Vad är OT och hur skiljer det sig från IT?

OT (Operational Technology) är hårdvara och mjukvara som direkt övervakar och styr fysiska processer — PLC, SCADA, DCS, RTU, sensorer, ställdon. IT är information och kommunikationsteknik — datorer, nätverk, mjukvarutjänster. Skillnaden: IT prioriterar konfidentialitet > integritet > tillgänglighet. OT prioriterar omvänt: tillgänglighet > integritet > konfidentialitet. En IT-system stoppas vid säkerhetsincident; ett OT-system får inte stoppas eftersom det styr en fysisk process som kan vara farlig att avbryta.

IEC 62443 (tidigare ISA-99) är den internationella standarden för cybersäkerhet i industriella automations- och styrsystem (IACS). Den definierar säkerhetsnivåer SL 1-4, sju grundläggande krav (identifiering, användarkontroll, systemintegritet, datakonfidentialitet, begränsat dataflöde, händelserespons, resurstillgänglighet), och Purdue-modellens zonindelning. Standarden riktar sig till tillverkare, integratörer och anläggningsägare. RISE i Sverige driver utbildning.

Vad är Purdue-modellen?

Purdue-modellen är en arkitekturreferens för OT/IT-segregering, utvecklad av Purdue University. Den definierar fem zonnivåer: Level 0 (fysisk process — sensorer, ställdon), Level 1 (kontrollsystem — PLC, RTU), Level 2 (övervakning — SCADA, HMI), Level 3 (operations — MES, historiska databaser), Level 3.5 (DMZ mellan IT och OT), Level 4 (företags-IT — ERP, e-post). Trafik mellan zoner ska kontrolleras av brandväggar och datadioder.

Vilka är de mest kända OT-cyberattackerna?

Stuxnet (2010): USA/Israel-utvecklad mask som saboterade iranska kärnvapenscentrifuger via Siemens S7-300 PLC. Industroyer/CrashOverride (2016-2017): rysk attack mot ukrainsk elnät. WannaCry (2017): drabbade Honda, Renault-Nissan, Telefonica. Triton/Trisis (2017): attack mot säkerhets-PLC (SIS) i Saudi-Arabien. NotPetya (2017): Maersk, Merck, Saint-Gobain. Colonial Pipeline (2021): USA bränsledistribution stoppades. JBS Foods (2021): köttproducent. Sellafield kärnkraftverk (2023, UK).

Vilka svenska aktörer arbetar med OT-säkerhet?

RISE driver svensk OT-säkerhetsforskning och utbildning. MSB (Myndigheten för samhällsskydd och beredskap) ansvarar för svensk CER- och NIS2-implementering. Säpo bevakar statsfinansierade hot. Defensify (Stockholm) är specialiserad OT-säkerhetsleverantör. Advenica (Lund) tillverkar datadioder för OT/IT-separation. Truesec, Combitech (Saab-grupp), Cybercom (Knowit), Sentor är konsulter. SSAB, Vattenfall, Svenska kraftnät, Boliden, Volvo, Scania driver egna OT-säkerhetsprogram.

OT-cybersäkerhet: IEC 62443, Stuxnet och svensk industri

En sommardag 2010 upptäckte säkerhetsforskare ett ovanligt komplext virus i Iran. Det riktade sig inte mot vanliga datorer — det riktade sig mot Siemens S7-300 PLC som styrde uranförädlingscentrifugerna i Natanz. Det fick centrifugerna att rotera sig själva sönder medan operatörspanelen visade allt normalt. Det förstörde uppskattningsvis 1 000 centrifuger innan det upptäcktes.

Stuxnet var den första kända cybervapnet som riktade sig mot industriellt styrsystem. Det var också startskottet för en ny disciplin: OT-cybersäkerhet. Och femton år senare är det inte längre nationsstater som angriper industriella system — det är ransomware-gäng som vill ha pengar.

Vad OT är och varför det skiljer sig från IT

OT (Operational Technology) är hårdvara och mjukvara som direkt övervakar och styr fysiska processer. Det omfattar:

PLC (Programmable Logic Controllers): Hjärnan i industriella styrsystem. Siemens S7, Allen-Bradley, Mitsubishi Q-serie, Beckhoff TwinCAT.
DCS (Distributed Control Systems): Processindustri-styrsystem. Honeywell Experion, ABB 800xA, Emerson DeltaV.
SCADA (Supervisory Control and Data Acquisition): Övervakning och styrning av distribuerade anläggningar. Vattenverk, elnät, oljeledningar.
RTU (Remote Terminal Units): Fältenheter som samlar data och utför kommandon från SCADA.
HMI (Human-Machine Interface): Operatörsgränssnitt på touch-skärmar.
SIS (Safety Instrumented Systems): Säkerhetskritiska PLC-system. SIL-klassificerade.
Sensorer och ställdon: Trycksensorer, temperaturgivare, ventiler, motorer.

OT-system har fundamentalt andra prioriteter än IT-system:

Aspekt	IT-fokus	OT-fokus
Säkerhetstriangeln	C-I-A (Konfidentialitet, Integritet, Tillgänglighet)	A-I-C (omvänd ordning)
Tolerans för stillestånd	Sekunder till minuter	Noll — fysisk process pågår
Patchning	Frekvent (månader)	Sällan (år, planerade revisioner)
Livscykel	3-7 år	15-30 år
Realtidskrav	Sällan	Ofta millisekunder
Konsekvenser av attack	Datatap, finansiell skada	Fysisk skada, miljöskada, döda människor
Säkerhetsmedvetenhet hos personal	Hög	Historiskt låg

Det är dessa skillnader som gör OT-säkerhet till en egen disciplin.

Purdue-modellen — referensarkitekturen

Purdue Enterprise Reference Architecture (PERA) utvecklades på Purdue University 1990-talet och är standardramverk för OT-IT-segregering:

Level 0 — Fysisk process: Sensorer och ställdon i direkt fysisk kontakt med processen. Temperaturmätare i en reaktor, ventiler i ett rör.

Level 1 — Basic Control: PLC, DCS-controllers, RTU. Hård realtid (1-100 ms cycles). Här körs det kritiska logiken.

Level 2 — Area Supervision: SCADA, HMI, lokala servrar. Operatörer ser och styr från denna nivå. 10 ms - 1 sekund cykeltid.

Level 3 — Site Operations: MES, historiska databaser, batch-styrning, kvalitetsmätning. Driftbeslut, planering.

Level 3.5 — DMZ: Säkerhetszon mellan OT (Level 0-3) och IT (Level 4-5). All trafik passerar genom brandväggar och inspekteras.

Level 4 — Enterprise Network: ERP, e-post, kontorsdatorer, allmän IT.

Level 5 — Enterprise Cloud: Externa SaaS, leverantörsanslutningar.

Principen: Data flödar uppåt (Level 0 → 5) men kommandon flödar bara nedåt mycket selektivt och kontrollerat. Datadioder (envägs nätverksgateway) tvingar fram envägs-trafik från OT till IT.

IEC 62443 — den industriella säkerhetsstandarden

IEC 62443 (tidigare ISA-99, omdöpt 2010) är världens dominerande standard för OT-cybersäkerhet. Strukturen:

Del 1 — Allmänt: Terminologi och koncept.

Del 2 — Policyer och procedurer: Vad anläggningsägare ska ha för säkerhetsprogram.

Del 3 — System: Tekniska krav på säkra system. Här definieras säkerhetsnivåer.

Del 4 — Komponenter: Tekniska krav på komponentnivå (PLC, ställdon, HMI).

Säkerhetsnivåer (SL — Security Levels)

IEC 62443 definierar fyra säkerhetsnivåer per hot:

SL 1: Skydd mot oavsiktlig eller olämplig användning. Grundläggande hygien.

SL 2: Skydd mot avsiktlig attack med enkla medel av motiverade men resurssvaga aktörer.

SL 3: Skydd mot sofistikerade attacker av aktörer med måttliga resurser och OT-specifik kunskap. Här hamnar de flesta industriella anläggningar.

SL 4: Skydd mot avancerade hot från nationsstats-aktörer med stora resurser och OT-specifik specialistkunskap. Kärnkraftverk, kritisk infrastruktur.

Sju grundläggande krav (Foundational Requirements, FR):

Identifiering och autentisering
Användarkontroll
Systemintegritet
Datakonfidentialitet
Begränsat dataflöde
Snabb respons på händelser
Resurstillgänglighet

Varje krav är specificerat per säkerhetsnivå med konkret tekniskt innehåll.

Zoner och ledningar (conduits)

Anläggningen delas in i säkerhetszoner med liknande säkerhetskrav. Trafik mellan zoner sker via ledningar (conduits) som har egna säkerhetskontroller.

Exempel:

Zone “Kontrollsystem” (Level 1-2): SL 3-krav
Zone “Operations” (Level 3): SL 2-krav
Zone “IT” (Level 4-5): IT-säkerhetsstandard
Conduit “Operations → IT”: Brandvägg + datadiod + auditlog

Riskbedömning enligt IEC 62443-3-2 bestämmer säkerhetsnivå per zon.

Stora OT-incidenter

Stuxnet (2010)

Mål: Iranska kärnvapenförädling i Natanz. Aktör: USA + Israel (“Operation Olympic Games”). Metod: Spritt via USB-stickor till luftgapade nät. Riktade sig specifikt mot Siemens S7-300 PLC + WinCC SCADA. Modifierade frekvenser för centrifug-motorer. Visade falskt normalt på HMI medan attacken pågick. Resultat: ~1 000 centrifuger förstörda. Iran fördröjdes 1-2 år. Lärdom: Luftgapade nät är inte säkra. PLC-firmware kan modifieras. Säkerhets-PLC ska vara separat.

Industroyer / CrashOverride (2016-2017)

Mål: Ukrainsk elnät, Kiev. Aktör: Sandworm (rysk militär GRU). Metod: Modulär malware som “talar” elnätsprotokoll (IEC 60870-5-101/104, IEC 61850, OPC DA). Kunde öppna brytare i transformatorstationer. Resultat: 230 000 invånare utan ström i flera timmar. Lärdom: Industriell protokoll-kunskap finns hos angripare.

WannaCry (2017)

Mål: Globalt ransomware-utbrott. EternalBlue-exploit i Windows SMB. Drabbade OT: Honda stoppade tillverkningen i Japan. Renault-Nissan i Slovenien. Tyska järnvägs displayer. NHS-sjukhus. Lärdom: OT-system drabbas av IT-malware som spridit sig via Level 4-5 → DMZ → Level 3. Patchning är kritisk men svår.

Triton / Trisis (2017)

Mål: Petrokemisk anläggning i Saudi-Arabien. Aktör: Triton-malware, rapporterat kopplad till rysk underrättelsetjänst. Metod: Attackerade Triconex Safety Instrumented Systems (SIS) — säkerhets-PLC som ska förhindra explosioner. Tur i oturen att attacken misslyckades — annars hade människor kunnat dö. Lärdom: Säkerhets-PLC är specifikt riktade. SIS måste ha egen säkerhetszone. Detta var den första malware som riktade sig mot SIS.

NotPetya (2017)

Mål: Ukraina, men spred sig globalt. Aktör: Sandworm. Metod: Förstörande wiper-malware spritt via uppdateringssystem av ukrainsk skatteprogramvara. Konsekvenser i industrin: Maersk stoppat globalt 10 dagar. Merck (läkemedel) tappade 850 miljoner dollar. Saint-Gobain (byggmaterial). Mondelez (livsmedel). Total skada uppskattad till 10 miljarder USD. Lärdom: Supply chain-attack drabbar OT-system indirekt. Backups måste vara air-gapped.

Colonial Pipeline (2021)

Mål: Bränsleledning USA östkust. Aktör: DarkSide ransomware-gäng. Metod: Komprometterad VPN-användare utan MFA. Spridning till IT-system, sedan billing-system. Pipelinen stoppades preventivt — inte direkt påverkad. Resultat: Bränslebrist i 17 amerikanska delstater. Lösensumma 4,4 miljoner USD betald (delvis återhämtad av FBI). Lärdom: Ransomware behöver inte attackera OT direkt — det räcker att paralysera IT.

JBS Foods (2021)

Mål: Världens största köttproducent. Aktör: REvil/Sodinokibi. Resultat: Slakterier i USA, Australien och Kanada stoppade. 11 miljoner USD lösensumma betald.

Sellafield (2023, UK)

Mål: Brittiska kärnavfallsanläggningen Sellafield. Rapporter om att rysk och kinesisk malware funnits i systemet sedan 2015. Lärdom: Kritisk infrastruktur kan vara länge komprometterad utan att det upptäcks.

NIS2 och CER — EU-regelverken

EU har gått från NIS1 (2016) till NIS2 (2022/2555) med ikraftträdande oktober 2024. Skärpta krav:

Vem omfattas:

Essential entities: Energi, transport, bank, finans, hälsovård, dricksvatten, digital infrastruktur, offentlig förvaltning, rymdfart
Important entities: Tillverkning av medicintekniska produkter, kemikalier, livsmedel, kritiska tjänster, digital tjänsteleverantörer

Krav:

Riskhantering och incident-respons
Incidentrapportering inom 24 timmar (väsentlig påverkan)
Affärscontinuitet och krishantering
Supply chain-säkerhet
Säkerhetstestning och utbildning

Sanktioner: Upp till 10 miljoner euro eller 2% av global omsättning. Personlig ansvar för ledning.

CER-direktivet (2022/2557): Critical Entities Resilience. Fysisk säkerhet för kritisk infrastruktur. Kompletterar NIS2 som fokuserar på cyber.

Sverige implementerar NIS2 via Lag om samhällsviktiga och digitala tjänster (NIS-lagen, planerad 2025).

Svensk OT-säkerhet — aktörer och status

MSB (Myndigheten för samhällsskydd och beredskap): Statlig myndighet med ansvar för svensk cybersäkerhet och resilience. Driver NIS2-implementation, CER-direktivet. CERT-SE är svensk incident-respons-team.

Säpo (Säkerhetspolisen): Bevakar statsfinansierade hot. Riktade rapporter mot ryska, kinesiska, iranska aktörer mot svenska industri.

FOI (Totalförsvarets forskningsinstitut): OT-säkerhetsforskning för försvar.

Försvarsmakten: Egen cybersäkerhetsenhet.

RISE (Research Institutes of Sweden): Driver utbildning och forskning inom IEC 62443.

KTH och Chalmers: Akademiska program inom OT-cybersäkerhet.

Specialiserade konsulter:

Defensify (Stockholm): Renodlat OT-säkerhetsföretag.
Truesec: Bred säkerhetskonsult med växande OT-praktik.
Combitech (Saab-grupp): Försvars- och industri-cyber.
Cybercom (Knowit-koncernen): OT-säkerhet som del av digitaliseringserbjudande.
Sentor: Penetrationstester på OT-system.
Sweco och AFRY: Integration av OT-säkerhet i större infrastrukturprojekt.

Produktbolag:

Advenica (Lund): Världens ledande tillverkare av datadioder — envägs-gateways för OT/IT-separation. Säljs till EU, NATO, USA.
Clavister: Brandväggar med OT-stöd.
Yubico: Hårdvarunycklar för MFA — växande i OT-användning.

Svenska industriexempel:

SSAB: Eget OT-säkerhetsprogram, Purdue-modellen genomförd, regelbundna penetrationstester.
Vattenfall: Stor OT-organisation, NIS-omfattat. Kärnkraft kräver SL 3-4.
Svenska kraftnät: Stamnätet är en av Sveriges högst skyddade OT-installationer.
Boliden: Underjordsverksamhet med autonom utrustning kräver SL 3.
Volvo Cars och Scania: Stora OT-segregeringsprojekt 2020-2025.
Tetra Pak: OT-säkerhet i mejerikund-anläggningar globalt.

Vanliga OT-säkerhetsåtgärder

1. Nätverkssegmentering. Strikt brandvägg-separation mellan Level 4-5 (IT) och Level 0-3 (OT). DMZ vid Level 3.5.

2. Datadioder. Envägs nätverksgateway. Tillåter data uppåt (OT → IT) men inte kommandon nedåt. Garanterar att IT-kompromiss inte kan nå OT. Advenica och Owl Cyber Defense är världsledande.

3. Identitet och autentisering. MFA för alla operatörer, separata konton för Service-leverantörer, audit-loggar.

4. Patch management. Schemalagd patchning av PLC, HMI, SCADA. Svårt eftersom systemen körs 24/7 — patchning kräver planerade revisioner. Stora anläggningar har 1-2 underhållsstop per år där patchar appliceras.

5. Asset inventory. Vet exakt vad som finns på OT-nätet. Verktyg: Claroty, Nozomi Networks, Dragos, Microsoft Defender for IoT, Tenable OT Security, Forescout. Många svenska kunder.

6. Anomalidetektion. Beteendebaserad övervakning av OT-trafik. Larmar vid avvikande mönster.

7. Backup och recovery. Air-gapped backups av PLC-program, HMI-konfigurationer. Disaster recovery-planer specifika för OT.

8. Cybersäkerhetsövningar. Tabletop-exercises och tekniska simuleringar.

9. Supply chain-säkerhet. Granskning av leverantörer, deras serviceaccess till anläggningen.

10. Personalutbildning. Operatörer måste förstå risk. Phishing-attacker drabbar OT-systemen via Office-användare.

Säkerhets-PLC och SIS

SIS (Safety Instrumented Systems) är säkerhetskritiska automationssystem som ska förhindra olyckor — explosioner, läckage, överhettning. SIS-controllers är separat hårdvara från process-PLC:

HIMA HIQuad, Siemens S7-1500FH, Schneider Tricon, Honeywell Safety Manager
SIL 1-4 klassificerad enligt IEC 61511
Egen säkerhetszone i Purdue-modellen
Får ALDRIG kommas åt av process-PLC eller IT

Triton-attacken 2017 var avgörande — det var första gången malware riktade sig mot SIS. Industrin har sedan rustat upp SIS-säkerheten massivt.

Vart utvecklingen är på väg

1. NIS2 och rapportering. 2024-2026 är åren då svenska företag etablerar NIS2-compliance. Incidentrapportering inom 24 timmar blir norm.

2. Zero Trust för OT. Inte längre “trust nothing inside the network”. Varje OT-anslutning autentiseras och auktoriseras separat.

3. AI och anomalidetektion. Machine learning skalar OT-säkerhet. Mönster som ingen människa kan hitta upptäcks.

4. Asset visibility med AI. Automatisk identifiering av OT-enheter. Claroty, Dragos, Nozomi förfinar.

5. EU Cyber Resilience Act (CRA). Träder i full kraft 2027. Krav på tillverkare av OT-produkter att leverera säkra produkter, inte bara säkra installationer.

6. Quantum-safe kryptering. Förberedelse för post-kvantum-kryptering i kritiska OT-system.

7. AI-driven attack. Generativ AI sänker tröskeln för OT-attacker. Polymorphic malware som anpassar sig till specifika PLC-modeller.

8. Konsolidering av OT-säkerhetsplattformar. Microsoft, Cisco, Palo Alto, Fortinet köper specialistföretag (Microsoft har CyberX, Cisco har Sensr, Palo Alto har Aporeto). OT blir del av samlade säkerhetsplattformar.

9. Insurance-driven security. Cyberförsäkringar kräver dokumenterad OT-säkerhet för utbetalning. Industri tvingas dokumentera kontroller.

OT-cybersäkerhet är inte längre valbart för svensk industri — det är affärs- och regelkrav. Och för en sektor där en attack kan stoppa produktion i veckor och kosta hundratals miljoner är investeringen i säkerhet en av de mest pålitliga avkastningarna i hela industriportföljen.

OT-cybersäkerhet: när hackare riktar in sig på fabriksgolvet