Sök

Nyhetsbrev OT-Säkerhet #24 - Konsekvenser och Stickor


Den här gången tittar jag på ett märkligt USB-minne med Bluetooth, funderar kring motsvarigheten till informationssäkerhet för OT-säkerhet, visar upp nyheter i min bokhylla och en massa annat spännande!


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!

Mats filosoferar...


En tanke slog mig häromdagen! Vi brukar ju ofta jämföra IT-säkerhet och OT-säkerhet med varandra. Även om det är väldigt mycket som skiljer dem åt, både kring metoder och vad man försöker skydda, så handlar båda två om att skydda tekniska system så att de kan utföra det som de är tänkta att göra.


En annan viktig relation som IT-säkerhet har är med informationssäkerhet. I det klassiska tänket ställer informationssäkerhet krav på IT-säkerhet för att skydda den information som hanteras i IT-systemen. I praktiken är det inte så enkelt alla gånger men lutar man sig mot ISO 27001 så är det den världsbilden som gäller.

Men, då kan man ju undra... Vad är motsvarigheten till informationssäkerhet för OT-säkerhet? Varifrån kommer kraven som OT-säkerhet ska uppfylla? Ja... Det är ju en bra fråga...


Ibland hör man vissa som försöker vränga till ett resonemang där informationssäkerhet går att använda till allt, även för att kravställa OT-säkerhet - systemen hanterar ju trots allt något slags information även om syftet är att styra någonting fysiskt. Det är ett resonemang som snabbt faller platt till marken. (Även om det förstås kan vara delvis sant för vissa system som faktiskt hanterar både information och fysiska processer.)


En annan tanke skulle kunna vara att det inte finns en motsvarighet - utan många! Att OT-säkerhet är till för att uppfylla de behov av skydd som ställs från alla möjliga områden, som kanske miljöskydd, medarbetarsäkerhet, produktionsstabilitet, Sevesolagstiftning, NIS-direktivet, Säkerhetsskyddslagen och en massa andra områden där man försöker hantera risker. Det här resonemanget håller förvisso bättre men det blir ju ganska rörigt och spretigt när det är så många som ska kravställa var för sig.

Efter att ha resonerat kring detta insåg jag att svaret egentligen kan vara mycket enklare än så. Åtminstone om man har valt att luta sig mot standarden ISA/IEC 62443. Slarvigt uttryckt kan man säga att 62443 är för OT-Säkerhet vad 27000-serien är för Informationssäkerhet. De som följt mitt nyhetsbrev ett tag vet att jag är svag för den här standarden och att jag var nummer två i Sverige att certfiera mig som "ISA/IEC 62443 Cybersecurity Expert".


Precis som de flesta moderna standarder för ledningssystem är 62443 baserad på att man bedömer sina risker och väljer sitt skydd utifrån riskerna. Tanken är att olika delar av en verksamhet behöver olika skydd och att man ska kunna ha tillräckligt bra skydd överallt utan att slösa resurser genom att ta i för mycket. När infosäk-folket brukar bedömma "Konfidentialitet", "Riktighet" och "Tillgänglighet" tittar vi OT-människor mest på tillförlitlighet i systemen och att vi inte ställer till något som skadar människor eller miljö. Standarden sätter sedan en metod för hur man skyddar och segmenterar sina system baserat på risker som de utsätter verksamheten för. Även om kraven kan komma från olika källor kan de samsas i en gemensam modell för hur man beskriver risker och skyddsnivåer.

En närbesläktad diskussion (som jag var inne på i förra nyhetsbrevet) är vilka begrepp man bäst använder för att beskriva riskerna istället för "Konfidentialitet", "Riktighet" och "Tillgänglighet"? Populära förslag brukar vara "Controlability", "Observability", "Operability", "Safety", "Resilience" och "Performance".


Min personliga syn att är alla begreppen är bra och att man absolut kan kombinera dem efter behov. Om man råkar ha information som ska skyddas mot att stjälas eller förvanskas så kan man förstås kombinera dem med begreppen från Informationssäkerhet.


Om jag ska återvända till ursprungsfrågan så är väl egentligen min insikt att frågan var fel ställd från början! OT-säkerhet har faktiskt mer likheter med informationssäkerhet än med IT-säkerhet, åtminstone om man utgår från ISA/IEC 62443 och ISO 27001. Man måste utgå från en bedömning av vad som är värt att skydda, bygga hela sitt tänk utifrån skyddsbehoven och sedan utforma teknik och processer efter det. Jag kan verkligen rekommendera att man tittar närmare på 62443-standarden om man vill jobba strukturerat med OT-Säkerhet och utforma skyddet av sina system baserat på verksamhetens risker.


Jag hoppas dessutom att jag kan återkomma med en lite mer nyanserad bild av vad som bäst driver riskarbetet inom OT enligt 62443 efter att ha läst böckerna som jag berättar om här nedanför. Min förhoppning är att de kommer knyta ihop skyddet av OT-system tydligare med kraven på riskreducering i den fysiska processen. Håll tummarna! :-)

Den coolaste stickan i stan?

För en gångs skull har jag testat något som jag först var väldigt skeptisk till men som jag sedan bytte åsikt om! För varför i himelens namn ska man ha Bluetooth i ett krypterat USB-minne?


Minnet vi talar om är "DATASHUR BT" från iStorage. Ett FIPS-certifierat krypterat minne med mellan 4 och 128 GB lagring och "USB 3.2 SuperSpeed" anslutning. Minnet är IP57-skyddat så det tål både damm och vatten bra. Bluetooth används för att låsa upp krypteringen och för diverse inställningar från en app i din mobiltelefon.


Skeptisk och luttrad som jag är, föreställde jag mig genast en lite väl ambitiös ingenjör någonstans som har kokat ihop en teknisk lösning som är snygg men som vid minsta provokation rasar ihop som ett korthus och tillåter att allt data på stickan går att ladda ner via Bluetooth. Verkligen inte något man vill lita på!

Men... Sedan visade det sig att tillverkaren hade riktigt bra svar på alla mina elaka frågor och stolt visade upp en lösning där hanteringen av data separerats från blåtandsdelarna.


Nu skall jag direkt säga att jag inte lagt någon tid på att försöka hacka det lilla underverket men min erfarenhet är att en leverantör som har riktigt vettiga svar på svåra frågor redan har tänkt på många fler attackvägar än vad jag själv kan komma på... Ett litet men bra exempel är att man behöver ha det 8-siffriga nummer som minnet är märkt med för att ansluta minnet till appen. Koden sitter så att den inte går att se när minnet är anslutet vilket gör det mycket svårare att tjuvkika...

En riktigt stark finess som man definitivt inte ska underskatta är att appen inte bara "låser upp" krypteringen, det är faktiskt så att innan minnet låsts upp så syns det inte överhuvudtaget som USB-enhet i det system där det anslutits. Minnet kan därför inte ens teoretiskt utsättas för lömska USB-attacker i stil med BadUSB förrän det är upplåst. (Jag skrev om olika typer av USB-attacker i nyhetsbrev #19.)


Men varför ska man ha Bluetooth i ett USB-minne då? ...och i synnerhet när det handlar om OT-system? Ja, för det första handlar det ju om ett minne med inbyggd kryptering. Om man inte har behov av det så faller förstås hela meningen med minnet! Och varför ska man då kryptera ett minne? Att man har känslig information och att små minnen är lätta att tappa bort är förstås ett uppenbart svar men det finns fler anledningar. En kan ju vara att man inte vill riskera att någon kollega ändrar filer på minnet av misstag. Det vanligaste sättet som det sker är att man "lånar" ett minne som hamnar i någons dator där minnet smittas med något läskigt virus som sedan följer med runt till andra system.


Det finns ju andra sätt att låsa upp krypterade minnen än via Bluetooth. Det vanligaste är att minnet har en liten knappsats på sig där man skriver in en PIN för att låsa upp lagringen. Eventuella andra finesser får man ställa in med kryptiska kombinationer av knapptryckningar som inte går att komma ihåg. Till det här minnet finns en app där man matar in sitt lösenord på ett vettigt tangentbord och då kan man förstås göra inställningar på ett mycket tydligare sätt. Den enda klurigheten jag kommit på är om din organisation eller din kund av något skäl inte tillåter mobiltelefoner nära OT-utrustningen, då är nog det här inte lösningen för dig.

Om vi tittar igenom inställningarna så hittar vi ett antal riktigt intressanta funktioner. Först hittar vi lösenordsbyte och redan här förstår vi varför en app är bättre än en knappsats - du kan ha ett riktigt lösenord istället för en PIN-kod!


Det finns stöd för 2-faktorsidentifiering och lösenordsåterställning som tyvärr bara har stöd för SMS men det är förstås bättre än inget. Mer om detta med bortglömda lösenord lite senare...


Sedan kan du välja att appen ska komma ihåg lösenordet vilket förstås sänker säkerheten en smula. Biometriskt lås finns också och är förmodligen en bättre lösning i de flesta fall.


Sedan blir det väldigt intressant! Du kan säga åt minnet att automatiskt låsa sig efter en viss tid. En annan riktigt bra funktion är att minnet kan fås att låsa sig om du går iväg längre än fem meter med telefonen.


Att enkelt kunna sätta minnet i skrivskyddat läge är en fantastisk funktion för att kunna dela med sig av data till system som man inte litar på fullt ut. Ingen risk att minnet blir nedsmutsat med skadlig kod!


Vissa av de här funktionerna (2-faktor, lösenordsåterställning och remote wipe) sköts av en molntjänst. Det kan man förstås ha invändningar emot och då är det fritt fram att inte slå på de funktionerna. MEN! Det finns fler möjligheter om man skaffar den utökade molntjänsten...


Vad är den absolut vanligaste anledningen till att information försvinner när den lagras krypterat? I min erfarenhet är det att folk glömmer lösenordet till sitt minne! Det finns lite olika lösningar för att kunna hantera den typen av situationer på ett bra sätt. Ett av dem är att ha centralt managerade minnen där en superadministratör kan återställa lösenord som tappats bort. Det är givetvis inte lämpligt i alla situationer så man får förstås göra sin egen riskanalys innan man drar igång den typen av verktyg! Men man kan ju se det som ett 2-faktorsskydd i och med att informationen ändå bara är tillgänglig om man har minnet i sin hand.


Från iStorage kan man köpa "iStorage datAshur BT Remote Management Web Console" som möjliggör hantering av alla minnen i en organisation. Jag har inte provat den själv men den verkar onekligen kunna lösa alla viktiga problem. Med den typen av verktyg har jag sparat oräkneliga arbetstimmar åt tidigare arbetsgivare när medarbetare slarvat med sina lösenord... I och med att det alltid finns en koppling till en app så finns även lite ovanligare funktioner som att man kan blockera en användare från att använda "sitt eget" minne (exempelvis om en medarbetare lämnar företaget) eller sätta begränsningar i VAR eller NÄR minnet får användas. Intressant...

Sammantaget är det här ett snabbt och solitt minne som bör passa de flesta verksamheter som inte totalförbjuder trådlös teknik i sina system. Möjligheterna med Bluetooth är faktiskt riktigt vettiga i verkligheten och inte bara en gimick.


För OT-världen ger styrningen via en app möjlighet att hantera minnen som fysiskt sitter på platser där de är svåra att komma åt. Exempel på viktiga funktioner är snabbheten, fjärrstyrt skrivskydd, automatisk låsning om man går ifrån det och att det går att komplettera med central managering.

Säkerhetsskyddschef med ett diplom!

I Nyhetsbrev #21 berättade jag att jag skulle inleda Företagsuniversitetets diplomeringsutbildning för säkerhetsskyddschefer. Nu är utbildningen slut och jag har fått mitt diplom.


Jag vill återkoppla att det, precis som jag förstås hoppades, är en riktigt bra utbildning som jag verkligen rekommenderar! För den som är intresserad av att vidareutveckla sig inom det här komplexa men intressanta området kan jag verkligen rekommendera den här kursen. Hör gärna av dig till mig om du har några funderingar.


Ett rejält kursmaterial, bra arrangemang, en otroligt erfaren lärare i Per Fjellman och en radda riktigt tunga gästföreläsare gör detta till en helt unik kurs! Att genomföra den på distans har förstås sina sidor men också vissa fördelar och det är ingenting som jag tycker drog ner på kvalitén.

Nyheter i bokhyllan!


Nu när jag är fullärd i allt som har med säkerhetsskyddsarbete att göra **ironi**, dök förstås tanken "vad ska jag lära mig nu då?" upp... Jag insåg att det var länge sedan jag läste en intressant bok om säkerhet. Så jag slog till på tre stycken på en gång!


Två av böckerna har delvis ett gemensamt tema, nämligen hur man låter sitt risk- och säkerhetsarbete bli konsekvensdrivet. Det finns flera skäl till att detta är ett allt mer populärt sätt att arbeta. Rent praktiskt brukar det vara ett arbetssätt som är effektivt och framkomligt i praktiken - helt enkelt därför att det tenderar att vara mycket enklare att komma överrens om vilka konsekvenser som är värst jämfört med att i grupp besluta sannolikheten för någon jobbig händelse. Speciellt svårt är det att säga något vettigt om sannolikheter när det gäller händelser som orsakas av människor, oavsett om det är elaka hackers eller insiders.


Att jobba konsekvensdrivet är inte samma sak som att bara fokusera på att minska konsekvenserna även om det också är ett väldigt kraftfullt verktyg. Speciellt brukar ledningsgrupper gilla att veta vad det värsta som faktiskt kan hända