Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!

Den här gången får du nya vägledningar från MSB, Zero Trust inom OT, hur man kan börja sitt arbete med NIS2, obekväma åsikter kring IT/OT-convergence, SANS presenterar världens första hyperenkabulator, nya delar i 62443, ransomware i PLCer ut, brutala sårbarheter i administrationsverktyg för OT, funderingar kring vad en PC är i OT-världen och en massa annat!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nytt godis från MSB!

Jag har inte sett någon annonsering från MSB ännu, men på deras hemsida finns en ny upplaga av vägledningsklassikern "Grundläggande säkerhet i cyberfysiska system". Men det är inte nog med det, dessutom finns en ny kioskvältare: "Ökad säkerhet i industriella informations- och styrsystem"! Men det är egentligen inte helt nytt innehåll, man har tagit den gamla vägledningen med sina 17 rekommendationer och delat upp dem i två dokument som grovt följer uppdelningen mellan OT och IoT. Det här gillar jag, det går tvärt emot det vanliga misstaget som många leverantörer gör, att sätta likhetstecken mellan OT och IoT! (Ja, eller "Cyberfysiska system" som MSB föredrar att prata om...)
Precis som det tidigare dokumentet så ser upplägget väldigt bra ut! Jag får intrycket av att man faktiskt bantat ner innehållet en del trots att det är uppdelat på två dokument. Oavsett det så ger dokumenten en snygg introduktion till det kluriga området OT-säkerhet med ett antal kloka rekommendationer. Man pekar sedan vidare till andra, mer detaljerade, standarder och ramverk - exempelvis IEC 62443, ISO 27002, IAEA NSS #17, NERC CIP, ISA-95 osv.
Inget förtroende för OT-säkerhet!

Begreppet "Zero trust" är något som folk tenderar ha mycket åsikter kring! Inom IT-världen har detta varit hett ett tag, inte minst sedan alla myndigheter i USA har fått en Executive Order på att implementera det... Därmed har det tyvärr också blivit ett riktigt buzzword, där leverantörer slåss om att berätta att deras produkt minsann är "Zero trust på burk". Riktigt så enkelt som att det bara handlar om att välja rätt produkt är det ju sällan...
Inom OT har det varit lugnare kring Zero Trust men nu ser jag tecken på att det börjar lossna även för oss. Jag berättade om några tecken på det från S4-konferensen i förra nyhetsbrevet.

Min högst personliga åsikt är att Zero Trust är ett riktigt bra sätt att tänka även om det egentligen inte tillför så mycket nytt. Men det är verkligen en snygg "förpackning" av gamla principer kring att begränsa åtkomst och accessrättigheter baserat på vem/vad du är vilket i sin tur kräver att du har koll på din information, dina system och dina användare.
Det finns många missuppfattningar som rör till det, den vanligaste är väl förmodligen att Zero Trust bara handlar om identitetshantering för mänskliga användare. Identiteter är ett nyckelbegrepp men det gäller definitivt inte bara mänskliga användare. En annan vanlig miss är att man tror att man måste ha perfekta identiteter och insikter om systemen. Det handlar snarare om att kunna ta automatiska beslut baserat på tillgänglig information vilket förstås gör det till en fördel att ha bra information!
En annan viktig poäng är att inte "fastna" långt ner nätverket när man tänker åtgärder, idealet även inom OT-säkerhet, är att försöka få till styrning även längst upp på nivå 7 i OSI-modellen, alltså direkt i applikationslagret. För OT-protokoll kan det handla om att använda brandväggar som kan begränsa vilka enskilda operationstyper som tillåts i exempelvis en MODBUS-anslutning.
Några spontana och personliga tyckanden kring Zero Trust från mig:

Zero Trust betyder inte att man slutar lita på allt. Det betyder inte heller att man måste ha perfekta lösningar för identitetshantering eller behörighetsstyrning. Men det handlar om att göra medvetna val kring vad som ska vara åtkomligt i olika sammanhang.
Zero Trust betyder inte att man ska glömma alla existerande principer, tvärtom! Inom OT kommer exempelvis djupförsvar fortsätta vara extremt viktigt men vi kan utforma djupförsvaret baserat på principerna från Zero Trust.
Man implementerar nog med fördel Zero Trust ett litet steg i taget. Det är ett annat sätt att tänka och det betyder att man behöver lära sig vad som passar för den egna verksamheten.

Något jag tycker är viktigt med Zero Trust är att vi närmar oss den svåra frågan om insiders på ett delvis nytt sätt. Det gör att vi får bättre möjligheter att hantera illojala medarbetare men framför allt kommer vi åt problemet att en extern angripare nästan alltid utnyttjar behörigheterna som vi tilldelat våra egna administratörer och användare! Det betyder också att vi kan tona ner den dåliga inställningen att kalla våra användare för vårt största säkerhetsproblem.
Det är just nu väldigt "modernt" att köra IDS-system inom OT. En utmaning som de flesta upptäcker alldeles för sent är att det är extremt svårt att veta vilka IDS-larm som är "på riktigt". Med Zero Trust har du redan tvingats reda ut hur normal-beteendet i dina system ser ut, så nu blir det mycket enklare att veta att ett larm från IDS:en är "skarpt". Det här gäller definitivt inom IT men är ännu tydligare inom OT!

En viktig poäng är att Zero Trust kräver mer arbete i utformning och implementation men det har man igen sedan. Det ersätter inte heller de generella grunderna i säkerhetsarbetet, du behöver fortfarande veta vilka prylar du har...
Zero Trust tvingar dig att förstå var organisationen tjänar (och därmed kan förlora) pengar. Vi måste nu förstå verksamheten och dess risker, vilket gör att vi måste göra säkerhetsarbetet ihop med verksamheten. Gäller både informationssäkerhet och OT-säkerhet!
Även om det heter Zero Trust så måste vi fortfarande lita på vissa saker: Active Directory, säkerhetssystemen, övervakningssystem osv. Men nu kan vi göra det tydligt vilka de är och hålla koll på de kritiska resurserna bättre! Någon som minns Solarwinds?

Jag vill definitivt slå ett slag för Zero Trust som ett tankesätt och en modell för säkerhetsstrategier inom OT-säkerhet! Det första steget är förstås att skaffa sig en egen uppfattning om vad det egentligen är och hur det kan passa i den egna verksamheten. Här är några resurser som jag tycker kan vara bra för att komma igång:
Istari har en podcast som fokuserar på Zero Trust. Några avsnitt (speciellt de första tre) är riktigt bra. I det allra första avsnittet intervjuas John Kindervag som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. Han trycker hårt på att Zero Trust inte är en produkt utan ett sätt att ha en strategi!
NIST släppte förra hösten dokumentet NIST SP 800-207 "Zero Trust Architecture" som har blivit tongivande i diskussionen kring Zero trust. (Det ger ingen vägledning alls kring OT-världens utmaningar och hur Zero trust skulle passa där.)
"Operational Technology Cyber Security Alliance" (OTCSA) har släppt ett whitepaper kallat "Review of Zero Trust - Inspiration for OT environments". Det är bara 6 sidor att läsa och ger dessutom en riktigt bra inflygning till både Zero trust och NIST-dokumentet.
Ett whitepaper producerat av Accenture och PaloAlto som heter "Simplifying Adoption of ISA/IEC 62443 Using the Zero Trust Model for Operational Technology".
En för-utgåva från amerikanska CISA kallat "Zero Trust Maturity Model".
En intervju med John Kindvag där han trycker hårt på att fokusera på att verkligen ha koll på vad man försöker skydda eftersom det gör attackytan så mycket mindre. Defense-in-depth får sig en känga eftersom det ofta används för att "skydda allt mot allt" och får öknamnet "Expense-in-depth".
Om du har tankar eller erfarenheter - för eller emot - Zero Trust, så vill jag gärna höra mer: mats@ot-sakerhet.se .
NMS - Network Management Systems - Ett jobbigt kapitel!

I dagens läge, där allting är, eller på väg att bli, nätverksanslutet blir det förstås extremt viktigt att sköta om sitt nätverk på ett säkert sätt. För att kunna göra det behövs bra verktyg - men dessa verktyg blir ju i sig själva en intressant måltavla för angripare. I OT-världen innefattar dessutom ofta begreppet "nätverk" lite mer än bara nätverksutrustningen. I så kallade NMS-system hanteras ibland även annan utrustning, som exempelvis PLCer, där man kan hantera inställningar för protokoll som OPC UA och MQTT men även göra firmwareuppgraderingar mm.
Clarotys säkerhetsforskare i Team82 har det senaste året gjort en fokuserad satsning på denna typ av system och tyvärr hittat mängder med allvarliga sårbarheter. Som vanligt finns det intressanta rapporter att dyka i, än så länge för:
Extremt viktig information om ni har just dessa system men även annars är det här något som är avgörande att tänka på så att man inte har oskyddade administrationssystem för OT-näten. Här är definitivt ett område där man behöver ta hjälp av en skicklig nätverksarkitekt!
PC, Server eller mittemellan?

En gammal och klurig fråga som dyker upp emellanåt är hur man ska hantera PC-datorer i produktionen. Jag stöter ofta på den typen av diskussioner som vanligen bottnar i några grundläggande och typiska problem:
Rutiner kring patchning som kommer från "IT-världen" passar inte i produktionen.
Kraven på säkerhetsåtgärder ser olika ut mellan IT och OT.
Livslängden på hårdvara och operativsystem behöver vara betydligt längre i produktionen.
Eventuell nätverkssegmentering "saboteras" genom att man använder IT-lösningar för Active Directory, administration, backup, övervakning etc.
Den fysiska miljön med damm och vibrationer är inte alltid så snäll mot hårdvara som är anpassad för att stå på ett kontor.
Eftersom moderna PC är så kraftfulla tenderar de att få husera flera olika funktioner samtidigt vilket gör det svårt med underhåll och felsökning. (Datainsamling, lokala databaser, HMI, programmeringsverktyg, filserver, integrationsmotor osv)

Det är inte lika vanligt att höra motsvarande diskussioner kring servrar, vilket är synd för ofta finns exakt samma utmaningar där.
Vad gör man åt detta då? Det finns förstås inte någon perfekt lösning som passar alla men några tankar som jag brukar utmana mina kunder med är exempelvis:
Använder ni PC-hårdvara för server-funktioner?
Skulle man kunna utforma, underhålla och administrera produktionens servrar och PC "tillsammans" istället för att försöka hantera dem uppdelat tillsammans med IT-världens PC och servrar? I många fall har en server i produktionen mer gemensamt med en produktions-klient än med en IT-server...
Blir er nätverkssegmentering mellan IT och OT förstörd av att vissa system går på tvären mellan de båda världarna? (Backuper, Systemadministration, Virtualiseringsplattform, Active Directory, Print-spooling, säkerhetsplattformar osv)
Tar ni genvägar genom att blanda flera olika funktioner i samma system som leder till "deadlocks" kring uppdateringar? Kan virtualisering vara en del av lösningen?

Det jag kanske säger framför allt är att vi borde ifrågasätta uppdelningen mellan klient-funktion och server-funktion som vi "ärvt" från IT-världens sätt att tänka. Det mesta i en OT-miljö liknar IT-världens servrar när man tittar på driftkraven, även om vissa funktioner råkar köras i hårdvara som fysiskt liknar en "IT-klient". Det kanske är dags att se allting som serverfunktioner? Jag är väldigt nyfiken att höra från dig om du har praktiska erfarenheter från liknande tankesätt! Hör av dig! mats@ot-sakerhet.se
NIS2 närmar sig på riktigt - dags att agera nu?

Den 13 Maj annonserades att man kommit överens om EUs nya NIS-direktiv, NIS2. Precis som det nuvarande NIS-direktivet är syftet att på olika sätt kravställa, utjämna och följa upp skyddet av samhällsviktiga tjänster. Det som skiljer kanske framför allt kraven berör många fler verksamheter än tidigare, inte minst på grund av att tillverkande industri omfattas. Det kommer sannolikt krävas en väl organiserad incidenthantering, ett strukturerat arbetssätt kring riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Rejäla sanktionsavgifter (2% av omsättning eller 10 MEUR) för verksamheter som inte sköter sig är också på bordet, personligt ansvar för VD och förstås även myndighetstillsyn.
Den exakta utformningen av direktivet väntas inte bli offentligt förrän i höst då det formella beslutet tas. Därefter kommer länderna ha 21 månader på sig att implementera kraven och sedan vill det till att uppfylla kraven! Det finns ingenting som jag sett som tyder på att några större förändringar skett sedan det ursprungliga förslaget. Jag har skrivit om detta tidigare, senast i nyhetsbrev #36 och nyhetsbrev #32.

Det som är viktigt för nästan alla verksamheter att börja med omgående är att reda ut hur man påverkas. Även om man inte berörs direkt så kanske man är leverantör till ett företag som berörs och då kan man indirekt "drabbas" av de ökade kraven på säkerhet i leverantörs-kedjorna. Sist jag tittade vilka svenska industri-företag som kommer beröras innehöll listan över 250 välkända namn. Tillsammans har dessa företag många tusen leverantörer som skapa en affärsmöjlighet om man är snabbast ur startblocken jämfört med konkurrenterna. Till detta kommer förstås alla andra samhällsviktiga verksamheter och deras leverantörer!
Om jag ska ge några råd för att komma igång så är det:
Ta reda på om ni och/eller era kunder omfattas av direktivet.
Red ut vilka krav som i så fall ställs på er och gör en gap-analys mot nuläget. Det kan vara:
Direkta säkerhetskrav på skydd av OT, IT och Information
Nya krav i upphandlingar och leverantörsavtal
Strukturerat organisationsövergripande riskhanteringsarbete
Tydligt ansvar för cybersäkerhet i ledning och styrelse
Snabba rutiner för hantering och rapportering av incidenter

Om ni har verksamheter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra framöver. Tidigare har det hintats om att det speciella undantag som gjorde att säkerhetsskydd alltid åsidosatte NIS-direktivet kommer att förändras. Detta har dock, enligt uppgift, ändrats igen under arbetet, så där får vi se hur det blev...
Eventuellt kan det också bli en koppling till de produktcertifieringar som tas fram parallellt inom EU. Det kommer, som det verkar, dock att kravställas per land. Ett viktigt område att hålla koll på om man är leverantör till verksamheter som omfattas av kraven eller om man har en verksamhet som verkar i flera EU-länder!
För mer information kan du lyssna på en bra intervju av Luca Bertuzzi på EURACTIV med Bart Groothuis, där han bland annat berättar av man matchat nivån på sanktionsavgifterna mot typiska lösensummor i ransomware!
IT/OT-Convergence - Existerar det?
Den sista Maj talade jag på konferensen "IT Security Insights 2022". Ämnet var "IT/OT-Convergence", något som är ett hett område och som det dessutom finns många åsikter kring.
Det handlar om att IT-världen och OT-världen närmar sig varandra på många olika sätt, både kring teknik, dataflöden, integrationer, säkerhetsutmaningar och driftrutiner. Extremt sammanfattat gick min presentation ut på att visa publiken (som innehöll väldigt få "OT-personer") vad som skiljer i synen från "IT- och OT-håll", en del utmaningar som det inte pratas så mycket om och en radda personliga erfarenheter kring vad som är viktigt att tänka på.
Några exempel är:
Det finns extremt olika syn på vad Convergence egentligen är. En hel del anser att det inte ens existerar alternativt att det redan inträffat. Andra ser det som vår tids största utmaning samtidigt som det är en enorm möjlighet!
Det är inte bara IT och OT som växer ihop. På samma sätt finns det ofta separata OT-miljöer i en produktion som tidigare varit relativt separata men som allt mer kopplas samman och därmed påverkar varandra säkerhetsmässigt och ansvarsmässigt.
Hur mycket konvergens är lagom eller tillräckligt?
Hur konvergerar OT-säkerhet med informationssäkerhet?
...och en massa annat. Min dragning finns på YouTube: (Tyvärr försvann ljudet från inspelningen av Q&A-delen på slutet, men presentationen är komplett!)
Apropå likheter och olikheter mellan IT och OT så såg jag en kul Twitter-tråd kring skillnaderna i incidenthantering mellan IT och OT från Lesley Carhart, Director of Incident Response på Dragos, men också känd som "hacks4pancakes". Läs hela hennes resonemang i kommentarerna på Twitter!
Ransomware i en PLC?

Forescout har släppt en rapport kring ett tänkt scenario om hur en angripare skulle kunna knyta ihop IT, IoT och OT i ett ransomware-angrepp. Det här är ju något som vi, vad jag vet, inte sett i verkligheten ännu. Angrepp som påverkar OT, direkt eller indirekt, har vi sett men inte i samband med just utpressning med en direkt påverkan på OT. Något jag hittills inte sett är några "bra" utpressningsmetoder kopplade till PLC:er eller annan processnära utrustning.
Rapporten är intressant och väl värd att läsa. Jag blev först lite besviken eftersom jag hade hoppats att de skulle komma med en radda kreativa metoder för utpressning i PLC:er vilket jag inte hittade. Men det finns faktiskt ett stycke under rubriken "TECHNICAL NOTE: OT-SPECIFIC IMPACT CONSIDERATIONS" där de spekulerar kring sätt att använda logiska bomber mot någon av de större DCS-leverantörerna. Personligen tror jag inte det är realistiskt ännu men det går säkert att utveckla tänket ytterligare.
2022 - Hur går det för oss?

Fortinet har släppt sin "2022 State of Operational Technology and Cybersecurity Report". Den är som vanligt fullproppad med intressanta fakta från deras intervjuer med branschkollegor.
En intressant detalj är att de ser en ganska tydlig förflyttning av ansvaret för OT-säkerhet bort från CTO/CIO/CISO till förmån för produktionsledning och produktansvariga.
Jag ska inte göra mig till tolk av innehållet utan låter dig dra dina egna slutsatser! Helt klart är att det här är ett område som är i förändring och att det inte är helt klart var vi kommer hamna så småningom.
Några spännande poddar!

En stor del av min egen omvärldsbevakning gör jag genom att lyssna på poddar. Ett par tips kring OT-säkerhet från den senaste tiden: