.png)
Nyhetsbrev OT-Säkerhet #43
- 21 juni 2022
- 16 min läsning
Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!
Den här gången får du nya vägledningar från MSB, Zero Trust inom OT, hur man kan börja sitt arbete med NIS2, obekväma åsikter kring IT/OT-convergence, SANS presenterar världens första hyperenkabulator, nya delar i 62443, ransomware i PLCer ut, brutala sårbarheter i administrationsverktyg för OT, funderingar kring vad en PC är i OT-världen och en massa annat!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nytt godis från MSB!
Jag har inte sett någon annonsering från MSB ännu, men på deras hemsida finns en ny upplaga av vägledningsklassikern "Grundläggande säkerhet i cyberfysiska system". Men det är inte nog med det, dessutom finns en ny kioskvältare: "Ökad säkerhet i industriella informations- och styrsystem"! Men det är egentligen inte helt nytt innehåll, man har tagit den gamla vägledningen med sina 17 rekommendationer och delat upp dem i två dokument som grovt följer uppdelningen mellan OT och IoT. Det här gillar jag, det går tvärt emot det vanliga misstaget som många leverantörer gör, att sätta likhetstecken mellan OT och IoT! (Ja, eller "Cyberfysiska system" som MSB föredrar att prata om...)
Precis som det tidigare dokumentet så ser upplägget väldigt bra ut! Jag får intrycket av att man faktiskt bantat ner innehållet en del trots att det är uppdelat på två dokument. Oavsett det så ger dokumenten en snygg introduktion till det kluriga området OT-säkerhet med ett antal kloka rekommendationer. Man pekar sedan vidare till andra, mer detaljerade, standarder och ramverk - exempelvis IEC 62443, ISO 27002, IAEA NSS #17, NERC CIP, ISA-95 osv.
Inget förtroende för OT-säkerhet!
Begreppet "Zero trust" är något som folk tenderar ha mycket åsikter kring! Inom IT-världen har detta varit hett ett tag, inte minst sedan alla myndigheter i USA har fått en Executive Order på att implementera det... Därmed har det tyvärr också blivit ett riktigt buzzword, där leverantörer slåss om att berätta att deras produkt minsann är "Zero trust på burk". Riktigt så enkelt som att det bara handlar om att välja rätt produkt är det ju sällan...
Inom OT har det varit lugnare kring Zero Trust men nu ser jag tecken på att det börjar lossna även för oss. Jag berättade om några tecken på det från S4-konferensen i förra nyhetsbrevet.
Min högst personliga åsikt är att Zero Trust är ett riktigt bra sätt att tänka även om det egentligen inte tillför så mycket nytt. Men det är verkligen en snygg "förpackning" av gamla principer kring att begränsa åtkomst och accessrättigheter baserat på vem/vad du är vilket i sin tur kräver att du har koll på din information, dina system och dina användare.
Det finns många missuppfattningar som rör till det, den vanligaste är väl förmodligen att Zero Trust bara handlar om identitetshantering för mänskliga användare. Identiteter är ett nyckelbegrepp men det gäller definitivt inte bara mänskliga användare. En annan vanlig miss är att man tror att man måste ha perfekta identiteter och insikter om systemen. Det handlar snarare om att kunna ta automatiska beslut baserat på tillgänglig information vilket förstås gör det till en fördel att ha bra information!
En annan viktig poäng är att inte "fastna" långt ner nätverket när man tänker åtgärder, idealet även inom OT-säkerhet, är att försöka få till styrning även längst upp på nivå 7 i OSI-modellen, alltså direkt i applikationslagret. För OT-protokoll kan det handla om att använda brandväggar som kan begränsa vilka enskilda operationstyper som tillåts i exempelvis en MODBUS-anslutning.
Några spontana och personliga tyckanden kring Zero Trust från mig:
Zero Trust betyder inte att man slutar lita på allt. Det betyder inte heller att man måste ha perfekta lösningar för identitetshantering eller behörighetsstyrning. Men det handlar om att göra medvetna val kring vad som ska vara åtkomligt i olika sammanhang.
Zero Trust betyder inte att man ska glömma alla existerande principer, tvärtom! Inom OT kommer exempelvis djupförsvar fortsätta vara extremt viktigt men vi kan utforma djupförsvaret baserat på principerna från Zero Trust.
Man implementerar nog med fördel Zero Trust ett litet steg i taget. Det är ett annat sätt att tänka och det betyder att man behöver lära sig vad som passar för den egna verksamheten.
Något jag tycker är viktigt med Zero Trust är att vi närmar oss den svåra frågan om insiders på ett delvis nytt sätt. Det gör att vi får bättre möjligheter att hantera illojala medarbetare men framför allt kommer vi åt problemet att en extern angripare nästan alltid utnyttjar behörigheterna som vi tilldelat våra egna administratörer och användare! Det betyder också att vi kan tona ner den dåliga inställningen att kalla våra användare för vårt största säkerhetsproblem.
Det är just nu väldigt "modernt" att köra IDS-system inom OT. En utmaning som de flesta upptäcker alldeles för sent är att det är extremt svårt att veta vilka IDS-larm som är "på riktigt". Med Zero Trust har du redan tvingats reda ut hur normal-beteendet i dina system ser ut, så nu blir det mycket enklare att veta att ett larm från IDS:en är "skarpt". Det här gäller definitivt inom IT men är ännu tydligare inom OT!
En viktig poäng är att Zero Trust kräver mer arbete i utformning och implementation men det har man igen sedan. Det ersätter inte heller de generella grunderna i säkerhetsarbetet, du behöver fortfarande veta vilka prylar du har...
Zero Trust tvingar dig att förstå var organisationen tjänar (och därmed kan förlora) pengar. Vi måste nu förstå verksamheten och dess risker, vilket gör att vi måste göra säkerhetsarbetet ihop med verksamheten. Gäller både informationssäkerhet och OT-säkerhet!
Även om det heter Zero Trust så måste vi fortfarande lita på vissa saker: Active Directory, säkerhetssystemen, övervakningssystem osv. Men nu kan vi göra det tydligt vilka de är och hålla koll på de kritiska resurserna bättre! Någon som minns Solarwinds?
Jag vill definitivt slå ett slag för Zero Trust som ett tankesätt och en modell för säkerhetsstrategier inom OT-säkerhet! Det första steget är förstås att skaffa sig en egen uppfattning om vad det egentligen är och hur det kan passa i den egna verksamheten. Här är några resurser som jag tycker kan vara bra för att komma igång:
Istari har en podcast som fokuserar på Zero Trust. Några avsnitt (speciellt de första tre) är riktigt bra. I det allra första avsnittet intervjuas John Kindervag som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. Han trycker hårt på att Zero Trust inte är en produkt utan ett sätt att ha en strategi!
NIST släppte förra hösten dokumentet NIST SP 800-207 "Zero Trust Architecture" som har blivit tongivande i diskussionen kring Zero trust. (Det ger ingen vägledning alls kring OT-världens utmaningar och hur Zero trust skulle passa där.)
"Operational Technology Cyber Security Alliance" (OTCSA) har släppt ett whitepaper kallat "Review of Zero Trust - Inspiration for OT environments". Det är bara 6 sidor att läsa och ger dessutom en riktigt bra inflygning till både Zero trust och NIST-dokumentet.
Ett whitepaper producerat av Accenture och PaloAlto som heter "Simplifying Adoption of ISA/IEC 62443 Using the Zero Trust Model for Operational Technology".
En för-utgåva från amerikanska CISA kallat "Zero Trust Maturity Model".
En intervju med John Kindvag där han trycker hårt på att fokusera på att verkligen ha koll på vad man försöker skydda eftersom det gör attackytan så mycket mindre. Defense-in-depth får sig en känga eftersom det ofta används för att "skydda allt mot allt" och får öknamnet "Expense-in-depth".
Om du har tankar eller erfarenheter - för eller emot - Zero Trust, så vill jag gärna höra mer: mats@ot-sakerhet.se .
NMS - Network Management Systems - Ett jobbigt kapitel!
I dagens läge, där allting är, eller på väg att bli, nätverksanslutet blir det förstås extremt viktigt att sköta om sitt nätverk på ett säkert sätt. För att kunna göra det behövs bra verktyg - men dessa verktyg blir ju i sig själva en intressant måltavla för angripare. I OT-världen innefattar dessutom ofta begreppet "nätverk" lite mer än bara nätverksutrustningen. I så kallade NMS-system hanteras ibland även annan utrustning, som exempelvis PLCer, där man kan hantera inställningar för protokoll som OPC UA och MQTT men även göra firmwareuppgraderingar mm.
Clarotys säkerhetsforskare i Team82 har det senaste året gjort en fokuserad satsning på denna typ av system och tyvärr hittat mängder med allvarliga sårbarheter. Som vanligt finns det intressanta rapporter att dyka i, än så länge för:
Extremt viktig information om ni har just dessa system men även annars är det här något som är avgörande att tänka på så att man inte har oskyddade administrationssystem för OT-näten. Här är definitivt ett område där man behöver ta hjälp av en skicklig nätverksarkitekt!
PC, Server eller mittemellan?
En gammal och klurig fråga som dyker upp emellanåt är hur man ska hantera PC-datorer i produktionen. Jag stöter ofta på den typen av diskussioner som vanligen bottnar i några grundläggande och typiska problem:
Rutiner kring patchning som kommer från "IT-världen" passar inte i produktionen.
Kraven på säkerhetsåtgärder ser olika ut mellan IT och OT.
Livslängden på hårdvara och operativsystem behöver vara betydligt längre i produktionen.
Eventuell nätverkssegmentering "saboteras" genom att man använder IT-lösningar för Active Directory, administration, backup, övervakning etc.
Den fysiska miljön med damm och vibrationer är inte alltid så snäll mot hårdvara som är anpassad för att stå på ett kontor.
Eftersom moderna PC är så kraftfulla tenderar de att få husera flera olika funktioner samtidigt vilket gör det svårt med underhåll och felsökning. (Datainsamling, lokala databaser, HMI, programmeringsverktyg, filserver, integrationsmotor osv)
Det är inte lika vanligt att höra motsvarande diskussioner kring servrar, vilket är synd för ofta finns exakt samma utmaningar där.
Vad gör man åt detta då? Det finns förstås inte någon perfekt lösning som passar alla men några tankar som jag brukar utmana mina kunder med är exempelvis:
Använder ni PC-hårdvara för server-funktioner?
Skulle man kunna utforma, underhålla och administrera produktionens servrar och PC "tillsammans" istället för att försöka hantera dem uppdelat tillsammans med IT-världens PC och servrar? I många fall har en server i produktionen mer gemensamt med en produktions-klient än med en IT-server...
Blir er nätverkssegmentering mellan IT och OT förstörd av att vissa system går på tvären mellan de båda världarna? (Backuper, Systemadministration, Virtualiseringsplattform, Active Directory, Print-spooling, säkerhetsplattformar osv)
Tar ni genvägar genom att blanda flera olika funktioner i samma system som leder till "deadlocks" kring uppdateringar? Kan virtualisering vara en del av lösningen?
Det jag kanske säger framför allt är att vi borde ifrågasätta uppdelningen mellan klient-funktion och server-funktion som vi "ärvt" från IT-världens sätt att tänka. Det mesta i en OT-miljö liknar IT-världens servrar när man tittar på driftkraven, även om vissa funktioner råkar köras i hårdvara som fysiskt liknar en "IT-klient". Det kanske är dags att se allting som serverfunktioner? Jag är väldigt nyfiken att höra från dig om du har praktiska erfarenheter från liknande tankesätt! Hör av dig! mats@ot-sakerhet.se
NIS2 närmar sig på riktigt - dags att agera nu?
Den 13 Maj annonserades att man kommit överens om EUs nya NIS-direktiv, NIS2. Precis som det nuvarande NIS-direktivet är syftet att på olika sätt kravställa, utjämna och följa upp skyddet av samhällsviktiga tjänster. Det som skiljer kanske framför allt kraven berör många fler verksamheter än tidigare, inte minst på grund av att tillverkande industri omfattas. Det kommer sannolikt krävas en väl organiserad incidenthantering, ett strukturerat arbetssätt kring riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Rejäla sanktionsavgifter (2% av omsättning eller 10 MEUR) för verksamheter som inte sköter sig är också på bordet, personligt ansvar för VD och förstås även myndighetstillsyn.
Den exakta utformningen av direktivet väntas inte bli offentligt förrän i höst då det formella beslutet tas. Därefter kommer länderna ha 21 månader på sig att implementera kraven och sedan vill det till att uppfylla kraven! Det finns ingenting som jag sett som tyder på att några större förändringar skett sedan det ursprungliga förslaget. Jag har skrivit om detta tidigare, senast i nyhetsbrev #36 och nyhetsbrev #32.
Det som är viktigt för nästan alla verksamheter att börja med omgående är att reda ut hur man påverkas. Även om man inte berörs direkt så kanske man är leverantör till ett företag som berörs och då kan man indirekt "drabbas" av de ökade kraven på säkerhet i leverantörs-kedjorna. Sist jag tittade vilka svenska industri-företag som kommer beröras innehöll listan över 250 välkända namn. Tillsammans har dessa företag många tusen leverantörer som skapa en affärsmöjlighet om man är snabbast ur startblocken jämfört med konkurrenterna. Till detta kommer förstås alla andra samhällsviktiga verksamheter och deras leverantörer!
Om jag ska ge några råd för att komma igång så är det:
Ta reda på om ni och/eller era kunder omfattas av direktivet.
Red ut vilka krav som i så fall ställs på er och gör en gap-analys mot nuläget. Det kan vara:
Direkta säkerhetskrav på skydd av OT, IT och Information
Nya krav i upphandlingar och leverantörsavtal
Strukturerat organisationsövergripande riskhanteringsarbete
Tydligt ansvar för cybersäkerhet i ledning och styrelse
Snabba rutiner för hantering och rapportering av incidenter
Om ni har verksamheter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra framöver. Tidigare har det hintats om att det speciella undantag som gjorde att säkerhetsskydd alltid åsidosatte NIS-direktivet kommer att förändras. Detta har dock, enligt uppgift, ändrats igen under arbetet, så där får vi se hur det blev...
Eventuellt kan det också bli en koppling till de produktcertifieringar som tas fram parallellt inom EU. Det kommer, som det verkar, dock att kravställas per land. Ett viktigt område att hålla koll på om man är leverantör till verksamheter som omfattas av kraven eller om man har en verksamhet som verkar i flera EU-länder!
För mer information kan du lyssna på en bra intervju av Luca Bertuzzi på EURACTIV med Bart Groothuis, där han bland annat berättar av man matchat nivån på sanktionsavgifterna mot typiska lösensummor i ransomware!
IT/OT-Convergence - Existerar det?
Den sista Maj talade jag på konferensen "IT Security Insights 2022". Ämnet var "IT/OT-Convergence", något som är ett hett område och som det dessutom finns många åsikter kring.
Det handlar om att IT-världen och OT-världen närmar sig varandra på många olika sätt, både kring teknik, dataflöden, integrationer, säkerhetsutmaningar och driftrutiner. Extremt sammanfattat gick min presentation ut på att visa publiken (som innehöll väldigt få "OT-personer") vad som skiljer i synen från "IT- och OT-håll", en del utmaningar som det inte pratas så mycket om och en radda personliga erfarenheter kring vad som är viktigt att tänka på.
Några exempel är:
Det finns extremt olika syn på vad Convergence egentligen är. En hel del anser att det inte ens existerar alternativt att det redan inträffat. Andra ser det som vår tids största utmaning samtidigt som det är en enorm möjlighet!
Det är inte bara IT och OT som växer ihop. På samma sätt finns det ofta separata OT-miljöer i en produktion som tidigare varit relativt separata men som allt mer kopplas samman och därmed påverkar varandra säkerhetsmässigt och ansvarsmässigt.
Hur mycket konvergens är lagom eller tillräckligt?
Hur konvergerar OT-säkerhet med informationssäkerhet?
...och en massa annat. Min dragning finns på YouTube: (Tyvärr försvann ljudet från inspelningen av Q&A-delen på slutet, men presentationen är komplett!)
Apropå likheter och olikheter mellan IT och OT så såg jag en kul Twitter-tråd kring skillnaderna i incidenthantering mellan IT och OT från Lesley Carhart, Director of Incident Response på Dragos, men också känd som "hacks4pancakes". Läs hela hennes resonemang i kommentarerna på Twitter!
Ransomware i en PLC?
Forescout har släppt en rapport kring ett tänkt scenario om hur en angripare skulle kunna knyta ihop IT, IoT och OT i ett ransomware-angrepp. Det här är ju något som vi, vad jag vet, inte sett i verkligheten ännu. Angrepp som påverkar OT, direkt eller indirekt, har vi sett men inte i samband med just utpressning med en direkt påverkan på OT. Något jag hittills inte sett är några "bra" utpressningsmetoder kopplade till PLC:er eller annan processnära utrustning.
Rapporten är intressant och väl värd att läsa. Jag blev först lite besviken eftersom jag hade hoppats att de skulle komma med en radda kreativa metoder för utpressning i PLC:er vilket jag inte hittade. Men det finns faktiskt ett stycke under rubriken "TECHNICAL NOTE: OT-SPECIFIC IMPACT CONSIDERATIONS" där de spekulerar kring sätt att använda logiska bomber mot någon av de större DCS-leverantörerna. Personligen tror jag inte det är realistiskt ännu men det går säkert att utveckla tänket ytterligare.
2022 - Hur går det för oss?
Fortinet har släppt sin "2022 State of Operational Technology and Cybersecurity Report". Den är som vanligt fullproppad med intressanta fakta från deras intervjuer med branschkollegor.
En intressant detalj är att de ser en ganska tydlig förflyttning av ansvaret för OT-säkerhet bort från CTO/CIO/CISO till förmån för produktionsledning och produktansvariga.
Jag ska inte göra mig till tolk av innehållet utan låter dig dra dina egna slutsatser! Helt klart är att det här är ett område som är i förändring och att det inte är helt klart var vi kommer hamna så småningom.
Några spännande poddar!
En stor del av min egen omvärldsbevakning gör jag genom att lyssna på poddar. Ett par tips kring OT-säkerhet från den senaste tiden:
Avsnitt 84 av "The Industrial Security Podcast" från Waterfall diskuterar vanliga misstag när man implementerar synlighets-lösningar (IDS etc) i OT-miljöer. De tar upp en lång rad saker som jag personligen verkligen håller med om kring saker som att aktiv scanning faktiskt verkligen behövs i OT-nätverk, utmaningarna med att sätta upp SPAN/RSPAN i OT-nätverksswitchar och en massa annat.
Dragos och CyberWire har startat podden "Control Loop". Det finns ännu så länge bara två avsnitt men jag tycker deras ambitioner låter väldigt intressanta!
Jag tipsade längre upp i det här nyhetsbrevet om Istaris pod kring Zero Trust. Riktigt bra introduktion, speciellt de första avsnitten - sedan blir det väldigt produktfokuserat men även produktavsnitten innehåller mycket godbitar!
Avsnitt 59 av Manufacturing Hub är ett väldigt tekniskt avsnitt med mycket fokus på nätverk och felsökning. För den som sysslar med utformning av nätverk finns en radda guldkorn, exempelvis fällorna med multicast-traffik.
OT DBT med MITRE ATT&CK
En intressant dragning på 15 minuter av Jacob Benjamin från Dragos om hur man kan använda MITRE ATT&CK för att skapa en dimensionerande hotbeskrivning (brukar förkortas DHB i Sverige) för vår cybersäkerhet. Om du läst mina nyhetsbrev tidigare så vet du att jag gärna trycker på nyttan av att ha en dimensionerande hotbeskrivning som man baserar alla säkerhetsdiskussioner och -åtgärder på. Jacob gör en intressant jämförelse mellan hur man typiskt bygger fysiskt skydd kring en känslig anläggning med hur man kan tänka kring exempelvis OT-säkerhet.
Mer om Industroyer2...
I förra nyhetsbrevet nämnde jag den skadliga koden Industroyer2. Sedan dess har det kommit lite mer information kring denna högaktuella programvara, inte minst kring dess relation till den ryska aggressionen i Ukraina. Här är några bra texter:
Stranded on Pylos skriver om detta.
Vår svenske hjälte Erik Hjelmvik ger oss hans djupdykning i hur Industroyer2 använder IEC-104.
SANS presenterar världens första Hyperencabulator!
Säkerhetsbranschen är tyvärr känd för stora doser fikonspråk och buzzwords. SANS ger oss nu möjligheten att kika på den ultimata säkerhetslösningen för OT och samtidigt lära oss en del nya ord. Imponerande!
Det har gjorts en del tidigare försök, i nyhetsbrev #28 tipsade jag exempelvis om Keysights Electro-Turbo-encabulator. Sök gärna efter Encabulator på YouTube för andra upplysande varianter!
En fältguide till OT-säkerhet!
Ett lite annorlunda grepp kommer från ett samarbete mellan Tripwire, Belden och ProSoft. Det är något slags försök att göra en allt-i-ett-guide till OT-säkerhet i ett riktigt kompakt format.
Den kan nog definitivt tjäna som både introduktion till den som inte har någon säkerhetsbakgrund, den som kommer från "IT-sidan" eller OT-personen som vill lära lite till.
Nytt avsnitt i 62443!
Allas vår favoritstandard ISA/IEC 62443 består som kanske är bekant av 4 huvuddelar, där varje del innehåller ett antal separata dokument:
Definitioner, mätetal och säkerhetens livscykel
Processer och rutiner kopplade till verksamheter som använder OT
Krav på den tekniska utformningen av OT-system
Krav för de leverantörer som utformar och bygger utrustningen som används i OT-system
Arbete pågår nu i det tysta med fler delar. Exempelvis är 62443-6-2 på gång som handlar om hur man utvärderar verksamheter mot kraven i avsnitt 4 (62443-4-1 och 62443-4-2). Det här är ett viktigt område att styra upp eftersom olika certifieringsorgan har arbetat på helt olika sätt.
Om man arbetar på del 6 så bör det ju rimligen vara något på gång i del 5 också? Ja, det stämmer! Här handlar det om "profiler", vilket enkelt uttryckt ska vara anpassningar av kraven i del 2 och 3 för att anpassa dem till vissa branscher. De ska inte tillföra nya krav utan vara fokuserade på att förenkla och tydliggöra vad som är viktigt i specifika sammanhang, exempelvis energibranschen. Jag har tittat på utkastet som hastigast och tycker spontant det såg vettigt ut. Förhoppningen är att dessa profiler ska underlätta arbetet så att man vet vilka krav man behöver ta hänsyn till men jag är rädd att det finns en risk att den totala komplexiteten istället ökar. Vi får se hur det blir när det är färdigt.
Än så länge finns inte så mycket publik information om arbetet. Här är en intervju med Sebastian Fritsch kring detta och speciellt del 6-2.
Någon som är sugen på lite OT-spel?
Lesley Carhart på Dragos skriver om tabletop-övningar kring incidenthantering kring OT och några viktiga lärdomar som de dragit från dem.
Den här typen av övning är ett extremt kraftfullt, och dessutom roligt, sätt att utveckla rutinerna kring incidenter. Mycket mindre störande för verksamheten jämfört med "skarpa" övningar, men ger i vissa fall nästan mer insikter eftersom man kan ta sig tid att diskutera alternativen om så behövs. De övningar som jag själv deltagit i eller lett har alla varit riktigt minnesvärda. Det här är väl värt att prova för alla verksamheter som vill utmana sig själva lite för att hitta viktiga förbättringsmöjligheter.
Hacka det fysiska skyddet!
En av mina gamla käpphästar är att nästan alla organisationer verkar underskatta utmaningarna med cybersäkerhet kring fysiskt skydd, alltså passersystem, videoövervakningssystem, larm osv. Det här är system som väldigt sällan får samma säkerhetsmässiga omvårdnad som andra kritiska system. Med tanke på att ett bra fysiskt skydd ofta är helt avgörande för andra systems säkerhet så är det här viktigt på många sätt! Personligen brukar jag behandla det här på samma sätt som andra system som dras med fysiska risker, dvs som OT-säkerhet...
Trellix har nu gett mig lite extra vatten på min kvarn efter att de annonserat en radda riktigt allvarliga brister i controllers för kortläsare tillverkade av HID Mercury. Det är produkter som säljs under en lång rad andra varumärken, vilket förstås gör det hela ännu värre! Man kan alltså öppna låsta dörrar via nätverket utan att det loggas! Kolla upp om era system berörs av detta eller några andra kända sårbarheter! Även om ni inte berördes den här gången är det här ett område som det är värt att låta någon göra en säkerhetsanalys av!
OT-attacker i Ukraina-kriget?
Enligt en artikel av Jeffrey Carr har GURMO-hackers tillhörande det ukrainska försvarsministeriet hackat det ryska företaget Gazprom. Gazprom är ett av världens största olje- och gas-företag.
Attackerna sägs ha resulterar i stora mängder stulen information men också minst två explosioner orsakade av attacker mot OT-systemen i två gas-pipelines. Ingenting av denna information har dock bekräftats av vare sig Ukraina eller Gazprom. Är det sant så är detta de första kända fallen av fysiska skador från OT-attacker under pågående krig.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.