Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!

Den här gången har jag två världspremiärer! Dels berättar jag om den första krypto-attacken någonsin mot en OT-komponent. Det är också premiär för en gästskribent, min kollega Johanna skriver om likheter mellan hållbarhetsarbete och det som många organisationer står inför kring NIS2. Du får också en djupdykning i nya regelverket CRA från EU, säkerhet i både fartyg och brandbilar, SANS-utbildning i Sverige, ett nytt dokument i 62443-standarden och vad man borde tänka på när man tar bort en säkerhetsåtgärd.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Be careful what you wish for...

Tänk om bara någon kunde börja ställa krav på ett bra säkerhetsarbete i tjänster som är viktiga för samhället! ...och om någon kunde kräva att tillverkarna tar ansvar för säkerheten i alla IT- och prylar! ...och att alla som bygger potentiellt farliga maskiner funderar på riskerna med modern teknik! ...och att även "svåra" branscher kräver cybersäkerhet i komplexa produkter, typ för fartyg och bilar!
Man får vara försiktig med vad man önskar sig. Det kan bli sant - och vad gör vi då?

Det är fantastiskt att se att flera tunga och tonsättande organisationer just nu och nästan samtidigt utvecklar riktigt kraftfulla krav på säkerhetsarbete inom påverkar OT-säkerhet enormt mycket. EU har verkligen kommit igång, i det här nyhetsbrevet skriver jag om efterträdaren till maskindirektivet, den nya CRA-förordningen och vår favorit NIS2-direktivet. Dessutom är det ju en radda andra kravmassor på gång från EU kring finansmarknaden, AI, radioutrustning och samhällsviktig verksamhet för att nämna några. Bilbranschen är mitt uppe i att implementera FN-kraven UN R155 och R156. Och som jag skriver om lite längre ner, fartygsbranschen får nya krav från klassningsorganisationerna som börjar gälla 1:a Januari 2024.
Personligen tycker jag det är fantastiskt! Men visst kommer många få det lite kämpigt och det kommer innebära att spelreglerna på marknaden ändras en del! Än så länge är det fortfarande ganska lugnt i media och bland konsultköpare (förutom i bilindustrin) men vänta ett år eller två... Säkerhetsbranschen är definitivt rätt ställe att vara på framöver!
En djupdykning i CRA!

Nu när du har börjat (?) arbeta med förberedelserna inför NIS2, CER och DORA så är det ju dags att titta vidare på nästa spännande EU-krav, CRA, "Cyber Resilience Act". Eller som den heter i det officiella förslaget: "regulation... on horizontal cybersecurity requirements for products with digital elements..." Det är viktigt att notera att detta inte är ett direktiv utan en förordning ("regulation"), vilket i EU-världen betyder att den gäller direkt i alla medlemsländer utan att det behövs någon nationell lag. NIS2 är ju ett exempel på ett direktiv, vilket innebär att kraven implementeras som en lag i varje enskilt land. Att man valt att göra CRA till en förordning är säkert för att det är så viktigt att den hanteras precis på samma sätt i alla länder.

Vad handlar CRA om då? Det är helt enkelt att EU kräver att man ska kunna visa att tekniken är cybersäker för att man ska få lov att sälja den. Skulle det visa sig att den inte är det så har man dels ett ansvar att lösa problemet och man kan dessutom få böter om man missköter sig. Och det är inget dåligt scope, kraven omfattar alla typer av teknik som man vill kunna sälja inom EU! Scopet är definierat som "products with digital elements", vilket ju är ganska omfattande! Det handlar alltså inte bara OM-prylar utan om allt, även babymonitors och uppkopplade kylskåp. Det kallas för en horisontell kravmassa och med det menar man att den är tänkt att vara gemensam för så många olika områden som möjligt. Man undantar dock medicintekniska system, flygplan och motorfordon som redan har egna kravdokument. Även militär utrustning och produkter som är enbart avsedda för nationell säkerhet kommer undan.
Vad betyder då "products with digital elements"? Här pekar man på både hårdvara och mjukvara men även "remote data processing solutions", dvs molnlösningar som ingår/stöttar i en produkt. Däremot exkluderar man exempelvis SaaS, "Software as a Service", och pekar istället på NIS2 som omfattar den typer av tjänster. Man har också ett tydligt undantag för gratis mjukvara, inklusive open-source och produkter som av andra skäl inte är kommersiella. På samma sätt undantar man test-versioner och liknande.

Man använder det existerande begreppet "CE-märkning" för att indikera att man som tillverkare garanterar att man uppfyller kraven även på det här området. I kraven trycker man på områden som:
hur man får tillhandahålla produkter
design, utveckling och produktion av produkter
hur ansvaret fördelas mellan alla parter som är inblandade
krav på hantering av sårbarheter under hela produktens livscykel

Om man är OT-intresserad så märker man direkt att det är ett väldigt fokus på området. Man använder inte begreppet "OT" så mycket utan pratar om IACS ("Industrial Automation and Control Systems"), vilket är det begrepp som exempelvis 62443-standarden använder (än så länge). Men man kryddar även med andra begrepp för att budskapet ska gå fram, exempelvis "PLC", "SCADA", "DCS", "CNC", "Robot controllers", "Smart meters" och "Industrial Internet of Things".
Man gör en direkt koppling till det nya maskindirektivet och säger att produkter som man deklarerat som att de uppfyller CRA därmed ska ses som att de uppfyller motsvarande krav i maskindirektivet. Det finns direkta hänvisningar till NIS2, vilket exempelvis gör att en PLC som ska kunna användas av en verksamhet som faller under den högre graden av känslighet i NIS2, "Essential" direkt hamnar i den näst högsta kravnivån i CRA, "Critical product - Class II". Lite snärjigt att förstå men det är bra att det hänger ihop!

Det finns som sagt flera kravnivåer, närmare bestämt fyra stycken.
"Product" - Alla prylar som inte hamnar i en högre klass. Här ställs det en massa krav på produkten och på leverantören för att man ska få sälja produkten.
"Critical product - Class I" - I ett appendix till förordningen finns en lista med produkttyper som gör att den är "Critical". Här räknas lite allt möjligt upp som är viktigt för säkerheten, exempelvis lösenordshanterar, SIEM-system, nätverksövervakning, remote access, brandväggar osv. Den lägre klassen "Class I" är allt som inte är "Class II".
"Critical product - Class II" - Den högre klassen är exempelvis operativsystem, virtualiseringsplattformar, PKI-lösningar, microprocessorer, HSM-system, kryptoprocessorer, smartcards med läsare och robotar. Produkter som är avsedda för "industrial use" pekas ut speciellt: Brandväggar, IDS/IPS, mikroprocessorer och switchar. Om de ska användas av "Essential entities" enligt NIS2 ingår även PLC:er, SCADA, DCS, CNC-maskiner (!) och IIoT-prylar.
"Highly critical product" . Här krävs en certifiering av produkten enligt "The EU cybersecurity certification framework" för att den ska vara godkänd att sälja. Just nu är det oklart vilka typer av produkter som är tänkta att hamna här men det hintas om att verksamheter som är "Essential" enligt NIS2 skall använda den här typen av produkter! Ramverket för certifiering är inte heller färdigt ännu.

En sak som exempelvis skiljer mellan "Class I" och "Class II" av Critical produkts är att man behöver anlita en extern granskare i den högre nivån. Några exempel på krav som gäller i alla nivåer är "security by default", skydd mot obehörig användning, skydd av information, tålighet mot attacker, minimerade attackytor och loggning av säkerhetshändelser.

När åtgärder för en sårbarhet publicerats måste leverantören offentliggöra detaljerad information om detta! Uppdateringar för sårbarheter måste dessutom vara gratis och tillgängliga utan fördröjning. Leverantören ska kunna säkerställa att sårbarheter kan åtgärdas med uppdateringar under den kortaste tiden av fem år eller produktens förväntade livslängd. Leverantören ska dokumentera sårbarheter och komponenter vilket inkluderar en maskinläsbar "Software Bill Of Materials", SBOM.

Om du läste mitt förra nyhetsbrev så ondgjorde jag mig där över att vissa leverantörer vägrar offentliggöra sårbarheter och rättningar. CRA kommer alltså att styra upp det beteendet ganska ordentligt och dessutom tvinga leverantörerna att tillhandahålla rättningarna gratis! Bra där!
Här och där trycker CRA på ett av favoritämnena från NIS2, nämligen säkerhet i leverantörskedjorna. Exempelvis ska man utöva "due dilligence" när man inkluderar komponenter från tredje part, dvs man kan inte skylla på sina underleverantörer om något går snett...

Får man smisk om man inte sköter sig enligt kraven? Ja, det får man väl säga... De exakta nivåerna sätts per land i nationell lag men förordningen sätter följande högsta nivåer:
Det högsta av 15 MEUR eller 2.5% av global omsättning om man bryter mot de grundläggande tekniska kraven.
Det högsta av 10 MEUR eller 2% av global omsättning om man bryter mot något annat krav.
Det högsta av 5 MEUR eller 1% av global omsättning om man vilseleder myndigheterna.
Viktigt är också att ovanstående även gäller privatpersoner! Det är alltså inte bara företag som kan få böter i det här sammanhanget. Det är också här som en stor källa till kritik mot CRA finns. Olaf Kolkman har beskrivit det bra i sin artikel där han bland annat pekar på risken att den viktiga Open Source världen påverkas negativt av kraven i CRA. Även om det finns undantag för Open Source så finns det ofta en kommersiell del av stora projekt för att finansiera arbetet. Det skulle också kunna tänkas slå mot plattformar som GitHub eftersom de kan betraktas som distributör av mjukvara, vilket ger dem ett ansvar för dess säkerhet.

Att CRA kommer bli något av en revolution är ganska klart. Men det finns mycket att fundera på, inte minst inom OT-världen. Hur ska man exempelvis se på grundkravet "Products with digital elements shall be delivered without any known exploitable vulnerabilities" när vi vet att många nätverksprotokoll som vi använder helt saknar säkerhetsfunktioner? Man pekar också uttryckligen på leverantörens ansvar för skador som uppstår om "Security-brister" leder till "Safety-brister" som i sin tur drabbar kunden. Något som förvånar mig är att man begränsat ansvaret till 5 år för att tillhandahålla säkerhetsrättningar. Med tanke på typiska livslängder på OT-utrustningar är det väldigt kort!
Existerande produkter omfattas bara om man gör "stora förändringar" i deras design eller användningsområde. Detta gäller dock med ett viktigt undantag! För existerande produkter får tillverkaren omedelbart ett ansvar att meddela ENISA om sårbarheter som aktivt utnyttjas och också att meddela om säkerhetsincidenter som påverkar produktens säkerhet.
Förslaget lades i september och har nu börjat manglas genom EUs kvarnar. Du hittar grunddokumentet och bilagorna på EUs fina web, där du även kan följa arbetet. När det är klart ska det börja gälla efter 24 månader förutom kravet på att meddela ENISA om utnyttjade sårbarheter och säkerhetsincidenter som gäller redan efter 12 månader.
Mer forskning tack!

Apropå kontroversiell sårbarhetsforskning inom OT-världen som jag skrev om i förra nyhetsbrevet och nu igen i texten ovan om CRA, så skrev Michael Yehoshua från SCADAfence nyligen en intressant artikel där han beskriver varför den typen av forskning är viktig.
Det finns ju en del grupper som hävdar att det är meningslöst vilket varken Michael eller jag håller med om. Vad tycker du?
Maskindirektivet är dött! Länge leve Maskinförordningen!

Maskindirektivet har funnits i många år och är tänkt att ställa krav på potentiellt farliga maskiner. Om nu CRA är tänkt att styra upp "Cybersäkerheten" i alla IT/OT/IoT-prylar så tar Maskindirektivet hand om den där delen av säkerheten som heter "Safety" på engelska. Men eftersom även potentiellt farliga maskiner numera innehåller en massa modern teknik så finns det ett stort överlapp mellan de två.
EU har identifierat en radda problem med det nuvarande maskindirektivet som de vill komma till rätta med genom att göra en rejäl uppdatering, exempelvis:

Modern teknik hanteras inte på ett bra sätt. Man lyfter en rad exempel som co-bots, uppkopplade maskiner, mjukvaruuppgraderingar, autonoma maskiner och andra utmaningarna med att göra riskanalyser av applikationer som använder AI och machine learning.
Oklart språk som leder till leder till juridiska oklarheter och gap i safety-tänket.
Det har gått 15 år sedan man gjorde listan över vad som betraktas som högrisk-maskiner, mycket har ändrats sedan dess.
Det nuvarande direktivet kräver dokumentation på papper! Bara här har man uppskattat en kostnadsbesparing på 16 Miljarder Euro per år genom att gå över till digital lagring.
Direktivet är ett direktiv vilket gör att det implementerats olika i olika länder.
I det nya förslaget är maskindirektivet inte längre ett direktiv, utan precis som CRA, en förordning (regulation). Det kommer bli jobbigt att tänka om och börja säga "Maskinförordningen"! Men det är bra att reglerna implementeras mer lika i alla EUs länder! Värt att notera är att både nuvarande och kommande regler inte bara definierar en lägsta nivå och utan säger också att länder inte får ställa högre krav!

Maskinförordningen och CRA är väldigt lika på många sätt. Inte minst verkar man ha liknande tänk kring ansvarsfördelningen mellan tillverkare, importörer och andra som ser till att en produkt finns på marknaden. Däremot skiljer det exempelvis på så sätt att länderna själva styr över böter och sanktionsavgifter som kan drabba en organisation om man bryter mot regelverket.
Jag har tittat närmare på en text från i somras som är något slags arbetsdokument, fyllt av ändringar och tillägg. Man gick nyligen ut och sa att man har kommit överens politiskt men det betyder ju inte att detaljerna är klara... Det verkar som det kommer bli ytterligare en del förändringar så jag avvaktar med en djupdykning i detaljerna ett tag.
Vi får se när texterna blir färdigförhandlade. I den senaste texten jag sett pratar man om 36 månader som startsträcka för dem som omfattas. Helt klart är att det kommer ställas en hel del nya och utmanande krav på er som bygger maskiner i olika former! Här vill det till att stå på tå när kraven börjar klarna!
Slutgiltig NIS2 på svenska!

Jag tog mig en liten stund för att läsa den slutgiltiga versionen av NIS2, speciellt nu när den är tillgänglig på svenska. Här är lite snabba punkter som jag inte hade uppfattat fullt ut tidigare:
Länderna får själva bestämma om NIS2 ska appliceras "offentliga förvaltningsentiteter på lokal nivå", vilket jag tolkar betyder att Sverige själv kan bestämma om NIS2 ska gälla för kommuner och kommunala verksamheter.
På samma sätt kan länderna bestämma att reglerna gäller högskolor som utför "kritisk forskningsverksamhet".
Ett land får fritt besluta om högre krav än de som finns i direktivet.
Ett väldigt starkt krav på att ledningen för berörda organisationer är utbildade och tar aktivt ansvar för riskarbetet kring cybersäkerheten. Ledningen ska kunna ställas till svars om det inte sker på ett tillräckligt bra sätt.
Både länderna och EU-kommissionen får peka ut verksamheter och typer av verksamheter som måste använda tekniska lösningar som säkerhetscertifierats enligt EUs kommande regler.
Tillsynsmyndigheter har rätt att tillfälligt förbjuda en VD eller ett juridiskt ombud för en organisation att utöva ledningsfunktioner i väsentliga organisationer. Det vill säga att en VD som inte ser till att säkerhetsarbetet sker på tillräckligt bra sätt får sitta i skamvrån!
Länderna har 21 månader på sig att skapa de bestämmelser som krävs för att implementera NIS2. När bestämmelserna finns på plats ska reglerna börja gälla direkt!

Av dessa är kanske punkten om att det kan komma bestämmelser om att man måste använda certifierade tekniska lösningar allra mest intressant! Det kan förstås göras på väldigt många olika sätt så det är svårt att förutse hur det kommer att slå. Att det kommer bli en rejäl utmaning är helt klart och i synnerhet för OT som ju extremt ofta baseras på teknik som med flit är utformad för att prioritera driftsäkerhet över skydd mot angrepp.
Vill du läsa mina tidigare tankar om NIS2 så rekommenderar jag nyhetsbrev #44, #36 och #32.
Hållbarhet och NIS2 - En gästspaning!
Jag har det stora nöjet att släppa in min kära kollega Johanna Parikka Altenstedt som gästskribent. Hon har ett rikt och imponerande förflutet som gör att hon kan dela med sig av spännande spaningar kring likheterna mellan det hållbarhetsarbete som många organisationer är på väg igenom och det säkerhetsarbete som samma organisationer står inför tack vare NIS2. Tack för spännande vinklar på ämnet, Johanna!
Vi bör lära oss av hållbarhetsresan inför arbetet med NIS2

När EU-direktivet NIS2 om cybersäkerhet träder in med full kraft, kommer en organisation som inte har gjort sin hemläxa inom cybersäkerhet få det hett om öronen, om den drabbas av en incident som skapar risker eller skada. Bristerna i säkerheten kommer att skugga organisationens branding och minska trovärdigheten inför kunder, klienter, intressenter, ägare och aktieägare samtidigt som man utsätter sig för stora ekonomiska risker i form av möjliga straffavgifter och eventuellt ogiltiga försäkringar. Allt på grund av bristande risk- och sårbarhetsanalyser samt på grund av onödigt risktagande. Men genom att studera hur hållbarhetsarbetet har utvecklats under det senaste decennium kan man faktiskt ta itu med säkerhetsutmaningar på ett effektivt sätt.
Stora krav på gång

Den som sätter sig in i det kommande nya direktivet om säkerhet i nätverk och informationssystemet, NIS2, kan lätt drabbas av en viss utmattning när man inser vilken ambitionsnivå och vilka krav direktivet för med sig till medlemsländerna i EU. NIS2 ska implementeras i hela unionen inom 21 månader från att slutlig fastställd text publicerats i EU:s offentliga tidning. Direktivet gäller från det datumet och träffar såväl privata som offentliga verksamheter enligt en klassificering baserad på deras storlek och verksamhetens nationella betydelse. De flesta större företag och alla offentliga organisationer kommer förmodligen att träffas av någon del av direktivet, och därmed blir de skyldiga att uppnå en hög säkerhetsnivå i sin verksamhet såväl gällande sin produktion och sina processer. Ansvaret för detta läggs uttryckligen på ledningen oavsett hur organisationsformen ser ut. Vidare blir verksamheterna ansvariga för hela sin värdekedja såväl nedströms som uppströms.
Hållbarhetsresan som förebild

Den som var med på hållbarhets- och CO2-resan från början ser en hel del likheter mellan den och den stundande säkerhetsresan. Ifrån att ha betraktat hållbarhetsanalyser som något som hålls internt i den egna organisationen och som man inte velat kommunicera så mycket om, har det idag blivit normaliserat arbete; effektiva hållbarhetsstrategier och policyn på plats, livscykelanalyser (LCA) görs från början av värdekedjan ända från ”cradle to grave” vilket innebär en identifiering av alla delarna från råvaruproduktionen, logistiken, energiförsörjningen, produktionen av varor och tjänster, expedieringen och konsumtionen/användningen, samt återanvändningen eller avfallshanteringen. En LCA räknar på data från varje del i processen för att få fram miljöpåverkan totalt. Vidare kopplas det sociala ansvaret och samhällsnyttan på detta genom Agenda 2030 målen. För detta har det skapats effektiva datahanteringssystem, avvikelsesystem och ledningssystem. Ansvaret för hållbarheten har också seglat upp från sakkunniga djupt inne i organisationer till ledarna i styrelserna och ledningsgrupperna. Inom PR, kommunikation och marknadsföring har man identifierat riskerna med att inte kommunicera om sitt hållbarhetsarbete som görs (som kan ju vara börspåverkande!) men även riskerna på green wash. Kommunikationscheferna har slitit med att lära organisationer att dumpa ordet ”miljövänlig” eftersom det som görs är inte för miljöns bästa, men i bästa fall neutralt och icke belastande. Idag är hållbarhetstänkandet, CSR-kommunikation och socialt ansvar main stream både inom medier, politiken och bolagsstyrelserna, och vi kan på riktigt följa hur arbetet fortskrider, vad som fungerar och diskutera nya utmaningar.
Inspiration inför NIS2

Det är den här resan som skyddssarbetet har framför sig: att förankra säkerhetstänkandet och utbilda organisationer, lära nyckelpersoner förstå riskerna med utebliven cybersäkerhet, få styrelserna och direktörerna analysera de ekonomiska och brandingvärdena som finns förknippade med såväl välgjort säkerhetsarbete som med dåligt säkerhetsarbete. För detta behövs ett klokt arbete med strategier och policyn. Vidare behöver vi få kommunikationsenheterna att prata om säkerhet på ett relevant sätt och få HR att lägga rimliga utbildningskrav på organisationerna angående detta. Därtill behövs en utveckling av rapporteringssystem och ledningssystem som bidrar till att organisationer genomför ändringarna som krävs, och kan även följa kvaliteten i sitt arbete. Detta inkluderar rimligen alla certifieringssystem och ISO-kvalifikationerna. Sist men inte minst behövs ett gediget system för att få in data och synpunkter såväl från leverantörerna som entreprenörerna, och från kunderna, medborgarna och klienterna angående cybersäkerhetsarbete, risker och åtgärder. Och för att kunna göra det måste man identifiera vilka som träffas av NIS2.
Det kan vara en idé att börja 2023 med ett inspirationssamtal med hållbarhetschefen och hitta synergierna mellan hållbarhetsarbetet och cybersäkerhetsarbetet. Det viktiga i båda är ju att man lever som man lär!