Sök

Nyhetsbrev OT-Säkerhet #20 - OT i Sjukvården


Lite av ett jubileum blir det den här gången, med den 20:e utgåvan av nyhetsbrevet! Jag började med 4 läsare av det första utskicket och nu har 800 personer läst den senaste utgåvan! Det hade jag verkligen inte väntat mig när jag drog igång ett nyhetsbrev för ett ganska smalt, nischat område för ett drygt år sedan! Det verkar som det finns ett behov av någon som skriver om det här kluriga ämnet på svenska. Nu siktar jag på 1000 läsare!


Jag ska inte sticka under stol med att det förstås är riktigt kul att nyhetsbrevet, som bieffekt, drivit fram så mycket uppdrag och produktaffärer! Jag tycker alltid det är lika spännande att möta nya verksamheter, som alla är på olika resor och med olika utmaningar! Det känns som att det är dags att be chefen anställa en kollega till mig...


Sjukvård är något av ett tema den här gången, nästan alla texter knyter an till vården på ett eller annat sätt. Jag tittar bland mycket annat på kaotiska apor, jämför säkerhet med konditionsträning, funderar över likheter mellan sjukvård och OT, tittar närmare på vad som krävs för att haverier i säkerhetssystem inte ska ställa till det för verksamheten, annonserar vinnare, fortsätter diskussionen om fastighetsautomation och tittar närgånget på en riktigt tuff server.

Jag vill ge er ett stort tack för alla trevliga mejl jag får med uppskattande och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta!


Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!

Släpp in kaos-aporna!


Ginger Wright från INL (Idaho National Laboratory) håller ett av de absolut mest spännande föredragen från årets S4-konferens. Hon knyter ihop den fantastiska metod som Netflix "uppfann": "Chaos Monkey" som är en del av "Chaos Engineering" med hur INL övar incidenthantering med organisationer i USAs elförsörjning: Invite the Chaos Monkey

Även om du inte är intresserad av någonting annat så är det värt att höra föredraget om du inte känner till "Chaos Monkey", det är ett makalöst koncept.


Netflix ser helt enkelt till att alla "Failure Modes" som de kan hitta på faktiskt kommer hända i verkligheten i deras produktionsmiljö och det händer på ett slumpartat sätt! Det handlar alltså inte om att öva i en skyddad lekstuga utan om att hantera verkliga och brutala störningar i den skarpa miljön utan att kunden märker någonting! De skjuter alltså slumpmässigt och utan förvarning ner sina egna system, i vissa fall hela datacenter, bara för att lära sig! Hela poängen är att testa att man verkligen kan hantera felsituationer och vad man kan lära sig av sina utmaningar och misslyckanden! Du hittar en lista över alla deras apor på Wikipedia: Chaos Engineering och på github finns mjukvaran de använder: chaosmonkey .

Fokus för INLs övningar är på att bli bra på att hantera incidenter - inte bara förebygga dem! När övningarna startar är redan attacken i full fart! Det handlar om "Face your fears!" och om att utsättas för vansinnigt jobbiga händelser i en "verklig" miljö. Det hela ingår i ett DARPA-program kallat "Rapid Attack Detection, Isolation and Characterization Systems": RADICS

Allt detta är i linje med två av mina viktigaste käpphästar kring säkerhetsarbete oavsett om det handlar om IT, OT, fysiskt skydd eller något annat område: att man inte bara kan fokusera på att förebygga incidenter och att man måste öva i verkligheten! Naturligtvis ska man göra vad man kan för att händelser inte ska ha en chans att hända men sedan behöver man ha inställningen "förutsätt att vi redan är drabbade, vad gör vi?". När det gäller övningar tycker jag man ska börja enkelt med pappers-övningar med alla deltagare sittande runt ett bord. Först när man känner sig redo börjar man fundera på att öva "på riktigt". Ska man upp i Netflix nivå behöver man dessutom bygga sina system och sin infrastruktur på ett sätt som redan från början tar höjd för kommande attacker och haverier! Man behöver också ha sådan koll på sin design-process att man kan identifiera alla felscenarier och hur de slår mot verksamheten.

Hur tuff är din server?


I nyhetsbrev #18 skrev jag om edge-system och hintade även om en hårdvara jag kommit i kontakt med. Jag listade ett antal egenskaper som en edge-server behöver ha och som känns nästan ouppnåeliga i en och samma enhet:

  • stabilitet som en riktig server, kanske till och med en klustrad lösning för att riktigt maxa tillgängligheten

  • fysisk tålighet som hos en PLC för att tåla kyla, värme, vibrationer och stötar ute i verksamheten

  • prestanda som en arbetsstation med extrema GPU-kretsar och ultrasnabb lagring

  • nätverksanslutning med extrema prestanda och flexibla anslutningsmöjligheter

  • fysiska egenskaper som passar tillsammans med OT-utrustningar: DC-matning, DIN-montering och en smidig storlek

Systemet som jag tittat närmare på i verkligheten är en Lenovo ThinkSystem SE350. Den finns i lite olika utformningar men den variant som jag haft fingrarna på har 8 CPU-cores, 64 GB RAM, 2st M.2 bootdiskar 128 Gb, 1 TB VMEe flashminne, WiFi och LTE.


Som synes på bilderna är det en nätt liten enhet men maxar man den blir den riktigt kapabel: en 16-cores Xeon-2100 CPU, 256 GB minne, 10st M.2-diskar som kan köras i hårdvaru-RAID, 10Gb-ethernetportar och en PCIe x16 plats där du kan sätta ett GPU-kort att köra AI-applikationer på. Så långt är det egentligen ingenting exceptionellt alls för en server. Men när vi lägger till det som gör den användbar långt utanför datorhallen blir bilden en annan:

  • Den kan monteras på VESA-fäste eller DIN-skena. Vill man absolut stoppa in den i ett 19"-rack kan den monteras två i bredd.

  • Den kan köras på 12 - 48 Volt DC eller 100 - 240 Volt AC med dubbel matning.

  • Skyddsfilter för dammiga miljöer gör att man slipper enorma kylflänsar.

  • Inbyggd WiFi och LTE som är förberedd för 5G.

  • Den tål att köras i temperaturer från 0 till 55 grader.

  • Den tål fysiska stötar i 40G och är certifierad för att tåla vibrationer.

  • Diverse smarta skydd mot fysisk manipulering och stöld.

Inte en dussin-server direkt men däremot en riktigt snygg anpassning till för de speciella behov som ställs av tunga applikationer ute i anläggningarna. Det kan vara beräkningar som kräver väldigt korta fördröjningar eller snabba AI-analyser av video eller andra tunga dataströmmar.

Jag ser ofta vanliga PC-datorer placerade ute "på golvet" i tillverkande industri där man kör rena serverapplikationer som en del i en automationscell. Bakgrunden är nästan alltid att det var billigare att ställa dit en vanlig PC eftersom det är en enkel hårdvara och den driftmässigt kan hanteras som en vanlig PC. Det leder nästan alltid till problem eftersom som man får vad man betalar för, framför allt när det gäller driftformen. Med en riktig serverhårdvara som driftas som den serverfunktion det faktiskt är så har man vunnit mycket tillförlitlighet. Om man tittar på ThinkSystem SE350 så ger den oss dessutom chansen att bygga ett system som går att sköta om på ett modernt sätt. Vill du köra hyperkonvergerat är den validerad av Microsoft för Azure Stack HCI och även certfierad av Nutanix. Annars stöds förstås Windows Server, SLES, Ubuntu, RHEL och VMware ESXi.

Att den är avsedd att ta lite andra roller än serverhårdvaror normalt får hantera märks inte minst på nätverkssidan:

  • Den har inbyggd WiFi som gör att den både kan ansluta till existerande nätverk eller agera accesspunkt för ett eget nätverk.

  • Inbyggd LTE med förberedelse för 5G.

  • Inbyggd nätverksswitch (med SFP- och RJ45-anslutningar) som kan konfigureras på en rad spännande sätt beroende vad man behöver. Det innebär att man exempelvis kan ansluta mindre sensornät direkt in i servern samtidigt som man klustrar servern och har seriekopplad anslutning till Lenovos BMC-managementtjänst XCC.

  • Dubbla 10 Gb/s SFP+ anslutningar för bandbreddsslukande applikationer.

Installation och annan administration var lika enkel som för vilken annan server som helst. Det här är en riktigt rolig bekantskap! Personligen gillar jag verkligen XCC för remote hantering och konfiguration av hårdvaran inklusive den inbyggda switchen. Jag kommer att köra en del tester av applikationer på just den här Lenovo-servern så jag återkommer med fler intryck efter hand!


Om du vill prova själv eller vill veta mer är det förstås bara att höra av dig!

Försäkring, löpning eller säkerhetsarbete?

Man hör ofta människor jämföra ett bra säkerhetsarbete med att köpa en försäkring vilket jag tycker är en ganska dålig jämförelse. En försäkring minskar inte sannolikheten för problem utan minskar bara den ekonomiska skadan om något händer. En klok person jag lyssnade på häromdagen ville hellre jämföra säkerhetsarbete med konditionsträning. Resonemanget var att konditionsträning, förutom att minska sannolikheten för problem och konsekvenserna av dem, ger nytta direkt, inte minst ger bättre kondition möjlighet att göra saker som man inte kunde tidigare. Säkerhet skapar möjligheter!


Cyberförsäkringar i olika former är ett affärsområde som växer snabbt och som diskuteras flitigt. Ett viktigt problem med cyberförsäkringar är att man kan lockas lägga sina pengar där istället för på säkerhetsarbete. På samma sätt som att försäkringar i ovanstående resonemang är en dålig liknelse för ett säkerhetsarbete är det definitivt en dålig ersättare för detta arbete! Att drabbas mindre av konsekvenserna av ett angrepp är en klen tröst, särskilt om det händer upprepade gånger.


En annan viktig likhet mellan bra säkerhet och en god kondition är att båda är flyktiga. Både säkerhetsarbete och konditionsträning är något man gör, inte något man har. När man slutar anstränga sig klingar nyttan av väldigt snabbt!

Cyberförsäkringar har synts en hel del i media på senare tid. En spännande aspekt är när större angrepp uppfattas (rätt eller fel) utförda av länder. Detta leder till fall där försäkringsbolagen hävdar force-majeure på grund av krigshandlingar. Det mesta kända fallet är matjätten Mondelez som drabbades av NotPetya och krävde 100 MUSD från sitt försäkringsbolag. Försäkringsbolaget avslog begäran när angreppet utpekades som ett ryskt angrepp mot Ukraina. Så vitt jag vet slåss de fortfarande om det i domstol. tre år senare... Du kan exempelvis läsa mer hos Darkreading och New York Times .

World Economic Forum oroar sig också över försäkringar. De ser att försäkringsbranschens risker för Cyberförsäkringar är ohållbara i en spännande rapport som gavs ut nyligen.


Min personliga syn på cyberförsäkringar har, åtminstone tidigare, varit att det är vad som kommer att "rädda oss" genom att tvinga organisationer som köper försäkring att få ordning på säkerhetsarbetet. Lite som att inget försäkringsbolag skulle acceptera att en organisation inte hade brandsläckare eller bra lås på dörren. Jag tror fortfarande att det kommer att hända men att det kommer ta längre tid än vad jag trodde. Min tolkning av WEFs artikel ovan är att de problem de pekar på också tyder på en omogen marknad.


Något jag hör mer och mer om (dock inte i Sverige ännu) är att företag i allt större omfattning i panik skaffar försäkringar eftersom de hör talas om så många ransomware-attacker. Tyvärr är en vanlig attityd "Nu har jag försäkring och jag kommer använda den!", vilket ju inte direkt tyder på någon större säkerhetsmässig mognad än så länge...

EU vill öva sjukvården!

EUs cybersäkerhetsorganisation ENISA har organiserat stora övningar inom olika områden under de senaste 10 åren. I år var det sjukvårdens tur men med tanke på världsläget var det inte riktigt "läge" att belasta sjukvården med övningar. Övningarna har helt enkelt skjutits på framtiden.

Vi får se när övningarna blir av men redan nu tycker jag det var intressant att läsa om deras planer och det ganska vida spektrumet av övningsområden som ingår i planerna.

Du hittar information på deras hemsida och här: på programsidan .

Jag hoppas att lokala och regionala sjukvårdsorganisationer orkar bedriva övnings- och utvecklingsinitiativ trots sjukvårdens utsatta läge. Man kan ju faktiskt hävda att just på grund av det utsatta läget blir det ännu viktigare att öva och förbereda sig för attacker och störningar i viktiga system!


Vilken medicin finns för sårbarheterna i sjukvården?

Ett intressant men lite speciellt område inom OT är sjukvård och medicinsk teknik. Det har varit extra