatlig restore-test
InkrementellDagligen7 dagarVeckovis integritetscheck
PLC-programVid ändringAlla versionerVid change management

Årlig DR-övning med simulerad incident.

6. NIS2-checklista

GreenTyre Recycling AB klassificeras som "viktig entitet" inom avfallshantering och kemisk industri. Konsekvenser vid brister: upp till 10 M EUR eller 2% av global omsättning, personligt ansvar för ledningen.

Efterlevnadsstatus

7. Sammanfattning

7.1 Viktigaste rekommendationerna

  1. Arkitektur: Purdue-baserad segmenterad arkitektur med Industrial DMZ
  2. MFA och fjärråtkomstkontroll för att skydda kritisk miljö och uppfylla NIS2
  3. OT-IDS för anomalidetektering och tidig upptäckt
  4. NIS2: Brister identifierade inom segmentering, leverantörssäkerhet och utbildning
  5. RBAC och JIT-åtkomstkontroll minskar risker för externa och insider-hot

7.2 Hållbarhetsperspektiv

OT-säkerhet bidrar till hållbar produktion genom miljöskydd (förhindrar okontrollerade utsläpp), resurseffektivitet (kontinuerlig drift), cirkulär ekonomi (stabil pyrolysprocess) och social hållbarhet (trygg arbetsmiljö).

Bilagor Bilaga B: Riskmatris Bilaga C: Säkerhetsåtgärdstabell Bilaga D: Kontinuitetsplan