Sök

Nyhetsbrev OT-Säkerhet #20 - OT i Sjukvården


Lite av ett jubileum blir det den här gången, med den 20:e utgåvan av nyhetsbrevet! Jag började med 4 läsare av det första utskicket och nu har 800 personer läst den senaste utgåvan! Det hade jag verkligen inte väntat mig när jag drog igång ett nyhetsbrev för ett ganska smalt, nischat område för ett drygt år sedan! Det verkar som det finns ett behov av någon som skriver om det här kluriga ämnet på svenska. Nu siktar jag på 1000 läsare!


Jag ska inte sticka under stol med att det förstås är riktigt kul att nyhetsbrevet, som bieffekt, drivit fram så mycket uppdrag och produktaffärer! Jag tycker alltid det är lika spännande att möta nya verksamheter, som alla är på olika resor och med olika utmaningar! Det känns som att det är dags att be chefen anställa en kollega till mig...


Sjukvård är något av ett tema den här gången, nästan alla texter knyter an till vården på ett eller annat sätt. Jag tittar bland mycket annat på kaotiska apor, jämför säkerhet med konditionsträning, funderar över likheter mellan sjukvård och OT, tittar närmare på vad som krävs för att haverier i säkerhetssystem inte ska ställa till det för verksamheten, annonserar vinnare, fortsätter diskussionen om fastighetsautomation och tittar närgånget på en riktigt tuff server.

Jag vill ge er ett stort tack för alla trevliga mejl jag får med uppskattande och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta!


Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!

 

Släpp in kaos-aporna!


Ginger Wright från INL (Idaho National Laboratory) håller ett av de absolut mest spännande föredragen från årets S4-konferens. Hon knyter ihop den fantastiska metod som Netflix "uppfann": "Chaos Monkey" som är en del av "Chaos Engineering" med hur INL övar incidenthantering med organisationer i USAs elförsörjning: Invite the Chaos Monkey

Även om du inte är intresserad av någonting annat så är det värt att höra föredraget om du inte känner till "Chaos Monkey", det är ett makalöst koncept.


Netflix ser helt enkelt till att alla "Failure Modes" som de kan hitta på faktiskt kommer hända i verkligheten i deras produktionsmiljö och det händer på ett slumpartat sätt! Det handlar alltså inte om att öva i en skyddad lekstuga utan om att hantera verkliga och brutala störningar i den skarpa miljön utan att kunden märker någonting! De skjuter alltså slumpmässigt och utan förvarning ner sina egna system, i vissa fall hela datacenter, bara för att lära sig! Hela poängen är att testa att man verkligen kan hantera felsituationer och vad man kan lära sig av sina utmaningar och misslyckanden! Du hittar en lista över alla deras apor på Wikipedia: Chaos Engineering och på github finns mjukvaran de använder: chaosmonkey .

Fokus för INLs övningar är på att bli bra på att hantera incidenter - inte bara förebygga dem! När övningarna startar är redan attacken i full fart! Det handlar om "Face your fears!" och om att utsättas för vansinnigt jobbiga händelser i en "verklig" miljö. Det hela ingår i ett DARPA-program kallat "Rapid Attack Detection, Isolation and Characterization Systems": RADICS

Allt detta är i linje med två av mina viktigaste käpphästar kring säkerhetsarbete oavsett om det handlar om IT, OT, fysiskt skydd eller något annat område: att man inte bara kan fokusera på att förebygga incidenter och att man måste öva i verkligheten! Naturligtvis ska man göra vad man kan för att händelser inte ska ha en chans att hända men sedan behöver man ha inställningen "förutsätt att vi redan är drabbade, vad gör vi?". När det gäller övningar tycker jag man ska börja enkelt med pappers-övningar med alla deltagare sittande runt ett bord. Först när man känner sig redo börjar man fundera på att öva "på riktigt". Ska man upp i Netflix nivå behöver man dessutom bygga sina system och sin infrastruktur på ett sätt som redan från början tar höjd för kommande attacker och haverier! Man behöver också ha sådan koll på sin design-process att man kan identifiera alla felscenarier och hur de slår mot verksamheten.

 

Hur tuff är din server?


I nyhetsbrev #18 skrev jag om edge-system och hintade även om en hårdvara jag kommit i kontakt med. Jag listade ett antal egenskaper som en edge-server behöver ha och som känns nästan ouppnåeliga i en och samma enhet:

  • stabilitet som en riktig server, kanske till och med en klustrad lösning för att riktigt maxa tillgängligheten

  • fysisk tålighet som hos en PLC för att tåla kyla, värme, vibrationer och stötar ute i verksamheten

  • prestanda som en arbetsstation med extrema GPU-kretsar och ultrasnabb lagring

  • nätverksanslutning med extrema prestanda och flexibla anslutningsmöjligheter

  • fysiska egenskaper som passar tillsammans med OT-utrustningar: DC-matning, DIN-montering och en smidig storlek

Systemet som jag tittat närmare på i verkligheten är en Lenovo ThinkSystem SE350. Den finns i lite olika utformningar men den variant som jag haft fingrarna på har 8 CPU-cores, 64 GB RAM, 2st M.2 bootdiskar 128 Gb, 1 TB VMEe flashminne, WiFi och LTE.


Som synes på bilderna är det en nätt liten enhet men maxar man den blir den riktigt kapabel: en 16-cores Xeon-2100 CPU, 256 GB minne, 10st M.2-diskar som kan köras i hårdvaru-RAID, 10Gb-ethernetportar och en PCIe x16 plats där du kan sätta ett GPU-kort att köra AI-applikationer på. Så långt är det egentligen ingenting exceptionellt alls för en server. Men när vi lägger till det som gör den användbar långt utanför datorhallen blir bilden en annan:

  • Den kan monteras på VESA-fäste eller DIN-skena. Vill man absolut stoppa in den i ett 19"-rack kan den monteras två i bredd.

  • Den kan köras på 12 - 48 Volt DC eller 100 - 240 Volt AC med dubbel matning.

  • Skyddsfilter för dammiga miljöer gör att man slipper enorma kylflänsar.

  • Inbyggd WiFi och LTE som är förberedd för 5G.

  • Den tål att köras i temperaturer från 0 till 55 grader.

  • Den tål fysiska stötar i 40G och är certifierad för att tåla vibrationer.

  • Diverse smarta skydd mot fysisk manipulering och stöld.

Inte en dussin-server direkt men däremot en riktigt snygg anpassning till för de speciella behov som ställs av tunga applikationer ute i anläggningarna. Det kan vara beräkningar som kräver väldigt korta fördröjningar eller snabba AI-analyser av video eller andra tunga dataströmmar.

Jag ser ofta vanliga PC-datorer placerade ute "på golvet" i tillverkande industri där man kör rena serverapplikationer som en del i en automationscell. Bakgrunden är nästan alltid att det var billigare att ställa dit en vanlig PC eftersom det är en enkel hårdvara och den driftmässigt kan hanteras som en vanlig PC. Det leder nästan alltid till problem eftersom som man får vad man betalar för, framför allt när det gäller driftformen. Med en riktig serverhårdvara som driftas som den serverfunktion det faktiskt är så har man vunnit mycket tillförlitlighet. Om man tittar på ThinkSystem SE350 så ger den oss dessutom chansen att bygga ett system som går att sköta om på ett modernt sätt. Vill du köra hyperkonvergerat är den validerad av Microsoft för Azure Stack HCI och även certfierad av Nutanix. Annars stöds förstås Windows Server, SLES, Ubuntu, RHEL och VMware ESXi.

Att den är avsedd att ta lite andra roller än serverhårdvaror normalt får hantera märks inte minst på nätverkssidan:

  • Den har inbyggd WiFi som gör att den både kan ansluta till existerande nätverk eller agera accesspunkt för ett eget nätverk.

  • Inbyggd LTE med förberedelse för 5G.

  • Inbyggd nätverksswitch (med SFP- och RJ45-anslutningar) som kan konfigureras på en rad spännande sätt beroende vad man behöver. Det innebär att man exempelvis kan ansluta mindre sensornät direkt in i servern samtidigt som man klustrar servern och har seriekopplad anslutning till Lenovos BMC-managementtjänst XCC.

  • Dubbla 10 Gb/s SFP+ anslutningar för bandbreddsslukande applikationer.

Installation och annan administration var lika enkel som för vilken annan server som helst. Det här är en riktigt rolig bekantskap! Personligen gillar jag verkligen XCC för remote hantering och konfiguration av hårdvaran inklusive den inbyggda switchen. Jag kommer att köra en del tester av applikationer på just den här Lenovo-servern så jag återkommer med fler intryck efter hand!


Om du vill prova själv eller vill veta mer är det förstås bara att höra av dig!

 

Försäkring, löpning eller säkerhetsarbete?

Man hör ofta människor jämföra ett bra säkerhetsarbete med att köpa en försäkring vilket jag tycker är en ganska dålig jämförelse. En försäkring minskar inte sannolikheten för problem utan minskar bara den ekonomiska skadan om något händer. En klok person jag lyssnade på häromdagen ville hellre jämföra säkerhetsarbete med konditionsträning. Resonemanget var att konditionsträning, förutom att minska sannolikheten för problem och konsekvenserna av dem, ger nytta direkt, inte minst ger bättre kondition möjlighet att göra saker som man inte kunde tidigare. Säkerhet skapar möjligheter!


Cyberförsäkringar i olika former är ett affärsområde som växer snabbt och som diskuteras flitigt. Ett viktigt problem med cyberförsäkringar är att man kan lockas lägga sina pengar där istället för på säkerhetsarbete. På samma sätt som att försäkringar i ovanstående resonemang är en dålig liknelse för ett säkerhetsarbete är det definitivt en dålig ersättare för detta arbete! Att drabbas mindre av konsekvenserna av ett angrepp är en klen tröst, särskilt om det händer upprepade gånger.


En annan viktig likhet mellan bra säkerhet och en god kondition är att båda är flyktiga. Både säkerhetsarbete och konditionsträning är något man gör, inte något man har. När man slutar anstränga sig klingar nyttan av väldigt snabbt!

Cyberförsäkringar har synts en hel del i media på senare tid. En spännande aspekt är när större angrepp uppfattas (rätt eller fel) utförda av länder. Detta leder till fall där försäkringsbolagen hävdar force-majeure på grund av krigshandlingar. Det mesta kända fallet är matjätten Mondelez som drabbades av NotPetya och krävde 100 MUSD från sitt försäkringsbolag. Försäkringsbolaget avslog begäran när angreppet utpekades som ett ryskt angrepp mot Ukraina. Så vitt jag vet slåss de fortfarande om det i domstol. tre år senare... Du kan exempelvis läsa mer hos Darkreading och New York Times .

World Economic Forum oroar sig också över försäkringar. De ser att försäkringsbranschens risker för Cyberförsäkringar är ohållbara i en spännande rapport som gavs ut nyligen.


Min personliga syn på cyberförsäkringar har, åtminstone tidigare, varit att det är vad som kommer att "rädda oss" genom att tvinga organisationer som köper försäkring att få ordning på säkerhetsarbetet. Lite som att inget försäkringsbolag skulle acceptera att en organisation inte hade brandsläckare eller bra lås på dörren. Jag tror fortfarande att det kommer att hända men att det kommer ta längre tid än vad jag trodde. Min tolkning av WEFs artikel ovan är att de problem de pekar på också tyder på en omogen marknad.


Något jag hör mer och mer om (dock inte i Sverige ännu) är att företag i allt större omfattning i panik skaffar försäkringar eftersom de hör talas om så många ransomware-attacker. Tyvärr är en vanlig attityd "Nu har jag försäkring och jag kommer använda den!", vilket ju inte direkt tyder på någon större säkerhetsmässig mognad än så länge...

 

EU vill öva sjukvården!

EUs cybersäkerhetsorganisation ENISA har organiserat stora övningar inom olika områden under de senaste 10 åren. I år var det sjukvårdens tur men med tanke på världsläget var det inte riktigt "läge" att belasta sjukvården med övningar. Övningarna har helt enkelt skjutits på framtiden.

Vi får se när övningarna blir av men redan nu tycker jag det var intressant att läsa om deras planer och det ganska vida spektrumet av övningsområden som ingår i planerna.

Du hittar information på deras hemsida och här: på programsidan .

Jag hoppas att lokala och regionala sjukvårdsorganisationer orkar bedriva övnings- och utvecklingsinitiativ trots sjukvårdens utsatta läge. Man kan ju faktiskt hävda att just på grund av det utsatta läget blir det ännu viktigare att öva och förbereda sig för attacker och störningar i viktiga system!


 

Vilken medicin finns för sårbarheterna i sjukvården?

Ett intressant men lite speciellt område inom OT är sjukvård och medicinsk teknik. Det har varit extra fokus på detta i media på senare tid eftersom allt fler ransomware-attacker riktat sig mot sjukhus. Ett dödsfall i Tyskland nyligen angavs ett tag vara det första fallet där någon avlidit på grund av en IT-attack. Även om detta senare avfärdades av tyska myndigheter så kommer vi förr eller senare få sådana fall. Vi måste räkna med att de kommer kunna vara kopplade till OT-liknande medicintekniska system eller försörjningssystem på sjukhus för gaser, strömförsörjning eller något annat som vården är beroende av för att kunna bedriva sin verksamhet.

En artikel från Check Point nyligen pekade på den enorma ökningen av attacker i området. Leverantörer av säkerhetssystem fokuserar därför förstås mycket på sjukvården som ju på OT-sidan dras med samma utmaningar som många andra branscher, nämligen att man inte kan eller får arbeta med löpande uppdateringar av systemen. En artikel från TxOne ger både goda råd och pekar på tekniska åtgärder med deras produkter - framför allt virtuell patchning och nedlåsning av system med hjälp av vitlistning.

En intressant variant på samma resonemang är förstås intåget av IoT i vården, se exempelvis iVOs sidor och på Ateas sidor om digitalisering av vården, där säkerheten i systemen kan få en väldigt påtaglig effekt på patientsäkerheten. Här vill det verkligen till att man funderar igenom konsekvenserna av både angrepp och fel.


Sjukvården är i mitt tycke ett utmärkt exempel på att konsekvenserna av ett potentiellt säkerhetsproblem ibland blir så mycket viktigare att titta på än att försöka bedömma sannolikheten för att det händer. Vissa saker får bara inte hända, hur ovanliga de än är... Att bedöma risker är centralt i alla former av säkerhetsarbete. Två misstag, som jag själv brukar varna för, lyftes upp på ett elegant sätt i en artikel jag läste nyligen nämligen att:

  1. som säkerhetsperson "råka" ta ifrån ledningen deras ansvar genom att fatta beslut om vad som är acceptabla risker

  2. Basera beslut för mycket på sannolikheter, speciellt när det gäller sannolikheter kopplade till mänskligt beteende

Det här är väldigt sant i klassiskt IT- och informations-säkerhetsarbete men det blir ännu viktigare när vi arbetar med risk i OT-världen där konsekvenserna tenderar att bli mycket mer avgörande än sannolikheterna. Det handlar om scenarier där konsekvenserna helt enkelt inte är acceptabla oavsett hur sällan de händer, exempelvis dödsfall eller organisationens totala kollaps.


Naturligtvis ska man inte blunda för sannolikheter men i många lägen måste man arbeta med konsekvenslindring oavsett sannolikheten! I dessa sammanhang blir det dessutom väldigt tydligt varför den föråldrade tekniken med sannolikhet kontra konsekvens i en matris blir ett trubbigt och missvisande verktyg.


Jag har varit inne på liknande resonemang tidigare, så om du inte läst nyhetsbrev #15 och #16 så rekommenderar jag att du tittar på dem.

 

Haverera snyggt!


Det kan tyckas vara en teknisk detalj men det är ack så viktigt! När man bygger sina säkerhetssystem, oavsett vilken typ av säkerhet vi pratar om, så vill det till att redan från början bestämma hur man ska hantera situationer när säkerhetssystemen själva går sönder. För sönder kommer de att gå!

Inom IT-världen prioriterar man oftast skydd över tillgänglighet så när en brandvägg eller ett IPS-system går sönder så vill man hellre att den skyddade tjänsten blir otillgänglig än att skyddet försvinner.

När vi pratar OT är det oftast tvärtom! Vi vill inte att vår fysiska process påverkas av att något skyddssystem fallerar men däremot måste vi förstås få en varning och en möjlighet att lösa problemet.



Det här har dykt tidigare i nyhetsbrevet när jag tittat på produkter. Ett bra exempel är EdgeIPS från TxOne som jag skrev om i nummer 14 som "kortsluter" nätverksportarna fysiskt om den själv går sönder. Ett annat exempel är nätverks-tappen IxTap från Keysight som ni minns från nummer 17 som på samma sätt ser till att nätverktrafiken inte påverkas om den själv tappat strömmen.


När det gäller just nätverk så finns även specialiserade produkter som bara är till för att säkerställa att havererad utrustning hanteras på det sätt man vill. De kallas bypass-switchar och är intressant teknik för den som vill bli tåligare mot tekniskt strul!

Keysight, som är framstående även på bypass-teknik, skrev nyligen en bra artikel om just detta som tar upp alla varianterna som kan uppstå i sådana här sammanhang.


Vill du prata mer om det här är det förstås bara att höra av dig!

 

Vi har hittat vinnarna!

Tävlingen i förra utskicket fick fler deltagare än jag hade väntat mig, vilket förstås var jättekul!


Jag fick ett gäng intressanta förslag på vad man kan använda ett robust USB-minne till, du kan se två vinnande bidrag nedan. Vinnarna har utsetts, meddelats och vinsterna är skickade! Grattis!


En av våra vinnare är Andreas som skickade in det här:


Jag vill kunna flasha (pun intended) med denna på kontoret. Med det menar jag att jag vill visa att jag jobbar på ett så säkert sätt jag kan och därför uppmanar mina kollegor att göra detsamma. Om jag kan visa att jag tänker på säkerheten i alla avseenden hoppas jag på att det kan spegla sig i säkerhetskulturen på kontoret.


Sebastian som också vann, skickade in följande:


Jag skulle vilja använda minnet som ett 100% säkert system, där minnet monteras in i en disklös dator, där man installerar Windows 10 + UWF (Unified Write Filter), sedan skrivskyddar med den fysiska knappen. UWF gör att Windows 10 startar i en ramdisk.

Sedan låser man UEFI/BIOS så att det inte kan flashas/uppdateras från windows.


Systemet isoleras sedan i brandväggen på ett eget subnät så att det bara kan kommunicera med internet, ej andra enheter i nätverket.


Sedan får man ett 100% säkert system, där, ifall man får virus eller hackerattack, räcker att boota om datorn, så är den sedan 100% pålitlig och ren. Det är också en fördel att ifall man vill göra känsliga saker, så bootar man om datorn först - och man kan vara helt säker på att datorn är pålitlig.


Det är också bra som lek/experimentdator, får man någon skum fil eller minne, så kan man testa det i den datorn och går det åt skogen - bara att boota om.


Då slipper man också ha lokalt antivirus/brandvägg, samt man slipper behöva ha UAC eller lösenord/konton, utan kan köra som system32 utan risk. Händer något - bara att hålla inne strömknappen på datorn i fem sek, sedan 100% garanterat rent! Det blir som en systemvid, hårdvaruskyddad sandlåda man kan lita på i alla lägen och boota om vid minsta tveksamhet.

 

Fastighetsautomation


I nyhetsbrev #18 funderade jag lite kring fastighetsautomation och efterlyste era erfarenheter på området.

En av de som hörde av sig var Kristina Blomqvist, tidigare programansvarig för MSB:s nationella program för säkerhet i industriella informations- och styrsystem, numera på Vattenfall. Hon berättar: ”Inom det programmet ville vi 2016 få en bild av, och uppmärksamma situationen inom fastighetsautomation och tog därför fram två rapporter mha FOI och ett mycket grundläggande faktablad. En sak som framgår är att ansvarsstrukturen är väldigt komplex, med byggherre, entreprenör, förvaltare och sedan själva hyresgästen (som dessutom byts regelbundet). Detta samtidigt som fastighetsvärdering traditionellt inte alls bygger på kvaliteten av denna typ tekniska installationer (HVAC – värme, ventilation). Inte en optimal utgångspunkt för att säkra och robusta system! Speciellt inte som intrimningen av dessa system oftast görs sist – så eventuell tidsförlust tidigare i ett byggprojekt sparas in på den tid som hade avsetts för automationsintegrationen. Till detta kommer den starka viljan till energieffektivisering, som ofta leder till önskan om ökad uppkoppling.


Hon skickade också med länkar till några riktigt intressanta rapporter som togs fram under hennes tid som programansvarig på MSB:


NCS3 - Industriella informations- och styrsystem inom fastighetsautomation,

Fastighetsautomation: Cybersäkerhet inom fastighetsautomation

Funktioner och IT inom kommunal fastighetsautomation


Kopplat till temat den här gången, sjukvård, och det som Kristina beskriver kring komplexiteten kring ansvar, planering och värdering, så kan jag ju själv inte låta bli att fundera över vissa byggprojekt inom vården som blivit uppmärksammade på senare år och hur den här typen av frågor hanterats i dessa sammanhang?

Min egen bakgrund på området är främst fokuserad på styrning, säkring och kontroll av system för inpassering, områdesskydd, video, brandlarm etc. (Som för övrigt varit säkerhetsmässigt katastrofalt dåliga i nästan samtliga fall, vilket ju är nästan parodiskt med tanke på deras syfte och hur viktiga de är…) När det gäller annan fastighetsnära automation har jag mest storys från amerikaner att gå på, man hör liknande berättelser liknande Kristinas om ansvarsförvirring och rent byggfusk som leder till att BACnet-gateways för skyskrapor hamnar direkt på Internet…


Riktigt kul att höra från er läsare! Tack Kristina! Någon mer som har erfarenheter att dela med sig av från detta spännande område?

 

Safety eller Security?


IET, "The Institution of Engineering and Technology", är en brittisk organisation som nyligen gav ut något man kallat "Code of Practice: Cyber Security and Safety". Deras egen förklaring till dokumentet är: This Code of Practice is written for engineers and engineering management to support their understanding of the issues involved in ensuring that the safety responsibilities of an organization are addressed, in the presence of a threat of cyber attack. “If it’s not secure, you can’t be confident it’s safe”.

De sätter fingret på en gammal sanning på ett lite nytt och elegant sätt, nämligen det att "Safety" och "Security" måste gå hand i hand om man ska skapa ett trovärdigt säkerhetsprogram. Den kortfattade förklaringen här ovanför realiseras däremot i ett hyfsat omfattande dokument på total 97 sidor.


Jag kan förstås inte låta bli att koppla det här dokumentet till utmaningarna som sjukvården står inför där relationen mellan "Security" och "Safety" blir extremt påtaglig när man inkluderar patientsäkerheten i begreppet "Safety". Nu är inte dokumentet skrivet på ett sätt som passar speciellt bra i sjukvården utan mer i en klassisk ingenjörsmässig sättning. Trots det tror jag säkert att många poänger kan fungera även i sjukvården.


Dokumentet är skrivet på det där brittiskt skickliga sättet som gör även supertorra ämnen lite mer tillgängliga. De hänger upp mycket av innehållet på 15 principer som ska genomsyra organisationen för att knyta ihop "Safety" med "Security":

Vi får se hur framtiden ser ut för det här utspelet. För den som arbetar med någon form av säkerhetsfrågor i en organisation med farliga miljöer eller miljöhotande system kan det här vara ett spännande grepp på gamla sanningar.

 

Tips på läsning, lyssning och tittande


Här lite blandade artiklar som jag tycker är spännande:


https://www.ise.io/hospitalhack/ Riktigt genomarbetad rapport från en imponerande analys av utmaningarna inom sjukvården som tillsammans med en närsynt titt på säkerheten i ett antal medicinska produkter resulterar i riktigt bra och handfasta råd för ett bra säkerhetsarbete!


https://webbutik.skr.se/sv/artiklar/klassa-for-iot.html Sveriges Kommuner och Regioner, SKR, har släppt normativ vägledning för IoT-säkerhet kopplat till deras KLASSA-ramverk.


https://www.youtube.com/playlist?list=PL8OWO1qWXF4qRHrSTpwFbuLUL-bOrGn4y Förra gången nämnde jag S4-konferensens "On-ramp" som är en fantastisk krasch-kurs i allt kring OT och OT-säkerhet. Nu är serien på 10 avsnitt komplett och de har även börjat lägga upp fortsättningsserien på 10 avsnitt till!


https://www.cisa.gov/sites/default/files/publications/Insider%20Threat%20Mitigation%20Guide_Final_508.pdf Massor med kloka tankar från CISA kring insider-problematik!


https://cyberstartupobservatory.com/the-need-to-change-the-paradigm-of-control-system-cyber-security-part-1-background/ Joe Weiss kommer som vanligt med spännande och provocerande idéer i denna text.


https://www.eetimes.com/cybersecurity-standards-in-ot-and-industrial-iot/ En titt på ISA/IEC 62443 och NIST SP 800-82.


https://www.ncsc.gov.uk/information/exercise-in-a-box Stöd till övningar från brittiska NCSC.

https://portswigger.net/daily-swig/passwordscon-2020-authentication-expert-expresses-skepticism-about-passwordless-future Jim Fenton sätter bra ord på det jag känt länge, att det här med "Passwordless" som blivit populärt på sistone kanske inte är helt genomtänkt. Saker som att biometri inte går att återkalla när den kommit på avvägar och att en PIN egentligen bara är ett dåligt lösenord...

http://scadamag.infracritical.com/index.php/2020/11/17/the-chinese-hardware-backdoors-can-cause-transformer-failures-through-the-load-tap-changers En text till av Joe Weiss apropå misstankarna om manipulerade transformatorer i det amerikanska elnätet,


http://scadamag.infracritical.com/index.php/2020/11/15/what-would-sun-tzu-and-louis-pasteur-say-about-todays-industrial-cybersecurity Ett märkligt samtal mellan den klassiska kinesiska generalen Sun Tzu, den franske 1800-talskemisten Louis Pasteur och textens författare Vytautas Butrimas.

 

Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se .