Hopp til hovedinnhold
NHN
Gå tilbake til Anbefalte sikkerhetstiltak

OT-sjekk

Denne sjekklisten er ment som et hjelpeverktøy for kommuner og andre virksomheter. Enten for eget oppsett, eller som sjekkliste mot driftsleverandører

Listen kan brukes mot Vann-og-Avløp (VA), Sentral Driftstyring (SD) og annet Operasjonell teknologi (OT)

Hensikten med spørsmålene er å skape bevisthet om OT-sikkerhet. Listen er ikke ment å følges slavisk, men er ment som et verktøy for bevisstgjøring med særlig fokus på kritisk infrastruktur som VA.

Det er ikke alle punkt som er aktuelle for enhver infrastruktur, dette vil være avhengig av modenhetsgrad og spesifikt oppsett.

OT-sjekkliste

  1. Hvem i deres virksomhet er ansvarlig for OT-sikkerheten?
    Selv om dere har satt ut drift til en tredjepart er det viktig at dere har oversikt over hvordan dette er sikret. Det er fortsatt dere som er er systemeiere.
  2. Er det blitt diskutert hvilke sårbarheter og risikoer som finnes rundt løsningen?
    Her er IEC 62443 et mulig utgangspunkt. Et annet er å bruke vårt situasjonsbilde for å se hvilke angrepsmetoder man har tatt høyde for
  3. Er det satt sterke og unike passord på alle innlogginger/tjenester, inkludert PLS?
    Programmerbar Logisk Styring (PLS) er sentral og må sikres så konfigurasjon og innstillinger ikke uten videre kan endres.
  4. Hvilke rutiner har dere for patching, utskifting av eldre operativsystem og lignende?
  5. Har dere backup av operativsystem, software, databaser og andre kritiske tjenester?
  6. Er OT-utstyret koblet direkte på kontornettverket eller er det isolert?
    Ved isolert menes nettverkssegmentering, at utstyret for eksempel er i et eget VLAN. Vi anbefaler at OT-nettverk ikke er direkte nåbare fra internett eller kontornettverk. Om modenheten på OT-sikkerhet allerede er høy, bør virksomheten gjøre seg kjent med Purduemodellen og implementasjon av denne
  7. Kan OT-utstyret nås fra internett, som for eksempel innloggingspanel? Om ja:
    1. Er tilgang sikret med flerfaktor?
      Vi anbefaler at man som et minimum bruker flerfaktor, men det kan omgås med en rekke teknikker. Vi anbefaler derfor primært phishingresistent flerfaktor.
    2. Er flerfaktor phishingresistent?
      Vi anbefaler dette
    3. Er det benyttet hvitelisting av enkelt IP adresser som har behov for tilgangen fra internett?
      Dette reduserer angrepsflate betrakelig og er noe vi anbefaler.
    4. Er det benyttet en VPN-løsning for å få tilgang til OT-systemet fra internett?
      Om det trengs tilgang utenifra anbefaler vi bruk av VPN.
    5. Hvor begrenset er tilgangen inn til anlegget ved bruk av for eksempel VPN?
      Vi anbefaler at VPN-tilgang gir tilgang kun til de maskinene /tjenestene brukeren har behov for.
Fant du det du lette etter?
Ja Nei