Sök

Nyhetsbrev OT-Säkerhet #41

Den här gången handlar det om farliga processer, skillnaden mellan osäkerhet och ovisshet, utbildningar för CISOs, hackade Safety-system, OT-information i ransomware-läckor, risker med processnära utrustning, FBI-varningar och förebyggande underhåll med en säkerhetstwist.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Vem rår på en farlig process?

Jag har i olika sammanhang genom åren diskuterat skillnaderna mellan vilka delar av verksamhetens risker som man kan jobba med beroende på vilken roll man har i organisationen. Lite slarvigt sammanfattat har min analys blivit att man som automationsingenjör eller IT-säkerhetsspecialist nästan bara kan åtgärda sannolikheten för att attacker lyckas. Om man däremot är processingenjör kommer man däremot främst åt möjligheter att jobba med konsekvenssidan.

Det här resonemanget förutsätter förstås att man har en verksamhet där angrepp kan få farliga fysiska konsekvenser som kan gå ut över utrustning, hälsa eller miljö. Om man "bara" kan drabbas av produktionsstörningar eller kassation gäller lite andra antaganden som vi inte bryr oss om just nu.


Nu får jag indirekt medhåll av Sinclair Koelemij. Han har skrivit en artikel där han gör en intressant analys av möjligheterna att jobba med att minska konsekvenserna av angrepp. Han listar de olika angreppssätt man kan ha för att minska risker och vilka åtgärder som kommer åt vilka förbättringsmöjligheter.

Sinclairs text är riktigt bra och jag håller som vanligt med om allt han skriver. Men min poäng här är delvis en annan än hans, nämligen vi som arbetar med övergripande OT-Säkerhet måste se upp så att vi inte fastnar på enbart "Cyber-sidan" eller "Process-sidan". För att få till ett riktigt effektivt säkerhetsarbete måste vi kunna samarbeta med båda världarna för att minska både sannolikhet och konsekvens. När jag har uppdrag där "Safety" är viktigt tenderar jag att först försöka hitta och ta bort de värsta konsekvenserna för att sedan som steg 2 titta på vad man kan göra åt sannolikheten.


För mig personligen var just det här en av de stora anledningarna till att jag sökte mig bort från en arbetsgivare i IT-branschen till en arbetsplats där vi levererar i bägge världarna. Det är oerhört stimulerande att ha fått möjlighet att jobba med OT-säkerhet "på riktigt"!

 

Eureka! Eller?

Jag snubblade över en fantastisk artikel skriven av Martijn Dekker som på ett nästan magiskt sätt sätter ord på något som jag känt allt tydligare under de senare åren. Jag ska inte ge mig på att försöka sammanfatta och översätta det utan kopierar hans eget inlägg på LinkedIn:

Information Security in 2022 is not about certain, preventable events, not even about probable events that can be managed as risks. Information security is about fundamentally unknowable probabilities and unknowable impacts. Information security nowadays is about managing uncertainty.

Han skriver det ur ett allmänt perspektiv kring informationssäkerhet men resonemanget gäller definitivt även för OT-världen. På vissa sätt gäller det kanske till och med ännu mer för processnära digitalisering där förändringen är ännu mer radikal än inom IT och där komplexiteten mångdubblas ännu snabbare! Och tittar man på helheten över både IT och OT, vilket man förstås borde, så stämmer hans tankar väldigt väl med en rad stora incidenter på senare tid där den komplicerade integrationen mellan IT och OT drabbar den fysiska verksamheten hårt när IT-sidan slås ut.


Texten bygger på en keynote som han höll på KPN NLSecure[id] förra året. Du kan se inspelningen istället om du föredrar det!

Jag har själv utforskat möjligheterna att komma bort från styltiga gamla riskmatriser genom att vända blicken mot kvantitativ riskanalys och Bayesiska metoder men inser allt mer att det det inte rår på den enorma komplexiteten som vi behöver hantera. Istället tillför det nästan ytterligare komplexitet till säkerhetsarbetet!


Han säger inte att riskanalys är fel men att det inte räcker. En stor del av problemet är också det närmast meningslösa i att försöka bedöma sannolikheter för saker som inte är slumpmässiga. Kom ihåg att vara försiktig när du översätter ordet "uncertainty", jag tror att "ovisshet" är betydligt bättre än "osäkerhet". Jag undrar om vi kan hitta några tips framåt från den här gamla artikeln från Harvard Business Review?


Jag är väldigt nyfiken att höra vad ni som läser detta har för egna tankar kring hans resonemang! Hör av er! mats@ot-säkerhet.se eller kommentera det här nyhetsbrevets LinkedIn-inlägg.

 

Då var det Rockwells tur att få en 10:a!

Clarotys "Team82" slår till igen med ny och smaskig sårbarhetsforskning. Nu har de hittat ett sätt att ändra den kod som faktiskt körs i en PLC från Rockwell utan att det syns när man tittar på programmeringen! Det räckte förstås till en CVE med den högsta klassningen: 10!


Det här påminner ju väldigt mycket om den mesta kända OT-attacken någonsin, Stuxnet. Sedan dess har andra liknande attacker dykt upp, exempelvis visade ett Israeliskt team upp Rogue7 på BlackHat-konferensen 2019. Rogue7 drabbade (precis som Stuxnet) Siemens och 2020 visade Airbus en metod att göra en liknande attack mot Schneider Electrics Modicon-PLCer.

 

Där nere på de lägre nivåerna...

Trogna läsare av nyhetsbrevet vet att Sinclair Koelemij producerar texter med hög kvalitet. I ett inlägg nyligen tar han upp den infekterade frågan kring säkerhet i processnära utrustning.


Vissa, med Joe Weiss i spetsen, hävdar att den totala avsaknaden av säkerhet i dessa kritiska komponenter är den absolut största säkerhetsutmaningen vi står inför medan andra, exempelvis Sinclair och jag själv, tycker att det finns andra områden där åtgärder i praktiken har större effekt på den totala säkerheten. I vilket fall som helst är det en artikel väl värd att läsa!

 

Mikroutbildning från ISA

ISA har släppt en liten utbildning på YouTube, riktad mot CISOs som behöver en första introduktion till OT-säkerhet. Väldigt allmän men tydlig och bra!

 

Läcker ni information om er OT-miljö?

Mandiant har släppt en intressant studie av information som läckts i samband med ransomware-attacker, alltså fall där offrens information lagts upp på "skam-sajter" för att sätta ytterligare press på dem. De har letat efter OT-knappnålar i den enorma höstacken som är den totala mängden information som läckts. De hittade mängder känslig dokumentation och annan information som skulle underlätta ett angrepp mot OT-miljöerna men de ger också lite tips kring vad man lära sig av detta.


Det finns ett intressant avsnitt (224) av podden CyberWire Research Saturday där Nathan Brubaker från Mandiant intervjuas om rapporten.

 

Säkerhet - men inte bara i Olje- och gasindustrin

Hittade ett nypublicerat papper på förpubliceringssajten arXiv där fem personer från Cardiff University tittat på säkerhetsutmaningar inom Olja och Gas för att peka på typiska sårbarheter, hotvektorer och lösningar på dessa utmaningar.


Innehållet är någorlunda intressant på egen hand men det blev ännu mer intressant, fast på något slags meta-nivå när det började dyka upp en del kritik mot den som pekade på att det har ett "IT"-fokus och därmed pekar för mycket på information och inte process. Det här är ju typiskt för nästan alla diskussioner som jag hamnar i kring "vad OT är?".


Jag har inget perfekt facit för den typen av funderingar mer än att man inte ska förvänta sig att det skulle finnas ett enkelt svar på en såpass svår fråga. Nästan allt verkligt OT-säkerhetsarbete är ju i praktiken en blandning av skydd för information, skydd mot farliga situationer, att säkerställa att den fysiska processens tålighet mot alla former av störningar och inte minst tillräcklig processprestanda. Mitt bästa råd är att orka tänka brett och att se till att vara nästan onödigt tydlig när man kommunicerar kring risker, sårbarheter och åtgärder.

 

Ta hand om dina Safety-system!

Apropå oljeindustrin i ovanstående text så var det ju i en sådan anläggning som den skadliga koden Trisis/Triton/HatMan första gången upptäcktes 2017. FBI gick nyligen ut med en varning för att det hotet fortfarande är relevant. Trisis var ju det första kända exemplet av en skadlig kod som var avsett att orsaka död och massiva anläggningsskador genom att sabotera ett så kallat SIS-system (Safety Instrumented System) så att det inte skyddar anläggningen när den hamnar i ett farligt läge.


I min erfarenhet slarvas det tyvärr för mycket med den här typen av system. Dels genom att de inte används alls trots att processerna som hanteras är farliga men också för att man slarvar med hur de sköts om. Om det är någonstans det finns en väldigt direkt koppling mellan "security" och "safety" så är det kring dessa system! Läs på om lärdomarna från händelserna 2017 och senare men även det som FBI pekar på nu. Det är allt från enkla åtgärder som operatörslarm om man glömmer dem i programmeringsläge, via goda arbetsmetoder till arkitekturlösningar med nätverksdioder.

Apropå nätverksdioder så tror jag att allt fler börjar ta till sig den fantastiska nyttan med dessa. Allt för ofta hör jag resonemang som "systemet ansluter ut genom brandväggen så det går ju inte att hacka". Visst, det är absolut bättre att känsliga system inte är exponerade på nätet men det hindrar inte att en existerande nätverkskoppling missbrukas i alla fall! En koppling som fysiskt omöjliggör att information flödar åt "fel" håll är det absolut starkaste kortet vi har. Någon form av protokoll-brytande åtgärd kan vara en mer flexibelt lösning men ändå väldigt säkert. Du kanske minns att jag skrivit tidigare om några exempel på sådana lösningar, se nyhetsbrev #22 och nyhetsbrev #32.

 

Stjäl med stolthet!

Man ska inte underskatta det arbete som utförs kring OT-säkerhet i de flesta länder runt om på jordklotet. Det är väl värt att titta runt lite efter godbitar och inspiration när man ska bygga upp sitt eget säkerhetsprogram. Ett nytillskott för mig är Saudiarabien som publicerat ett officiellt kravdokument för kritisk infrastruktur i landet. Kanske inga sensationer innehållsmässigt men tydligt och snyggt. Tyvärr verkar det utlovade annexet där de skulle dyka djupare i metodik och relationen med andra standarder saknas i den nuvarande versionen. Förhoppningsvis dyker den delen upp så småningom.

 

Jobba med OT-säkerhet! På riktigt!

Nu drar vi på AFRY igång en aldrig tidigare skådad satsning på säkerhet i allmänhet och på OT-säkerhet i synnerhet! Oavsett om du redan är specialist inom OT-säkerhet eller om du är sugen på att fokusera mer på OT så finns det en jättechans nu! Vi har kontor i hela Sverige men det finns förstås alla möjligheter att jobba på distans också!


Hör av dig eller sök direkt! Vi växer så det knakar, både genom att nya kollegor söker sig till oss och genom förvärv av spännande företag. Men det behövs fler kompisar, inte minst inom OT-säkerhet!

Det som jag personligen tycker är extra kul med AFRY är att vi inte bara är bra på en sak i taget, vi kan alltid matcha starka kompetenser från flera helt olika områden på ett sätt som är väldigt svårslaget. Flera kollegor i branschen är väldigt duktiga på OT-säkerhet men hur många av dem kan göra en teamleverans där specialister inom alla former av säkerhet, robotteknik, industriell digitalisering, automationslösningar, mjukvaruutveckling och innovation samverkar med världsledande experter inom processindustri, energi, produktutveckling, tillverkning, transportinfrastruktur, försvar, fordonsutveckling, telekommunikation, medicinsk teknik och så vidare? Det gör en väldig skillnad för våra kunder och det gör definitivt jobbet extra mycket roligare för oss! Hör av dig!

 

SQL-injection utan SQL?

De av oss som sysslar med säkerhet i webbapplikationer är vana vid begrepp som "SQL-injection", "Cross-site Scripting" och "Untrusted data Deserialization". I takt med att teknikutvecklingen går framåt får vi också nya utmaningar.

Ett exempel som inte är helt nytt i IT-världen men som nu börjar bli stort inom OT också är NoSQL-databaser. Den här typen av databaser, exempelvis MongoDB och Apache Cassandra, är väldigt effektiva på stora datamängder och är inte organiserade i tabeller - i motsats till klassiska SQL-databaser. För den som vill läsa in sig på "NoSQL-injection" kan börja med en intressant artikel från Cyolo.

 

Patcha, Patcha, Patcha...

NIST släppte nyss en ny version av SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology". Förutom att man i dokumentet uttryckligen säger att det är tänkt att gälla även för OT-miljöer, så kan man även notera att man ogenerat flörtar med industrin genom att man ändrat titeln från förra versionen och lagt till "förebyggande underhåll". Även om jag inte satt mig in i dokumentet så gillade jag verkligen namnbytet eftersom det matchar en av mina gamla käpphästar - nämligen att man borde närma sig delar av det praktiska OT-säkerhetsarbetet med samma verktyg som man förmodligen redan använder för mekaniskt underhåll. Om man kan jobba med underhållsplaner för pumpar och ventiler så borde det rimligen vara väldigt enkelt att göra likadant med regelbundet utbyte av hårddiskar i maskiner, test av backupmedia eller att städa i brandväggsregler!

Är du sugen på ett rejält akademiskt papper så hittade jag ett på arXiv med titeln "Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices". Det är ett "meta-papper" från Australiensiska CREST och The University of Adelaide, som tittar på vad alla andra skrivit om denna kluriga fråga.


Vi hade nyligen en draft av den uppdaterade ISA 62443-2-3, "Security Update (Patch) management in the IACS environment", ute för kommentarer inom ISA99. Det är inte helt klart för mig när den kan förväntas ges ut i skarp version men det borde inte vara så långt bort. Den förra är från 2015 så det är ju dags för en uppdatering. Det är dessutom så att dokumentet nu går från att vara en "Technical Report" till att bli en fullvärdig del av standarden! Den som väntar på något gott...

 

Lite lagom oseriöst...

Ett knasigt open source projekt för att köra klassiska spel på ett Siemens HMI! Någon som är sugen på lite Zelda eller Tetris?

 

Intressanta poddavsnitt

Om du gillar att lyssna på poddar så har jag några förslag på ovanligt intressanta avsnitt.

https://waterfall-security.com/alex-nicoll/ Det här avsnittet av The Industrial Security Podcast kanske inte är Waterfalls bästa avsnitt genom tiderna men det är väldigt intressant om man är intresserad av vart 62443-standarden är på väg. Mycket handlar om begreppet "SL - Security Level" som framöver kommer bli risk&konsekvensdrivet snarare än baserat på angriparens uppskattade förmåga... En riktigt viktig förändring som vi är många som efterlyst!


Som vanligt en riktigt bra intervju i Unsolicited Response Podcast där Dale Peterson intervjuar Sergio Caltagirone från Dragos.


De dyker i det kluriga området Threat Intelligence och hur man applicerar det i OT-världen. Ämnen som hur det kommer sig att man kan förkorta återställningstid efter incidenter med hjälp av rätt insikter om angriparen, vad vi ska göra åt svårigheten att bedömma sannolikheter och vad man behöver för att kunna dra nytta av sina underrättelser.


En legend inom IT-säkerhetskretsar är H.D. Moore. Han är mest känd för att han "uppfann" Metasploit som är det kanske mest kända "hacking-verktyget" någonsin. I avsnitt 114 av DarknetDiaries berättar de hans historia och han får ge sin syn på massor av viktiga frågor kring sårbarheter och hur stora leverantörer hanterade brister i sina produkter tidigare och nu.


Nästan inget OT-innehåll alls men väldigt relevant även för oss!

 

Konferenser och webbinarier

Den 19:e till 21:a April kommer jag vara på S4x22 i Miami. Konferensen som väl ändå får räknas som den mest kända OT-säkerhetskonferensen i världen och kanske den största också. Sist jag tittade hade man passerat 500 anmälda men det finns biljetter kvar. Vore kul att ses där!


Den 27:e och 28:e April kommer jag vara på NFEA Cyber Security Conference i Oslo . Även om namnet inte säger något om "OT" så är det ett event med fokus på OT-säkerhet. Kanske ses vi där?


Den 30:e Mars kunde du lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättade om hur man kan bygga säkra maskiner, som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen. Det vill säga när "Safety" är helt beroende av "Security"! Missade du oss så finns det förstås en inspelning!

 

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.


Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.


Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.


Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

 

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.