Sök

Nyhetsbrev OT-Säkerhet #32 - När kommer NIS2?

Den här gången längtar jag efter NIS2, tittar på MITRE Engenuity, kombinerar ISO 27001 med ISA 62443, läser på om Pålitlighet, granskar känsliga dataöverföringar med Python, tittar på NISTs CSF-profil för tillverkande industri, kommunicerar fältnära med OPC UA och tycker till om Purdue-modellens betydelse för hur vi bygger våra nätverk.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Hur går det för NIS2?

Vi är många som är nyfikna på hur det kommer att gå med det förslag till helt nytt NIS-direktiv som lades fram i julas. (Jag har skrivit om detta tidigare i Nyhetsbrev #21 och #23.) "Snacket på stan" sade att någonting skulle komma ut under Juli men än så länge har i alla fall jag inte sett eller hört något konkret.


Det är inte helt trivialt att navigera EUs enorma informationsmängder och när man väl hittar ett intressant dokument är de sällan enkla att läsa heller... Ett intressant brev från Europakommissionen till Europaparlamentet och Europeiska rådet berättar att man fick in 121 åsikter kring förslaget.

Det senaste och viktigaste livstecknet som jag hittar är ett utkast till en sammanställning från Europaparlamentet på 59 sidor utgiven den femte maj med förslag till ändringar och tillägg. En snabb genomläsning gav inga revolutionerande intryck men ändå några intressanta, och i mitt tycke riktigt vettiga, förslag till ändringar:

  • Rapportering av säkerhetshändelser och hot som inte leder till en incident ska inte omfattas av rapporteringskravet. (Det hade blivit tufft att hantera den volymen...)

  • Man får 72 timmar (istället för 24) på sig att rapportera säkerhetshändelser. (Väldigt klokt!)

  • Man trycker på att det är lite för mycket fokus på krav och straff. Myndigheterna bör också ta en stöttande och uppmuntrande roll. (Wow!)

  • Man trycker på att det är viktigt att undvika överlappande tillsyn från flera myndigheter. (Av praktisk erfarenhet håller jag definitivt med!)

  • Root-servrarna i DNS undantas eftersom de sällan drivs av monetära syften. (Inte säker på att jag tycker detta är så smart...)

  • Man vill se lagligt stöd för mer samarbete mellan polis och förebyggande myndigheter. (Jaaaa!!!)

  • Det ursprungliga förslaget sa att ENISA skulle sätta upp en egen EU-motsvarighet till CVE-databasen för sårbarheter. Det tonas ner nu! (Otroligt vettigt!)

Den som väntar på något gott... Det kan komma mer nyheter vilken dag som helst nu och det kan förstås visa sig att det vi trott så här långt är helt fel. Än så länge har i alla fall inte jag sett något som tyder på att NIS2 är på väg att köra i diket eller drabbas av några större ändringar på rakan fram mot målet...


Vi håller tummarna! Vet du mer får du väldigt gärna höra av dig!

MITRE Engenuity levererar!

Vi har fått den första leveransen från MITRE Engenuity! MITRE är ju annars känt för ATT&CK-ramverken och har via Engenuity börjat samarbeta med leverantörer av säkerhetsprodukter för att utvärdera dem gentemot ramverken baserat på verkliga incidenter. Tanken är att ge potentiella kunder möjlighet att jämföra var de olika leverantörernas styrkor och svagheter ligger.

Det är definitivt ett intressant grepp. Ett antal leverantörer deltar i ett simulerat angrepp och hur väl deras produkter hanterar angreppet redovisas med hjälp av MITRE ATT&CK. Den här gången var testerna en kopia av TRITON-angreppen mot en Saudiskt petrokemisk anläggning 2017. (Det som var skrämmande med TRITON var att det siktade in sig på skydds-systemen, SIS, på anläggningen, vilket bara kan ha ett mål, nämligen att skada anläggningen och människorna där fysiskt.) Det är första gången man gör det här för OT-produkter med hjälp av MITRE ATT&CK for Industrial Control Systems. Fem deltagare fanns med; Claroty, Armis, Microsoft, Dragos och "the Institute for Information Industry". Den sistnämnda är en Taiwanesisk organisation som åtminstone jag aldrig hört talas om förut.

Om du är på väg att välja ett verktyg i den här vansinnigt viktiga kategorin är testresultaten definitivt en pusselbit i utvärderingen. Det är ju definitivt inte någon heltäckande test men det ger ändå hintar om hur respektive lösning beter sig.


På köpet kan man få lite mer insyn i nyttan med MITRE ATT&CK även om jag personligen kan tycka att man inte nådde ända fram när det gäller att underlätta jämförelser. Men där tycker man kanske olika? I vilket fall ska det bli spännande att se vad kommande tester resulterar i och om fler leverantörer hoppar på tåget!

Det kan inte hända - det har ju aldrig hänt förut!

Ett klassiskt mothugg som ofta dyker upp när man behöver resurser för säkerhetsarbete är argumentet "Är det verkligen vettigt? Det har ju aldrig hänt!". Samma sak när man är kreativ i en riskworkshop och kommer med händelser som lite utöver det vanliga...


Jag undrar om argumentet att det inte hänt förut börjar kännas lite tunnare nu? Vi har kommit halvvägs genom 2021 och har redan sett ett antal riktigt smaskiga händelser som aldrig hänt förut. En av de största svenska livsmedelskedjorna stod still. Amerikanska östkusten hade inte tillräckligt med olje-produkter. Viktiga system i Irländska sjukvården stod still i över en månad. Minst ett stort försäkringsbolag har slutat ersätta ransomware-utbetalningar. Inget av detta har hänt förut!


Som vanligt är problemet att man inte kan bedöma sannolikheten för saker som inte hänt förut. Budskapet att man för riktigt allvarliga händelser bara behöver bedöma om det KAN hända kan du ta del av i Richard Clarkes keynote från S4x17 där har sätter fingret på problemet med ett antal fantastiska poänger!

Tre godbitar från Industrial Internet Consortium

Vännerna på IIC verkade vilja jobba klart innan det blev semester. De producerade nämligen tre intressanta texter på kort tid...


Godbit nummer ett!

Det mest intressanta i mina ögon är ett white-paper med titeln "The Industrial Internet of Things Trustworthiness Framework Foundations". Det handlar alltså om "Trustworthiness", vilket i det här sammanhanget jag föredrar att översätta med "Pålitlighet". Det är en rejäl genomgång av begreppet som de definierar så här:

Riktigt intressant för oss OT-människor! De hänger upp resonemanget på just Safety, Security, Privacy, Reliability och Resilience. (Jag låter bli att översätta dessa begrepp eftersom det oundvikligen förändrar betydelsen av orden.) De tar oss genom ett långt men tydligt resonemang där de definierar värdefulla principer kring synsätt, värderingar, ledarskap, metoder och arbetssätt på vägen. Ibland blir det kanske lite väl akademiskt men det finns gott om guldklimpar att ta till vara för den egna organisationen!


Godbit nummer två!

Nästa godbit heter "Global Industry Standards for Industrial IoT" som dels gör en rejäl genomgång av hur standarder skapas och hur de bäst används för IIoT och OT. Men de ger oss också en lång lista över relevanta organisationer som sysslar med standarder på det här området där vi bland annat hittar välkända namn som DIN, IEC, IEEE, IETF, ISA, ISO och OPC Foundation. Vi får också en lista över intressanta samarbetsorganisationer där kända namn som NAMUR, IIC, PI4.0 och ZVEI blandas med för mig okända grupper.


...och nummer tre!

IIC annonserade också "IIC Patterns Initiative" som är en öppen databas med arkitektur-principer för IIoT och OT. Den innehåller bara ett fåtal än så länge men tanken är att vem som helst får dela med sig av sin bästa idé. Om det tar skruv kan det här bli riktigt intressant, inte minst på grund av att det är en öppen resurs!


Plus en bonus!

Dessutom kom en utgåva av "The Industrial Internet Consortium's Journal of Innovation" som fokuserade på Edge. De finns många åsikter om vart relationen mellan OT och "molnet" är på väg men oavsett vad man tycker så är det intressant!

27001 + 62443 = 89444?

En av mina ständiga käpphästar när jag är ute och föreläser om OT-säkerhet är att man inte ska välja fel standard till sitt ledningssystem. ISO 27001 är defacto-standarden för informationssäkerhet och ISA 62443 är motsvarigheten för OT-säkerhet. Försök INTE använda dem för något annat! Jag har sett tråkiga exempel på när välmenande människor, i synnerhet de som älskar 27001, försöker vränga till tolkningen av 27001 på ett sätt som ska passa OT-världen. Det blir inte bra!


Men! Det finns ingenting som hindrar att man kombinerar de båda. Tvärt om är det bra. Integrerade ledningssystem är ju ingenting nytt, många organisationer kombinerar utan problem standarder som ISO 9001, ISO 14001, ISO 45001 och ISO 20000. Att lägga till ISO 27001 och ISA 62443 bör inte vara något jätteproblem för de flesta. Och man behöver ju inte certifiera sin organisation bara för att man lutar sig mot standarder.

Men vad ska man tänka på då? Den frågan försöker ISA svara på nu med ett sprillans nytt översiktsdokument. Riktigt bra kan jag tycka även om det är lite tunt och inte går in på detaljer. Men de pekar på en radda intressanta saker och det är en bra början!


En utmaning som ISA inte tar upp är att vi inte är så många ännu som kan båda standarderna. Även om man inte behöver vara expert så vill det ju till att man har tillräcklig koll för att knyta ihop dem. I takt med att intresset för 62443 nu ökar kommer det nog lösa sig automatiskt...

Att röra sig mellan domäner...

Jag har nyligen haft möjlighet att sätta fingrarna på en ZoneGuard från svenska Advenica och tänkte passa på att skriva några rader om den för att dela med mig av mina intryck.


Jag skrev om en kusin till ZoneGuard i Nyhetsbrev #22, nätverksdioden DD1000i, som är en nätverksbrygga där man använder fysikens lagar för att säkerställa att information bara kan skickas åt ett håll. Dioder används exempelvis för att föra ut loggar från säkra nät utan att riskera att nätverkskopplingen används "åt andra hållet".