Sök

Nyhetsbrev OT-Säkerhet #39

Jag skriver om mina insikter från ett rundabordssamtal, hotet från solstormar, OSINT (Open Source Intelligence) kring OT, "Pro"-versionen av TxOnes fina scanner-sticka, skillnaden mellan IT/OT/ICS, FMVs nya industrisäkerhetsskyddsmanual, scanning av OT-system, en titt på 2021 i några olika backspeglar och en massa annat spännande!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Vad är egentligen skillnaden?

På sistone har jag råkat snubbla över en hel radda dokument och blogginlägg där man ger sig på att förklara skillnaden mellan IT och OT med fokus på hur säkerhetsarbetet skiljer sig mellan de båda. Exempelvis läste jag texter från Cisco, Cyolo, Industrial Ethernet Book och ABB (som jag tror jag gillade bäst). Förmodligen är det ganska naturligt att det kommer allt fler texter kring det här i takt med att intresset kring OT-säkerhet verkligen har exploderat.


De flesta förklaringar fokuserar fortfarande på tekniken som används och skillnaderna som kommer därifrån. I takt med att de tekniska skillnaderna mellan IT och OT allt mer suddas ut tycker jag det blir allt tydligare att vi inte kan resonera så längre. Det kan också vara intressant att ta del av Dean Parsons tankar kring den här frågan:


Ska man backa tillbaka till vad vi egentligen försöker göra så är nog min personliga favoritdefinition att det istället styrs av vad som dyker upp i vår riskanalys. Hittar vi risker som har fysiska konsekvenser så är det OT-säkerhet vi sysslar med och är det konsekvenser kopplade till information så är det istället IT-säkerhet. MEN! Här finns numera en allt större stor gråzon där vi har båda typerna av risker samtidigt! Det betyder också att det blir allt vanligare att vi måste hantera situationer där vi samtidigt måste skydda en fysisk process tillsammans med informationen som hanteras i den. Det leder i sin tur gärna till att vi får OT-världens klassiska begränsningar (gammal utrustning, långt mellan serviceavbrotten och "insecure by design") men att vi samtidigt drar på oss säkerhetsåtgärderna från IT-världen (kryptering, stark identitetshantering och snabba uppdateringar), vilket förstås är extra utmanande.

En besläktad aspekt är kompetensen hos oss som jobbar med dessa frågor. Joseph Jaubert skrev ett inlägg på LinkedIn nyligen som jag gillade och kände igen mig själv i. En viktig poäng han har är att kompetensutvecklingen måste spegla att IT och OT närmar sig varandra! Det är väl värt att läsa alla kommentarer som hans inlägg fick också!


En sida av att IT och OT växer ihop är att våra ledningssystem för Informationssäkerhet numera också måste synka bra med hur vi styr upp OT-säkerheten. Här får jag (som vanligt) slå ett slag för att våra favoritstandarder ISO 27001 och ISA/IEC 62443 faktiskt passar riktigt bra ihop. En fråga där olika organisationer har valt väldigt olika vägar är hur man klassar sina säkerhetsbehov, vissa gör det enbart baserat på informationens skyddsvärde medan andra lägger till riskanalyser liknande dem som 62443 pekar på. Kan inte säga att jag har en personlig favorit, som vanligt är det väl "det beror på"...

Om du lyssnat på mig när jag varit ute och predikat kring OT-säkerhet har du förmodligen hört mig mässa om vikten av att vi pratar på ett sätt som gör att vi förstår varandra mellan olika grupper. Ett exempel på ett ord som jag gillar är just "OT" eftersom det är lite lagom luddigt, knyter an lagom till IT och samtidigt sammanfattar en massa andra begrepp med mer specifika betydelser - exempelvis ICS, SCADA och DCS. Nu har det uppstått en "rörelse" som drar åt ett annat håll och driver en modell där IT, OT och ICS är de tre huvuddelarna. Jag förstår definitivt deras poäng som är vettig men jag tycker samtidigt att det är synd.


Däremot har jag alltid gillat deras andra poäng, nämligen att komplettera C.I.A.-triaden från informationssäkerhet med S.R.P.-triaden för fysiska risker, Safety, Reliability och Performance. Du kan läsa mer i det här gamla inlägget.

En diskussion jag hör allt oftare är om en viss attack som blir känd i media egentligen är en OT-attack eller inte. I linje med mitt resonemang här ovan kan jag tycka att den gränsdragningen blir allt mindre intressant. Läste exempelvis en artikel nyligen som resonerade kring en rapport från Mandiant där exempelvis det här citatet är taget:

Leaked data includes password administration credentials from a maker of industrial and passenger trains, a hydroelectric power producer's list of user privileges and passwords, and source code from a provider of satellite vehicle tracking systems.

Visst, även om det kanske inte var ett regelrätt OT-system som hackades så var det en attack mot en OT-verksamhet där konsekvenserna sannolikt påverkar något fysiskt! I slutändan kan jag tycka att just det är det viktigaste att fokusera på och att vi kanske borde dra ner på våra diskussioner kring gränsdragningen mellan IT och OT!

 

Reflektioner från ett bord

Härom veckan organiserade jag och kollegorna ett rundabordssamtal kring OT-säkerhet. Vi bjöd in 9 organisationer att delta från vitt skilda branscher och trots att vi gav dem väldigt kort varsel lyckades 7 av dem delta. (Och alla ville vara med!) Vi hade exempelvis med fastighetsautomation, elbolag, sjöfart, återvinning, skogsindustri, papper, tillverkande industri och en rad andra roliga områden.


Det blev ett riktigt lyckat arrangemang där alla genast började dela med sig och samtidigt sög i sig av de andras erfarenheter! Något som jag tänkt på tidigare, när jag rört mig mellan branscher som konsult, bekräftades väldigt tydligt; hur lika deras utmaningar är - trots att verksamheterna är extremt olika! Naturligtvis ser deras risker extremt olika ut men utmaningarna för säkerhetsarbetet är trots allt väldigt lika! En annan klar insikt var hur stort det uppdämda behovet av att diskutera dessa frågor är.

Diskussionerna handlade exempelvis om svårigheterna med dra faktisk nytta av investeringar i IDS-baserade säkerhetslösningar, hur försäkringsbolagen på allvar har börjat driva på säkerhetsarbetet inom OT, utmaningarna med säkerhet i leverantörskedjor (och i synnerhet svårigheterna med att hantera små leverantörer som inte orkar med de ökande säkerhetskraven) och förstås det uppenbara i att när IT och OT "växer ihop" så måste säkerhetsarbetet i de båda områdena också göra det!


Apropå området försäkringar, som kommer bli väldigt spännande framöver, så kan jag rekommendera ett avsnitt av Dale Petersons "Unsolicited response" nyligen där detta diskuterades ur ett OT-perspektiv:


Ett område som var speciellt intressant på rundabordet är diskussionerna kring "Supply Chain Security" som i sig är ett klurigt område men som blir extra utmanande i och med att väldigt många organisationer som traditionellt enbart "förbrukat" system och information även börjar bli leverantörer av system, tjänster och information. Det betyder i sin tur att säkerheten i organisationen och i dess leverantörskedjor helt plötsligt blir del av slutkundens leverantörskedja. Här tror jag personligen vi kommer se en enorm förändring när NIS2-direktivet blir verklighet i och med att man kombinerar en väldig breddning av antalet branscher som omfattas med att leverantörssäkerhet ska hanteras. Det betyder att väldigt många av de organisationer som inte själva berörs av direktivet ändå kommer åka med av bara farten eftersom deras kunder gör det!

Det här formatet för diskussioner och erfarenhetsutbyte kommer definitivt att fortsätta. Ett enkelt och roligt sätt att (i mindre grupper) föra spännande diskussioner med människor som man annars aldrig skulle kunna samla. Att det dessutom sker utan att vi som leverantör försöker sälja på deltagarna något gör det förstås ännu bättre! Hör gärna av dig om din organisation också vill bli inbjudna framöver. ( mats@ot-sakerhet.se )

 

En oansenlig liten sticka...

Det här är en sådan där produkt som egentligen inte skulle behövas i den perfekta OT-säkerhetsvärlden men som är nästan oumbärlig i den verkliga världen - där man inte alltid kan bygga, underhålla eller koppla ihop systemen som man själv vill!


Om ni följt nyhetsbrevet ett tag kommer ni ihåg att jag skrivit om TMPS3 tidigare, läs gärna nyhetsbrev #16 för att förstå vilken unik produkt det faktiskt handlar om... Jag ska inte ge mig på att gå igenom alla funktioner igen men om man ska summera den gamla texten väldigt kort så handlar den om en USB-sticka som inte gick att använda som ett minne! Istället fick du en portabel virusskanner och inventeringslösning med stöd för Windows och Linux där du inte behöver installera någonting på datorn. För att lättare hitta skadlig kod kan du även boota datorn på stickan för att helt koppla bort det ordinarie operativsystemet. Praktiska försök hos kunder visade att stickan fungerade fantastiskt mycket bättre än andra scanningslösningar, i synnerhet när man använder den på äldre operativsystem!


Nu har den dykt upp på mitt skrivbord i en uppdaterad PRO-version och då undrar man ju förstås vad som är nytt egentligen? Och vad som gör den till "PRO"? Lite ironiskt nog så är det faktiskt funktionen "säker lagring" som tillkommit, det vill säga nu kan den agera som den USB-sticka som den ser ut att vara! Fast på ett säkert sätt...


Sedan jag skrev om produkten förra gången har den utvecklats en del i det tysta även på andra sätt. Den redan imponerande mängden officiellt supportade operativsystem har kompletterats med Ubuntu ända tillbaka till version 14.04, som släpptes 2014! Scannern är alltså supportad från TxOne även om du använder den på gamla operativsystem, det vill säga oavsett om det finns support från leverantören av operativsystemet och oavsett om du köpt eventuell förlängning av support för OS:et! Det här är förstås helt avgörande för väldigt många OT-miljöer som av olika skäl sitter fast i äldre system...

Det första man märker är att TxOne har ansträngt sig för att göra en snyggare produkt. Det märks redan innan man öppnar förpackningen! En snygg låda med en proffsig design av produkten som andas kvalitet, helt i aluminium.


Det snygga yttre kanske i någon mån avhjälper den tidigare versionens största utmaning: att den ser ut som en enkel USB-sticka men definitivt inte kostar som en sådan. Därmed definitivt inte sagt att den inte är värd sitt pris, den kan betydligt mer än dess anspråkslösa yttre hintar om!


Den stora skillnaden för Pro-versionen är som sagt säker lagring - men vad menas med det då? Det handlar helt enkelt om en kul kombination av krypterad lagring och malware-skanning. Stickan tillåter endast att stickan används om man anger rätt lösenord för att "låsa upp" krypteringen. Alla filer skannas sedan av stickans mjukvara innan de tillåts lagras. Funktionen secure storage är dock (för tillfället?) begränsad till Windows och fungerar inte på Windows 2000.

För mig som redan gillade TMPS3 är Pro-versionen är riktigt vettig uppgradering! Det här är en snygg lösning som dessutom fungerar snyggt ihop med TxOnes snygga lösningar för malware-skydd i OT-miljöer. Kombinationen säker lagring, malware-skanning, säker boot för att rädda infekterade system och inventering gör det här till en (vad jag vet) unik produkt som faktiskt löser verkliga problem i vardagen. Precis som med allt annat från TxOne får man en kraftfull lösning som samtidigt är så enkel att man behöver inte vara säkerhetsspecialist för att hantera den. Mer detaljer kring det praktiska kan du hitta i användarmanualen.

 

Årets (hittills) bästa läsning om riskanalys!

Sinclair Koelemij har (som vanligt) skrivit en riktigt bra artikel, den här gången om kvantitativa riskanalyser inom OT: "OT security risk and loss prevention in industrial installations". Han kopplar det på ett snyggt sätt till metoder som HAZOP och LOPA för att sedan avsluta med en (i mina ögon korrekt) kritik av hur riskanalys görs enligt IEC 62443-3-2.


Jag ska inte ge mig på att återberätta utan rekommenderar att du läser texten själv. Han inleder med att citera John Bond, vilket är huvudet på spiken för att sätta tonen för artikeln:

  • He who ignores the past is condemned to repeat it.

  • Success in preventing a loss is in anticipating the future.

  • You are not in control if a loss has to occur before you measure it.

 

Hela världen känner till ditt OT-system!

En intressant dragning med Selena Larson och Amy Bejtlich från RSA-konferensen kring OSINT mot OT-mål, alltså när man använder öppna källor för att kartlägga en organisation och deras system. Ögonöppnande och en bra infallsvinkel för att bättre skydda sina system!

 

Alla älskar väl solsken?

Jo, de flesta gör väl det - men det kommer ju en del annat från solen också. Vi är tydligen på väg mot ett par år med väldigt hög aktivitet från solen vilket kan få väldigt "spännande" konsekvenser här på jorden. Ett tydligt exempel är att det varit mycket norrsken ganska långt söderut på sistone. Det här är ett område som är värt att läsa på om för att ta med i era riskanalyser i alla möjliga processer och system! Ett exempel som skulle drabba väldigt många är om det blir störningar i GPS-systemet som ju är en av de viktigaste källorna till exakt tid. Amerikanska NOAA har en tydlig illustration med exempel på vad som kan hända.

 

Säg hej till maskinproduktförordningen!

Min kollega Igor Bogunic publicerade nyligen en kort text kring de kommande förändringarna i maskindirektivet. (Som jag även skrivit om tidigare i nyhetsbrev #27) Det påminde mig om hur mycket spännande som kan komma ur den här förändringen! Jag läste nyligen ett whitepaper från OTORIO med vettiga tankar kring vad just en maskinbyggare behöver tänka på nuförtiden för att kunna ta sitt ansvar för säkerheten i produkterna! I takt med att ny teknik byggs in behöver man också förändra sitt sätt att arbeta med produktsäkerhet!

 

Varsågod! En ny Industrisäkerhetsskyddsmanual!

Om din organisation lyder under säkerhetsskyddslagstiftningen kan det vara värt att titta på FMVs sprillans nya Industrisäkerhetsskyddsmanual. Inget specifikt för OT-säkerhet men däremot en massa klokskap och erfarenhet neddestillerat i text!

 

Vilka verktyg kan scanna OT-system?

Jag snubblade över ett spännande dokument på förhandspubliceringssajten arXiv. Det är skrivet av Emmanouil Samanis, Joseph Gardiner och Awais Rashid från University of Bristol som tittat sätt att jämföra verktyg för att hitta och identifiera OT-system. Spännande ämne om man vill dyka i detaljer! Om inte annat så hade de en del verktyg i sin lista som jag inte hade koll på sedan tidigare.

 

Hur får vi fler att jobba med OT-säkerhet?

Jag tycker det är jättekul att några av er emellanåt hört av er till mig (mats@ot-sakerhet.se) med funderingar kring att börja jobba med OT-säkerhet. Det kan vara folk som vill byta spår eller andra som fortfarande utbildar sig men vill sikta åt det här hållet.


Vi behöver verkligen bli fler med den här typen av kompetens! Det är tyvärr många som tror att de behöver något slags semi-magisk kompetens för att kunna göra nytta vilket jag tycker är helt fel! Oavsett om du kommer från automationshållet eller IT-säkerhetshållet behövs du!


Jag får ofta frågan om vilket jag tror är "bäst" - att lära en IT-människa om OT-världen eller att lära "automationsfolk" om IT-Säkerhet. Jag tror båda varianterna behövs och fungerar ungefär lika bra. Det som är svårt att "lära ut" är känslan för hur en produktion (oavsett typ) fungerar - att alltid sätta Safety först, att resonera annorlunda kring förändringar i miljön och en massa andra småsaker som påverkar hur folk tänker. Min rekommendation till alla är att försöka skaffa den överlappande kompetensen praktiskt. Så länge man är ödmjuk och villig att lära sig är det faktiskt ganska lätt att komma in i den här branschen!

 

2021 i backspegeln!

Så här, ett antal veckor in på det nya året, kommer en radda årsrapporter och här har vi tre av dem...

Jag har tidigare skrivit om ZDI, Zero Day Initiative, som ju ligger bakom att en väldigt stor andel av de sårbarheter som upptäcks också hanteras på ett ansvarsfullt sätt gentemot leverantörerna. De har ju en nära relation med produkterna för virtuell patchning från TxOne som jag också skrivit flera gånger om tidigare. Nu har de släppt sin årsrapport för 2021 och vi kan exempelvis notera att en dryg tredjedel av alla sårbarheter som de annonserat har varit OT-relaterade! Bland topp-20 av de leverantörer som hade flest sårbarheter finns en hel rad som har OT-produkter. Varför det är så här kan man ha lite olika åsikter om men i grunden är det förstås positivt och kommer leda till robustare produkter baserat på ett bättre säkerhetsarbete.

I samband med ZDIs rapport ska vi förstås också nämna syskonet TxOne, som också kommit med en riktigt snygg rapport som utgår från "MITRE ATT&CK for ICS" i sin analys. En enskild siffra som tydliggör hur mycket fokus som läggs på sårbarhetsforskning inom OT nu är att 28% av alla OT-sårbarheter som någonsin fått en CVE, upptäcktes under 2021!

Nozomi har släppt sin rapport för andra halvåret 2021 som är en välmatad historia som tittar på välkända incidenter med fokus på supplychain-attacker, några IoT-botnets, hur mängden sårbarheter utvecklats och lyfter tänkbara strategier för säkerhetsarbetet.

 

Lite siffror att luta sig mot...

De spännande Israeliska uppstickarna OTORIO som sysslar med risk management inom OT har gjort en undersökning som pekar på en del intressanta fakta! De har bland annat tittat på var ansvaret för OT-säkerhet brukar ligga i organisationer, hur man upplever att riskerna förändrats på senare år, det ökade fokuset på säkerhet i leverantörskedjorna, varför man inte får ut det värde man hoppats av sina investeringar i OT-säkerhet och hur budgetarna för OT-säkerhet ser ut att utvecklas framöver. Väl värt att titta närmare på!

 

Status kring NOA och MTP!

Du kanske har läst mina tidigare texter kring "NAMUR Open Architecture" om du är intresserad av säkerhet inom Industri 4.0 eller IIoT. Nu har organisationerna NAMUR, ProcessNet, VDMA och ZVEI kommit med en gemensam statusuppdatering som är riktigt intressant även ur andra perspektiv än säkerhet. Läs!

 

Jonas gör det igen!

Det finns vissa människor som, förutom att de genomskådar komplexa begrepp och sammanhang, dessutom klarar att förklara dem på ett sätt som faktiskt gör dem betydligt mindre komplexa. Jonas Berge på Emerson är definitivt en sådan person. Bland annat har han förklarat skillnaden mellan "Industri 4.0" och "IIoT" på ett sätt som faktiskt både är meningsfullt och lätt att förstå! Det är inte en ny text men den är bra! Jag rekommenderar att du tar dig tiden att botanisera bland alla hans fantastiska artiklar på LinkedIn.

 

Joe gör det också igen!

En annan pålitlig källa till smarta (och ibland kontroversiella) åsikter är Joe Weiss. I ett blogginlägg nyligen pekar han på ett antal kluriga skillnader mellan säkerhet i "control systems" och OT-säkerhet. Som vanligt smart och insiktsfullt!

 

Godis på franska!

Om man råkar kunna andra språk än svenska och engelska finns en mängd spännande material att ta del av inom OT-säkerhetsvärlden. Ett bra exempel är franska ANSSI (Agence nationale de la sécurité des systèmes d'information) som nyss lade ut rekommendationer kring Siemens Scalance och Hirschmann-switchar. Själv har jag ingen aning om vad de skriver men jag har hört från "en vanligtvis välunderrättad källa" att de är riktigt bra.


Je vous en prie!

 

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.