Airgap – Den moderne måten å sikre industrielle nettverk

VLAN-segmentering er ikke nok – slik beskytter du OT-infrastrukturen uten å kompromittere drift eller fleksibilitet

Industrielle nettverk har utviklet seg fra isolerte systemer til sammenkoblede økosystemer som integrerer OT, IT og skytjenester. Denne utviklingen gir gevinster som prediktivt vedlikehold, ekstern drift og sanntidsdataanalyse – men den åpner også for et nytt trusselbilde.

Hvorfor er OT så vanskelig å beskytte?

• Produksjonslinjer kjører 24/7 – ethvert uventet stopp kan koste hundretusenvis av euro per time.
• PLC-er, HMI-er og sensorer kjører ofte fastvare som ikke kan patches – og forblir sårbare i årevis.
• Klassisk nettverkssegmentering krever ombygging av VLAN, IP-plan og nedetid – noe som sjelden er praktisk mulig.
• Operatører og eksterne leverandører trenger privilegert tilgang – ofte fra mindre betrodde miljøer.

Mange virksomheter forsøker å beskytte OT-systemene sine med VLAN-segmentering, brannmurer og ACL-er. Men disse tiltakene hviler fortsatt på implisitt tillit og mangler granularitet. VLAN er ofte feilkonfigurert, og endringer i produksjonsmiljøet gjør statiske regler utdaterte. Det fører til sårbarhet for lateral bevegelser, kompromitterte enheter og tap av kontroll.

Løsningen? Airgap – en programvarebasert, agentløs mikrosegmentering som isolerer hver enhet og håndhever tilgang basert på Zero Trust-prinsipper.

Hvorfor VLAN-segmentering feiler i industrielle nettverk

VLAN var aldri designet som en sikkerhetskontroll – det er en nettverksorganisatorisk funksjon. I praksis gir det ofte en falsk følelse av sikkerhet.

Vanlige svakheter med VLAN-segmentering:

• Enheter innenfor samme VLAN kan kommunisere fritt – perfekt for lateral spredning av skadevare
• Endringer i nettverksstruktur fører til feilkonfigurasjoner og utilsiktede åpninger
• Komplekse ACL-er og firewall-regler skalerer dårlig i industrielle miljøer
• VLAN tilbyr ingen kontekst – det skilles ikke på rolle, risiko eller oppførsel

Hva er Airgap?

Airgap er en modern Zero Trust-baserte tilnærming til mikrosegmentering for OT- og IoT-miljøer. I stedet for å gruppere enheter etter IP eller VLAN, isoleres hver enhet i sitt eget logiske segment – uten behov for agent eller infrastrukturendringer.

Sentrale prinsipper:

• Segment of One: Hver enhet isoleres fullstendig basert på identitet og atferd
• Dynamiske tilgangspolicyer: Basert på risiko, trafikkmønstre og systemtilstand
• Agentløs og vendor-agnostisk: Fungerer uansett enhetsleverandør eller nettverksarkitektur
• Ransomware Kill Switch: Stopp lateral spredning umiddelbart ved angrep
• Integrasjoner: Med CMDB, EDR, og systemer for asset inventory og drift

Bruksområder i industrielle miljøer

Kontrollnivå (Level 1)

PLCs og RTUs kommuniserer kun med definerte HMI-er. Uønsket tilgang fra andre L2-enheter blokkeres, og systemene profileres automatisk for korrekt policy.

Supervisornivå (Level 2)

HMI-er og SCADA isoleres i egne soner, med loggført og kontrollert trafikk til/fra operasjonsnivå (L3). Legacy-protokoller som Modbus TCP og OPC UA sikres eksplisitt.

Operasjonsnivå (Level 3)

Systemer som MES, historians og jump servers får segmentert tilgang og beskyttelse mot både OT og IT. Adgang kontrolleres uten VLAN-endringer eller ACL-regelverk.

Internett-tilgang fra OT

Zero Trust Internet Access håndterer all utgående trafikk fra OT-enheter. Den inspiseres for skadevare, null-dagstrusler og upålitelige destinasjoner.

IT/OT-integrasjon

Zero Trust Network Access og Privileged Remote Access (PRA) gir sikre, proxy-baserte forbindelser mellom IT og OT – uten behov for åpne porter eller VPN.

Oppsummering: VLAN er ikke mikrosegmentering – Airgap er

✔ VLAN-segmentering stopper ikke lateral spredning – og gir ikke nok kontroll
✔ Airgap isolerer hver enhet logisk, uten behov for agenter eller nettverksendringer
✔ Airgap støtter full segmentering på tvers av alle nivåer i Purdue-modellen
✔ Løsningen gir rask utrulling, uten driftsavbrudd eller infrastrukturinvesteringer
✔ En fremtidsrettet tilnærming for å sikre industriell infrastruktur med Zero Trust som fundament

Vil du vite hvordan Airgap kan beskytte din OT-infrastruktur?
Vi hjelper deg med en modenhetsvurdering og en plan for Zero Trust-segmentering – uten å forstyrre driften.