Sök

Nyhetsbrev OT-Säkerhet #34

Nu fick du vänta lite längre än vanligt sedan senaste nyhetsbrevet, jag ber om ursäkt för det. Jag har helt enkelt varit ute och njutit av att få träffa mina kunder i den fysiska verkligheten igen och av att prata på fysiska event! Fantastiskt roligt! Men den som väntar på något gott...

Den här gången får du Zero Trust i OT-världen, gränsdragningar mot IT, nya NIS-föreskrifter, dåliga bilförare i hemkokta psykologiteorier och en massa annat spännande!


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Är vi mogna nog att förstå hur omogna vi är?

Du kanske känner till "Dunning Kruger Effekten"? Det är en psykologisk effekt som (lite förvanskat) säger att en person som har mindre kunskap i något ämne gärna överskattar sin egen kunskap medan någon som kan mycket mer ofta underskattar sin egen kompetens. Det här är väldigt förrädiskt eftersom det är lätt att se hos andra personer men nästan omöjligt att genomskåda för sig själv! En klassiskt variant är att 95% av alla bilförare anser sig tillhöra den bättre halvan av alla i trafiken...


Det här är förstås extremt sant även inom säkerhetsarbete i alla former. På sistone har jag funderat kring en variant av effekten som jag med sedvanlig ödmjukhet kallar "Karlsson Landré Effekten". Den går ut på att precis samma resonemang också fungerar på organisationer och på säkerhetsmognad. Jag menar att man i omogna organisationer inte inser sin egen omognad, inte ser hoten mot organisationen och inte ens förstår behovet av ett strukturerat säkerhetsarbete. Det skapar förstås också en massa frustration för de personer i organisationen som faktiskt har en bra personlig kompetens och hög personlig säkerhetsmognad, eftersom de helt enkelt har svårt att få gehör för sina insikter.


Den omvända effekten kan i någon mån också vara ett problem, fast på ett annat sätt. En organisation med väldigt hög säkerhetsmognad kanske tenderar att bli lite väl paranoid och börjar sikta lite FÖR högt i sin risk-eliminering? Det krävs nog också människor med en lite annan syn på vad som är roligt när organisationen är väldigt mogen, det finns helt enkelt ingen plats för vilda säkerhets-comboys!

Jag inser att jag inte kan vänta mig något nobelpris i säkerhetspsykologi och det var förstås inte meningen att det här skulle vara någon revolutionerande tanke heller. Istället hoppas jag att detta kan vara en hjälp i att bli lite mer självkritisk och kanske hjälpa oss alla att våga leta efter våra egna "blindspots" och svaga punkter.


Hur bra bilförare är ni i din organisation? Egentligen...

Hur ska vi tänka kring Zero Trust i OT-världen?

"Zero trust" är ett koncept som jag personligen har stora förhoppningar för i IT-världen även om begreppet lider av att det har blivit ett riktigt floskel-ord som används väldigt slarvigt i många sammanhang. Om du inte har koll på vad det går ut på så kan man väldigt enkelt förklara det som ett sätt att bygga sin systemarkitektur baserat på att allting är behörighetsstyrt snarare än begränsat av nätverksbegränsningar. Det här är en gammal tanke som har fått nytt liv i och med att tekniken ger oss nya möjligheter. Jag minns att jag var på konferens i London i början av 2000-talet med något som hette Jericho Forum där liknande tankar drevs.

NIST släppte förra hösten dokumentet NIST SP 800-207 "Zero Trust Architecture" som har blivit tongivande i diskussionen kring Zero trust. Det ger ingen vägledning alls kring OT-världens utmaningar och hur Zero trust skulle passa där. Det försöker nu "Operational Technology Cyber Security Alliance" (OTCSA) råda bot på med ett whitepaper kallat "Review of Zero Trust - Inspiration for OT environments". Det är bara 6 sidor att läsa och ger dessutom en riktigt bra inflygning till både Zero trust och NIST-dokumentet.


Det är lätt att man fastnar i utmaningen att många OT-utrustningar idag har väldigt dåligt stöd för identiteter och behörigheter. OTCSA höjer blicken lite grann och resonerar istället kring beröringspunkterna mellan NIST-dokumentet och ISA/IEC 62443. De kommer kanske inte fram till något världsomvälvande men det är en väldigt bra sammanfattning av ett antal kluriga utmaningar och möjligheter.


Jag ska inte ge mig på att försöka sammanfatta en så bra dokument utan rekommenderar varmt att du läser det! Det är som sagt föredömligt kort och koncist!

Var slutar OT och var börjar IT?

I ett kunduppdrag insåg vi nyligen att synen på vad som var "OT" varierade oväntat mycket mellan olika delar av organisationen. Kunden hade sedan tidigare låtit alla delar av organisation göra en självskattning av sina förmågor inom OT-säkerhet. Det blir naturligtvis lite klurigt att skapa en samlad bild av hur det står till med OT-säkerheten när de olika bedömningarna handlar om olika saker...


Det är lätt gjort att man omedvetet sätter något slags likhetstecken mellan OT och PLCer. Det kanske stämmer i vissa verksamheter men för de flesta går "gränsen" mellan IT och OT någon annanstans. För någon är MES-systemet en del av OT och för en annan kan det till och med inkludera produktionsplanering.

Jag ska inte försöka mig på att ge dig ett facit på vad "OT" är. Jag tycker det kan få vara ok att det varierar mellan olika organisationer utifrån deras egna förutsättningar och behov. MEN! Det är viktigt att man i varje organisation är överens eller i alla fall tydlig med vad man menar med "OT"! Några av de varianter som jag stött på och som alla gått att få fungera hyfsat för de organisationer som valt dem är:

  • Layer 1, 2 och 3 enligt ISA 99 är OT - det här borde teoretiskt sett vara den bästa definitionen men det visar sig ofta att man inte alltid är överens om var saker hör hemma eller att vissa system spänner över flera olika lager. Man lurar sig lätt genom att sätta likhetstecken mellan lagermodellen och segmenteringens nätverkszoner.

  • Det som ägs av IT-avdelningen är IT - resten är OT - kan tyckas lite som en bakvänd eller till och med fånig definition men om man är strukturerad i sina processer för IT Services Management kan det fungera.

  • De här nätverken är OT - allt annat är IT - inte en av mina egna favoriter men kan funka om man är tydlig med ansvarsfördelningen man samtidigt duktig på att samarbeta för att utnyttja den kompetens som finns.

  • Domänen prod är OT och acme är IT - om man har valt att ha två domäner kan det vara ett sätt att tänka.

  • Vi gör ingen skillnad - alla system hanteras på sina egna villkor - låter bra på pappret men kräver en extrem mognad för att fungera i praktiken...

  • Det handlar om var i verksamheten systemet används - låter också bra tills ett system används på flera ställen.

I slutänden spelar det mindre roll vilken metod man väljer så länge den är tydligt, har få undantag och att alla är överens om vad som gäller i praktiken! Som vanligt är det klokt att vara väldigt tydlig med vad man menar och inte bara anta att den man pratar med har samma syn på begreppen...


Exploits - Hur mår OT?

Vännerna på Dragos har givit ut en intressant analys av sårbarheter och exploits i OT-prylar baserat på över tio års information. Det är en snygg och lättillgänglig analys som jag rekommenderar att du tittar närmare på! Det finns mycket godis i deras tabeller och grafer som hjälper oss förstå hur vår bransch utvecklats. Samtidigt finns ett antal oklarheter och än så länge oförklarade trender.


De noterar i förbigående att av alla organisationer som köper sårbarheter så verkar det bara vara Zero Day Initiative (ZDI) som verkligen satsar på att ta hand om sårbarheter i OT-världen. (ZDI har jag skrivit om tidigare (Nyhetsbrev #31 och #23 eftersom deras koppling till TxOne är så spännande.) De står ensamma för hälften av alla CVE-registreringar med OT-koppling!


Hur översätter man förresten "Exploit" till svenska på ett bra sätt? "Attackmetod" är ju kanske närmast men tappar lite i tydlighet...

Vill du hjälpa till med svenskan?

Initiativet "The Top 20 Secure PLC Coding Practices Project" som jag skrev om i Nyhetsbrev #29 har fått mycket uppmärksamhet vilket är välförtjänt!


Men bara för att man nu givit ut sin första version kommer de inte att ligga på latsidan, nu kommer bland annat en rad översättningar skapas. Jag har själv räckt upp handen för att se till att det blir en version på svenska. Om du vill hjälpa till är det bara att höra av dig! mats@ot-sakerhet.se Jag är verkligen ingen PLC-programmerare så det skulle vara bra att få hjälp av någon som är duktig på det! Tar gärna ytterligare en eller två översättare och framför allt ett gäng som vill tycka till om innehållet och språket i vårt utkast när det är klart!

NIS-föreskrifter från Transportstyrelsen

Den 6:e september släppte Transportstyrelsen sina nya NIS-föreskrifter på remiss. Du har till den 4:e oktober på dig att tycka till. Det är föreskrifter kopplade till det nuvarande NIS-direktivet och inte det kommande NIS2. (Men det matchar å andra sidan förslaget till NIS2 ganska bra redan nu.)


Man har fokuserat på att sätta ett slags hygiennivå som uttryckligen ska ses som en grund att bygga vidare på. De flesta kraven går ut på att ta fram styrande dokument och att tillämpa dem. Innehållet innehåller inga överraskningar alls. Det liknar de flesta krav-standarder med områden som "Inventera vad du har", "omvärldsbevaka hot och sårbarheter", "gör åtgärdsplaner från dina riskanalyser", "följ upp alla säkerhetsåtgärder", "driftsätt inte osäkra system", "ändringshantering är viktigt", "testa din säkerhet", "utbilda kring säkerhet", "härda dina system", "segmentera", "kryptera", "ge alla en unik identitet som autentiseras", "administratörer ska jobba säkert", "skydda utrustning fysiskt", "upptäck intrång" och "hantera kriser och återställning". Alla områden beskrivs i några enstaka meningar på väldigt hög nivå, så det är upp till varje organisation att bedöma vad som är "lagom".


Enligt konsekvensutredningen bygger föreskrifterna på NIS Cooperation Groups referensdokument CG Publikation 01/2018 istället för att ta fram helt egna. Förmodligen ett klokt val även om innehållet i princip ser ut att vara en extremt förkortad version av ISO 27002. De föreslår att reglerna ska gälla från 1:a Januari 2022.

Något nytt om NIS2?

Jag och många med mig väntar otåligt på att NIS2 ska spikas men det verkar tyvärr vara längre bort än vad det verkat tidigare.


Jag skrev senast en uppdatering i Nyhetsbrev #32, men sedan dess har det varit väldigt lite nyheter som läckt ut. Slovenien tog över presidentskapet för EU-rådet i somras och pekade bland annat på att NIS2 var prioriterat.


Den som väntar på något gott...

Tips om event och mer läsning!

Du kommer väl till årets upplaga av IT-arenan i Örebro?


Jag kör dragningen "Stå stadigt med säker OT" men du kan också komma förbi i säkerhetsmontern och snacka OT hela dagen!

Spännande rapport från Trend Micro som bygger på en hotmodellering av kraven från FNs arbetsgrupp WP.29 för cybersäkerhet i fordonsbranschen. Kanske inte den vanligaste typen av OT men väldigt intressant!

Hög kvalitet from vanligt från Phoenix Contact när de går igenom nyheterna som är på väg i det nya maskindirektivet.


<