
Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du nyheter kring både NIS2 och NIS1, hacktivism, en ny möjlighet att öva upp dina OT-hackingskills, leverantörskedjor, 20 år gamla webbservrar, att Microsoft tvingar ut patchar, nedräkning till S4 och en massa bra videos att titta på i jul. Jag funderar på om det verkligen finns enkla svar på svåra frågor och varför vissa leverantörer aldrig någonsin haft en sårbarhet i sina produkter?
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nu kör vi! Snart...

NIS2 har nu accepterats av Europaparlamentet och EUs ministerråd och är därmed helt klart. Den slutgiltiga texten går att läsa på exempelvis svenska eller engelska. Det är drygt 200 sidor som är väl värda att ta till sig!
Det betyder att någon gång om knappt två år kommer denna ganska rejäla utökning jämfört med dagens NIS-direktiv träda i kraft. Som jag skrivit om tidigare kommer detta ställa krav som kommer uppfattas som ganska tuffa av många organisationer. Den största överraskningen kommer nog bli när polletten trillar ner för alla de företag inom tillverkande industri och kemiindustri som också omfattas.
Jag har fått frågan om det kommer bli konsult-panik på samma sätt som det var kring GDPR. Även om det är tusentals organisationer bara i Sverige som berörs så är det ju förstås fortfarande betydligt färre än vad GDPR "drabbade". Men, å andra sidan, är tillgången på kompetens kring risk- och säkerhetsarbete i den här sektorn riktigt tunn - inte minst inom OT-säkerhet som kommer vara en stor del av arbetet! Här vill det till att komma igång med det egna arbetet snabbt, långt innan det finns några översatta och specificerade krav från tillsynsmyndigheterna i Sverige!
Om du är nyfiken på hur det går till i Europaparlamentet får du betänkandet och delar av debatten här. I verkligheten så var det faktiskt lite mer dramatik eftersom en grupp i parlamentet motsatte sig de delar av direktivet som berör krav på organisationer som hanterar domänregistrering på Internet. Deras förslag fick inget gehör, röstades snabbt ner och därmed gick NIS2-direktivet igenom utan problem.
Men hur går det med nuvarande NIS då?
EUs cybersäkerhetsmyndighet ENISA publicerade nyss sin årliga rapport kring investerings-trender runt de organisationer som redan idag berörs av dagens NIS-direktiv.
Man kan hitta en hel del intressanta insikter, inte bara om OT:
En tredjedel av alla organisationer säger att ingen av deras kritiska OT-processer hanteras av en SOC. Personligen hade jag nog trott att det skulle vara ännu värre, det är fortfarande allt för vanligt att man ignorerar aktivt säkerhetsarbete och enbart förlitar sig på preventiva tekniska åtgärder...
Inom energibranschen har hälften av alla organisationer en hybrid-SOC som hanterar både IT och OT medan bara 16% har en dedikerad OT-SOC. Det förvånar mig att det är så lågt som 16%, men det framgår inte hur de övriga adresserat de enorma skillnaderna mellan en IT-SOC och en OT-SOC.
Det är extremt stora skillnader mellan länderna i hur mycket organisationerna säger sig satsa på OT-säkerhet. Sverige ligger mycket lågt. Personligen tycker jag det ser konstigt ut men det verkar hänga ihop med att vissa länder har en större andel stora organisationer.
Stora svårigheter att få tag på kunnig säkerhetspersonal är ett genomgående tema som vi nog alla känner igen.
28% säger sig ha haft minst en ransomware-attack och snittkostnaden för en sådan attack vad drygt 540 000 Euro. Här finns fina siffror för den som vill motivera investeringar i bättre skydd!
På den intressanta frågan "Har implementationen av NIS-direktivet hjälpt er minska konsekvenserna av incidenter?" svarade enbart 6% Nej vilket ju bådar gott inför NIS2!
Åsså maskindirektivet!
Vi verkar också vara på väg att få ett nytt maskindirektiv som jag tror kommer vara väldigt intressant för alla som bryr sig om OT-säkerhet! Det verkar i alla fall finnas politisk enighet kring det liggande förslaget.
Jag återkommer när jag har mer information...
Upp till kamp!
Vedere Labs på Forescout har skrivit ett intressant litet blogginlägg kring hacktivism med mycket fokus på OT.
Grupper med tjusiga namn som GhostSec, Team OneFist, Gonjeshke Darande, SiegedSec, AnonGhost, Network Battalion 65 och Anonymous har gett sig på olika former av OT-system och OT-komponenter i samband med politiskt laddade angrepp runt om i världen.
I en artikel och video med Matan Dobrushin, som är forskningschef på OTORIO, belyser man just gruppen GhostSec på ett intressant sätt.
Vill du bli en OT-hacker när du blir stor?

En gammal sanning inom många former av säkerhetsarbete är "Know your enemy!". I vår värld kan det exempelvis betyda att det kan vara en bra idé att lära sig lite hackar-metoder även för dig som ska skydda dig mot hackers.
Inom den klassiska IT-världen finns det gott om möjligheter att lära sig och att träna praktiskt. Inom OT-området har det har varit sämre med den saken. Det har ändrat sig nu!
Under namnet ICSRange har nu den välkände danske OT-säkerhetsprofilen Mikael Vingaard och hans kollegor dragit igång en lösning där du kan öva och testa dig fram bland en massa mer eller mindre offensiva uppdrag riktade mot riktig OT-utrustning och riktiga OT-protokoll. Jag har fått tillfälle att prova lösningen under några timmar och tänkte dela med mig av vad jag upplevt!

En väldigt intressant skillnad mot många andra så kallade "Ranges" är att du får tillgång till både "måltavlor" och till de verktyg du behöver för arbetet. Det betyder att det blir mycket enklare att använda detta i en för utbildning i en företagsmiljö där man vare sig vill eller får koppla upp sig mot externa tjänster med VPN. Du kan alltså ta upp detta i din utbildningsplan på jobbet utan att behöva fundera på att installera en massa nya grejor - en webbläsare och åtkomst till Internet är allt du behöver!

När man anmält sig får man inloggnings-uppgifter skickade till sig tillsammans med ett informationspaket kring hur man ska bete sig. Eftersom allt sker i en vanlig webbläsare är man väldigt snabbt igång.
Man väljer sina uppdrag i en webbtjänst och gör själva arbetet i ett annat. Du får helt enkelt upp en installation av Kali-Linux direkt i webbläsaren vilket gör det extremt enkelt att börja "hacka". Är man ovan att arbeta i Linux kommer det kanske vara något av en tröskel men man får hjälp att komma igång även där. Från Kali-systemet kommer du åt olika OT-utrustningar som behövs i vissa av utmaningarna.

Uppdragen har lite olika inriktningar, det är inte bara hackande utan även en del Quizar kring allt möjligt med koppling till OT-världen vilket gör det hela ganska omväxlande.
En sektion handlar exempelvis om att analysera nätverkstrafik där man ska identifiera olika typer av system eller hitta hemliga meddelanden i MODBUS-trafik. Svårighetsgraden är också väldigt varierande vilket gör att både nybörjare och mer erfarna användare kommer få utmaningar direkt. Eftersom det fortfarande är en relativt ny tjänst finns det inte enorma mängder uppdrag på plats men det växer hela tiden!

Som sig bör finns det förstås en Scoreboard så att den som känner sig tävlingssugen kan mäta sina skills mot andra. Perfekt om man är flera på jobbet som deltar!
Min spontana känsla är att Mikael & Co har lyckats skapa något som redan är bra och som kan växa vidare till något mycket starkt! Jag kom igång väldigt snabbt och har inte stött på ett enda problem som stört mig i jakten på fler poäng! Nu har jag förvisso inte kört mer än några timmar men tycker mig nog ändå våga rekommendera att du testar om du är det minsta nyfiken på området! Själv tyckte jag det var väldigt roligt att damma av mina gamla hacker-skills lite!
Det finns inga enkla svar på svåra frågor!

Jag fascineras hyggligt ofta av att OT och OT-säkerhet betraktas som ett enhetligt område som är lätt att sammanfatta och där säkerhetsarbetet enkelt kan förklarar med några snabba ord. Det är märkligt nog lika vanligt att det kommer från "IT-folk" som från "OT-folk"...

Generellt tycker jag man underskattar skillnaderna mellan helt olika verksamheter som på något vis använder sig av "OT". Kan man verkligen dra många likheter mellan säkerhetsarbetet för reaktorstyrningen i ett kärnkraftverk och för en robot som staplar skokartonger på en lastpall? Eller för fastighetsautomationen på ett fängelse? Eller för produktionen av läsk enligt ett hemligt recept? Eller för skeppsövervakningen på ett av flottans fartyg? När man tänker så känns det ganska uppenbart att det finns ganska stora skillnader i både prioriteter, risker, hot och tekniska förutsättningar?

Den absolut vanligaste förenklingen är förmodligen att man ska vända på CIA-triaden (Confidentiality, Integrity och Availability. På svenska Hemlighet, Riktighet och Tillgänglighet). Alltså tanken att inom IT är det alltid hemligheter som är det viktigaste att skydda och inom OT är det alltid tillgänglighet. Den där stackars riktigheten får aldrig vara viktigast. Jag brukar invända resonemanget inte ens stämmer inom IT och Informationssäkerhet så varför skulle OT vara så mycket simplare? Och även om det vore sant så talar vi oftast om information i första fallet och en fysisk process i det andra, alltså två företeelser som är ganska svåra att jämföra.

En annan klyscha brukar vara att inom OT handlar allt om Safety, alltså att det inte ska uppstå konsekvenser som är farliga för människor eller miljö. Och visst, i och med att vi hanterar fysiska maskiner och processer så finns det en poäng i att sätta skyddet av medarbetare högt. MEN! Det är sällan de flesta allvarliga riskerna i en OT-riskanalys handlar om Safety eller att mycket fokus i OT-säkerhetsarbetet hamnar där. I många verksamheter är det ganska enkelt att bygga bort Safety-risker, speciellt om man tänker lite utanför boxen. Mitt favoritexempel är styrningen av en pump som, om den skulle bli hackad, skulle kunna köras baklänges och därigenom skapa en farlig situation. Istället för att lägga enorma resurser på att skydda all potentiellt sårbar utrustning kan ju lösningen vara att sätta en backventil på rörledningen! Därmed inte heller sagt att Safety är oviktigt. Tvärtom är det tyvärr också lite för ofta jag, högst personligen, kan tycka att man glömmer bort den typen av frågor i riskarbetet.

På sistone har jag börjat få frågan från mina läsare varför jag inte gillar Purdue-modellen? Jag förstår att man kan tolka det så men jag har egentligen ingenting emot modellen i sig själv, den är en bra metod för att beskriva system och flöden. Där det brukar gå snett är när man tänker sig att bygga segmentering inom nätverk och system längs nivåerna i modellen. I de flesta typer av verksamheter blir inte det en meningsfull segmentering! När jag trycker emot lite brukar man landa i att det är viktigt att dela på "IT" och "OT", och där har jag förstås inga invändningar. Men det behöver man ingen Purdue-modell för att förstå... Vi ska förstås jobba med segmentering, men då föredrar jag det riskbaserade tänket från IEC 62443 där man bygger sina säkerhetszoner lite friare. Om man absolut vill ha en snygg modell vill jag gärna slå ett slag för en släkting till Purdue-modellen, nämligen NOA-modellen från NAMUR, som är en elegant lösning på att hantera den allt större mängden "IIoT"-enheter som dyker upp i allt fler verksamheter.
Att berätta sanningen eller inte?
På senare tid har jag haft anledning att djupdyka i hur olika tillverkare av OT-prylar annonserar (eller inte annonserar) sårbarheter. Man kan ju ha många spännande filosofiska diskussioner kring hur viktigt det är är, eller inte är, att jaga sårbarheter i OT-miljöer som ju ofta bygger på i grunden osäkra protokoll och lösningar. Personligen tycker jag att det är både meningsfullt och viktigt att förstå helheten om man ska bedöma risker.
Ett användbart verktyg är den här sidan där man kan vända och vrida på alla sårbarheter som annonserats via amerikanska CISA.
Det som blir uppenbart väldigt snabbt är att vissa tillverkare helt saknas i listan, vilket i min värld betyder att de, av någon anledning, mörkar sina sårbarheter. Än så länge har jag aldrig stött på ett företag som helt lyckats undvika sårbarheter i sina produkter och jag tror sannolikheten är låg att jag någonsin kommer göra det.
Om du frågar mig tycker jag att det är viktigt att man som tillverkare av säkerhetskritiska produkter ger en tydlig bild av vilka rutiner man har för att hantera sårbarheter när de upptäcks och helst också att man är öppen med vilken typ av sårbarheter som åtgärdats i de egna produkterna. När jag tar upp detta med leverantörer så får jag ofta argumentet att de inte vill att gamla sårbarheter används mot dem i samband med upphandlingar och andra jämförelser.

För tiden är väl förbi när någon vettig säkerhets-människa tror att ett företag som har åtgärdat många säkerhets-problem automatiskt därmed har produkter som är mer osäkra? Förmodligen är det nog oftast tvärtom! Personligen tycker jag att det är dags att det betraktas som en stor brist att man inte är öppen om sina åtgärder. Visst är det bra att man bara kommunicerar sårbarheter direkt till sina kunder, och därmed minskar exponeringen för dem, men i längden tror jag alla förlorar på hålla hemligheter.
Det här är märkligt nog ett ganska outforskat område som jag misstänker att jag kommer få anledning att återkomma till.
Klarar du dig utan DCOM?

För ett och ett halvt år sedan publicerade Microsoft en sårbarhet i DCOM men lämnade patchen avstängd eftersom man hade identifierat stor påverkan på en rad OT-mjukvaror. Från och med i somras ändrade man så att uppdateringen automatiskt läggs på och man inte aktivt stänger av den. Men! Från och med 14:e Mars kommer patchen inte längre gå att stänga av längre vilket kan få "spännande" konsekvenser.
Den mest kända användningen av DCOM är "gamla" OPC, alltså föregångarna till OPC UA. OPC-Foundation har en bra artikel på ämnet. Jag kan väl tycka att det här är ytterligare ett bra skäl att gå över till OPC UA om man inte gjort det vid det här laget...
TXOne och Velta kände sig kreativa och har föreslagit att man helt stänger av uppdateringar tills man hinner lösa problemet och istället använder Stellar-produkterna från TXOne som kompenserande åtgärd. En smart tanke som ju har en del andra fördelar också...
Det där med svagaste länken i kedjan?
Det är mycket fokus på säkerhet i leverantörskedjor numera. Vi har en massa exempel på spektakulära attacker som på olika sätt använt leverantörer som väg till slutmålet. NotPetya, Solarwinds, Coop/Visma/Kaseya och till och med Stuxnet är välkända exempel som definitivt satt det här hotet på kartan.
Nu har amerikanska CISA, NSA och ODNI släppt en serie råd kring det här utmanade området, de är riktade mot utvecklare, mot leverantörer och mot kunder. De är inte tänkta för OT specifikt men råden är så generella att de passar alldeles utmärkt även i det här området.
Det här är ett riktigt utmanande område att arbeta med och vi kommer behöva alla goda idéer vi kan samla ihop! Förutom att det är ett viktigt område på egna meriter så kommer det börja ställas krav från många håll. Exempelvis är detta en stor del i NIS2.
Bu för Boa!

En variant (och en ganska extrem sådan) på ovanstående utmaningar kring leverantörs-kedjor beskrivs i en rapport från Microsoft. En open-source webserver kallad Boa lades ner 2005 men sprids fortfarande i en massa OT- och IoT-produkter. Enligt uppgift finns 1 miljon sårbara Boa-server åtkomliga på Internet och hur många mer som finns längre in i nätverken kan vi bara gissa. Sårbarheterna i Boa har nu kopplats till angrepp mot Indiska energiföretaget Tata Power.
Microsoft gör mer väsen av sig i OT-världen!
Microsoft har släppt en rapport kring riskerna som uppstår när OT och IoT närmar sig varandra. Det här är en av alla "Convergence"-rörelser som vi ser globalt. Ofta är det IT och OT man är orolig över men motsvarande funderingar kan man ha kring alla kombinationer av IT, OT och IoT. Man ska förresten inte glömma bort att convergence mellan OT och OT ibland är en utmaning, alltså när olika OT-världar i samma organisation av olika skäl närmar sig varandra, exempelvis om man både har Process-OT och Tillverknings-OT som behöver börja kommunicera mer.
Microsofts rapport har fått en hel del uppmärksamhet som både ger ris och ros. Personligen vet jag inte om rapporten ger så mycket för den som redan är införstådd med de typiska utmaningarna inom OT-världen men den kan nog vara en ögonöppnare för många som har en mer IT-fokuserad bakgrund. Personligen tycker jag det är väldigt positivt att Microsoft börjat bli lite mer tydligt engagerad i OT-världen och jag hoppas att det kan vara ett första steg mot mer lösningar för att komma runt många av de problem som uppstår när teknik utformad för IT-användning hamnar i verksamheter som lever under lite annorlunda förutsättningar. På senare tid märker jag också ett ökat intresse från företag att titta närmare på Microsofts "Defender for IoT", som ju bygger på OT-säkerhetslösningen CyberX som de köpte för några år sedan.
Rapporten diskuteras också i en YouTube-video: