GreenTyre Recycling AB är ett svenskt företag specialiserat på miljövänlig återvinning av uttjänta däck genom pyrolysprocess. Anläggningen drivs dygnet runt med fem pyrolysreaktorer som hanterar cirka 50 ton däck per dag, och omvandlar dem till pyrolysolja, carbon black, stålkord och gas.
Företaget har nyligen genomgått en digital transformation och VD:n är orolig för cybersäkerhetsrisker efter att ha läst om flera ransomware-attacker mot industriföretag. Som nyligen anställd OT-säkerhetskonsult har jag fått i uppdrag att analysera och förbättra säkerhetsläget.
Anläggningen har nyligen digitaliserats med:
Verksamheten klassificeras som "viktig entitet" enligt NIS2-direktivet då den ingår i avfallshanteringssektorn och kemisk industri.
Identifierade problem i nuläget:
Analysen bygger på: IEC 62443, NIST SP 800-82 Rev. 3, STRIDE-hotmodellering, NIS2-direktivet (EU 2022/2555), Purdue-modellen.
GreenTyres produktionsmiljö omfattar: 5 pyrolysreaktorer med individuella styrsystem, centralt SCADA-system (Siemens WinCC), 12 PLC:er (Siemens S7-1500), HMI-paneler vid varje reaktor, Historian-databas för processdata.
Den föreslagna arkitekturen följer Purdue-modellen med tydlig zonindelning och en DMZ (L3.5) som säker övergång mellan IT och OT.
Extern trafik passerar Brandvägg 1, enbart VPN och HTTPS tillåts.
FW2 begränsar trafiken strikt — enbart anslutningar till Jump Server och loggöverföring tillåts. Ingen direkt åtkomst från kontorsnät till OT möjlig. Externa konsulter terminerar VPN direkt i Factory DMZ via dedikerad regel.
Innehåller SOC med SIEM, Jump Server (med session recording), Patch Management (WSUS), Network Management och backuplösningar.
FW3 tillåter enbart godkända flöden: Jump Server → SCADA/Engineering WS via RDP, WSUS-patchar till Windows-system, OT-loggar till Log Collector i DMZ.
FW4 separerar Operations från kontrollnivån. SCADA-servrar, Engineering Workstations, HMI-paneler och trådlösa accesspunkter. CCTV och elektronisk tillträdeskontroll.
PLC:er (Siemens S7-1500) styr fysisk process via PROFINET. Safety PLC har separat nätverk för säkerhetskritiska funktioner (nödstopp) via PROFISAFE.
Ingen direkt VPN-åtkomst till OT-nätverk tillåts. Åtkomstkedja:
IDS/IPS passivt på L2 via SPAN-port/TAP. Kritiska loggpunkter: brandväggar, SCADA-åtkomst, PLC-programmering, AD-autentisering, Jump Server-sessioner. NTP-synkronisering för korrekta tidsstämplar.
| SPOF | Påverkan | Riskreducering |
|---|---|---|
| SCADA-server | Total processövervakning förlorad | Redundant server (hot standby) |
| Safety PLC | Säkerhetsfunktioner offline | Redundant CPU, fail-safe design |
| DMZ-brandvägg | IT/OT-kommunikation bruten | HA-kluster med automatisk failover |
| Historian-databas | Förlust av processhistorik | Replikering + daglig backup |
| PROFINET-switch | Kommunikation till PLC:er bruten | Ring-topologi med MRP |
| Strömförsörjning | Totalstopp | UPS + nödgenerator |
STRIDE-hotmodellering: Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege. Analysen fokuserar på produktionslinjen (L0–L2).
Ransomware krypterar SCADA-servrar och HMI via spear-phishing → lateral movement → exploatering av Jump Server → spridning till SCADA. Hög sannolikhet (ökar kraftigt enligt CISA), kritisk konsekvens (200 000 SEK/timme produktionsstopp).
Stulna VPN-credentials ger åtkomst till Jump Server och vidare till produktionssystem.
Komprometterad Engineering WS → TIA Portal → modifierad PLC-kod som ändrar processparametrar eller inaktiverar säkerhetsfunktioner. Medel sannolikhet, kritisk konsekvens (brand, miljöutsläpp).
Komprometterat IT-system → åtkomst till replikerad processdata. Underlättar rekognosering för framtida angrepp.
Trojaniserad firmware introducerar bakdörr i PLC/SCADA. Låg sannolikhet, kritisk konsekvens.
Se Bilaga B för komplett riskmatris.
Baserat på hotanalysen har sex åtgärdsområden identifierats. Se Bilaga C för komplett säkerhetsåtgärdstabell.
Purdue-modellen implementeras med brandväggar mellan varje nivå, Industrial DMZ med Jump Server, VLAN-segmentering och separat nätverk för Safety-system.
MFA på Jump Server, personliga konton, Just-in-Time (JIT) access med tidsbegränsade behörigheter, session recording. VPN enbart till DMZ. Eliminerar den vanligaste attackvektorn.
Passiv nätverksövervakning via SPAN-port/TAP med OT-specifik IDS (Nozomi, Claroty, Dragos eller SNORT/Suricata för OT). Baslinje av normal trafik, larm vid anomalier, SIEM-integration.
Rollbaserad åtkomstkontroll med separation: Operatör / Tekniker / OT-ingenjör / OT-admin / Leverantör. Kvartalsvis granskning, automatisk revokering vid avslut.
| Roll | SCADA-visa | SCADA-styra | PLC-läsa | PLC-ändra | Admin |
|---|---|---|---|---|---|
| Operatör | Ja | Ja | Nej | Nej | Nej |
| Tekniker | Ja | Ja | Ja | Nej | Nej |
| OT-ingenjör | Ja | Ja | Ja | Ja | Nej |
| OT-admin | Ja | Ja | Ja | Ja | Ja |
| Leverantör | Ja | Nej | Ja | Nej | Nej |
Centraliserad loggsamling via syslog-server i DMZ. Loggar från brandväggar, SCADA, AD och Jump Server. SIEM-korrelation, NTP-synkronisering, 12 månaders retention.
Utbildningsprogram för anställda. Öppen kultur kring riskrapportering.
Skalskydd, passersystem, ID-brickor. Hantering av utskrivna dokument.
Se Bilaga D för fullständig kontinuitetsplan med rollfördelning, RTO och backup-strategi.
| Typ | Frekvens | Retention | Verifiering |
|---|---|---|---|
| Full backup | Veckovis (söndag) | 4 veckor | Månatlig restore-test |
| Inkrementell | Dagligen | 7 dagar | Veckovis integritetscheck |
| PLC-program | Vid ändring | Alla versioner | Vid change management |
Årlig DR-övning med simulerad incident.
GreenTyre Recycling AB klassificeras som "viktig entitet" inom avfallshantering och kemisk industri. Konsekvenser vid brister: upp till 10 M EUR eller 2% av global omsättning, personligt ansvar för ledningen.
OT-säkerhet bidrar till hållbar produktion genom miljöskydd (förhindrar okontrollerade utsläpp), resurseffektivitet (kontinuerlig drift), cirkulär ekonomi (stabil pyrolysprocess) och social hållbarhet (trygg arbetsmiljö).