← Tillbaka till portfolion

Cybersäkerhet i kritisk infrastruktur

Handbok för OT/ICS-säkerhet, NIS2 och incidenthantering

Julian Rieger | KYH Yrkeshögskola | 2025

Innehåll

1. Helhetsbild - kursens röda tråd

Kursen handlar om att skydda samhällskritisk infrastruktur (energi, vatten, transport, datacenter) mot cyberattacker. Den röda tråden är att OT-miljöer kräver ett annat säkerhetstänk än IT - här kan en attack orsaka fysisk skada, inte bara dataläckage.

Kopplingen mellan delarna:

Cykelns logik:
Regelverk → Riskanalys → Arkitektur → Kontroller → Övervakning → Incident → Lärdomar → Förbättring → (tillbaka till riskanalys)


2. Modeller och begrepp

2.1 Purdue-modellen och zonindelning

Vad det är: En referensmodell (ISA-95) som delar in industriella nätverk i 6 nivåer (0-5) baserat på funktion. Skapar tydlig separation mellan affärssystem (IT) och processnära system (OT).

Viktigaste lärdomar:
Vanliga misstag:

2.2 ICS/OT - vad som skiljer sig från IT

Aspekt IT OT
Prioritet Konfidentialitet först Tillgänglighet först
Livscykel 3-5 år 15-30 år
Patching Regelbundet, automatiskt Sällan, testat, planerat
Protokoll TCP/IP, HTTPS Modbus, S7, OPC, DNP3
Autentisering Standard (AD, MFA) Ofta ingen eller svag
Konsekvens vid fel Data/pengar Fysisk skada, liv
Tillgänglighet 99.9% OK 99.999% krävs ofta

3. Hot och risk i OT/ICS

3.1 Typiska attackvägar

Attackväg 1: Phishing → VPN → Lateral → PLC
  1. Phishing-mail till administrativ personal
  2. Credential harvesting via falsk inloggningssida
  3. VPN-inloggning med stulna uppgifter
  4. RDP/SSH lateral rörelse mot OT
  5. SCADA/HMI-åtkomst
  6. PLC-manipulation

3.2 Riskmönster från kursen

Mönster Exempel
Bristande segmentering Angripare kunde röra sig från VPN direkt till SCADA
Svag autentisering Ingen MFA på VPN, standardlösenord på PLC:er
Bristande övervakning Modbus-skrivningar upptäcktes inte förrän fysisk påverkan
Avsaknad av OT-planering IT-säkerhetsteam saknade OT-kunskap

4. Kontroller som ger mest effekt

4.1 Identitet och åtkomst

4.2 Segmentering och zoner

4.3 Backup och kontinuitet

OT-specifik backup:

Offline-kopior - skyddade från ransomware. Testade procedurer - backup utan test är ingen backup.


5. Detektion och analys

5.1 NDR - Network Detection and Response

Styrkor Begränsningar
Passiv övervakning - stör inte OT-trafik Kan inte blockera (till skillnad från IPS)
Lär sig baslinje för "normal" trafik Kräver korrekt baslinje - tar tid att träna
Detekterar avvikelser i industriella protokoll Kräver OT-kunnig personal för tolkning
Varnar för högriskkommandon (PLC stop, etc.) Ser inte krypterad trafik

5.2 PCAP/Wireshark - vad man letar efter

Anomali Wireshark Filter Betydelse
Modbus skrivning modbus.func_code == 5 PLC-manipulation
Modbus exception modbus.func_code >= 128 Scanning/fuzzing
S7 anslutning s7comm Oautentiserad PLC-åtkomst
S7 program download s7comm.param.func == 0x1a Potentiellt sabotage

6. NIS2 - snabbguide

6.1 Vem omfattas?

Sektorer: Energi, transport, bank/finans, hälso-/sjukvård, dricksvatten/avlopp, digital infrastruktur, offentlig förvaltning, rymd, post, avfall, kemi, livsmedel, tillverkning, forskning.

Storlekströsklar:

6.2 Ledningens ansvar

NIS2 ger ledningen personligt ansvar:

6.3 Incidentrapportering

Tidsgräns Rapport Innehåll
24 timmar Tidig varning Att incident inträffat, om avsiktlig, gränsöverskridande?
72 timmar Incidentanmälan Initial bedömning, allvarlighetsgrad, IoC
1 månad Slutrapport Detaljerad beskrivning, grundorsak, åtgärder, lärdomar

7. Incidenthantering

7.1 Roller och ansvar

Roll Ansvar
Incidentledare Koordinerar hanteringen, fattar beslut, kommunicerar med ledning
IT-säkerhet Teknisk analys, forensik, inneslutning på IT-sidan
OT-ansvarig Bedömer påverkan på process, initierar manuell drift
Operatör Upprätthåller säker drift, rapporterar anomalier
Ledning Strategiska beslut, resursallokering, ansvar enligt NIS2

7.2 Lärdomar från incidentövningar

Alla tre case hade gemensamt:

Viktig lärdom: Manuella fallback-procedurer räddade situationen - ha dokumenterade procedurer!


8. 10 nyckelinsikter

1. MFA är icke-förhandlingsbart
Stulna credentials är vanligaste attackvektorn. Alla tre kurscase hade VPN utan MFA som initial access.
2. Segmentering är din viktigaste kontroll
Begränsar lateral rörelse och blast radius. Datacenter-ransomware spreds via delad filserver.
3. OT är INTE bara "gammal IT"
Andra prioriteringar, protokoll, livscykler, konsekvenser. Modbus saknar helt autentisering - by design.
4. Purdue-modellen ger struktur
Hjälper IT och OT förstå varandra. "Angrepp från nivå 4 till nivå 1" är tydligt för alla.
5. Detektion utan respons är meningslös
Loggarna fanns i kraftverkscaset - ingen tittade. 47 SSH-försök utan larm.
6. NIS2 ger ledningen personligt ansvar
Tvingar säkerhet uppåt i organisationen. Kan förbjudas från ledande befattning vid grova brister.
7. Manuella fallback-procedurer räddar liv
När allt digitalt är nere måste processen kunna köras. Söderdalen kunde manuellt justera klordosering.
8. Leverantörer är en del av attack-ytan
NIS2 kräver kontroll av hela kedjan. Supply chain-attacker (SolarWinds, NotPetya).
9. Backup av OT-konfiguration glöms ofta
IT-backup täcker servrar, men inte PLC-program. Datacenter saknade aktuell OT-backup.
10. Övning avslöjar bristerna
En plan som inte testats är bara papper. Kursens incidentövningar visade att teorin inte räcker.

9. Åtgärdslista & Top 5

# Åtgärd Område Effekt
1 Implementera MFA på all fjärråtkomst Identitet Hög
2 Segmentera IT/OT med DMZ och brandväggar Nätverk Hög
3 Installera Jump server som enda OT-ingång Åtkomst Hög
4 Implementera NDR med OT-protokollstöd Detektion Hög
5 Skapa och testa OT-specifik incidentplan Process Hög
Mina Top 5:
  1. MFA på all fjärråtkomst - Stänger vanligaste attackvektorn
  2. Segmentering IT/OT med DMZ - Purdue-modellens kärna
  3. Jump server för OT-åtkomst - Ger en "choke point"
  4. NDR med OT-stöd - Passivt, stör inte drift
  5. Testad incidentplan för OT - Övning visar brister

10. Modellkarta

Purdue-modellen

Nivå 5: Enterprise      │ Affärssystem, ERP, Internet
        ────────────────┼─────────────────────────────
Nivå 4: Site Business   │ Lokal IT, schemaläggning
        ────────────────┼─────────────────────────────
       ╔════════════════╧═════════════════╗
Nivå 3.5:     D M Z    │ Jump server     ║
              │        │ Datadiod        ║
              │        │ Historian copy  ║
       ╚════════════════╤═════════════════╝
        ────────────────┼─────────────────────────────
Nivå 3: Operations      │ SCADA, MES, Historian
        ────────────────┼─────────────────────────────
Nivå 2: Supervisory     │ HMI, operatörsstationer
        ────────────────┼─────────────────────────────
Nivå 1: Control         │ PLC, RTU, DCS
        ────────────────┼─────────────────────────────
Nivå 0: Process         │ Sensorer, aktuatorer, fysik
    

Incidentflöde

┌──────────┐   ┌──────────┐   ┌──────────┐   ┌──────────┐
│DETEKTION │ → │ESKALERING│ → │ ANALYS   │ → │KLASSIFIC.│
│NDR/SIEM/ │   │Rätt team │   │Omfattning│   │MSB-skala │
│Operatör  │   │24h varning   │Pågående? │   │NIS2-plikt│
└──────────┘   └──────────┘   └──────────┘   └──────────┘
      ↓
┌──────────┐   ┌──────────┐   ┌──────────┐
│INNESLUT  │ → │ UTROTNING│ → │ÅTERSTÄLL │
│Isolera   │   │Ta bort   │   │Backup    │
│Bevara    │   │åtkomst   │   │Verifiera │
│bevis     │   │Patcha    │   │Övervaka  │
└──────────┘   └──────────┘   └──────────┘
      ↓
┌──────────────────────────────────────────┐
│           LÄRDOMAR & FÖRBÄTTRING         │
│  Dokumentera → Uppdatera plan → Slutrapport │
└──────────────────────────────────────────┘
    

IEC 62443 Säkerhetsnivåer

Nivå Beskrivning Användning
SL 1 Oavsiktlig exponering Grundnivå
SL 2 Avsiktlig attack, begränsade resurser Standard för de flesta
SL 3 Sofistikerad attack, måttliga resurser Kritisk infrastruktur
SL 4 Statlig aktör Sällan praktiskt möjlig