Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet!
Några höjdpunkter den här gången är nytt material från SÄPO och NIST, tankar kring fyra konferenser, begreppet Deep Defense, säkerhetsverktyg med egna säkerhetsbrister, vad man förlorar vid en incident, AFRYs juniorer glänser och ett "Hemma hos"-reportage.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
En inspirerande bok, del 2
Som jag skrev om i nyhetsbrev #51 har jag läst boken "Industrial Cybersecurity - Case studies and Best Practices" av Steve Mustard. Nu har jag läst ut den, och det goda intrycket jag hade redan då består.
Redan från början märker man att Steve, i motsats till många andra som skriver om OT, verkligen förstår både IT och OT. Han kan jämföra dem utan att fastna i de vanliga fällorna där kreativ OT-säkerhet bara brukar handla om att rita om Purdue-modellen på ett nytt sätt eller räkna upp skillnader mellan IT och OT.
Han tar oss igenom många viktiga ämnen och gör det på ett sätt som ändå håller boken nere på en rimlig tjocklek, 250 sidor. Innehållsmässigt är den väldigt bred vilket gör den användbar för den som lära sig områdets speciella förutsättningar eller använda den som ett slags uppslagsverk efter behov. Ämnena som avhandlas varierar från det tekniknära som certifieringar och design till mjukare frågor som projektgenomförande, riskanalyser och ledarskap.
På det hela en stark köprekommendation om du vill ha en välskriven bok fylld med ovärderliga kunskaper inom ett brett område!
NIST har levererat en ny 82:a!
Då har vi till slut fått en skarp version av den tredje revisionen av NIST SP 800-82! Jag skrev om draftversionen i nyhetsbrev #42. men nu har NIST alltså samlat in all feedback de fick på draften och levererat en slutgiltig version!
Jag har inte hunnit läsa tillräckligt noga för att kunna bedöma vad som skiljer mellan draftversionen och den skarpa version, men det är sannolikt inga stora skillnader. I vilket fall som helst så ger den ett mycket bättre intryck än revision 2 som jag aldrig riktigt blev kompis med...
Tankar från en konferens
Den 19:e och 20:e september gick årets SCADA-säkerhet av stapeln. Det här är en konferens som funnits i ganska många år nu, vilket man ju också kan ana på namnet. I år var jag där och pratade om hur NIS2 påverkar arbetet med OT-säkerhet. Om du är nyfiken på jag pratade om kan du läsa Advenicas intervju. Riktigt trevlig konferens med många bra diskussioner med både nya och gamla bekanta!
Tankar från en annan konferens
Den 27:e september arrangerade vi på AFRY konferensen "Nordic OT Security Conference" för första gången. Om jag får säga det själv blev det en riktigt lyckad tillställning, närmast succé med en fulltecknad anmälningslista. Fantastiskt roligt att vara med att organisera detta och verkligen en symbol för den roll AFRY vill ta som medelpunkt för nordisk OT-säkerhetskompetens!
På agendan stod en radda intressanta presentationer och paneldiskussioner som till och med överträffade mina egna förväntningar!
Dagarna före och efter passade många på att sitta ner med oss och med våra partnerföretag för att djupdyka i aktuella utmaningar och kommande produktförbättringar. Dagens efter konferensen bjöd AFRY och Sandvik tillsammans in till ett rundabordssamtal där vi tillsammans med representanter från ett antal utvalda företag och skolor diskuterade den stora bristen på OT-säkerhetskompetens i samhället. Jag återkommer till resultatet av det.
I väntan på Sinclairs bok...
En av våra gäster på "Nordic OT Security Conference" var Sinclair Koelemij, en välkänd tänkare inom OT-säkerhet. Han pratade om konceptet "Deep Defense", som inte ska förväxlas med konceptet "Defense in depth". Lite slarvigt kan man kanske säga att "Deep Defense" handlar om att ta ett bredare grepp på säkerhetsarbetet medan "Defense in depth" typiskt handlar om att skapa ett slags redundans genom att ha "överlappande" säkerhetsåtgärder så att man inte är beroende av att en viss säkerhetsåtgärd är perfekt. Han är på väg att publicera en bok i ämnet som jag verkligen ser fram emot att läsa, men i väntan på den finns en artikel om konceptet och en artikel med fokus på supply chain samt en diskussion med Prabh Nair.
En tredje konferens på gång!
Värme & kraftföreningen har sin höstkonferens den 14:e till 15:e november. Jag kommer göra ett gästspel där för att prata om NIS2 i förhållande till OT-säkerhet.
Biljetter till en fjärde konferens!
Nu är biljetterna till nästa års S4-konferens släppta! Den går av stapeln 4:e till 7:e mars. Det finns (minst) fyra skäl att vara snabb att handla sin biljett: Priset stiger ganska rejält efter hand, biljetterna brukar ta slut, rabatterade hotellrum tar slut, och, framför allt och dessutom nytt för i år, finns det begränsningar i hur många deltagare som får köpa biljett. Det senare är ett försök att få färre deltagare från leverantörer och konsulter. De sålde hälften av biljetterna under de första 36 timmarna!
I övrigt verkar det vara samma starka upplägg som tidigare med fokus på framåtlutade och spännande föredrag. Jag har säkrat min biljett, ses vi där?
Kan du lita på dina säkerhetsverktyg?
Något som jag tycker många "säkerhetsmänniskor", både inom OT-säkerhet och andra områden, slarvar med är att de automatiskt litar på säkerhetsverktyg. Ett underbart exempel på detta är Flipper Zero, en liten Schweizisk Fällkniv som gör en lång rad attacker mot diverse trådlösa media väldigt enkla att utföra. Jag har en själv och den gör verkligen sitt jobb. Den har blivit väldigt populär och säljer i stora mängder, även om det varit lite incidenter i vissa länder där tullen och andra myndigheter stoppat leveranser.
Att det kan finnas anledning att vara försiktig även med den här typen av utrustningar och dess tillhörande programvaror berättade Mikael Simovits på årets SEC-T konferens i mitten av september. En lång radda besvärande fakta gör att det finns skäl att vara väldigt försiktig med vad du använder din Flipper till...
Vad förlorar man när det smäller?
Ett resonemang som dykt upp ett par gånger på sistone i lite olika sammanhang är begreppet RPO, Recovery Point Objective. Ett begrepp man använder när man dimensionerar backupsystem och gör katastrofplanering. Enkelt uttryckt så handlar det om att definiera vilken punkt i tiden man vill komma tillbaka till när man återläser en backup. Det ska inte förväxlas med det som brukar kallas RTO, Recovery Time Objective, som är hur lång tid själva återställningen får ta.
Det här är inget konstigt, det är begrepp som är vanliga i IT-världen och som är minst lika relevanta för OT-folk. Det jag nyligen reagerat över i några olika sammanhang är att man gör det väldigt enkelt för sig genom att nöja sig där och missar att det kan finnas fler saker att tänka på i OT-världen.
Inom OT är vi förstås lika beroende av att få tillbaka informationen som behövs för verksamheten och att våra system är kompletta, där är ingen skillnad mot IT. Men information är inte allt, vi har i många fall något slags fysisk produkt eller process som kan behöva återställas. Här blir det betydligt svårare att ha ett enkelt resonemang och dessutom blir det förstås extremt beroende av vad man producerar. I vilket fall som helst så är det ju här som de riktigt stora kostnaderna uppstår i vissa branscher. I bästa fall blir det bara omarbete, men det kan ju också handla om att stora mängder produkter eller råvara behöver kasseras. Jag har även varit med om sammanhang där den fysiska processen är väldigt komplicerad att återställa om den avbryts vid fel tillfälle. Det kan vara ugnar som behöver rivas för att komma åt innehållet eller stelnad produkt som sätter igen rör och pumpar. Det här behöver man förstås ha koll på och dimensionera säkerhetsåtgärder på rätt sätt.
Ibland är det inte bara viktigt att ha en bra RPO, man måste dessutom se till att ha samma RPO i flera system. Det kan handla om att system som utbyter information med varandra ska hamna i synk igen. ERP, MES, LIMS, PLC osv ska ha samma uppfattning om världen för att kunna arbeta tillsammans på det sätt som är tänkt. Manuell justering kan minst sagt vara mer eller mindre svårt...
I IT-världen är det oftast svart eller vitt, antingen är systemet återställt och kan användas, eller så är det otillgängligt. Lite beroende på vilken typ av OT-verksamhet vi pratar om så kan det vara mer gråskala under återställningen. Man kanske kan köra vissa delar manuellt? Man kanske har flera linjer och kan köra med begränsad kapacitet? Det här påverkar våra resonemang och ger också möjligheter att bli kreativ med reservrutinerna. Samtidigt kan det finnas fällor, exempelvis behövs förstås mer resurser om flera linjer ska återställas samtidigt.
När vi pratar om återställning i IT-världen är det ju oftast backupåterläsning det handlar om. När vi rör oss till OT-världen finns ju fler uppenbara risker som kan får mer fysiska konsekvenser och därmed kräver en helt annan typ av återställning. Orsaken kan ju vara både en "Cyberattack" men oftast är det helt andra källor som orsakar de flesta skador, inte minst bränder. Att återställa förstörd utrustning eller till och med byggnader kan förstås handla om helt andra tidsskalor är en backupåterläsning. Men inte desto mindre behöver man ju fortfarande bra rutiner för att, inte bara ta backup på prylarna, utan även lagra de där minneskorten eller vad man nu använder på en brandsäker plats...
Backup kan betyda väldigt olika saker. Backup av databaser och filer är väldigt likt IT-världen och även återställningen blir lite liknande. I takt med att de flesta numera jobbar strukturerat med sina automationsprojekt har det blivit enklare att återställa PLC-programmering mm. Men att ta backup på konfiguration av annan utrustning och kanske kalibrering av sensorer verkar fortfarande "slira" i många verksamheter. Då får man en väldigt konstig variant av RPO, man får tillbaka ett äldre beteende på en nyare komponent!
Tillgång till installationsmedia kan vara en variant på en udda RPO också, om man tvingas återställa till en annan version av mjukvaran i en komponent. Det här är något som många slarvar med och tvingas använda "fel" version av en mjukvara. Helt plötsligt backar man i tiden alternativt tvingas gå till en mycket nyare version vilket också kan påverka beteendet. Har man riktig otur har leverantören försvunnit från marknaden och då blir det väldigt klurigt att få tag på media. Åsså klassikern, gamla mediatyper... Kan du fortfarande installera från disketter, DAT-band eller något annat semi-antikt medium?
En liten extra knorr kan vara att man ofta delar backupsystem mellan IT och OT. Det här är ett område där det är enkelt att göra bort sig... Du riskerar att kortsluta din fina nätverkssegmentering vilket är illa nog. Men du riskerar också att göra information tillgänglig på fel ställen, det kanske finns information i OT-världen som inte ska gå att komma åt hur som helst i IT-världen, eller vice versa. En duktig ransomware-aktör ser oftast till att slå ut backupsystemet innan man krypterar filer, så även om OT-systemen är välskyddade riskerar du att bli av med dina backuper i en IT-attack. På samma sätt kan en dåligt skyddad OT-miljö bli ett sätt att angripa IT-världen. Man kan även tänka sig lite mer avancerade attack-scenarier där man manipulerar data på delade system på IT-sidan för att den manipulerade datan ska återläsas på OT-sidan. Samma resonemang kan definitivt gälla om man delar virtualiseringsplattform eller serverlagring mellan IT och OT.
När IT-driften är beroende av OT...
Joe Weiss skriver en intressant artikel om incidenter i stora datacenters där diverse OT-utrustning påverkat driften av IT-utrustningarna. Ett viktigt område som inte får mycket uppmärksamhet! Som vanligt när Joe skriver är det intressant, relevant och utmanande!
Hotmodellering i OT-världen
Jag snubblade över ett litet papper från ett sydkoreanskt universitet där de tittar på hotmodellering med STRIDE och DREAD mot ett typiskt DCS-system i ett oljeraffinaderi. Intressant läsning!
Hur ska man välja?
Dale Peterson skrev nyligen en kort artikel om nyttan med att tvingas välja vilka säkerhetsåtgärder som faktiskt är viktigast. Jag såg en koppling, om än ganska långsökt, till mina egna tankar om nyttan med konvergerande riskarbete som kommer tvingas fram av NIS2.
Öh? Va? Tänker du kanske? Det jag far efter är att NIS2 pekar så extremt tydligt på att ledningen i en organisation både ska godkänna alla säkerhetsåtgärder och sedan säkerställa att de får effekt. För att det ska vara möjligt kommer ledningen behöva ha ett samlat underlag med riskanalyser som belyser alla säkerhetsområden som konkurrerar om resurser, oavsett om det handlar om IT-säkerhet, OT-säkerhet eller något annat säkerhetsområde.
Som en extra effekt tvingas man ju faktiskt göra om en riskanalys när åtgärder är vidtagna så att man kan visa att risken minskat! Det är ju något som de flesta organisationer inte kommer i närheten av att göra.
Märks det att jag är positiv till NIS2? :-)
Cybersäker IoT-utveckling - nu på engelska!
På Elektronikmässan i Göteborg i våras deltog jag i en "expertpanel" som arrangerades i samband med att en handbok för cybersäker utveckling inom IoT lanserades. (Som jag gjort ett pyttelitet bidrag till.)
Boken finns numera även på engelska och den är fortfarande gratis och du kan hämta den här!
Det finns mycket tänkvärt i boken även om du inte tycker att du sysslar med "IoT" eller att du inte sysslar med produktutveckling. Det finns många referenser till OT-säkerhet och många resonemang kring IEC 62443 som är viktiga för alla!
En speciellt bra sak som boken trycker på är att utmaningarna kopplat till livscykelhantering av utrustning som driftsatts och hur viktigt det är att se till att lösningar som man väljer/utformar har stöd för det. Det är definitivt relevant för både OT och generellt kring IoT!
Ett "Hemma hos"-reportage!
Nu tycker jag att tekniken ofta får alldeles för mycket fokus när man pratar OT-säkerhet, men teknik är ju samtidigt så himla kul, så nu får ni stå ut med lite teknikfrosseri. Min text om de senaste aktiviteterna i mitt hemma-labb väckte nämligen oväntat mycket intresse. För den som är nyfiken på detaljer eller vill bygga något eget i samma stil kommer här lite mer information kring prylar och mjukvaror...
Strömförsörjning är viktigt! Den här typen av prylar går typiskt på 12, 24 eller 48 Volt likspänning så jag har nätaggregat för var och en av alla tre spänningarna. Här får man se upp så man inte skapar farliga situationer, eftersom den här typen av nätaggregat inte är avsedda för "hemmabruk" och därmed inte är kapslade och petskyddade på ett sätt som vi är vana vid för prylar i hemmamiljö! Ett extra petskydd och en snabb jordfelsbrytare hjälper till att ändå hålla säkerheten på en rimlig nivå. Bra skyddsjord (och funktionsjord) är också viktigt. Låt inte barn och husdjur komma i närheten oavsett!
Ställningen har jag byggt av 20x20 aluminiumprofiler, den typen som exempelvis används för att bygga 3D-skrivare. Superstabilt, starkt och lätt! På ställningen sitter det sedan 4 stycken DIN-skenor som OT-utrustningen sedan i sin tur monteras på. Nästan alla prylar som passerar labbet har DIN-fästen vilket gör dem väldigt lätta att jobba med.
Tänk på att ruggade utrustningar ofta är tunga på grund av kylflänsar och stabila kapslingar. Den utrustning som sitter monterad hos mig just nu väger totalt drygt 20 kg! Bygg stabilt!
Mycket av utrustningen i labbet är min egen men en del är inlånat från leverantörer. Just när detta skrivs är det ovanligt mycket prylar monterade på en gång, vilket förstås är kul! Det du ser på bilderna är bland annat:
Ett par PLCer (Phoenix Contact PLCnext 2152 respektive Siemens S7-1200) Båda två är riktigt lättjobbade och smarta lösningar med riktigt bra programmerings-verktyg!
IPS och brandvägg för OT-protokoll (2 stycken TxOne EdgeIPS 102 och en TxOne EdgeFire med administrations-programvaran EdgeOne i en virtuell maskin) Riktiga favoriter!
Smarta nätverksprylar (2 stycken Fortinet 112D Switchar och en Fortinet 60F brandvägg) Det är verkligen inte utan anledning att Fortinet säljer riktigt bra av sina OT-produkter, det här är vassa grejor!
Några omanagerade switchar (2 stycken Moxa EDS 2500 ELP och en Phoenix Contact FL 1000) Enkelt, billigt och hållbart för snabba nätbyggen!
Utrustning för fjärranslutningar (Ewon Flexy 205) En schweizisk armekniv för fjärranslutningar, datakonvertering och insamling av data. Kommer från belgiska företaget Ewon som är en del av svenska HMS Networks...
En nätverksdiod (Data Diode Zero från svenska Link22) Förmodligen den absolut enklaste dioden som finns, men samtidigt allt som behövs för grundläggande enkelriktad trafik.
En nätverks-tapp (Keysight Copper Tough Tap) Perfekt för att kunna analysera nätverkstrafik utan att störa den...
En HMI-skärm (Phoenix Contact BWP 2070W) En enkel men ändå kraftfull HMI-terminal.
Mjukvara för process-simulering (Factory I/O) Simulerar snygga fysiska processer i 3D med tillhörande virtuella remote IO att koppla en PLC till. Tänk på att det krävs ett hyfsat grafikkort för att få bästa kvaliteten på simuleringen.
Nätaggregat för 12, 24 och 48 Volt. (Moxa, Siemens och Mean Well) Man behöver alltid ström!
VMware Workstation på en dator för att köra virtuella system och virtuella nätverk. Bra att ha för både administrationsverktyg och hackerprogram. Kombinera med ett antal USB-anslutna ethernetadaptrar så att dina virtuella och fysiska nätverk kan kopplas ihop!
Jag ska som noga påpeka att jag aldrig tar betalt av leverantörerna för att skriva om deras prylar, men jag har å andra sidan inget emot att göra lite gratisreklam för saker som jag själv gillar! Ett mycket stort tack till respektive leverantör för bra samarbete och för de saker som är donerade respektive utlånade.
Möjligen är detta lite extremt för ett hemma-labb kan man tycka? Så här mycket grejor behöver man förstås inte för att komma igång med egna labbar. Exakt vad som passar beror på vad man vill göra. Men "mycket vill ha mer"... :-) På min jaktlista står just nu:
Fler fabrikat av PLCer, både nyare och äldre.
En ruggad server som orkar med ett antal virtuella maskiner och containers. På lite sikt tänker jag mig bli lite modern och kunna automatisera uppsättningen av labbmiljöer med hjälp av Ansible.
Mycket handlar om att bygga smarta nätverk så tillgång till nätverks- och säkerhetsutrustning från fler fabrikat är viktigt!
Ett gäng remote IO för att kunna köra fler OT-protokoll i näten.
Utrustning för SDN, Software Defined Networking, som jag tror kan bli nästa stora grej inom OT.
Även om Factory I/O är ett makalöst verktyg för att bygga en virtuell fabriksmiljö så kan det ibland vara bra med "riktiga prylar". Det är roligare att trycka på en "riktig" knapp och att se en "riktig" signallampa lysa. Någon gång ska jag också försöka få tag på en av modellerna som FischerTechnik tillverkar.
Hör gärna av dig om du har funderingar, vill ha tips eller har idéer kring labbet! Som alltid tar jag tacksamt emot nya och gamla prylar/mjukvaror.
AFRYs juniorer visar framfötterna!
Här är tre resultat från några av de examensarbetare som jag jobbat med på AFRY under året. Riktigt bra rapporter som jag inte ska ge mig på att försöka sammanfatta utan låter er läsa själva! Är du själv på väg att göra någon form av examensarbete så kommer vi ganska snart börja annonsera nästa års upplägg. Du får förstås gärna höra av dig om du har funderingar redan nu!
Living on the edge...
För den som tänker att en 4G-router inte är någon källa till oro kan behöva läsa senaste rapporten från Clarotys Team82. De har tittat på routrar, deras management-mjukvara och kommunikationen mellan dem. De presenterade också den här forskningen på årets S4-konferens:
Snyggt jobbat!
Leverantörerna av OT-utrustning blir allt duktigare på att bli tydliga kring hur man faktiskt använder deras produkter på ett säkert sätt. Annars har det varit lite för vanligt att det skryts om alla fina säkerhetsfunktioner i marknadsföringen, men att dessa funktioner sedan är obegripliga eller måste stängas av för att göra produkten användbar i verkligheten.
Ett lysande exempel på hur man ska göra kommer från Phoenix Contact som tydligt beskriver vilka funktioner som krävs för att nå Security Level 1 eller 2 enligt IEC 62443-4-2.
Snyggt jobbat och tack för att ni gör vårt jobb enklare!
Mer säkerhetsfolk i styrelserna!
Fokuset på cybersäkerhet och riskerna med olika typer av angrepp mot digitaliserade system går inte att ta miste på i alla sorters organisationer. Inte minst har frågan tydligt hamnat på ledningens bord och i styrelserummet! Men det riktiga genomslaget tror jag vi fortfarande inte har sett, det förväntar jag mig när NIS2 drar genom näringslivet och insikten om det brutala ansvar som läggs direkt på ledningen går upp för VD och ordförande. En intressant artikel från SecurityWeek beskriver varför en CISO är ett perfekt tillskott i styrelsen. Jag håller med även om jag tror att det är helt avgörande för producerande verksamheter att ta hjälp av säkerhetsledare med produktionskunskap. Alltså en OT-säkerhetschef eller en CISO med riktigt produktionserfarenhet.
Design eller lärobok?
Cisco publicerade tidigare i år ett ovanligt vettigt designdokument. Då menar jag inte att just Cisco brukar ha dåliga dokument (tvärt om skulle jag säga!), men att många leverantörers arkitekturbeskrivningar är så hårt skruvade mot de egna produkterna att de mest blir något slags tekniskt reklamdokument. Cisco har i det här fallet förvisso väldigt mycket information om sina produkter (Jag har definitivt inget ont att säga om dem!) men de bjuder på dessutom väldigt mycket mer. I vissa avsnitt blir det nästan läroboksnivå på texten. Exempelvis är diskussionen kring referensarkitekturer i kapitel 1 ovanligt vettig med många väl beskrivna usecases och man talar ur skägget kring skillnaderna mellan en nivå i Purdue-modellen och ett nätverk. I kapitel 2 finns en hel kloka tankar kring utmaningar att få pålitlig synlighet i passiva säkerhetsfunktioner. Kapitel 3 om segmentering är extremt Cisco-fokuserat men kan vara av intresse även om man inte är Cisco-kund.
Fast i fastigheter?
Om du sysslar med fastighetsautomation i någon form kan den nya rapporten "Trygg och säker informationshantering" från samarbetsorganisationen "Offentliga fastigheter" vara intressant. De tittar på Säkerhetsskydd, NIS och CER för att belysa vanliga utmaningar när dessa världar möts eller krockar med varandra.
SÄPO uppdaterar!
För dig som arbetar i verksamheter som berörs av säkerhetsskydd kan den uppdaterade vägledningen för Informationssäkerhet vara intressant. Nu återstår bara två av SÄPOs vägledningar att uppdatera. Precis som tidigare indikerar språket ett fokus på IT-system men det finns en del som är användbart även inom OT-världen, exempelvis kring bedömning av Riktighet/tillgänglighet, kontinuitet, särskilda säkerhetsskyddsbedömingar och förstås logisk kontra fysisk separation.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.