Bygge grunnmuren: Onboarding som fundament for sikker overvåking av industrielle kontrollsystemer

Industribedrifter som styrer kritisk infrastruktur – som strømnett, fabrikker og vannforsyning – blir stadig mer utsatt for cyberangrep. Disse systemene, kjent som industrielle kontrollsystemer (ICS) styrer fysiske prosesser som kan få alvorlige konsekvenser hvis noe går galt. Et vellykket angrep kan føre til produksjonsstans, store økonomiske tap og i verste fall fare for liv og helse. Derfor er det viktig å overvåke disse systemene for å oppdage og håndtere trusler i tide. Tradisjonelt har overvåkningssentre innen sikkerhet (eng. Security Operations Centers (SOC)) fokusert på IT-systemer, men nå må de tilpasse seg operasjonell teknologi (OT). Slike industrisystemer er komplekse, ofte gamle, og krever spesialkunnskap. I dette blogginnlegget ser vi nærmere på hva som skjer når en leverandør av sikkerhetstjenester skal «onboarde» en industribedrift til et overvåkingssystem, og hvilke utfordringer og muligheter som dukker opp underveis.

Industribedrifter som styrer kritisk infrastruktur – som strømnett, fabrikker og vannforsyning – blir stadig mer utsatt for cyberangrep. Disse systemene, kjent som industrielle kontrollsystemer (ICS) styrer fysiske prosesser som kan få alvorlige konsekvenser hvis noe går galt. Et vellykket angrep kan føre til produksjonsstans, store økonomiske tap og i verste fall fare for liv og helse. Derfor er det viktig å overvåke disse systemene for å oppdage og håndtere trusler i tide. Tradisjonelt har overvåkningssentre innen sikkerhet (eng. Security Operations Centers (SOC)) fokusert på IT-systemer, men nå må de tilpasse seg operasjonell teknologi (OT). Slike industrisystemer er komplekse, ofte gamle, og krever spesialkunnskap. I dette blogginnlegget ser vi nærmere på hva som skjer når en leverandør av sikkerhetstjenester skal «onboarde» en industribedrift til et overvåkingssystem, og hvilke utfordringer og muligheter som dukker opp underveis.

Bilde: Hyundai Motor Group // PExels

En SOC onboardingsprosess bistår i å koble nye systemer til overvåkingsplattformer trygt og effektivt. For industrielle kontrollsystemer (ICS) er dette en kritisk prosess, fordi disse systemene styrer fysiske prosesser, og utilgjengelighet av systemene påvirker leveransen av tjenestene. En god onboarding sikrer at riktige nettverksensorer er på plass, at loggdata blir samlet inn og tolket korrekt, og at overvåkingen blir tilpasset den spesifikke industrien. Uten dette risikerer man at cyber-hendelser muligens ikke oppdages, eller at SOC-analytikere ikke har kontekst eller kunnskap nok til å forstå hva som skjer i anlegget. Onboarding er ikke bare et teknisk steg – det er grunnlaget for å kunne oppdage og håndtere cybertrusler i kritisk infrastruktur.

Hva slags utfordringer og fordeler er dokumentert i litteraturen?

Fra litteraturen er det dokumentert flere utfordringer og muligheter knyttet til onboarding av SOC-tjenester. Onboarding av industrielle aktører er langt mer komplekst enn for tradisjonelle IT-systemer. OT-nettverk bruker egne protokoller og består ofte av aldrende systemer uten moderne loggføringsfunksjoner, noe som gjør det vanskelig å samle inn og tolke data1. I tillegg er ICS-miljøer svært ulike fra hverandre, noe som gjør det utfordrende for MSSP-leverandører å tilby standardiserte løsninger2. Analytikere i SOC mangler ofte domenekunnskap om industrielle prosesser, noe som fører til feilvurderinger og høy andel falske alarmer3. Dette forsterkes av kommunikasjonsutfordringer mellom IT-sikkerhetspersonell og operasjonelt personell, som ofte har ulik forståelse av risiko og prioriteringer4.

En tilpasset onboardingsprosess kan redusere mange av disse utfordringene. Ved å konfigurere nettverkssensorer riktig, tilpasse kontrollpanel og etablere klare prosedyrer, kan SOC sikre at overvåkingen gir relevant og forståelig informasjon5. Samarbeid mellom sikkerhetsanalytikere, domeneeksperter og internt personnel er avgjørende for å tolke hendelser korrekt og reagere effektivt6. I tillegg åpner onboarding for integrasjon av kunstig intelligens, som kan bidra til å oppdage mønstre og redusere alarmtretthet7. Grundig gjennomført onboarding er ikke bare en teknisk oppgave, men en strategisk investering som legger grunnlaget for robust cybersikkerhet i kritisk infrastruktur.

Hvordan foregikk data-innsamlingen?

Jeg fikk mulighet til å observere et prosjekt hos et industriselskap som etablerte en outsourced SOC-tjeneste for overvåking av nettverkstrafikk i ICS for en av sine innretninger. Observasjonen foregikk gjennom deltakelse i ukentlige møter mellom SOC-leverandøren og selskapet. Under møtene tok jeg feltnotater om hvilke varsler som ble generert, hvordan de ble håndtert, og hvilke som gikk igjen. I denne sammenheng betyr en varsel en anomali som SOC rapporterer, basert på forhåndsdefinerte regler.

I tillegg til observasjonene gjennomførte jeg intervjuer med nøkkelpersoner fra møtene og med personer som var i en lignende prosess med å etablere SOC for sitt ICS-miljø. Intervjuene ble delt inn i to typer:

  • Type 1-intervjuer: Fokus på detaljer knyttet til varsler, hendelser mellom møtene, og forklaring av begreper innen sikkerhets- og automasjonssystemer.
  • Type 2-intervjuer: Et mer overordnet perspektiv, der deltakerne reflekterte over prosjektets fordeler og ulemper, hva som fungerte godt, og hvilke utfordringer som oppstod.

Totalt gjennomførte jeg 11 Type 1-intervjuer, 3 Type 2-intervjuer og 31 observasjoner i perioden januar 2024 til februar 2025.

Fordeler og utfordringer med SOC onboarding innen industrielle kontrollsystemer

Fordel 1: Gradvis oppbygging av overvåkningstjenesten

Onboardingsprosessen ble gjennomført trinnvis, noe som gjorde det mulig å koble opp de fleste nodene til kontrollpanelet fra SOC uten å skape store driftsforstyrrelser. Denne gradvise tilnærmingen reduserte risikoen for kritiske feil og ga rom for å justere løsningen underveis. Det bidro også til at teamene kunne lære og tilpasse seg systemet i takt med implementeringen.

Fordel 2: Økt kontekstforståelse og OT-kompetanse

Gjennom ukentlige statusmøter og månedlige oppfølgingsmøter fikk både SOC-analytikere og interne team bedre innsikt i generering av varsler, hvordan KPI-er ble målt, og hvordan alvorlighetsnivå og kritikalitet ble vurdert. Denne kunnskapsdelingen styrket samarbeidet og gjorde det lettere å tolke varsler fra SOC-en over tid.

Fordel 3: Forbedrede prosedyrer og dokumentasjon

Prosjektet resulterte i oppdaterte styringsdokumenter og tydeligere prosedyrer for hendelseshåndtering. Dette var spesielt viktig for å definere roller og ansvar mellom SOC-leverandøren og klienten under hendelseshåndtering med cyber-hendelser klassifisert som høy eller kritisk. Slike forbedringer legger grunnlaget for mer effektiv respons ved fremtidige hendelser og bidrar til å redusere usikkerhet i kritiske situasjoner.

Utfordring 1: Kritisk hendelse med allowlisting

Installasjonen av fysisk utstyr og konfigurering av sensorer ble forsinket på grunn av stopp i produksjon som følge av at en IDS stoppet enkelte prosesser pga. avvik. IDSen var satt i læringsmodus i over seks måneder for å forhindre en slik nedstengning før hendelsen inntraff. Likevel var ikke det nok, da en hendelse som ikke skjedde under læringsperioden ble registrert som et avvik etterpå, som førte til automatisk stopp. Dette hadde konsekvenser for produksjonen, og førte til mer skepsis fra personell offshore

Utfordring 2: Forsinket installasjon av utstyr

Installasjonen av fysisk utstyr og konfigurering av sensorer ble forsinket på grunn av allowlistingen, samt feilsøking av implementasjonsfeil. Enkelte enheter og brannmurer delte ikke logger med SOCens kontrollpanel, som forsinket full overvåking. Skepsisen var knyttet til risikoen for nettverksfeil og konsekvensene av å aktivere allowlisting.

Utfordring 3: Manglende kontekst i varsler fra SOC-en

Varslene fra SOCens kontrollpanel inneholdt kun IP-adresser eller enhetsnavn, noe som gjorde feilsøking utfordrende for interne team som trengte lenger systembeskrivelser. Dette krevde ekstra møter for å forklare varselstrukturen og gi mer kontekst fra SOCen, noe som forsinket løsingen av varslet.

Utfordring 4: Uklare ansvarsforhold for varselshåndtering

Det var uklart hvem som hadde ansvar for å dokumentere regler i nettverkssensorene, og hvordan de skulle følges opp. Mangelen på en felles ramme for regelhåndtering førte til ytterligere dokumentasjon. I tillegg var det varsler som var viktigere for operasjonell drift som ikke handlet om sikkerhetsrisiko. Det var utfordrende å finne skillelinjen mellom varsler som handlet om produksjonen eller sikkerheten.

Utfordring 5: Ulike prioriteringer mellom sikkerhet og drift

Flere varsler foreslo tiltak som å endre standardpassord, men slike endringer kunne påvirke produksjon og sikkerhet. Dette skapte diskusjoner om kompromiss mellom cybersikkerhetskrav og operasjonelle prioriteringer. I tillegg krevde enkelte tiltak involvering av tredjepartsleverandører og komplekse godkjenningsprosesser, noe som kunne ytterligere forsinke implementeringen av tiltak som involverte drift.

Onboarding av SOC for industrielle kontrollsystemer er en kompleks prosess som krever mer enn bare teknisk implementering – det handler om å bygge tillit, etablere klare roller og balansere sikkerhet med operasjonell kontinuitet. Våre funn viser at manglende struktur og uklare ansvarsforhold kan skape forsinkelser og risiko, mens god kommunikasjon og tilpassede prosedyrer gir betydelige gevinster. Veien videre er å utvikle en tydelig, standardisert prosess for SOC onboarding, forankret i litteraturen og kvalitative funnene. En slik prosess vil ikke bare redusere feil og misforståelser, men også styrke samarbeidet mellom SOC-leverandører og industribedrifter – og dermed bidra til tryggere og robust overvåking av kritisk infrastruktur.

Blogginnlegget er en oppsummering av innlegg presentert på Sikkerhetsfestivalen 2025 og workshop i regi av SFI Norwegian Centre for Cybersecurity in Critical Sectors (NORCICS), prosjektnr. 310105 med bruk av CoPilot. Forfatteren har kvalitetssikret innholdet og tar fullt ansvar for blogginnlegget. Forskningen er en del av PhD-prosjektet til Vahiny Gnanasekaran i NFR-prosjektet Cybersecurity Barrier Management (CBM), nr. 326717.

  1. Dimitrov, W., & Syarova, S. (2019). Analysis of the Functionalities of a Shared ICS Security Operations Center. Proceedings of the 2019 IEEE Conference on Big Data, Knowledge and Control Systems Engineering (BdKCSE) Analysis, 1–6.
    Cook, M., Marnerides, A., Johnson, C., & Pezaros, D. (2023). A Survey on Industrial Control System Digital Forensics: Challenges, Advances and Future Directions. IEEE Communications Surveys and Tutorials, 25(3), 1705–1747. ↩︎
  2. Nganga, A., Scanlan, J., Lützhöft, M., & Mallam, S. (2024). Enabling cyber resilient shipping through maritime security operation center adoption: A human factors perspective. Applied Ergonomics, 119(May). ↩︎
  3. Tariq, S., Chhetri, M. B., Nepal, S., & Paris, C. (2025). Alert Fatigue in Security Operations Centres : Research. ACM Computing Surveys, 57(9), 38.
    Alahmadi, B. A., Axon, L., Martinovic, I., Symposium, U. S., & Martinovic, I. (2022). 99% False Positives: A Qualitative Study of SOC Analysts’ Perspectives on Security Alarms Bushra. Proceedings of the 31st USENIX Security Symposium, 1(1), 2783–2800. ↩︎
  4. Gnanasekaran, V., Bartnes, M., Grotan, T. O., & Heegaard, P. E. (2024). Cyber-incident Response in Industrial Control Systems: Practices and Challenges in the Petroleum Industry. Proceedings – 2024 IEEE/ACM 4th International Workshop on Engineering and Cybersecurity of Critical Systems and 2024 IEEE/ACM 2nd International Workshop on Software Vulnerability, EnCyCriS/SVM 2024, 53–60. ↩︎
  5. Onwubiko, C. (2021). Rethinking Security Operations Centre Onboarding. 2021 International Conference on Cyber Situational Awareness, Data Analytics and Assessment, CyberSA 2021. ↩︎
  6. Asiri, M., Arunasalam, A., Saxena, N., & Celik, Z. B. (2025). Frontline responders: Rethinking indicators of compromise for industrial control system security. Computers and Security, 154(January), 104421. ↩︎
  7. Khayat, M., Barka, E., Serhani, M. A., Sallabi, F., Shuaib, K., & Khater, H. M. (2025). Empowering Security Operation Center with Artificial Intelligence and Machine Learning – A Systematic Literature Review. IEEE Access, 13(December 2024), 19162–19197. ↩︎