DEBATT | Torbjørn Remmen
Hvem stoler du på? I industrien er svaret: ingen
Det trengs en ny tankegang – Zero Trust.
Tenk deg at du sitter på en kafé, og en fremmed spør om å få låne mobilen din. Ville du bare gitt den fra deg? Antakelig ikke. Du vil vite hvem personen er, hvorfor han eller hun trenger den, og hva vedkommende har tenkt å gjøre med den. Med tanke på all sensitiv informasjon og tilgang til f.eks. banktjenester, er skepsisen din ikke paranoid, den er sunn.
Torbjørn Remmen
Head of GRC and Security Operations, DXC Technology Norway.
Bruk nå samme logikk på dagens produksjonsindustri, der tusenvis av sammenkoblede systemer styrer alt fra roboter og strømnett til programvare som overvåker og kontrollerer kritisk infrastruktur. IoT-sensorer måler trykk og temperatur, AI avgjør når systemer skal stenges, og skybaserte plattformer håndterer globale arbeidsflyter.
Effektiviteten øker, men når tilliten er feilplassert eller ikke verifisert, kan konsekvensene bli alvorlige. Vi i DXC har sett hvordan små svakheter i tillit kan gi store konsekvenser i komplekse industrielle miljøer.
Glem vollgraven – perimeterforsvaret er dødt
Cybersikkerhet bygde tidligere på ideen om et beskyttet nettverk, som en borg med vollgrav. Alt innenfor murene ble ansett som trygt (det er ikke tilfeldig at et av verdens mest kjente ondsinnede programmer heter «Trojaner»). Men i takt med at industrien har blitt mer tilkoblet, er denne modellen ikke bare utdatert, den er farlig.
Dagens fabrikker er ikke lenger isolerte øyer. De er del av et hypertilkoblet økosystem der IT- og OT-systemer deler data, AI automatiserer beslutninger, digitale tvillinger simulerer hele produksjonslinjer, og tredjepartsenheter kobles direkte inn i driftsmiljøet. Hver eneste kobling er et potensielt angrepspunkt, og angriperne vet det.
Produksjonsindustrien er nå den mest utsatte sektoren for ransomware, med opptil 29 prosent av alle rapporterte angrep ifølge CheckPoint Research. Det handler ikke bare om datainnbrudd, når operasjonell teknologi (OT) kompromitteres, kan det gi umiddelbare og fysiske konsekvenser: driftsstans, brutte leveransekjeder eller samfunnsforstyrrelser. I april 2025 opplevde Spania og Portugal omfattende strømbrudd som lammet togtrafikk, sykehus og fabrikker. Selv om det ikke forelå mistanke om dataangrep, illustrerer hendelsen hvor sårbar infrastrukturen er for enkeltfeil.
Når produksjonssystemer styrer alt fra legemidler og matproduksjon til energi og forsvar, er innsatsen ekstremt høy. I et miljø der sikker drift er avgjørende, må vi gå ut fra at alt, både mennesker og maskiner, kan kompromitteres. Derfor trengs en ny tankegang: Zero Trust.
Zero Trust – mer enn en sikkerhetsmodell
Kjernen i Zero Trust er enkel: Stol aldri på noe, verifiser alt. Du husker kanskje de klassiske spørreordene fra skolen: hvem, hva, når, hvor, hvorfor og hvordan? I et Zero Trust-miljø må hver bruker, enhet og applikasjon svare på disse, hver gang, før tilgang gis.
Modellen antar at et innbrudd allerede har skjedd og vurderer i sanntid identitet, atferd, enhetens helsetilstand og tilgangskontekst.
I produksjonsmiljøer betyr det at også maskiner må ha identitet. En programmerbar logisk styring (PLC) bør for eksempel kun motta kommandoer fra verifiserte applikasjoner eller autoriserte teknikere. Alt styres etter prinsippet om minste privilegium, mennesker og maskiner skal kun ha tilgang til det de eksplisitt trenger. Alle handlinger skal loggføres automatisk for sporbarhet, etterlevelse og rask respons ved hendelser.
Produksjonsindustrien trenger et nytt tankesett
Selv om mange produsenter har tatt i bruk sky, autonome roboter, AI og IoT, baserer de seg fortsatt på gamle sikkerhetsmodeller: flate nettverk, utdaterte PLC-er og minimale tilgangskontroller. Disse ble designet for driftsstabilitet, ikke for motstandsdyktighet. Med økende bruk av fjernstyring og eksterne integrasjoner har angrepsflaten vokst enormt.
Zero Trust gir en konkret veikart:
- Verifiser alt, overalt: Både brukere og maskiner må autentiseres før tilgang gis.
- Minimer tilgang: Ingen skal ha flere rettigheter enn strengt nødvendig.
- Segmenter nettverket: Hindre fri bevegelse for angripere ved å dele opp systemer.
- Sikre offline-arbeid: Bruk verktøy som trygt synkroniserer data etter gjenopptakelse.
- Loggfør alt: Full sporbarhet for revisjon og hendelseshåndtering.
Lærdom fra andre sektorer
Når cyberrisiko får fysiske konsekvenser, øker innsatsen dramatisk.
Utfordringene i industrien speiler det vi ser i helsevesen, energi og finans, overalt der digital styring møter fysisk infrastruktur. Fra sykehusventilatorer til vannforsyning og betalingssystemer, prinsippet er det samme: Når cyberrisiko får fysiske konsekvenser, øker innsatsen dramatisk. Derfor tar Zero Trust nå steget inn i stadig flere sektorer. I DXC ser vi hvordan virksomheter i alle bransjer forstår at dette ikke bare er en IT-sak, det er et strategisk anliggende på høyeste nivå.
Å gjøre ingenting koster mer enn å endre seg
Å innføre Zero Trust er ikke enkelt. Mange systemer er flere tiår gamle og ikke designet for denne typen presisjon. Det oppstår kulturkollisjoner mellom IT og OT.
Budsjettene er stramme.
Men alternativet er dyrere: driftsstans, løsepengekrav, omdømmeskade, bøter, og i verste fall fare for liv og helse.
Dette handler ikke om å mistenkeliggjøre ansatte eller gjøre systemene unødvendig komplekse. Det handler om å tilpasse seg virkeligheten. En virkelighet der digital infrastruktur er forretningskritisk, og cybersikkerhet må forankres på toppnivå.
Perimeteren er død – identiteten er det nye forsvaret
I dagens produksjonsmiljø er identitet den nye grensen. Hver person, hver maskin og hvert system må kontinuerlig bevise sin tilhørighet. Zero Trust gir industrien et skalerbart og praktisk rammeverk for robusthet og stabil drift. Derfor samarbeider DXC med ledende industriselskaper om å kartlegge risiko, modernisere kontroller og forankre Zero Trust i hele virksomheten.
Sikkerhet handler ikke lenger bare om å verifisere, men om å forutse, begrense og gjenopprette, i sanntid.
Men dette er bare begynnelsen. Fremtidens sikkerhetsparadigme blir mer adaptivt og dynamisk, der kontinuerlig risikovurdering, trusselintelligens og autonom respons smelter sammen. Sikkerhet handler ikke lenger bare om å verifisere, men om å forutse, begrense og gjenopprette, i sanntid.
Start med de mest kritiske systemene. Få oversikt over eiendeler, brukere og tilgangsstrømmer. Etabler kontrollpunkter. Verifiser hver tilkobling. Og bygg broen mellom risiko og robusthet, på tvers av hele organisasjonen.
