Den ökande intelligensen och uppkopplingen i industrins produkter har på kort tid förändrat spelplanen för cybersäkerhet. När kylskåp, gruvmaskiner och produktionslinor blir delar av ett digitalt ekosystem ställs helt nya krav – både tekniskt och organisatoriskt.
Vad är OT – Operational Technology?
OT står för Operational Technology och omfattar de fysiska system och styrtekniker som används för att styra industriella processer – exempelvis produktionsmaskiner, ventilationssystem, pumpar eller robotlinor. Till skillnad från traditionell IT, som hanterar data och kommunikation, styr OT den fysiska världen.
Det som gör OT särskilt sårbart i dagens uppkopplade miljöer är flera faktorer:
- Systemen är ofta gamla och byggda för att fungera stabilt i decennier, inte för att uppdateras regelbundet.
- Säkerheten har historiskt sett varit lågprioriterad, eftersom systemen tidigare varit isolerade (”air-gapped”).
- När dessa miljöer nu kopplas upp – mot internet, mot molntjänster och andra enheter – ökar exponeringsytan dramatiskt, utan att skydden alltid hänger med.
Sammantaget innebär det att industrin ofta står inför ett komplext säkerhetsarbete där teknik, processer och kultur måste utvecklas samtidigt.
Robert Mungenast och Jonas Stewén reflekterar över hur dessa förändringar påverkar industrins säkerhetsarbete.
Robert Mungenast beskriver hur utvecklingen påverkat hans roll som cybersäkerhetsansvarig i ett industribolag:
– Det har förändrat allt. Från att främst arbeta med traditionella IT-miljöer behöver vi nu förstå och hantera säkerhet i hela produktlivscykeln – från forskning och utveckling, via produktion och skeppning, till hur produkten används i konsumentens hem. Det ställer helt nya krav på samarbete inom företaget och på att integrera IT-perspektiv redan från start.
Han lyfter också den kulturella omställningen som en av de största utmaningarna, särskilt i stora, etablerade industribolag:
– Det är ganska enkelt att rita upp processerna. Men att faktiskt förändra kulturen i ett företag som exempelvis Electrolux – det är något helt annat.
Ekosystem och komplexitet – en ny typ av hotbild
Jonas Stewén ser samma utveckling som Robert, men från sitt perspektiv som mjukvaruutvecklare i grunden:
– Det handlar inte längre bara om enskilda produkter, utan om hela ekosystem. Olika komponenter och system kopplas ihop, och det skapar exponeringsytor som inte fanns tidigare. Och eftersom dessa system är uppkopplade och ofta drivs av AI eller annan mjukvara, så behöver vi göra rätt från början – vi har inte råd att vänta 20–30 år på att säkerheten ska mogna, som vi gjorde i traditionell IT.
Han menar att säkerhet måste vara en grundförutsättning redan från designstadiet – inte något som klistras på i efterhand. En annan aspekt som tillkommer är ökad reglering på området, inte minst med CRA.
Cyber Resilience Act (CRA) – vad är det och vad berörs?
Cyber Resilience Act (CRA) är ett nytt EU-regelverk som syftar till att stärka cybersäkerheten i digitala produkter. Det omfattar både hårdvara och mjukvara – från konsumentelektronik till industriella system – och ställer krav på att säkerhet ska byggas in i produkterna från början.
Kortfattat innebär CRA att:
- Alla uppkopplade produkter måste uppfylla grundläggande cybersäkerhetskrav.
- Leverantörer blir ansvariga för att upptäcka, åtgärda och informera om sårbarheter under hela produktens livscykel.
- Krav på säkerhetsuppdateringar och dokumentation blir tydligare och bindande.
- Tredjepartsberoenden (t.ex. öppen källkod) måste hanteras på ett kontrollerat sätt.
CRA förväntas påverka både produktutveckling, leveranskedjor och sättet industrin arbetar med cybersäkerhet. Det är ett stort steg i riktning mot att säkerhet ska vara en förutsättning – inte ett tillval.
Samma utmaningar – olika konsekvenser
När frågan ställs om det finns särskilda typer av produkter eller miljöer där riskerna är större, är både Robert och Jonas överens: utmaningarna är likartade oavsett bransch, men konsekvenserna kan skilja sig stort.
– Det är klart att om borrutrustning i en gruva kapas och blir en del av ett bottnet så är det allvarligare än om någon tar över en robotdammsugare, säger Robert. Men sett ur ett IT- och kontrollperspektiv är det samma typ av utmaningar. Det handlar om att förstå hela ekosystemet – appar, backend, molntjänster, kunddata – inte bara själva produkten.
Jonas betonar också att industrin är mycket bred – från stora bolag med resurser och strukturer till mindre aktörer med begränsad IT-kapacitet. Det innebär olika förutsättningar att hantera säkerhetskraven:
– Den största risken jag ser är faktiskt komplexiteten i sig. Det är så många delar som ska hänga ihop – från produktion och systemdrift till affärssystem och leverantörskedjor. Det är lätt att tappa kontrollen.
Samtidigt ser han att utvecklingen går åt rätt håll, och att säkerhetsfrågorna är högt upp på agendan, även i mindre bolag.
– Det kommer mycket krav från kunder på att underleverantörer ska leva upp till olika säkerhetsstandarder. Ibland kanske det blir lite väl mycket krav, men det är ändå ett tecken på att något händer.
