Sök

Nyhetsbrev OT-Säkerhet #36

Den här gången blir det spännande nyheter kring mig personligen och hur det kommer påverka nyhetsbrevet framöver. Du får också lite nyheter kring NIS2, jag funderar över tv-serien Hackad, läser om NISTs nya syn på tålighet, söker efter reskamrater och diskuterar konvergens mellan IT & OT!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket också är anledningen till mina texter. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Nu får vi NIS2! Eller? Kanske...

Den 28:e oktober klubbade Europaparlamentets utskott ITRE igenom ett kompromissförslag för ett nytt och utökat NIS-direktiv med klar majoritet, 70 mot 3. I nästa steg ska detta, som jag tolkar det, vidare via Europeiska Rådet och sedan brukar länderna få 18 månader på sig att implementera. Det är ännu oklart när vi kan förvänta oss ett slutgiltigt beslut men det här steget har bedömts vara det viktigaste steget att passera på vägen mot ett slutgiltigt direktiv.


Så långt låter det ju hoppfullt. MEN! När jag pratar med personer som har mer insyn "bakom kulisserna" så är tyvärr förhoppningarna om ett snabbt och slutgiltigt beslut betydligt svagare. En realistisk gissning verkar snarare vara mot slutet av våren 2022. Vi får se hur det går...


Jämfört med det nuvarande NIS-direktivet har NIS2 en lång rad utökningar både i krav men kanske framför allt i vilka branscher som omfattas. Jag har skrivit om detta tidigare, senast i nyhetsbrev #32.

Efter en snabb genomläsning av kompromissdokumentet såg jag ingenting som innebär någon enorm skillnad mot de ändringsförslag som jag diskuterat här tidigare. Det som var intressant var bland annat:

  • Organisationer som sysslar med laddning av elfordon är inkluderade.

  • Nationella CSIRT-organisationer ska utveckla en rad operativa tekniska förmågor som realtidsövervakning och filtrering av nätverk.

  • Man har av någon anledning lagt till extremt mycket tydlighet på att OT ska vara inkluderat i samband med hantering av supplychain-risker. Bra, men varför bara just där?

  • Man tydliggör att bearbetning av personlig information som krävs för att uppfylla kraven enligt NIS2 är att betrakta som ett lagkrav.

  • Man har tagit bort kravet att rapportera förändringar i hotnivån till myndigheterna utan fokuserar istället enbart på faktiska incidenter. Rapporteringen ska nu ske inom 24 timmar.

  • Tydliggör att tillsynsmyndigheterna har rätt att utföra eller beställa säkerhetsgranskningar som bekostas av den granskade organisationen!

  • Sanktionsmöjligheterna är fortsatt begränsade till det högsta av 10 MEUR eller 2% av global omsättning. För "Essential Services" kan man dessutom tillfälligt "plocka bort" enskilda personer i organisationens ledning, exempelvis VD, om de inte driver säkerhetsarbetet på ett sätt som myndigheten gillar.

  • Man trycker på att EUs cybersäkerhetsorganisation ENISA får nya uppgifter vilket kommer förutsätta att de får mer resurser.

Man kan förstås ha en massa åsikter om den här typen av kravställningar från samhället, både i allmänhet och om de här specifika kraven. Personligen så är jag (numera) oerhört positiv, även om jag förstås egentligen tycker det är synd att det ska behövas. Efter att ha sett den stora påverkan det nuvarande NIS-direktivet faktiskt har börjat få på många aningslösa verksamheter känns det som ett vettigt sätt att flytta fram skamgränsen för vad som är värt att kallas säkerhetsarbete. I Sverige har vi möjligen inte sett så stora skillnader ännu jämfört med flera andra länder, där det är mycket större skillnad mot tidigare. Störst skillnad i aktivitet bland svenska organisationer har jag personligen tyckt mig se från landets vattenverk, så en rejäl tumme upp för det går väl till Livsmedelsverket då antar jag?

 

Lugn! Nyhetsbrevet kommer finnas kvar!

Nu kan jag officiellt berätta att jag kommer byta arbetsgivare i Januari. Men var lugn, tanken är att bytet inte ska påverka nyhetsbrevet överhuvudtaget! Vill ni nå mig så gäller mats@ot-sakerhet.se från och med nu.


Precis på samma sätt som tidigare kommer jag driva nyhetsbrevet helt privat och även i fortsättningen med min arbetsgivares goda minne. Jag vill påminna om att jag verkligen försöker undvika att "smygsälja" här, det är inte avsikten med det här initiativet även om jag inser att hanterar en svår balans emellanåt - speciellt när jag skriver om produkter.


Vart jag tar vägen och vad jag kommer göra där får du läsa om i nästa nyhetsbrev. För gamla och nya kunder kommer jag fortsätta vara tillgänglig som säkerhetsrådgivare och konsult. Det kommer bli roligt och spännande!

 

Vad kan "Hackad" lära folk om OT-säkerhet?

Precis som alla andra i säkerhets-branschen har jag fått en hel del frågor kring SVTs serie "Hackad" från både säkerhetsfolk och "vanliga" :-) människor. Först och främst måste jag sälla mig till hyllningskören. Det är en riktigt bra serie som lyckats få folk (och organisationer) som inte brytt sig tidigare att börja fundera över sin säkerhet. Har du inte sett serien så gör det! Visst är handlingen väldigt forcerad tidsmässigt och visst är det lite skruvat för att bli "bra TV" men jag tycker det blev mycket bättre än jag befarade. Riktigt starkt av de frivilliga offren att ställa upp som de gjorde, guldstjärna till dem allihop! Och våra superhjältar hackarna ska förstås ha massor av beröm också, snyggt jobbat och dessutom kul tack vare en underhållande klippning. Jag kan verkligen rekommendera avsnitt 212 och 213 av podden "Säkerhetspodcasten" som kör "behind the scenes" från inspelningen.

Nu var det ju tyvärr ingen koppling till OT-säkerhet med i något av avsnitten. Det närmaste vi kom var väl "det högautomatiserade hemmet" och visst var det något "PLC-liknande" hos bostadsbolaget? Men med lite tur får vi en säsong till och då kanske det kan bli lite OT också? Det skulle ju vara roligt! :-)


Jag har inte helt klart för mig vad som skulle passa i ett OT-avsnitt, men ett vattenverk skulle ju kunna vara TV-mässigt? Eller kanske en fabrik för toalettpapper? Två saker som engagerar folk om det tar slut... Frågan är om det finns någon säkerhetsansvarig på en sådan anläggning som är modig nog att bli hackad i TV?


Vill man dra lite slutsatser för OT från första säsongen så är det väl framför allt en radda klassiska sanningar som gäller inom både IT-säkerhet och OT-säkerhet:

  • När en angripare får fysisk åtkomst till dina system eller ditt nät är det oftast game-over. Det gäller ju definitivt för de flesta OT-system.

  • Lösenord och hashar tenderar att kunna bli liggande lite här och där i systemen av olika skäl. Mycket användbart för den som råkar hitta dem.

  • Medvetenhet och kunskap hos alla i organisationen är helt avgörande för att dina säkerhetsåtgärder kommer tillföra någonting i praktiken. En säkerhetsmedveten person i receptionen kan rädda dagen även om det finns brister i den tekniska säkerheten!

  • Som angripare behöver man inte ha så mycket tid på sig om man inte bryr sig om att bli upptäckt. Har man å andra sidan mer tid kommer man nästan alltid lyckas.

Hör gärna av dig om du har fler tankar kring detta! mats@ot-sakerhet.se

 

Hur många svenskar blir vi på S4x22?

I januari återkommer det som väl måste anses vara den mest kända OT-säkerhetskonferensen i världen. S4x22 går av stapeln 25:e - 27:e Januari med en utbildningsdag den 24:e. Det skulle ju vara väldigt roligt om vi var en grupp svenskar som gjorde Miami South Beach osäkert tillsammans!


Utbildningsdagarna från tidigare år finns numera att ta del av på Youtube, OnRamp respektive Highway. Kan verkligen rekommendera dem! Den här gången blir det "Autobahn", så nu lär det väl bli åka av!


Hör gärna av dig om du har planer på att ta dig dit! mats@ot-sakerhet.se

 

Fnys inte åt konvergensen!

Något som ofta dyker upp är "IT-OT Convergence", alltså tendensen att IT och OT närmar sig varandra. Det här gäller inte bara tekniken utan är nästan ännu mer tydligt i hur ansvar utdelas och hur organisationsstrukturer ändras. Jag träffar allt fler IT-chefer som fått OT och därmed OT-säkerhet i knät. På samma sätt lyfts OT upp många organisationer och får den uppmärksamhet som det förtjänar med tanke på hur avgörande det är för verksamheten.


Ibland används begreppet "Industri 4.0" lite felaktigt för det här men oavsett vad vi kallar det så är det precis samma digitaliseringsresa som vi ser i samhället i övrigt - det finns en massa information "dolt" i OT-systemen som skapar en enorm nytta om vi har tillgång till den utanför OT-systemen.


I en ny artikel från Security Magazine läste jag en radda ovanligt bra tankar kring det här. (Det kan vara så att jag gillar dem eftersom de liknar det jag brukar ta upp när jag är ute och predikar kring OT-säkerhet.) Saker som att:

  • IT och OT har väldigt olika prioriteringar så vi behöver kunna kommunicera dem för att kunna hitta kompromisser som blir bra för båda världarna.

  • Vi behöver förstå att vare sig IT eller OT är "bättre" och vi ska inte sikta på att stoppa in tänket från den ena i den andras värld.

  • Initiativ kring OT-säkerhet behöver ta samma helhetsgrepp som IT är vana att göra. Vi kan inte fortsätta skydda oss system för system.

  • Vårt systematiska riskarbete behöver omfatta båda världarna tillsammans om vi ska lyckas utan att skapa enorma kostnader och dolda risker.

 

ISO 27001 + ISA 62443 = SANT!

Den 19:e oktober gick ISAs "Cybersecurity Standards Implementation Virtual Conference" av stapeln. Namnet är ganska självförklarande och det fanns en hel del intressanta presentationer att ta del av. En av favoriterna var Pierre Kobes som presenterade "Applying ISO/IEC 27001/2 and the ISA/IEC 62443 series for Operational Technology Environments". Det här är en av mina käpphästar för alla typer av OT-verksamheter: "Försök inte göra våld på ditt ledningssystem för informationssäkerhet, ofta baserat på ISO 27000, för att få det att fungera för dina OT-funktioner. Kombinera det du har med valda delar av ISA 62443 istället så blir det mycket bättre". Pierres presentation är kopplad till ett white-paper som ISA gav ut nyligen, som är läsvärt!


Pierre går igenom materialet på ett pedagogiskt sätt och pekar speciellt på de delar där det kan upplevas som att 27000 och 62443 säger emot varandra. Jag tror att det går bra att registrera sig i efterhand till konferensen för att få tillgång till presentationerna. Det är värt det om det så bara är för Pierres presentation.


Jag ser tyvärr att många av mina kunder tidigare har gjort mer eller mindre ambitiösa egna försök att få sina ledningssystem och regelverk baserade på 27000 att fungera även för sina OT-system (utan att använda 62443). Än så länge har jag inte träffat på en enda som faktiskt lyckats... Jag tror att en kombination av de två standarderna är nödvändig för att komma i mål på ett bra sätt.

 

NIST är tåligt!

Jag har tidigare skrivit om dokument från NIST, framför allt i Nyhetsbrev #28 där jag gick igenom "NIST Cybersecurity Framework", "NIST Special Publication 800-53" och "NIST SP 800-82". I förra nyhetsbrevet var det dags för NIST SP 1800-10. Den här gången pekar jag på ett utkast till en revision av SP 800-160 Vol. 2, "Developing Cyber-Resilient Systems: A Systems Security Engineering Approach".


Det handlar alltså om tålighet, om hur vi bygger system och verksamheter som tål störningar och angrepp. Fokuset är på att hantera angrepp och de listar fyra övergripande mål:

  • Att FÖRUTSE vad som kan hända och göra omfallsplanering utifrån det.

  • Att MOTSTÅ störningarna som ett angrepp skapar så att verksamheten kan fortsätta.

  • Att ÅTERSTÄLLA verksamheten och dess funktioner efter ett angrepp. Stort fokus på att förstå vilket förtroende man kan ha för den återställda funktionen.

  • Att ANPASSA sina förmågor över tid så att förändringar i omvärld och förutsättningar hanteras på ett bra sätt.

Det är ett omfattande dokument som är skrivet på ett ganska akademiskt sätt vilket kan kännas lite tungt. Men det är värt att läsas. Inte minst för att det känns komplett och därför också tar upp möjligheter som man kanske normalt inte tänker på. Här är exempelvis de 14 tekniker man tar upp som användbara:

En del klassiska som segmentering, behörighetsstyrning och redundans men också spännande områden som att agera oförutsägbart, att ha falska system eller med flit blanda olika typer av tekniker.


Det här dokumentet är inte specifikt för OT men man diskuterar vad som typiskt är viktigt för OT och det är inte på något vis ett "IT-dokument". Även om man inte tar till sig alla delar av metodiken tycker jag att valda delar vara riktigt bra som inspiration när man gör riskanalyser, systemdesign eller utformar sina verksamhetsprocesser. Rekommenderas!

 

Tips om event och mer läsning!

MSBs finfina dokument "Den robusta sjukhusbyggnaden" som gavs ut i Augusti innehåller massor av godis som inte bara är intressant för sjukvården. Har du verksamhet som är beroende av en robust driftsäkerhet kan du få massor av inspiration och information kring elförsörjning, skydd mot farliga ämnen, brandskydd, värmeförsörjning, ventilation och fysiskt skydd.


Det är ett stadigt dokument på 450 sidor som verkligen ger handgripliga råd. Det har redan börjat dyka upp intressanta kunduppdrag som utgår från klokskaper i dokumentet vilket ger en väldigt bra utgångspunkt i kravställningsarbetet.


 

Per Erik Strandberg har i sin doktorsavhandling på Mälardalens Högskola fokuserat på testning av mjukvaran i nätverksanslutna inbyggda system.


Jag ska inte försöka ge mig på att göra någon egen sammanfattning här utan rekommenderar en genomläsning om du är det minsta intresserad av utveckling, testning och testverktyg med koppling till industriella system och nätverk.


I samarbete med välkända svenska företaget Westermo (som tillverkar nätverksutrustning) har han tittat på utmaningar och möjligheter till förbättringar i det här spännande området.


 

Vännerna på TDI Technologies har gjort en enkel men vettig mognadsmodell för det viktiga och kluriga området fjärranslutning. Om inte annat så är det ett bra material att diskutera kring eftersom det hjälper till att sätta olika angreppssätt i relation till varandra. Deras produkt ConsoleWorks är inte så dum den heller...

 

En kort liten text från ISA om skillnaderna mellan Arkitektur och Design som pekar på varför det är viktigt att inte förväxla dem! ...särskilt inte inom OT!

 

Nozomi har ett helt gäng artiklar kring hur deras sårbarhetsforskare tar isär både hårdvaror, applikationer och nätverksprotokoll med koppling till OT. Ett par exempel är "Extract Firmware from OT Devices for Vulnerability Research" och "The Clever Use of Postdissectors to Analyze Layer 2 Protocols" . Rekommenderas!

 

Clarotys forskargrupp "Team82" raddar verkligen upp brutala sårbarhetsrapporter nu. Den här gången är det en genomgång av Busybox. Busybox är en samling Linux-baserade funktioner som ofta används i system med begränsade resurser, vilket inte är helt ovanligt kring OT och IoT. 40% av de cirka 10000 firmware-filer som granskades innehöll sårbara Busybox-funktioner!

 

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.