Dags för ett nytt nyhetsbrev kring OT-säkerhet.

Den här gången får du vinnaren i jubileumstävlingen, ett riktigt spännande boktips, det senaste kring NIS2 och CRA, konsekvens-prioritering, en hackad pipeline i Kanada, olika syften med segmentering, lögnen från Oldsmar, robusthet kontra tålighet, säker utveckling av IoT, MITREs syn på leverantörer, Nytt från SÄPO och Energimyndigheten, OPC UA, Livsmedelsverkets turné och så har jag lärt mig ett nytt ord!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Vi har en vinnare!

För att fira utgåva 50 utlyste jag en tävling där man kunde skaffa sig större chans att vinna genom att se till att sprida nyhetsbrevet till fler läsare.
Jag kan nu glatt meddela att vinnaren heter Mikael Brolin. Mikael gick så långt att hans kollegor på Seco Tools i Fagersta bad mig avsluta tävlingen så att Mikael skulle sluta gå runt och jaga folk att läsa nyhetsbrevet... Snyggt jobbat Micke! Nu får du jaga dem att spela spelet istället!
Nyhetsbrev 50 slog precis som jag hade hoppats ett tydligt rekord i antal läsare under sin första vecka. Tack till er alla som hjälpte till att sprida det!
En inspirerande bok!

Jag läser boken "Industrial Cybersecurity - Case studies and Best Practices" av Steve Mustard. Jag avvaktar med en full recension tills jag har läst färdigt den, men jag är redan imponerad och kommer skriva en del reflektioner över intressanta delar som jag lärde mig av eller som jag kanske inte håller med om.
Redan från början märker man att Steve, i motsats till många andra som skriver om OT, verkligen förstår både IT och OT. Han kan jämföra dem utan att fastna i de vanliga fällorna där kreativ OT-säkerhet bara handlar om att rita om Purdue-modellen på ett nytt sätt.
Han tar oss igenom många viktiga ämnen och gör det på ett sätt som ändå håller boken nere på en rimlig tjocklek, 250 sidor. Det kan faktiskt vara så att det här är den boken som jag många gånger själv funderat på att skriva. Nu behöver jag inte det...
Dale Peterson intervjuade nyligen Steve i podden "Unsolicited Response" och de kommer in på en hel del intressanta ämnen:

Ett exempel på en intressant reflektion i boken är skillnaden i säkerhetskultur mellan IT-utvecklare och OT-ingenjörer. Där IT idag i väldigt stor utsträckning lutar sig mot någon variant av agilt arbetssätt, håller OT emot och stannar i ett vattenfallsliknande tänk och med ett strukturerat arbete enligt principerna i Systems Engineering. Det kan förefalla trögt och bakåtsträvande men beror förstås på de annorlunda förutsättningarna kring risk. Agilt arbetssätt har "Fail Fast" som ett av sina ledord, vilket är möjligt eftersom man kan dra nytta av ett utforskande arbetssätt. Misslyckas man så har man "bara" förlorat arbetstid för ett gäng utvecklare. Inom OT kan konsekvenserna vara att fysisk utrustning måste byggas om eller i värsta fall blir förstörd vilket leder till helt andra förluster i arbetstid och kalendertid. Där "Safety" är avgörande tappar man ju dessutom i någon mån den rigorösa analysen av konstruktionen. Personligen har jag på senare tid delvis ändrat uppfattning kring detta, efter att ha sett de makalösa saker som kollegorna på AFRY skapar med hjälp av digitala tvillingar. Tack vare att man nu kan prova sig fram i emulerade fysiska miljöer tidigt i projektet fångar man feltänk tidigt. Man sparar dessutom massor med tid under driftstart eftersom alla irriterande småbuggar redan hittats under simulerade igångsättningar. Det passar inte i alla sammanhang men i väldigt många!
Glada tillrop från myndigheterna!
Ett ovanligt brett internationellt samarbete presenterades nyligen under rubriken "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". Det är CISA, FBI och NSA från USA tillsammans med cybersäkerhetsmyndigheter från Australien, Kanada, Storbritannien, Tyskland, Nederländerna och Nya Zeeland som tagit fram materialet.
Man kan se det som en uppmaning till både tillverkare och köpare att fokusera på säkerhet tidigt i utvecklingsprocesserna så att komponenter och system utformas på ett säkert sätt redan från början och "automatiskt" blir säkra vid en normal installation. Man har ungefär samma syfte som EUs kommande CRA, "Cyber Resiliency Act". Det är inget speciellt fokus utan man siktar på både "IT" och "OT".
Det är just nu oklart för mig om det kommer något slags fortsättning på detta eller om man nöjer sig med de bra och tydliga referenser man ger till "Secure Software Development Framework" (SSDF), också känt som NIST SP 800-218.
Det börjar röra sig kring NIS2! Men sakta...

Det är roligt att se hur mycket intresse de kommande utmaningarna kring NIS2 har börjat väcka. Gensvaret när jag talar om det här på konferenser och i andra sammanhang är starkt. Jag har sedan länge kunder i en massa spännande branscher, men intresset för NIS2 har givit mig möjligheten att få stoppa in huvudet i en radda nya spännande världar!

Det som verkligen förvånar och oroar mig, är att det ändå är så många av de företagsledare som jag träffar som fortfarande aldrig ens hört talas om NIS2, även när det är helt uppenbart att deras verksamhet faller in under direktivet. Det känns som att det i synnerhet gäller tillverkande industri och definitivt alla verksamheter som faller under det luddiga begreppet "Tillverkning, produktion och distribution av kemikalier"...

Vanliga kommenterar är något i stil med "...men vi är ju så små?" eller "Hur kan vi anses vara samhällsviktiga?" Här finns det verkligen en utmaning kring att få ut informationen! De som inte kan föreställa sig att de är samhällsviktiga tenderar nog inte heller att lyssna till den här typen av information...
Behöver du hjälp att förstå hur ni berörs av NIS2 är det förstås bara att höra av dig! Du kommer igott sällskap, I nästan alla mina uppdrag agerar jag rådgivare eller coach till säkerhetschefer, ledningsgrupper, systemarkitekter, IT-chefer, produktionschefer eller någon annan roll med direkt ansvar för en stabil och säker produktion. När det kommer till att möta kraven i just NIS2 är det extremt viktigt att få ihop ett samlat säkerhetsarbete tvärs igenom alla verksamhetsdelar och inte minst säkerheten nära produktionen som nästan alltid fått "sköta sig själv" tidigare.
Två riktigt lovande tendenser som jag tycker mig se kring NIS2, är dels att intresset på styrelsenivå har ökat, förmodligen tack vare att NIS2 pekar så hårt på ledningens ansvar och dels att den löjliga inflation i användning av säkerhetsskydd som finns inom vissa kommunala verksamheter kanske börjar dämpas lite av att NIS2 "räcker till".
Debatten kring CRA fortsätter!

EUs förslag "Cyber Resilience Act", CRA, fortsätter att skapa debatt. Ett intressant inspel kommer från Python Software Foundation, som ligger bakom Python-språket. De kommer med en ganska brutal varning:
The risk of huge potential costs would make it impossible in practice for us to continue to provide Python and PyPI to the European public.
Det har även skickats ett öppet brev från en rad viktiga organisationer inom området. Även de varnar för konsekvenserna:
If the CRA is, in fact, implemented as written, it will have a chilling effect on open source software development as a global endeavour, with the net effect of undermining the EU’s own expressed goals for innovation, digital sovereignty, and future prosperity.
Alla, inklusive Python-folket, ställer sig bakom nyttan som CRA försöker skapa. Utmaningen är att organisationer inom open-source inte har de intäkter som krävs för att kunna riskera de enorma böter som CRA kan orsaka kring eventuella säkerhetsproblem.
Vi får se vart detta tar vägen. Med tanke på hur mycket öppen källkod som används i alla kommersiella produkter är det här en oerhört viktig fråga!
EU trycker ännu mer på gasen!

Precis när detta skrivs kommer en annonsering från EU om en ny kravmassa som i alla fall jag inte hört om tidigare: "EU Cyber Solidarity Act".
Det verkar vara en gemensam satsning på att hantera hot mot kritisk infrastruktur och andra gemensamma viktigheter. Det här får vi nog anledning att återkomma till...
Hjälp att prioritera!
Ett intressant inspel kommer från Danielle Jablanski, som normalt jobbar på Nozomi. Det är en beskrivning av en metod för att snabbt och grovt göra en bedömning av hur allvarliga konsekvenser som kan uppstå i en organisation.
Det intressanta är att den försöker sätta en standardiserad och gemensam skala så att man kan jämföra även mellan helt olika verksamheter och organisation.
Ryssar i Kanada?

Det har varit en hel rubriker på senare tid angående ett påstått hack av en kanadensisk gas-pipeline. Alltid pålitlige Sinclair Koelemij ger oss en rejäl analys av de fakta som är kända och hans bedömning av det som kan ha hänt.
Det här är en viktig påminnelse för de röster (vilket ibland inkluderar min) som pekar på att det verkar vara väldigt få framgångsrika "riktiga" OT-attacker, alltså attacker mot process-nära utrustning som faktiskt får något slags fysisk konsekvens. Påminnelsen är att en framgångsrik attack inte behöver märkas! I relationen mellan länder kan det vara mycket intressantare att "spara" och "vårda" den makt man skaffat sig över exempelvis kritisk infrastruktur för att sedan använda den vid ett taktiskt fördelaktigt tillfälle...
Tänk som en OT-person när du segmenterar!

Jake Brodsky påminner oss om en väldigt viktig poäng kring nätverkssegmentering. En fälla som "IT-säkerhetsfolk" lätt faller i är att man ser segmentering enbart som ett sätt att minimera åtkomst och därmed minskar möjligheten till angrepp. Jake trycker på att Tillgänglighet ofta har högre prioritet än andra säkerhetsaspekter (förutom Safety då...) vilket också betyder att en extremt viktig del av segmentering är att minimera påverkan av felsituationer.
Men det finns alltid minst två sidor på varje mynt! Som vanligt finns det inga enkla svar på svåra frågor och sällan ett facit som passar alla. Det kan definitivt vara helt rätt att bygga sitt nät på stora switchar eller att använda "Software Defined Networking", som vanligt behöver man förstå produktionens förutsättningar och dess risker för att kunna välja en klok väg!
Tänk också på att vi nu främst pratar om "horisontell segmentering" där separata processdelar ska hållas isär. Att segmentera "på höjden", i stil med klassiskt Purdue-tänk, brukar inte leda till samma utmaningar även om jag ibland stöter på verksamheter som blandar kontors-IT och tillverknings-OT i samma nätverksswitchar eller använder samma management-verktyg! (Och det måste inte alltid vara fel!)

Det här med hur man logiskt ska skära kakan när man segmenterar är ofta klurigare än man kan tro. IEC 62443 beskriver en bra modell där man bygger "Zones" och "Conduits" baserat på riskprofiler i produktionen, men deras metod är lite omständlig att följa i praktiken. NIST har precis släppt en intressant skrift "NIST CSWP 28 - Security Segmentation in a Small Manufacturing Environment" som beskriver en betydligt enklare tankemodell som passar bra i lite mindre verksamheter. Den är skriven för tillverkande industri men tänket kan nog ses som ganska bransch-oberoende.
Av en slump snubblade jag över ett dokument som ENISA släppte förra året kring hur man kan göra segmentering i järnvägsbranschen. Det är ett intressant dokument som bygger på metodiken från IEC 62443 och som garanterat är användbart även om man inte är i tåg-branschen. Det som jag fastnade för det här citatet:
Hint: zoning is similar to a puzzle with 10 000 parts. After emptying the box, you turn all the parts bottom down to see the surface. Then you separate and group together the parts such as persons, buildings, walls, background. Sky also a functional grouping such as edge parts or notches. Then you build up the first island, try to locate it in the frame and move the islands to other places as necessary. Lastly, you connect the islands.
Vi har blivit lurade!
Jag misstänker att de flesta av mina läsare redan är medvetna om att en av de mest omskrivna OT-attackerna på senare år, den mot dricksvattenförsörjningen i lilla Oldsmar, var en bluff. Som jag förstått det var det någon form av misstag eller slarv som med en snabb lögn skylldes på elaka hackers för att slippa ta eget ansvar.
Det här var ju en av de få attacker mot OT-system som fick verklig uppmärksamhet hos "gemene man" och som därmed skapade en del insikter om hur illa det kan gå. I övrigt är det ju onekligen fortfarande så att de flesta attacker som drabbar OT-verksamheter ytterst sällan drabbar "den riktiga OT-utrustningen" utan diverse "IT-prylar" som produktionen är beroende av för att fungera. Fortfarande dåligt men viktigt att hålla isär!
Den stora lärdomen är väl (som vanligt) hur viktigt det är att ha en bra säkerhetskultur även om det i det här fallet var omvänt mot det vanliga, där man ska våga erkänna säkerhetsmisstag. Sedan är ju fortfarande en del kloka tankar kopplat till exempelvis fjärruppkopplingar fortfarande sanna oavsett om Oldsmar var en lögn.
Robust eller tålig?
Robusthet ("Robustness") eller Tålighet ("Resilience") är två begrepp som är viktiga när man arbetar med processer som ska fungera under jobbiga förutsättningar. Sinclair Koelemij har som vanligt kloka tankar att dela med sig av kring både likheter och skillnader mellan de två begreppen!
Modernisera utan att köra i diket!
En av höjdarna på årets S4 var Marianne Bellotti som berättar om sina erfarenheter kring utbyte av gamla system mot nya och utbytet av gammal teknik mot ny teknik.
Om du bara har tid för höjdpunkterna så rekommenderar jag det hon säger vid 19:52 om hur man lätt hamnar i samma situation igen efter ett moderniseringsprojekt. Ska man byta ut teknik mot ny, så är det ett gyllene tillfälle att se över hur man sköter om sin teknik också!
Vill du ha en till så titta i början vid 1:25 för den självklara men jobbiga sanningen att gamla system är framgångsrika system! Det är lätt att fnysa åt gammal teknik som överlevt men det finns ofta viktiga skäl till att de finns kvar!
Utveckling av säker IoT?
På Elektronikmässan i Göteborg deltog jag i en "expertpanel" den 19:a April som arrangerades i samband med att en handbok för cybersäker utveckling inom IoT lanserades. (Som jag gjort ett pyttelitet bidrag till.)
Boken är gratis och du kan hämta den här, men den finns även att få tag på i bokform!
Det finns mycket tänkvärt i boken även om du inte tycker att du sysslar med "IoT" eller att du inte sysslar med produktutveckling. Det finns många referenser till OT-säkerhet och många resonemang kring IEC 62443 som är viktiga för alla!
En speciellt bra sak som boken trycker på är att utmaningarna kopplat till livscykelhantering av utrustning som driftsatts och hur viktigt det är att se till att lösningar som man väljer/utformar har stöd för det. Det är definitivt relevant för både OT och generellt kring IoT!
Framtidens utveckling för IoT och OT?
Ett riktigt tankeväckande föredrag från årets S4 kom från Colin Breck på Tesla som verkligen slog ett slag för WebAssembly som en plattform för helt andra saker än dess ursprungliga användningsområde. Det här är verkligen "bleeding edge" och inget som har börjat användas brett, men är du intresserad av programmering eller vart processnära programmering är på väg kan jag verkligen rekommendera hans presentation. Det är också ett underbart exempel på varför S4 är en så unik konferens i och med att de är så framåtlutade i sitt val av presentationer. Missa inte frågestunden på slutet som lyfter några viktiga poänger, exempelvis hans syn på att IoT-området rör sig bort från molnet!
Vettiga mål!

Amerikanska CISA har publicerat en uppdatering av CPG, "Cross-Sector Cybersecurity Performance Goals". Uppdateringen innebär bland annat att den synkar bättre mot NIST CSF. CPG är en ganska användbar lista med handfasta åtgärder som man kan prioritera och välja bland för att ständig förbättra sina säkerhetsförmågor. För varje åtgärd bedöms komplexitet, kostnad och hur effektivt den förbättrar säkerheten. Oerhört vettigt är att det finns ett antal OT-specifika punkter som hjälper mycket.
Det är tre delar, en kort rapport som beskriver upplägget, en checklista för praktiskt arbete och en excelfil med alla detaljer. Jag har inte haft möjligheten att använda den praktiskt ännu men jag kan definitivt se nyttan med den, både för att mäta att man rör sig framåt och för att ge stöd i prioriteringar.
Håll ögonen på MITRE och dina leverantörer!
Något som är väldigt i ropet på senare tid är säkerhet kopplat till våra leverantörskedjor. Det var en läxa som vi lärde oss den hårda vägen när Kaseya/Visma/Coop drabbade oss så tydligt. Det är ju också något som EU trycker väldigt hårt på i NIS2 och i det kommande CRA!
MITRE är ju som säkert bekant en källa till många kloka systematiska sätt att närma sig svåra säkerhetsutmaningar. De har nu sakta börja lansera delar av sitt "MITRE System of trust" som handlar just om risker kopplat till leverantörer. Det finns inte så mycket som är praktiskt användbart ännu men det kommer säkert utvecklas snabbt och det kan definitivt redan användas för inspiration!
Nytt från SÄPO och Energimyndigheten!
För den som berörs av säkerhetsskyddslagen så är det förmodligen intressant att SÄPO precis (och till slut...) har kommit med uppdateringar till en del av sina vägledningar. Det ska främst vara justeringar till förändringarna i lagen som kom för något år sedan.
Ungefär samtidigt kom Energimyndigheten med en vägledning kring säkerhetsskydd för fjärrvärme. Väldigt grundläggande nivå kan jag tycka men eftersom mognaden inom säkerhetsskydd varierar mycket är det ändå ett viktigt och bra initiativ.