Sök

Nyhetsbrev OT-Säkerhet #33

Den här gången kommer vi halvvägs till NIS2, vi lyssnar på Gartner som säger att några av oss kommer att dö senast 2025, jag tittar närmare på ISO 27019, vi har drömmar om säker PLC-programmering på svenska och vi bedömer en vanlig slagsida i säkerhetsarbetet.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Gartner säger att vi kommer att dö!

Gartner släppte nyligen en rapport som förutspår att senast 2025 kommer angripare framgångsrikt ha dödat eller skadat människor genom att angripa OT-system. De bedömer att redan 2023 kommer den ekonomiska konsekvensen av dödliga angrepp vara över 50 MUSD.


Det mest kända fallet än så länge är angreppet mot en petrokemisk anläggning i Saudiarabien 2017 (TRITON/TRISIS) som dock misslyckades på grund av vad som verkar vara buggar i den skadliga koden. Det var ett angrepp mot skyddssystemen vid anläggningen som ju är där för att förhindra att riktigt allvarliga situationer uppstår. Hur dessa så kallade SIS-system ska separeras från ordinarie processtyrning är en populär diskussionspunkt inom OT-säkerhetsvärlden.


Gartners förslag till åtgärder är i princip hederligt gammalt säkerhetsarbete där förutom tydliga ansvarsområden, utbildning, incidentberedskap mm tas upp de även pekar på saker som är speciellt viktiga och svåra inom OT-säkerhet: logganalys, hantering av bärbara lagringsmedia, asset-hantering, nätverkssegmentering och fokus på säkerhet vid konfiguration.

OT-säkerhet i ISO 27000?

Något som man kan ha många åsikter om är hur man bäst använder standarderna inom ISO 27000 för OT-säkerhet. Vad som är rätt beror på vilka delar av 27000 man tänker på men också vad man menar med OT-säkerhet...


Det här är sjätte delen i min serie om standarder och ramverk. Första avsnittet handlade om ISA/IEC 62443 och finns i nyhetsbrev #26. I nyhetsbrev #27 och #30 tittar jag på NAMUR NOA. I nyhetsbrev #28 tittade jag på NIST CSF, NIST 800-53 och NIST 800-82 men du fick också lite mer om NOA som en bonus. I nyhetsbrev #29 tittade jag på den nya versionen av CIS Controls och funderade på hur den passar för OT. Har du önskemål om vad jag ska ta upp framöver så får du väldigt gärna höra av dig!


Det är vanligt att man bygger sitt informationssäkerhetsarbete kring ISO 27001, det har verkligen blivit den absolut populäraste standarden. När man sedan tänker sig att "styra upp" sin OT-säkerhet så ligger det förstås nära till hands att bara bygga på det man redan har. Och det är där som det kan bli lite utmanande vilket jag var inne på i förra nyhetsbrevet men som jag också konstaterade där så finns det inga hinder att kombinera ISO 27001 med ISA 62443.

Det är ju för övrigt här som mina andra fråga blir så tydlig: "Vad menar vi med OT-säkerhet?". Bilden visar en vanlig modell för att beskriva informationssäkerhet, IT-säkerhet och relationen mellan dem. När vi sedan ska försöka göra motsvarande bild för OT-säkerhet blir gärna den första reaktionen att ersätta rutan "IT-Säkerhet" med "OT-Säkerhet".

Det finns två viktiga problem med det sättet att tänka. Dels att det rimmar illa med att det överordnade syftet för informationssäkerhet är att skydda information. Men också att viktiga delar av OT-säkerhetsarbetet går ut på att analysera verksamhetsrisker och adressera dem, vilket är något som typiskt brukar landa inom "Informationssäkerhet". I praktiken betyder det att OT-Säkerhet måste finnas på två platser i bilden och dessutom blir en delmängd av sig själv. Som gjort för missförstånd alltså! Jag ser ingen enkel lösning på detta utom att vara väldigt tydlig med vad man menar.


Men om vi återvänder till 27000-serien så finns det ju andra delar av standarden som man kan titta på också. Idag tänkte jag att vi tittar på ISO 27019 som har titeln "Informations-säkerhetsåtgärder för energiförsörjningssektorn" för att se om den kan hjälpa oss. Jag har inte själv använt 27019 i något verkligt fall så jag är väldigt nyfiken på att höra från er som praktisk erfarenhet!


27019 bygger vidare på 27000, 27001 och 27002 men ger dem ytterligare substans för att fungera inom elsektorn med ett stort fokus på OT-system och safety-utmaningar. I praktiken gör man det genom att ge ytterligare vägledning för krav från 27002 i ljuset av elsektorns utmaningar och genom att lägga till ytterligare krav utöver de som finns i 27002.

Personligen tycker jag att 27019 fyller på med en del bra saker. Min uppfattning om den är att den är bra men väldigt allmänt hållen. (Precis som 27002...) Men den är nog en riktigt bra ögonöppnare för den som inte är van vid området och som kanske behöver förstå att allt inte är riktigt som man är van vid från IT/Info-säk. Riktigt centrala delar som nätverkssegmentering och är alldeles för kortfattade för att man ska få någon handgriplig hjälp framåt. Och det är förstås där som det passar väldigt bra att kombinera med ISA 62443. Lite tråkigt att 62443 är gömd sist i 27019, i en lista över internationella standarder och helt utan specifik hänvisning.


Att utgå från 27001, 27002 och 27019 kommer nog funka alldeles utmärkt i lite enklare miljöer om man får med sig tillräcklig kompetens från start som förstår de specifika utmaningarna kring OT. Annars tror jag man ska utgå från 27000-serien men tidigt fylla på med det viktigaste från 62443, vilket för de flesta förmodligen är tänket kring zone&conduit samt hur man gör en riskanalys att basera segmenteringen på. 27019 ger definitivt ett bra "klister" mellan 27000-världen och 62443-världen!

Säker PLC-programmering på svenska?

Initiativet "The Top 20 Secure PLC Coding Practices Project" som jag skrev om i Nyhetsbrev #29 har fått mycket uppmärksamhet vilket är välförtjänt!


Men bara för att man nu givit ut sin första version kommer de inte att ligga på latsidan, nu kommer bland annat en rad översättningar skapas. Jag har själv räckt upp handen för att se till att det blir en version på svenska. Om du vill hjälpa till är det bara att höra av dig! mats@ot-sakerhet.se Det ska bli spännande att se vart det här projektet tar vägen!

NIS 1.5?

MSB har en remiss ute just nu för en uppdatering av deras föreskrifter kring NIS-direktivet. Det är alltså inte NIS2 utan bara det enkla faktum att MSBs vägledning kring ämnet ska uppdateras vartannat år. Det är inga större överraskningar i mina ögon. Man kan ana lite gemensam inspiration från NIS2-förslaget här och där. Exempelvis tydliggör man nu att biogas räknas på samma sätt som naturgas när man ska bedöma om man berörs av kraven. Vill du svara på remissen har du till den 17:e september på dig.

Fördomar mot försvaret!

Dragos har på ett föredömligt sätt givit mig vatten på min kvarn när det gäller slagsidan i att de flesta organisationer prioriterar sina förebyggande säkerhetsåtgärder mycket högre än de analyserande åtgärderna. Det här är något som jag brukar predika för mina kunder och i mina föredrag. Vi satsar mycket hellre på brandväggar, patchning och segmentering istället loggning, analys och åtgärder. Naturligtvis måste båda varianterna finnas i något slags balans men jag tror vi någonstans drar oss för att sätta in åtgärder som kräver något av oss löpande. (Vilket förstås är en rimlig tanke, inte minst ekonomiskt.)

Vännerna på Dragos har gett ut en rapport där de pekar på det här systematiska problemet finns redan i våra standarder och best-practices. Jag påstår inte att det måste vara exakt lika många åtgärder av varje sort men som bilden är nu är det ju en våldsam slagsida! Jag inser förstås att Dragos slår på sin egen trumma när de skriver så här, det är ju just aktiv analys som de är så duktiga på men det hindrar ju inte att de har rätt i sina insikter!


Det paradoxala är ju dessutom att OT-miljöer tenderar att vara svåra att använda förbyggande åtgärder i när man kommer bortom grundläggande nätverkssegmentering. Däremot är det här nästan alltid relativt statiska miljöer där övervakande och analyserande åtgärder passar väldigt bra och blir extremt effektiva.


Tro nu inte att jag tycker att förebyggande och förhindrande åtgärder är dåligt! Nej, vi måste ha dem också. Men eftersom de aldrig kommer kunna bli 100%-iga så behöver vi ju förstås balansera dem med något som kan upptäcka när den där attacken som är en på tusen slinker förbi! Det här resonemanget passar ju dessutom bra ihop med den insikt som många börjar få nu kring behovet av krishantering, återställningsplanering och kontinuitetsplaner. Återställning blir ju faktiskt mycket enklare om man fångar incidenten tidigt!


De tre rekommendationer som Dragos ger ställer jag upp på helt och hållet:

  • Se säkerhetsarbete som något du hela tiden förbättrar. Det kommer aldrig bli klart eller perfekt så om man arbetar utifrån det tänket blir man inte besviken och man blir dessutom förstås mycket mer drivande! Om det gamla slitna talesättet "Resan är målet" någon gång passar bra så är det väl för oss säkerhetsmänniskor... Jag brukar ha en bild av ett löpband i mina presentationer för att illustrera att vi hela tiden måste arbeta framåt även om det känns som att vi står stilla, för att om vi slår av på takten så börjar vi åka bakåt...

  • Öka synligheten in i dina OT-miljöer. Det gäller förstås dels för att kunna veta vad som händer där men kanske framför allt för att överhuvudtaget veta VAD som finns där! Vet du vad du har och hur det fungerar när allt är normalt blir det väldigt mycket enklare att förstå när det inte är det. Min personliga reflektion kring detta är att det vill till att man har en förmåga att reagera och ta hand om de saker som man upptäcker med hjälp av sin insyn. Annars får man enbart stresspåslag och ingen verklig nytta. Lite som att ta backuper men inte kunna återläsa dem... Jag brukar också peka på ett annat skäl att jobba med insyn innan man jobbar med segmentering nämligen att segmentering helt enkelt blir mycket smidigare om man redan har koll på sin nätverkstrafik!

  • Det sägs ofta att vi behöver öva på incidenthantering vilket nästan lika ofta får mothugg i stil med "vi kan ju inte öva i produktionen". Jag håller verkligen med Dragos om att det räcker extremt långt med enkla diskussionsövningar runt ett bord. Att öva på att ta beslut och samtidigt fundera över vad vi behöver veta under en skarp incident är väldigt lärorikt!

Tips om event och mer läsning!

Dags att damma av ett dokument från 2012! I dessa dagar när vi allt oftare hör diskussioner om attribuering av attacker och de svårigheter som kan finnas i sådana resonemang kan vi vända oss till Jason Healey och Atlantic Council för klokskap! Det kanske helt enkelt spelar mindre roll vem som tryckte på knappen som fick Coop att stanna och istället är det viktigare vems fel det är! Läs dokumentet, det finns klockrena liknelser med stenkastning efter bombade ambassader eller med somaliska pirater!

Johan Bengtsson och Lovisa Mickelsson på FOI har gett ut en studie kring smarta städer där de bland annat tittar på möjligheter och risker på området. Inte riktigt OT utan snarare syskonområdet IoT, men ändå en del intressanta resonemang!

Biljetterna till S4x22 är släppta! För den som inte vet det är S4 generellt sedd som den främsta och definitivt mest framåtriktade konferensen inom OT-säkerhet i världen. Den går av stapeln i Miami i Januari.

Om du inte vill eller kan åka till Miami är Köpenhamn ett riktigt bra alternativ. "Industrial Security Conference Copenhagen" är tre dagar i November där den första dagen hålls på danska och de andra två på engelska. Många intressanta ämnen på agendan!