.png)
Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången jämför jag boxning med NIS2, du får en närgången titt på en helsvensk OT-brandvägg och en ovanligt listig nätverksswitch men dessutom kan din chef få gå en kurs, vi mäter nyttan med Cyber Informed Engineering, lär oss begreppet Secure by Demand, får lite utmaningar med VLAN, tittar på Irans senaste cybervapen, jämför SCADA med DCS och funderar på om två brandväggar alltid är bättre än en?
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Varför har du bromsar på bilen?
Ibland får jag frågor i stil med: ”Hur långt vågar vi ta vår digitalisering? Det verkar så farligt med alla angrepp man läser om, och säkerhetsprylar är så dyra!” Mitt svar brukar bli en motfråga: ”Varför har du bromsar på bilen?”. Svaret blir gärna något i stil med: ”För att kunna köra sakta?”.
Min poäng är förstås att man har bromsar på bilen för att kunna köra riktigt fort! Vi vill komma fram snabbt och effektivt genom att hålla en tillräckligt hög hastighet, men det kräver att vi också kan bromsa och hantera farliga situationer som plötsligt dyker upp.
Trots att man har riktigt bra bromsar så kan det förstås gå snett ändå och då behöver vi ett bra katastrofskydd, i form av bälten och krockkuddar. Skulle bilen sakna både bromsar, bälten och krockkuddar så lär vår bilkörning inte bli speciellt effektiv…
Det är här EU i sin vishet har givit oss NIS2-direktivet. Det övergripande syftet är att verksamheter som samhället är beroende av ska fortsätta leverera trots att farliga situationer uppstår. Här brukar jag plocka fram nästa liknelse, nämligen boxning! Det finns nämligen en del viktiga likheter mellan NIS2 och boxning…
Ett vanligt missförstånd är att NIS2 förbjuder säkerhetsincidenter, att det på något vis är straffbart att drabbas av ett cyberangrepp. Naturligtvis är det att föredra att man duckar ”cybersmockan” när den kommer, men det är hur man hanterar en smäll som räknas.
Riktigt dåligt är att ramla ihop och inte snabbt komma upp igen efter en rejäl snyting. Minst lika illa är att efteråt inte kunna förklara vad det var som hände – ”det blev bara svart!”. En tredje ”no-no” är att skylla på någon annan, i boxning kanske dina skor och i NIS2 dina viktiga leverantörer – det är alltid du själv som är ansvarig för det som dina leverantörer ställer till med för dig!
Ytterligare en likhet med boxningen är att man måste ha koll på sina egna svagheter, sina sårbarheter. Om man under träning har upptäckt att man åker dit på högerkrokar så får man förstås se till att det inte blir ett problem i skarpt läge!
En myt som jag ofta hör kring cybersäkerhet är att det skulle vara mycket enklare att vara angripare än försvarare; ”En angripare behöver bara hitta en sårbarhet men som försvarare behöver du ha koll på alla sårbarheter!”. Som alltid när det handlar om myter finns det ett korn av sanning – de två vanligaste misstagen som jag ser är att man lägger allt krut på förebyggande åtgärder och att man som försvarare inte utnyttjar att man har ”hemmaplan”.
Det första misstaget kan jag förklara med hjälp av NIST Cybersecurity Framework, där den här cirkelmodellen finns. Den illustrerar sex typer av säkerhetsåtgärder som jag tycker behöver balanseras för att få ett robust säkerhetsarbete. Enkelt uttryckt så hanterar ”Identify” att vi har koll på vår verksamhet och våra system, ”Protect” att vi förebygger incidenter och ”Detect” att vi kan upptäcka incidenter som inträffar trots vårt förebyggande arbete. I ”Respond” finns vår förmåga att hantera incidenter som vi upptäckt och om vi ändå hamnar i diket använder vi ”Recover” för att få igång verksamheten igen. Alltihop hålls samman av ”Govern” för att styra säkerhetsarbetet.
Det misstag som jag ser alldeles för ofta är att man lägger allt sitt krut på ”Protect” och ”Govern”. Det är ett misstag som är förståeligt – man vill undvika problem och man vill visa att man har koll på sitt arbete. Problemet med det är att man inte kan upptäcka incidenter som trots allt inträffar, man kan inte reagera på ett sätt som förhindrar att incidenter orsakar skador och man får väldigt svårt att komma igen vid en större händelse. Här behöver man helt enkelt ha is i magen och flytta lite av sitt fokus bort från Protect för att istället kunna hantera de tråkigheter som för eller senare är oundvikliga.
Det andra misstaget är att man inte drar fördel av att man som försvarare är på ”hemmaplan”. En stor del av detta handlar just om att förstärka förmågorna ”Detect” och ”Respond” genom att utforma sin infrastruktur på ett smart sätt. Det talas ibland om ”Defensible architecture”, vilket sätter fingret på vad som är viktigt. Om man gör det här rätt är vinsten enorm!
En annan sida av samma mynt är att man ofta väntar alldeles för länge med att öva incidenthantering. Min åsikt är att övningar inte ska ses som en ”examen” där man bevisar att säkerhetsarbetet varit framgångsrikt. Tvärt om faktiskt! Öva är något man gör tidigt och ofta för att snabbt hitta sina största svagheter. Samtidigt hittar man lättare vad som är viktigt för att ”Detect” och ”Respond” ska få bra förutsättningar.
En aspekt av NIS2 som ofta får kritik är att direktivet inte ställer några specifika krav på säkerhetsåtgärder. Här har jag en annorlunda åsikt, jag tycker det är precis detta som är det geniala med NIS2! Vi förväntas förstå alla relevanta risker i vår verksamhet och göra något åt dem på ett proportionerligt sätt. Det är just det där proportionerliga som är tricket, det betyder inte bara att stora risker ska få mycket fokus, det betyder också att mindre viktiga delar av verksamheten ska ha mindre skydd! Vi har alla begränsade resurser och de ska användas där de gör mest nytta!
OT-brandvägg på svenskt vis!
Som jag hintade om i nyhetsbrev #64 breddar nu svenska brandväggstillverkaren Clavister sitt utbud för OT-nätverk. De gör det genom att lansera ny ruggad hårdvara och samtidigt släppa helt ny funktionalitet med fokus på OT. OT-funktionaliteten är för övrigt tillgänglig även i andra hårdvaror om man inte behöver ruggad utrustning. Den släpps även i mjukvaran för "virtuell brandvägg".
När det här nyhetsbrevet skrivs har OT-satsningen formellt sett inte lanserats än, så se det här som en välfylld aptitretare... Efter lanseringen kommer jag uppdatera den här texten med länkar till Clavisters officiella produktbeskrivningar.
Clavister är ett spännande företag med ett intressant sortiment, även utanför OT-världen... Jag har märkt att inte alla har full koll på Clavister som företag, så det är kanske bra om jag slår ett slag för denna svenska teknikledare! Bara det faktum att allt ägande och all utveckling finns i Sverige (det mesta i Örnsköldsvik närmare bestämt) är ju något som allt fler organisationer kommer värdera högt framöver, när exempelvis NIS2 ställer krav på att ha koll på sina leverantörer.
Om du inte känner till Clavister sedan tidigare så är det alltså inte något nystartat företag, de grundades för över 25 år sedan. De bygger brandväggar, allt från små "bordsbrandväggar" i NetWall 100-serien som klarar 1 Gb/s till extrema brandväggar för teleoperatörer som "Netshield 9000T" som hanterar 800 Gb/s! Det finns även "virtuella" mjukvaru-varianter som mest begränsas av den hårdvara du kör dem på. Förutom traditionella brandväggsfunktioner finns förstås även VPN-tjänster och SD-WAN som dessutom kan kompletteras med smarta Cloud-tjänster. Via varumärket "PhenixID" erbjuder de även lösningar kring identitetshantering, autentisering, signering mm.
Möjligen är Clavister mest kända för sina militära brandväggar som går under det coola namnet "Cyber Armour", där bland annat de erbjuder den hårdkokta NetWall RSG-400. Nu börjar vi prata utrustning som är ruggad på riktigt... Clavisters prylar finns exempelvis i CV90 från BAE Systems, men du hittar dem numera även i militära fartygssystem.
Den helt nya OT-brandväggen NetWall 200R är kanske inte så uppseendeväckande till utseendet. I en DIN-monterad ruggad låda med rejäla kylflänsar hittar vi dels 4 st RJ45-portar med stöd för 2.5 Gb/s och dels 2 st SFP-portar för koppar eller fiber. Dubbla anslutningar för 24 VDC håller den med ström. Men det är när vi "tittar under huven" som det blir riktigt intressant...
De flesta andra leverantörer av OT-specifika brandväggar verkar fokusera på att bygga minimalistiska produkter som enbart har funktioner som en genomsnittlig OT-miljö behöver. Clavister har valt en helt annan väg... Här hittar vi precis samma funktionalitet som finns i deras stora modeller, men i ett mindre format rent fysiskt. En skillnad mot deras andra produkter är grundkonfigurationen baserad på "transparent" läge. Det innebär att brandväggen direkt kan kopplas in i ett existerande nätverk utan att "störa" för att direkt börja logga vilken trafik den ser och möjliggöra att begränsande regler läggs till efter hand.
Jag har ingen chans att gå igenom all nätverksfunktionalitet här, utan kommer fokusera på de som kanske är intressantast för den typiska OT-läsaren. Du kan lugnt utgå från att alla andra "normala" brandväggsfunktioner finns på plats, som exempelvis:
Brandväggsregler baserat på adresser, interface, nätverkstjänster, geografisk plats, användargrupper, applikationer, tidsbegränsningar osv
VLAN med virtuella interface på brandväggen
Transparent filtrering ger möjlighet att införa brandväggsskydd utan att bygga om nätverket helt
Möjlighet att bygga virtuella brandväggar med egna routingtabeller
Klustring av flera brandväggar för redundans och maximal tillförlitlighet
En lång rad olika tekniker för att bygga tunnlar och VPN-tjänster
IDS/IPS (Intrångsdetektion), Virusscanning av filer, phishingskydd, DoS-skydd
... och så vidare...
För användning i olika typer av OT-sammanhang kanske exempelvis följande är lite extra intressanta finesser:
Filtrering och loggning av applikationer, med stöd för en enorm mängd OT-protokoll och systemtyper, här finns alla välkända namn såsom OPC UA, CIP, MODBUS, ifix, S7Comm_plus, IEC61850, IEC104, mbConnect24, Codesys, DeltaV, Fanuc, Melsec, Osisoft PI, Profinet, SAP osv...
Clavister lägger hela tiden till mer stöd för att bygga regler baserat på detaljer i de olika protokollen. Du kanske vill begränsa vad som går att slå upp via DNS eller begränsa var version 1 av SMB får användas? Inga problem!
Alla tänkbara kombinationer av adressöversättning, "NAT", är tillgängliga för att hantera komplexa situationer med exempelvis överlappande adressområden.
Alla säger att de erbjuder AI i dessa dagar, så även Clavister med NetWall 200R. Clavister köpte för ett par år sedan Göteborgsbaserade AI-företaget Omen Technologies, vilket nu börjar synas på ett väldigt intressant sätt i deras brandväggsprodukter. Det som Clavister gjort här är lite utöver det vanliga vi brukar se när någon pratar om AI. Här finns nämligen en inbyggd anomali-detektering som fungerar på allt, inklusive protokoll som brandväggen inte förstår! Och det inkluderar krypterade protokoll som brandväggen inte kan tyda. Samma funktionalitet kommer samtidigt även på andra modeller: NetWall 300/500/6000 samt "virtuella" modeller.
Peka ut bara trafik som ska AI-analyseras så görs en automatisk träning på vad som är normalt beteende. Det här är en viktig funktion, inte bara för cybersäkerhet, utan minst lika mycket för att hitta avvikelser i produktionen. De mest uppenbara möjligheterna finns kanske kring förebyggande underhåll men man kan tänka sig många kreativa varianter... En fantastisk variant är att man kan låta sin SOC via säkerhetsövervakning korrelera förändringar i den fysiska processer med händelser i systemen... Nu kan det bli fokus på produktionsprocesserna på riktigt i säkerhetsarbetet!
I en kommande version har Clavister kombinerat AI-funktionen med deras enorma stöd för OT-protokoll på ett riktigt starkt sätt. Man kommer exempelvis kunna göra saker såsom "skicka bara Topic-fältet från all MQTT trafik till Ignition-servern på AI-analys". Då blir förstås analysen ännu mer fokuserad och vass!
AI-funktionen kan nog bli en oväntat viktig pusselbit för många teknikorganisationer att kunna erbjuda mer än "bara" cybersäkerhet till den producerande verksamheten. Nu kan cybersäkerhetslösningen även hitta andra oönskade beteenden än hackers och virus!
En annan unik egenskap hos NetWall 200R passar för de OT-tillämpningar där det uppstå farliga konsekvenser om man förlorar kommunikationen i nätet. Det leder ofta till att man helt undviker att stoppa in cybersäkerhetsutrustning för att inte skapa andra risker genom ökad komplexitet. Man vill kanske exempelvis inte riskera att en brandvägg går sönder och då helt förhindrar kontakten mellan kritiska komponenter. I NetWall 200R kan man lösa det genom att två av portarna automatiskt förbinds med varandra mekaniskt om brandväggen av någon anledning slutar fungera. Man kan alltså få extra nätverkssäkerhet under normal drift om man accepterar mindre skydd om det uppstår störningar. Snyggt!
I många organisationer är det fortfarande en utmaning att få till samarbetet mellan "IT-folket" och "OT-folket". Runt nätverk, och i synnerhet brandväggar, brukar det bli extra tydligt. I de flesta fall finns de vassaste nätverksproffsen på "IT-sidan", men samtidigt vill "OT-folket" ha egen kontroll över de miljöer de ansvarar för. Ofta leder det till att man från OT-hållet skaffar prylar som är enklare att hantera om man inte är en certifierad nätverksexpert. Det som jag tycker Clavister faktiskt har lyckats med att kombinera riktigt vass fullblods-funktionalitet för den som behärskar den, med överskådlighet för den som inte har behov av alla spets-finesser.
Slappna inte av för att du slutar med ESXi!
I ett dokument från FBI kring LockBit noterar man i förbigående att versioner för Proxmox och Nutanix är på gång.
Om din organisation precis som jag själv (och många andra just nu) slutat med VMware så betyder det att vi definitivt inte kan slappna av för ransomware-hotet. De host-system där vi kör våra virtuella system är bland de viktigaste vi har att skydda! Se till att er säkerhetsövervakning inkluderar de här systemen!
Kör du fortfarande ESXi gäller det precis som tidigare att verkligen tänka igenom skyddet av dina hostar! Just nu är det en del ståhej kring sårbara implementationer av OpenSSH i ESXi vilket är ett utmärkt exempelvis på att även kommunikation som i sig fortfarande är säker kan exponera allvarliga sårbarheter i våra system.
Nä, slappna verkligen inte av...
Som jag noterat tidigare verkar det vara något av en trend (och en positiv sådan) att myndigheter i olika länder samarbetar allt mer för att ge ut gemensamma rekommendationer och riktlinjer. Det senaste exemplet är nog ett nytt rekord med 15 loggor på framsida, även om flera är från samma länder. Å andra sidan är en av loggorna från EU-Kommissionen...
Den här gången är titeln "Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products". I korthet ger man sig på det välkända faktumet att OT-produkter sällan byggs under parollen "Security by design", vilket i sin tur förstås beror på att kunderna ytterst sällan kräver det...
Nu slår man ett slag för begreppet "Secure by Demand" i ett försök att öka intresset och medvetenheten från kundsidan. Spontant tycker jag det är väldigt bra! Det är relativt kortfattat och tydligt. För oss i EU matchar det ganska väl tankarna i kommande CRA-förordningen. Å andra sidan ändrar det inte faktumet att vissa saker som de vill att vi prioriterar för att minska riskerna för cyberattacker samtidigt ökar komplexitet och andra risker för driftstörningar... Hur som helst är det positivt att det piskar på utvecklingen av mer lättanvända säkerhetsfunktioner i OT-produkter!
Det hela har sammanställts av CISA i USA som även har en kort guide kring begreppet "Secure by Demand" för alla typer av digitala produkter.
Nytt (och gammalt) i labbet
I förra nyhetsbrevet dök den trevliga switchen "PROmesh B8" från Indu-Sol (och deras svenska representation Lindh Automation) upp. Nu får du träffa storasyskonet "PROmesh P10+" som är en riktigt imponerande bekantskap!
I grunden är det en rejäl och ruggad nätverksswitch med 8 stycken gigabit-portar och 2 stycken 2,5-gigabit SFP-portar. Den har stöd för Ethernet/IP och PROFINET, du kan ladda ner GSDML-filen direkt från switchens konfigurations-webbsida. Till det kommer en radda vettiga grundfunktioner:
Stöd för VLAN inklusive trunkning
En IP- och/eller MAC-baserad brandvägg
NAT, alltså adressöversättning, vilket är en viktig funktion i sammanhang där man tvingas hantera IP-adresskonflikter
QoS (Quality of Service) och bandbreddskontroll, ger möjlighet att prioritera trafik och att begränsa hur mycket bandbredd varje port kan lägga beslag på
Portaggregering ger möjlighet att skapa "virtuella portar" med hög bandbredd genom att slå ihop flera fysiska portar
Portspegling för att skicka kopior av nätverkstrafik till övervakningssensorer
LLDP, Link Layer Discovery Protocol, för att upptäcka "grannskapet" på nätverket
För att bygga robusthet genom redundans i nätverket finns stöd för MRP, RSTP och MSTP:
MRP, Media Redundancy Protocol, ger möjlighet att bygga ringnät så att nätet överlever att man tappar en länk
RSTP, Rapid Spanning Tree Protocol, kan hantera multipla redundanta länkar i mer komplexa nätverk
MSTP, Multiple Spanning Tree Protocol, utökar RSTP med stöd för olika redundans beroende på vilket VLAN det handlar om
Så här långt är det en ganska "normal" DIN-monterad switch som är riktigt välförsedd med smarta nätverksfunktioner, men nu börjar det bli riktigt intressant... Till detta kommer nämligen ytterligare några funktioner som ger dig möjlighet att hålla koll på din fysiska infrastruktur och upptäcka försämringar innan de orsakar problem:
Den fysiska kvaliteten på kablaget utvärderas löpande på alla portar. Du får larm om någon av dem försämras för mycket, förhoppningsvis innan trafiken påverkas.
Läckströmmar till jordning kan vara en jobbig källa till fel i kommunikationen, den mäts löpande.
Ovanligt detaljerad statistik över hur trafiken ser ut på varje port ger möjlighet att identifiera oväntad trafik.
Du kan sätta larmnivåer för allting som analyseras och definiera larm som skickas via SNMP, mejl eller till en syslog-server. Du kan också annonsera larm via PROFINET eller elektriskt via en inbyggd relä-utgång.
I sin helhet är detta en riktigt imponerande skapelse! Till det finns andra produkter från Indu-Sol för att bygga vidare på analysförmågan. Dels finns "PROmanage NT" som samlar all administration och analys på ett ställe. Till det kan man koppla andra sensorer för att hålla koll på exempelvis PROFIBUS. Det här är nätverksprylar för dig som bygger automationsnätverk på riktigt och vill ha koll på ditt kablage!
Utmaningarna kring just kablage är något som ofta glöms bort. I en intressant artikel påpekar exempelvis Rob Hulsebos att temperaturen kan ha stor inverkan på hur långa kablar vi kan använda. Det är ju inte helt ovanligt att vi behöver använda långa kablar som dessutom förläggs i varma miljöer. Om vi dessutom kör strömförsörjning via PoE så spär vi på problemen ytterligare...
Indu-Sol har förresten en annan intressant liten produkt, PROFINET-INspektor® NT, som är besläktad med PROmesh P10+. Även om den ju faktiskt inte primärt är tänkt som en säkerhetsprodukt, utan mer för diagnos, felsökning och som en garant för nätverkets välmående, så löser den ändå en del grundläggande säkerhetsrelaterade utmaningar.
Tanken med den här prylen är att den placeras permanent mellan nätverkets PROFINET-master och resten av nätet. Där analyserar den PROFINET-trafiken på en riktigt avancerad nivå. För extra information kan den integrera med PROmesh P10+ om man använder sådana switchar. Förutom en imponerande lista analysfunktioner för nätverkets status och kvalitet så kan säkerheten hjälpas av att den kan säga till om säkerhetspåverkande händelser inträffar, exempelvis att controllern programmeras om, att det dyker upp nya enheter i nätverket eller om nätverket i sig förändras i sin topologi. Alltsammans kan integreras och läsas av även via PROFINET eller OPC UA. En cool liten pryl!
Jag har tidigare nämnt Chris Chungs spännande blogg och YouTube-kanal. Här finns det mycket godis som du kan botanisera i. Numera finns sex blogginlägg om PROmesh P10+. Mycket nöje:
En kurs för dig?
Om du arbetar inom elsektorn så kan jag verkligen rekommendera kursen som Svenska Kraftnät erbjuder: "ICS och cybersäkerhet för elsektorns aktörer". Jag hör mycket goda saker om utbildningen från de som redan gått den, vilket inte är så förvånande när man vet att det är Robert Malmgren och Erik Johansson som leder den. Det blir inte sämre av att den är gratis...
Skynda och anmäl dig!
En kurs för din chef och en ny kurs för Sverige?
Nja... Det kanske är en kurs för dig själv också? I vilket fall som helst så lanserar MSB nu en utbildning i hur man leder informations- och cybersäkerhetsarbete för "personer i ledande befattningar i verksamheter som är viktiga för samhällets funktionalitet". Kursstart någon gång kring månadsskiftet februari/mars.
Den typen av utbildning kan verkligen vara en av pusselbitarna som behövs för att möta det behov av ökad digital suveränitet som efterlystes nyligen i en debattartikel i Dagens Industri. (Skriven av Annika Rydström, John Vestberg, Jim Johansson, Johan Christenson, Fredric Wallsten, Joakim Öhman och Johan Edlund)
Det knyter i sin tur an till en tanke jag gått och funderat på ganska länge nu... Hur långt skulle jag komma om jag försökte bygga någon form av OT-verksamhet med enbart komponenter som utvecklats i Sverige? Jag tror det skulle bli svårt men samtidigt väldigt intressant! Den första frågan är förstås att reda ut vad man menar när man säger "svensk utrustning"... Jag vill gärna höra dina tankar om detta! mats@ot-sakerhet.se Hur ger man sig på ett sådant projekt?
Dystra tongångar från regeringen!
Några dagar innan julafton beslutade regeringen "Gemensamma förutsättningar för utvecklingen av totalförsvaret 2025–2030". Om du på något sätt arbetar med säkerhetsfrågor så berörs du, direkt eller indirekt av det som slås fast i dokumentet. Och egentligen berörs vi ju förstås alla som bor i Sverige. Det kan vara värt att läsa för att ta till sig hur landets ledning ser på situationen.
Jobbiga citat som vi behöver ta till oss är exempelvis:
"Det väpnade angreppet är dimensionerande."
"Hoten omfattar bland annat otillbörlig informationspåverkan, cyberangrepp, illegal underrättelseinhämtning, terrorism och sabotage samt utnyttjande av ekonomiska beroenden. Aktiviteterna kan vara en del i krigsförberedelser, men utförs i väsentligt högre utsträckning lågintensivt i fredstid och är därmed något som samhället måste kunna hantera även utan särskilda beslut om höjd beredskap och med både civila och militära medel."
"Nyckelpersonal kan komma att likvideras i hela samhället. "
"Påverkansoperationer för att störa vår förmåga att fatta beslut och försvaga vår försvarsvilja kommer att vara en del i krigföringen."
"Överraskning och vilseledning kan förväntas vara en viktig del i operationen."
Jag skulle säga att alla verksamheter, oavsett vad man sysslar med, skulle må bra av att se över sin planering inför alla former av kriser. Höjd beredskap eller till och med krig skulle ju förstås vara extremformen av kris, men även i något mer begränsade situationer kan det bli riktigt jobbigt. En underskattad del tycker jag ofta är tillgången till sin egen personal och de konsulter man är beroende av. Levererar man något som är viktigt för samhället har man alla möjligheter att exempelvis krigsplacera nyckelpersoner på arbetet.
Hur mäter man nyttan med CIE?
Det blir allt mer populärt att använda metoder som Cyber-Informed Engineering (CIE) och Consequence-driven Cyber-informed Engineering (CCE) för att bygga bort cyberrisker med metoder som inte använder "cyber-lösningar". (Jag har skrivit om dessa tidigare, exempelvis här.)
En fråga som förstås dyker upp är hur man mäter och bevisar nyttan med dessa metoder. Idaho National Labs (INL) gav nyligen MITRE i uppdrag att titta på det vilket resulterade i en intressant rapport. Man tittar på utmaningarna och listar ett antal alternativa sätt att närma sig problemet, samt rekommenderar en av dem.
Intressant läsning även om man inte siktar på att använda dessa metoder eftersom de tittar på generella problem!
VLAN är kluriga!
VLAN är ett populärt diskussionsämne kring OT-säkerhet, om inte annat så bara den eviga tvistefrågan om virtuella LAN verkligen är en säkerhetsåtgärd? (Min åsikt är förresten oftast "Ja"!) Men oavsett varför man använder VLAN och till vad så är de ibland kluriga att få till. I ett inlägg på LinkedIn nyligen skriver Josh Vargese om skillnaderna mellan hur olika produktleverantörer hanterar konfiguration av dem. En del av egenheterna som han beskrive är ganska uppseendeväckande...
Om du är intresserad av OT-nätverk och inte redan följer Josh så rekommenderar jag att du åtgärdar det bums. Många intressanta inlägg och dessutom en radda bra texter på hans företag Traceroutes blogg.
Om du vill förstå teorin bakom VLAN och hur det relaterar till bland annat prioritering av realtidskommunikation finns en kort men bra artikel från svenska specialisterna inom OT-protokoll RT-Labs.
Ännu ett "cybervapen"!
Team82 från Claroty har dissekerat IOCONTROL, ett verktyg som enligt uppgift används av hotaktörer kopplade till Iran som kopplats till attacker mot företag och produkter med koppling till USA och Israel. Analysen bygger på kod man hittade i ett "bränslehanteringssystem" och man nämner kopplingar till attacker mot produkter från Unitronics, Orpak och Gasboy.
Skaffa dig ett bollplank!
2025 kommer bli ett intensivt år för säkerhetsarbetet i producerande verksamheter. Utifrån stressas vi av både ransomwaregängens attacker och EUs nya lagkrav på robust cybersäkerhet. Samtidigt vill vi ju se positivt på nyttan med säkerhetsförbättringar – att vi vågar använda den nya tekniken och att vi kan dra nytta av all information som finns i vår produktion!
Bland de organisationer jag träffar märks tydligt att intresset för säkerhetsfrågor nu verkligen har vaknat. I synnerhet gäller det kombinationen av OT-säkerhet och NIS2, där insikten om hur brett de nya lagarna slår har landat på VD:s bord.
Vissa väljer att bygga upp egen kompetens medan andra tar stöd av oss konsulter. Oavsett vilken väg man väljer verkar ett behov vara gemensamt; att kunna lära av andras erfarenheter, att undvika andras misstag och att ha någon att bolla vägvalen med. Här är det roligt att se att allt fler hör av sig och etablerar en relation i förebyggande syfte. Tanken är att alltid ha någon att ringa när man behöver ett bollplank eller någon som ger feedback på det man tagit fram. Kanske behövs en NIS2-utbildning för ledningsgruppen eller en coach för den nyblivna säkerhetsstrategen? Om det avtalsmässiga redan är satt på plats kan man ju få hjälp samma dag och hjälpen kostar bara när den används.
Det här är definitivt mina personliga favorituppdrag. Här känner jag verkligen att jag direkt bidrar med erfarenheter och insikter från alla de verksamheter som jag haft förmånen av att jobba med tidigare. Varje gång är det samma känsla, oavsett om det är med en styrelsemedlem, automationsingenjör, systemarkitekt, underhållsingenjör, IT-chef, pentestare, utvecklare eller säkerhetschef så är utbytet av erfarenheter väldigt berikande för oss båda!
Jag kommer ha tid för fler spännande uppdrag framöver. Hör av dig! mats@ot-sakerhet.se Först till kvarn…
En eller två brandväggar?
Emellanåt hör man argument för att använda brandväggar från olika leverantörer som ett sätt att komma till rätta med alla de risker kring framför allt VPN-tjänster som formligen exploderat på sistone. I en kort artikel utforskar Dragos för- och nackdelar med detta tänk.
SCADA och DCS möter olika risker!
Sinclair Koelemij beskriver i en artikel skillnaderna i vilka risker man ser kring SCADA- respektive DCS-system utifrån hur de normalt används och den funktion de har i sina respektive produktionsverksamheter.
Relevanta poänger men också läsvärt för att bättre tydliggöra skillnaderna mellan SCADA och CDS, två begrepp som jag ofta hör blandas ihop.
Safety och IEC 61508, IEC 61511 och IEC 62443
Sinclair Koelemij leverar som vanligt kloka tankar, den här gången kring Safety och kopplingen mellan standarderna IEC 61508, IEC 61511 och IEC 62443. Han slår ett slag för bättre integration mellan standarder för cybersäkerhet och standarder för safety. En viktig poäng!
Reaktioner på förra nyhetsbrevet
Det är alltid roligt att se vad som väcker mest uppmärksamhet när jag släpper ett nytt nyhetsbrev. Förra gången var det definitivt texten om riskhantering och texten om missförstånden kring Integritet. Stort tack till er som hörde av er via mejl och er som kommenterade inlägget på LinkedIn. Björn Klug skrev ett eget inlägg som utvecklar tankarna kring riskhantering ännu mer. Kul!
Minst reaktioner kom det på min tanke kring att skapa roliga dekaler så den lade jag ner direkt!
Fortsätt gärna höra av er (mats@ot-sakerhet.se), det uppskattas mycket!
Nästa utspel från EU: Produktansvar
Det blir intressant att se hur PLD, det nya produktansvarsdirektivet från EU kommer användas i praktiken. Jag har själv inte riktigt landat i min syn på det här ännu, men det är väldigt uppenbart att PLD tillsammans med andra EU-krav, framför allt cybersäkerhetskraven i CRA-förordningen, väldigt tydligt lägger ansvaret för alla former av säkerhet hos tillverkaren.
Det är förstås viktigt för mig som privatperson att förstå vad jag kan ställa för krav på produkter och tjänster jag använder. Att produkter inte ska kunna skada mig fysiskt är tydligt, men formuleringar som ”När det gäller en produkt vars hela syfte är att förhindra skada, att produkten inte uppfyller detta syfte” hintar även om indirekta klurigheter. Om ett villalarm visar sig enkelt att störa ut och en inbrottstjuv därmed tar sig in och misshandlar mig – är det larmtillverkarens fel då? Om mitt uppkopplade brandlarm störs ut av min uppkopplade brödrost och de tillsammans bränner ner mitt hus – är det brandvarnarens fel eller brödrostens?
För mig som OT-säkerhetsperson blir samma citat extremt intressant. Om det finns cybersäkerhetsbrister i systemen som ska se till att en kemisk tillverkningsprocess inte exploderar och dödar alla i närheten – vems fel är det? Tillverkaren av produkten? Eller den som konfigurerat produkten genom att aktivera osäkra funktioner? Citatet ” Varje fysisk eller juridisk person som väsentligt ändrar en produkt utanför tillverkarens kontroll och därefter tillhandahåller den på marknaden eller tar den i bruk ska betraktas som tillverkare av den produkten” tyder på det. Eller kanske till och med arbetsgivaren som kravställt och installerat produkten?
Det är positivt att man, precis som i exempelvis CRA, tvingar tillverkaren att ta hänsyn till hur produkten faktiskt kan tänkas användas i praktiken. Exempelvis säger citatet ”Rimligen förutsebar inverkan på produkten av andra produkter som kan förväntas bli använda tillsammans med produkten, även genom sammankoppling” att saker som kan kopplas ihop ska tåla det. Däremot hittar jag inte motsvarigheten till de formuleringar i CRA där brukaren förutsätts installera, använda och underhålla produkten som det är föreskrivet.
Det är mycket som händer på det här området just nu! Som konsult och rådgivare kring OT-säkerhet märker jag tydligt att det finns ett stort intresse bland alla som berörs!
(Det här skrevs först som ett inlägg på LinkedIn.)
Skydda dina ingenjörsstationer!
Det kan vara värt att påminna om att skyddet av ingenjörsstationer behöver ligga högt upp på prioriteringslistan för dig som jobbar med OT-säkerhet. Nog för att rena processkomponenter är känsliga i sig, men ingenjörsstationerna är i de flesta fall ännu värre. Tillgång till känslig information i projektfiler och dokumentation, sparade behörigheter och lösenord samt färre begränsningar i nätverket gör att de är en intressant måltavla. Det är dessutom här som säkerhetskrav krockar med bekvämlighet vilket kan leda till sämre skydd än tänkt. För att göra det ännu värre tenderar de också vara åtkomliga på distans på mer eller mindre säkra sätt...
En artikel från Forescout berättar om en analys de gjorde kring smittade OT-mjukvaror som laddats upp till VirusTotal. Deras slutsatser kanske inte är så skräckinjagande men det belyser ändå intresset för ingenjörsmjukvaror bland de som skriver skadlig kod. En intressant detalj är att man hittat texter på nederländska och spanska i koden vilket kan vara en indikation på att utvecklarna inte finns i de länder som vanligen pekas ut i dessa sammanhang...
NIS2 och Seveso?
Är det någon mer än jag som saknar kopplingen mellan NIS2- och Seveso-lagstiftningarna? Som rådgivare och granskare av OT-säkerhet har jag genom åren arbetat med ett antal Seveso-klassade organisationer där hanteringen av digitala risker i kemikaliehanteringen verkligen inte känts bra. Med tanke på att Seveso är EUs lagstiftning för att förebygga storskaliga kemikalieolyckor så borde robust cybersäkerhet i stil med NIS2 rimligen vara en viktig ingrediens.
En direkt koppling mellan NIS2 och Seveso är förvisso inte helt självklar. Kanske är det snarare dags att ”modernisera” Seveso-lagstiftningen, speciellt med tanke på det stora inslaget av digitala säkerhetslösningar i de flesta verksamheter numera? Läser man MSBs stöd för de säkerhetsrapporter som Seveso kräver så nämns ”ont uppsåt” bland de risker som ska hanteras, men ingenting sägs specifikt om cybersäkerhet eller OT-säkerhet.
Det finns förvisso en indirekt koppling mellan NIS2 och Seveso via CER-direktivet, som möjligen skulle kunna ”smitta” NIS2 över tid, men jag tycker faktiskt området är lite för viktigt för att hanteras så.
Har du mer erfarenhet av Seveso och dessa frågor? Har jag missat något avgörande? Hör gärna av dig! mats@ot-sakerhet.se
(Det här skrevs ursprungligen som ett inlägg på LinkedIn.)
Vem är Mats?
Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.