Sök

Nyhetsbrev OT-Säkerhet #27 - Industri 4.0, nya maskindirektivet och NAMUR

Jag ger dig en snygg lösning på utmaningarna kring Industri 4.0 när vi tittar på NAMUR NOA, jag prövar sprillans nya ruggade nätverksgrejor från Keysight som jag kopplar upp tillsammans med andra spännande prylar i mitt labb, bland annat en Nozomi Networks Guardian och en OT-diod från Advenica. En titt på EUs nya krav på CE-märkning av OT-säkerhet från det nya maskindirektivet blir det också och så gnäller jag över alldeles för mycket segmentering. Åsså en massa annat förstås!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag skrev nyligen ett inlägg på Atea-bloggen som förklarar mer.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också vissa artiklar från nyhetsbreven publiceras på Ateas officiella blogg tillsammans med en del annat som jag skriver där.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Segmentering är kass!

Alla som arbetar inom någon form av OT-säkerhet är van vid att segmentering är en av de viktigaste säkerhetsåtgärderna. Oavsett om det är klassiska Purdue-tankar från ISA 95, "zones and conduits" enligt 62443, ACL:er, SDN-nät eller mikrosegmentering så använder vi segmentering för att skära upp helheten. Vi skapar de där lagren som i en lök så enbart de prylar som behöver kommunicera med varandra kan göra det. Efter att ha sett ett antal segmenterings-projekt så inser jag också att segmentering är den enkla delen. Det svåra är att få till bra integration, det vill säga en säker kommunikation mellan de olika segmenten. Beroende på var i vår segmenteringsmodell vi tittar så är det dessutom olika protokoll och kommunikationsmetoder så vi använder olika former av gateways och tjänster för att översätta så att olika språk kan användas i olika situationer.

I de flesta av mina uppdrag agerar jag rådgivare åt olika grupper av personer i olika typer av organisationer. Jag har regelbundna träffar med IT-säkerhetschefer, automationsfolk, IT-chefer, lösningsarkitekter, R&D-folk, produktionschefer och informationssäkerhetschefer från alla möjliga typer av organisationer, allt från kärnkraftverk, via sjukvård och fastighetsförvaltning till skogsindustri och högteknologisk tillverkande industri. Jag reflekterar ofta över att alla dessa människor och deras organisationer har så många gemensamma utmaningar trots att förutsättningarna på ytan är så olika. Det finns mycket att lära av varandra mellan helt olika branscher!

Den absolut vanligast problematiken i alla dessa organisationer har med segmenterad kommunikation att göra. Fast då inte den sorten som går på nätverk, utan den som är mellan människor. Lite som i våra nätverk har man oavsiktligt skapat segmentering genom uppdelade organisationsstrukturer, åtskilda produktionsenheter och genom att man har olika mål och utmaningar i vardagen. Och även här har man olika "protokoll", eller sätt att uttrycka sig, som gör att det är svårt att få till en vettig kommunikation mellan olika enheter. Det här är definitivt ett problem som jag ser i precis alla branscher och oavsett storlek på organisation.

Hur ska vi då få till en bra kommunikation? Vilken motsvarighet har vi till bra integrationer och gateways? Eftersom vi knappast kan få alla att ha samma prioriteter, få att alla att använda samma språk eller ge alla samma utmaningar så får vi hitta ett sätt att kommunicera som överbryggar dessa olikheter. Mycket handlar förstås om grundläggande verksamhetsstyrning som strategiarbete, målnedbrytning och internkommunikation. Men om vi fokuserar på säkerhetsarbete här så finns det speciella utmaningar i att få till bra kommunikation. Sysslar du med informationssäkerhet har du ett sätt att utrycka dig kring risker, hot och sårbarheter. Om du arbetar med miljöfrågor har du en annan uppsättning begrepp, likaså har du ytterligare andra ord om du sysslar med fysiskt skydd, GDPR, brandskydd, maskinsäkerhet, Seveso-frågor eller SIS-system.

De flesta har stött på CIA-triaden från informationssäkerhet, "Confidentiality - Integrity - Availability" ("Hemlighet - Riktighet - Tillgänglighet"). Det här är begrepp som passar väldigt bra när man resonerar kring skyddet av information. Om man sysslar med risker kopplade till automationssystem passar inte "CIA" så bra och därför har en annan triad blivit populär "Control - Observe - Operate" som utifrån styrsystemets perspektiv beskriver dess förmåga att styra processen, att låta oss observera processen och att låta oss påverka processen. Är man mer fokuserad på processen och dess riskers påverkan på oss har ytterligare en triad "Safety - Resilience - Performance" blivit populär eftersom vi kan beskriva hur farlig processen är för omgivningen, hur tålig processen är mot påverkan och hur effektiv processen är på att leverera det resultat som den är till för. (Du kan läsa mer i mitt nyhetsbrev #24.)


Dessa olika kombinationer av tre är väldigt användbara. Det diskuteras flitigt vilken kombination som är bäst, vilket jag tycker är helt fel sätt att närma sig det här. För att få till den där integrationen mellan olika delar av organisationen och mellan personer med olika vardag behöver vi krydda vårt språk med alla dessa ord för att vara säker på att vi beskriver verkligheten på ett sätt som alla förstår oavsett av deras bakgrund. Det är så vi skapar vår integrationsplattform för mänsklig kommunikation som överbryggar skillnader i vår världsbild.

En annan viktig bit är förstås organisationen i sig själv. Större organisationer med verksamhet på flera platser låter ofta varje enskild "fabrik" bli en separat produktionsenhet med en egen produktionschef som är ansvarig för resultat och risker i den egna verksamheten. Varje enhet har egna resurser som bygger och underhåller automationssystemen som driver verksamheten. Det är väldigt mänskligt att man som automationsingenjör prioriterar den egna enhetens behov och möjligheter över hela organisationens möjligheter. Det är lätt att detta, rätt eller fel, skapar situationer som ser ut som suboptimering för en utomstående. Något som jag personligen tycker är viktigt är att det företagsgemensamma säkerhetsarbetet fokuserar på att skapa möjligheter för varje enskild produktionsenhet som de själva inte har resurser att få till var för sig.

Vi måste bli bättre på att kommunicera! Så precis som inom nätverkssegmentering är det integrationen mellan de olika segmenten som är både svårt och viktigt. Lyckas vi med integrationen kan vi dra nytta av alla fördelar som segmenteringen ger men utan den stör helhetens förmågor och utan att vi tar genvägar som förstör effekten av segmenteringen.

CE-märkt OT-säkerhet!

Ett förslag till nytt maskindirektiv lades fram av EU-kommissionen i slutet av April. Om du inte inte känner till vad maskindirektivet är för något så kan man enkelt förklara det som att det är gemensamma krav på hur man konstruerar, tillverkar, underhåller och använder maskiner och utrustningar för att undvika olyckor. Det är det kravunderlag som används för maskiner som CE-märks. I Sverige är det arbetsmiljöverket som ansvarar för regelverket.

Att det behövdes ett nytt direktiv slogs fast i en rapport från förra året, "Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics", som pekade på hur modern teknik påverkar maskinsäkerheten. Observera att när jag använder ordet "säkerhet" här så menar jag "safety", alltså att maskinen inte skadar människor. För att klara det krävs också att tekniken har god "security" så att den inte kan bli farlig genom exempelvis manipulation eller ändring.

Jag ska direkt erkänna att maskindirektivet inte är något som jag är jättehemma i, men eftersom det nu verkar bli ett intressant överlapp mellan OT-säkerhet och direktivet så blev jag förstås nyfiken. Precis som med nya NIS-direktivet (läs mer här och här!) så blev det en övning i att läsa komplexa EU-dokument.

Man ger sex huvudskäl till att ett nytt direktiv behövs. Det första skälet, och kanske mest intressanta, är att det gamla direktivet inte täcker risker som kommer ur ny teknik. Man vill förstärka förtroendet för nya tekniska lösningar och därmed behövs legal tydlighet. Man listar sedan fem intressanta riskområden kopplat till just ny teknik:

  1. Direkt samarbete mellan människor och robotar. Det här är ju ett område som verkligen börjat växa på sistone med så kallade co-bots.

  2. Uppkopplade maskiner.

  3. Förändringar i maskiners "beteende" på grund av uppdateringar till mjukvaran efter godkännandet.

  4. Svårigheterna att göra riktiga riskbedömningar på lösningar som bygger på Machine Learning.

  5. Autonoma eller fjärrstyrda maskiner som inte har en förare eller operatör på plats.

Det är inga detaljerade krav vi får så det blir ju intressant att se hur detta kommer tolkas i praktiken när man ska kravställa eller granska maskiner framöver.


Man gör en poäng av att trycka på att direktivet är i linje med en kommande EU-reglering kring Artificiell Intelligens och med EUs policy för cybersäkerhet. För just kopplingen mellan safety och cybersäkerhet finns det egentligen två kravtexter, en kring skydd mot allmän påverkan och en kring utformningen av styrsystem:

  1. Maskinen ska vara konstruerad och byggd på ett sätt som gör att farliga situationer inte kan orsakas av anslutningar till andra prylar oavsett om det handlar om oavsiktlig påverkan eller ett medvetet angrepp. Det finns ett krav på att alla former av förändringar ska loggas och lagras för både hårdvara, mjukvara, konfiguration och data.

  2. Styrsystem ska kunna stå emot angrepp så att inte farliga situationer uppstår. På samma sätt ska inte fel i hårdvaran eller i styrsystemet kunna skapa risker. Speciellt ska Safety-system inte kunna ändras utanför gränserna för vad som anses vara säkert. Loggar för förändringar ska vara tillgängliga i fem år och loggar för safety-händelser ska vara tillgängliga i ett år. Speciellt intressant är att man trycker på funktioner som utvecklas under tiden maskinen används, det vill säga AI och Machine Learning. En annan intressant fråga som alltid brukar dyka upp är synen på trådlös styrning och vad som ska hända om den fallerar på något vis. Man trycker speciellt på att safety-funktioner ska vara lokala i maskinen så att den kan avvisa fjärrstyrning i farliga situationer.

En intressant del är Bilaga 1 som definierar högriskmaskiner som nu även innehåller AI-baserade skyddssystem förutom cirkelsågar, industriella pressar, sopkompressorer, fordonslyftar och en massa andra farliga saker. Eftersom man också pratar om att det inte ska vara möjligt att påverka skyddssystem så att de slutar fungera enligt riskanalysens antaganden blir det här väldigt viktigt att skydda på ett bra sätt.

Just samarbetet mellan människa och autonom maskin lyfter de i ergonomiavsnittet, där det speciellt trycks på en bra två-vägskommunikation. Maskinen ska kommunicera sina avsikter och reagera på ett bra sätt när den får order.

Det är som sagt långt ifrån några detaljerade krav som vi får. Det är inte helt klart för mig hur det här kommer omsättas i praktiska åtgärder och vad som kommer bli något slags hygien-nivå för att uppnå CE-märkning. Om någon av mina läsare vet mer om det här så får ni väldigt gärna kommentera eller höra av er!

Fullt ös i labbet!

I mitt OT-testrack finns just nu en hel radda roliga och imponerande prylar. Jag har gjort en lite större installation nu där ett antal av burkarna får leka tillsammans och tänkte gå igenom helheten i den här artikeln. Framöver kommer jag titta närmare på prylarna var för sig i kommande nyhetsbrev. Hör av dig om det är något speciellt du är nyfiken på och vill att jag tittar extra noga på!


Det den här testmiljön gör är att generera stora mängder trafik mellan hundratals fejkade system där trafiken också innehåller attacker och skadlig kod. Denna trafik kopieras sedan av ett antal olika nätverkstappar och aggregeras så att summan av all trafik kan kopieras till ett antal mottagare. Dessa mottagare analyserar trafiken och presenterar sina insikter. Tanken med hela upplägget är att simulera en nätverksmiljö för en verksamhet som vill förbättra synligheten i sina nätverk. På köpet får vi möjlighet att låta var och en av komponenterna visa upp vad den kan!


Om vi tar det från vänster till höger så har vi:

  • Mjukvaran "BreakingPoint" som körs i en "PerfectStorm One" från Keysight som du fick en glimt av i nyhetsbrev #25. Trafiken skickas i mitt fall mellan tre par nätverksinterface där var och en av dessa par simulerar ett nätverk med hundratals klienter och servrar. I mitt fall har jag valt en riktigt jobbig blandning av IT- och OT-trafik där jag även skjuter in skadlig trafik av lite olika typer.

  • Tre stycken nätverkstappar från Keysight skapar en kopia av den trafik som skickas genom dem. I ett verkligt fall skulle de kunna vara anslutna mellan viktiga switchar i nätverket. I mitt fall är det en mer IT-anpassad IxTap och två ruggade varianter där "Copper Tough Tap" har RJ45-anslutningar och "Flex Tough Taps" har fiberanslutningar. Jag skrev om IxTap i nyhetsbrev #18.

  • Trafiken från de tre tapparna samlas in av en paketaggregator, "Vision T1000" från Keysight. Det här är en ruggad aggregator som