Handbok för OT/ICS-säkerhet, NIS2 och incidenthantering
Kursen handlar om att skydda samhällskritisk infrastruktur (energi, vatten, transport, datacenter) mot cyberattacker. Den röda tråden är att OT-miljöer kräver ett annat säkerhetstänk än IT - här kan en attack orsaka fysisk skada, inte bara dataläckage.
Cykelns logik:
Regelverk → Riskanalys → Arkitektur → Kontroller → Övervakning → Incident → Lärdomar → Förbättring → (tillbaka till riskanalys)
Vad det är: En referensmodell (ISA-95) som delar in industriella nätverk i 6 nivåer (0-5) baserat på funktion. Skapar tydlig separation mellan affärssystem (IT) och processnära system (OT).
| Aspekt | IT | OT |
|---|---|---|
| Prioritet | Konfidentialitet först | Tillgänglighet först |
| Livscykel | 3-5 år | 15-30 år |
| Patching | Regelbundet, automatiskt | Sällan, testat, planerat |
| Protokoll | TCP/IP, HTTPS | Modbus, S7, OPC, DNP3 |
| Autentisering | Standard (AD, MFA) | Ofta ingen eller svag |
| Konsekvens vid fel | Data/pengar | Fysisk skada, liv |
| Tillgänglighet | 99.9% OK | 99.999% krävs ofta |
| Mönster | Exempel |
|---|---|
| Bristande segmentering | Angripare kunde röra sig från VPN direkt till SCADA |
| Svag autentisering | Ingen MFA på VPN, standardlösenord på PLC:er |
| Bristande övervakning | Modbus-skrivningar upptäcktes inte förrän fysisk påverkan |
| Avsaknad av OT-planering | IT-säkerhetsteam saknade OT-kunskap |
Offline-kopior - skyddade från ransomware. Testade procedurer - backup utan test är ingen backup.
| Styrkor | Begränsningar |
|---|---|
| Passiv övervakning - stör inte OT-trafik | Kan inte blockera (till skillnad från IPS) |
| Lär sig baslinje för "normal" trafik | Kräver korrekt baslinje - tar tid att träna |
| Detekterar avvikelser i industriella protokoll | Kräver OT-kunnig personal för tolkning |
| Varnar för högriskkommandon (PLC stop, etc.) | Ser inte krypterad trafik |
| Anomali | Wireshark Filter | Betydelse |
|---|---|---|
| Modbus skrivning | modbus.func_code == 5 |
PLC-manipulation |
| Modbus exception | modbus.func_code >= 128 |
Scanning/fuzzing |
| S7 anslutning | s7comm |
Oautentiserad PLC-åtkomst |
| S7 program download | s7comm.param.func == 0x1a |
Potentiellt sabotage |
Sektorer: Energi, transport, bank/finans, hälso-/sjukvård, dricksvatten/avlopp, digital infrastruktur, offentlig förvaltning, rymd, post, avfall, kemi, livsmedel, tillverkning, forskning.
Storlekströsklar:
| Tidsgräns | Rapport | Innehåll |
|---|---|---|
| 24 timmar | Tidig varning | Att incident inträffat, om avsiktlig, gränsöverskridande? |
| 72 timmar | Incidentanmälan | Initial bedömning, allvarlighetsgrad, IoC |
| 1 månad | Slutrapport | Detaljerad beskrivning, grundorsak, åtgärder, lärdomar |
| Roll | Ansvar |
|---|---|
| Incidentledare | Koordinerar hanteringen, fattar beslut, kommunicerar med ledning |
| IT-säkerhet | Teknisk analys, forensik, inneslutning på IT-sidan |
| OT-ansvarig | Bedömer påverkan på process, initierar manuell drift |
| Operatör | Upprätthåller säker drift, rapporterar anomalier |
| Ledning | Strategiska beslut, resursallokering, ansvar enligt NIS2 |
Viktig lärdom: Manuella fallback-procedurer räddade situationen - ha dokumenterade procedurer!
| # | Åtgärd | Område | Effekt |
|---|---|---|---|
| 1 | Implementera MFA på all fjärråtkomst | Identitet | Hög |
| 2 | Segmentera IT/OT med DMZ och brandväggar | Nätverk | Hög |
| 3 | Installera Jump server som enda OT-ingång | Åtkomst | Hög |
| 4 | Implementera NDR med OT-protokollstöd | Detektion | Hög |
| 5 | Skapa och testa OT-specifik incidentplan | Process | Hög |
Nivå 5: Enterprise │ Affärssystem, ERP, Internet
────────────────┼─────────────────────────────
Nivå 4: Site Business │ Lokal IT, schemaläggning
────────────────┼─────────────────────────────
╔════════════════╧═════════════════╗
Nivå 3.5: D M Z │ Jump server ║
│ │ Datadiod ║
│ │ Historian copy ║
╚════════════════╤═════════════════╝
────────────────┼─────────────────────────────
Nivå 3: Operations │ SCADA, MES, Historian
────────────────┼─────────────────────────────
Nivå 2: Supervisory │ HMI, operatörsstationer
────────────────┼─────────────────────────────
Nivå 1: Control │ PLC, RTU, DCS
────────────────┼─────────────────────────────
Nivå 0: Process │ Sensorer, aktuatorer, fysik
┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐
│DETEKTION │ → │ESKALERING│ → │ ANALYS │ → │KLASSIFIC.│
│NDR/SIEM/ │ │Rätt team │ │Omfattning│ │MSB-skala │
│Operatör │ │24h varning │Pågående? │ │NIS2-plikt│
└──────────┘ └──────────┘ └──────────┘ └──────────┘
↓
┌──────────┐ ┌──────────┐ ┌──────────┐
│INNESLUT │ → │ UTROTNING│ → │ÅTERSTÄLL │
│Isolera │ │Ta bort │ │Backup │
│Bevara │ │åtkomst │ │Verifiera │
│bevis │ │Patcha │ │Övervaka │
└──────────┘ └──────────┘ └──────────┘
↓
┌──────────────────────────────────────────┐
│ LÄRDOMAR & FÖRBÄTTRING │
│ Dokumentera → Uppdatera plan → Slutrapport │
└──────────────────────────────────────────┘
| Nivå | Beskrivning | Användning |
|---|---|---|
| SL 1 | Oavsiktlig exponering | Grundnivå |
| SL 2 | Avsiktlig attack, begränsade resurser | Standard för de flesta |
| SL 3 | Sofistikerad attack, måttliga resurser | Kritisk infrastruktur |
| SL 4 | Statlig aktör | Sällan praktiskt möjlig |