Nyhetsbrev OT-Säkerhet #40

Nyhetsbrevet firar jubileum! Du läser nämligen nyhetsbrev nummer 40! Stort tack till er alla som läser mina texter och förstås ett extra stort tack till er som hör av er med feedback, funderingar eller uppdrag!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Näsan över vattenytan?

Det är intressant att se hur utmaningarna i säkerhetsarbetet förändras i takt med att man som organisation mognar och tar till sig fler skyddsåtgärder. En väldigt tydlig trend inom OT-säkerhet just nu (utifrån vad jag personligen hör) är att allt fler har blivit överraskade, och kanske lite besvikna, efter att de infört någon form av IDS-skydd i sina OT-nätverk. Det är inte så att verktygen inte levererar det som är utlovat, utan snarare tvärtom - de levererar fantastiskt mycket information om alla komponenter och alla händelser i nätverket! Just där uppstår problemen eftersom man allt för ofta inte tänkt igenom hur man ska arbeta med all denna fantastiska information... Utmaningarna blir dessutom ofta värre av att man som organisation inte är van att arbeta tillsammans över interna gränser mellan olika grupper.

Mycket av det arbete jag själv gör just nu är fokuserat på att hjälpa mina kunder i just det där gränslandet där man ska få till ett proaktivt säkerhetsarbete baserat på automatiserad datainsamling och analys. Om man resonerar utifrån NIST CSF, så är det ju egentligen väldigt positivt med IDS:ernas stöd till att kunna lägga fokus på momenten "Identify" och "Detect", de har ju klassiskt varit väldigt utmanande för OT-säkerhetsfolk. Men när det arbetet blir så tungt att man inte kan använda alla nya insikter till att göra analys och härdning inom "Protect" så har man ju missat en viktig pusselbit! Här finns det mycket att göra och utrymme framöver för en ny typ av stödverktyg!

Jag har en känsla av att jag kommer ta upp detta som tema till något av de kommande rundabords-samtal vi kommer fortsätta att organisera framöver för OT-säkerhetsfolk. Personligen är jag väldigt nyfiken på att höra från er läsare om hur ni tacklat de här utmaningarna. Det finns säkert en massa klokskaper som är värda att sprida vidare? Hör av dig till mats@ot-sakerhet.se !

Köp en bok!

I dessa dagar är förstås Andy Greenbergs numera nästan klassiska bok "Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers" extra aktuell.

Förutom att den är väl värd att läsa på sina egna meriter så går nu Andys vinst under första halvåret 2022 till offren i Ukraina.

Kanske något att ge bort i present till kollegorna eller bara börja handla julklappar till släkten tidigt?

OT och Seveso!

Ett område som jag personligen länge varit lite obekväm med är synen på OT-säkerhet i många organisationer med Seveso-klassad verksamhet. Jag har flera gånger blivit förvånad och oroad över hur man på ett nonchalant eller okunnigt sätt avfärdar OT-säkerhet som en komponent i skyddet mot allvarliga kemiska olyckor. Jag ska vara noga med att säga att det här definitivt inte gäller alla sådana verksamheter som jag stött på, men en alldeles för hög andel!

Jag snubblade nyligen över en rapport från finska VTT som belyser många spännande vinklar kring hur Safety och Security samverkar i den totala säkerheten kring Seveso-anläggningar. Här finns det väldigt mycket som jag tycker är värt att diskutera kring!

Hur höjer man sin säkerhet tillfälligt?

Med anledning av världsläget har ju en rad myndigheter utfärdat rekommendationer om att höja sin beredskap och sitt säkerhetsläge. Amerikanska CISA utfärdade sitt "Shields up!", svenska energimyndigheten lyfte fram ENISAS rekommendationer kring energibranschen och CERT-SE uppmanade oss att vara uppmärksamma på nätfiske och DDoS. En massa säkerhetsföretag har förstås också tagit chansen att ge oss deras twist på vad som är viktigt.

En grundfråga man kan ställa sig är hur man egentligen höjer sin OT-säkerhetsnivå tillfälligt? Det är ju inte som att man kan skruva på en kran och få mer eller mindre säkerhet... Och att införa nya säkerhetsåtgärder för snabbt tenderar ju gärna att leda till problem...

Om jag ska ge några högst personliga råd baserat på verkliga erfarenheter så är det kanske dessa:

• Se till att de säkerhetsåtgärder ni redan har faktiskt fungerar! Gör den där genomgången av användardatabasen och plocka bort medarbetare som slutat och konsulterna som inte kommer tillbaka på ett halvår. Kanske är det dags att titta igenom brandväggsreglerna och rensa alla "tillfälliga" regler? Gör en inventering och kolla att alla användare faktiskt måste köra 2-faktor när de ansluter hemifrån. Se till att någon tittar på de där fina loggarna som skapas. De flesta organisationer brukar ha en hel del dåliga samveten...

• Öva på något! Det behöver inte vara så avancerat! Pröva att läsa tillbaka ett klurigt system enbart från backup och installationsmedia. Fungerade det? Kör en enkel diskussionsövning runt ett scenarie och utmana varandra lite kring åtgärderna! Eller bara byt arbetsuppgifter med en kollega!
  

• Om ni redan planerat något slags förbättringar kan det förstås vara ett bra läge att starta dem bums. Förmodligen finns det annat som känns lite mindre viktigt att dra igång just nu?

• På OT-sidan börjar det bli en självklarhet att ha en OT-anpassad IDS-funktion. De har ju dessutom fördelen att de är ganska enkla att få igång och risken för störningar på verksamheten är minimal! Om man inte har en sådan kan det vara ett bra tillfälle nu! Men glöm inte att ni behöver ha folk och rutiner för att ta hand om all fin information som de skapar! All världens bästa brandlarm är bara bortkastade pengar om ingen hör dem...
  

• Ska jag tala i egen sak så är min erfarenhet att det med 100% säkerhet ger nya insikter att ta in någon utifrån som ger en snabb "second opinion" kring ert säkerhetsupplägg eller kanske gör någon form av granskning. Man blir snabbt väldigt hemmablind!

Sedan är väl nästa fråga om och när det egentligen kommer kännas okej att med flit sänka sin säkerhetsförmåga igen när omvärlden "lugnat ner sig"? Men det är ett annat problem...

Jonas och pyramiderna!

Min idol Jonas Berge har skrivit en text kring den gamla hjärtefrågan "Är Purdue-modellen död?" som ofta dyker upp i samband med IIoT-frågor. Förutom att indirekt förklara varför frågan är felställd från början så knyter han ihop flera säckar som brukar dyka upp i dessa diskussioner och drar dessutom med min favorit NOA från NAMUR på slutet. Är du det minsta intresserad av arkitektur eller segmentering så är det här ett måste att läsa!

Sortera lättare bland innehållet på ICS-CERT!

Det intressanta open-source-projektet "ICS Advisory Projekt" är ett klockrent sätt att kunna sortera/vända/vrida på informationen från ICS-CERT. Tanken är att göra det mycket lättare, speciellt för mindre organisationer, att få koll på alla sårbarheter i de system man själv har.

Prova själv här!

Grundkurs i OT-Säkerhet

MSB och FOI har tillsammans tagit fram en rejäl grundkurs i OT-säkerhet, eller som de väljer att kalla den, "Onlinekurs: Säkerhet i industriella kontrollsystem". Jag har inte tittat igenom alla delarna själv men efter ett gäng stickprov tycker jag det ser väldigt lovande ut. Med David Lindahl som vår lärare och ett riktigt grundligt anslag, går de igenom både historik och alla speciella förutsättningar som det här området har. Det är en serie om 12 filmer på YouTube som är mellan 10 och 20 minuter långa. Det här är absolut något som man kan peka folk till som vill lära sig om området!

Problem på insidan!

Ett riktigt svårt och dessutom underskattat område inom de flesta former av säkerhetsarbete är insiderproblematik, alltså att betrodda medarbetare skadar organisationen, medvetet eller omedvetet. Det här är förmodligen det mest otippade dokument jag någonsin delat i nyhetsbrevet, det är en revisionsrapport av NASAs program för hantering av insiders. Det låter ju inte jättekul men det ger en massa intressanta vinklar kring vad som krävs för att vara bra på detta!

Världspolitiken når open source

Det kanske inte har så mycket med OT-säkerhet att göra på ytan men jag kan föreställa mig hur det här kan påverka även oss framöver. Krebs On Security publicerade en intressant artikel kring hur protester mot Rysslands agerande i Ukraina har börjat dyka upp i olika kodprojekt inom open source. Det handlar om populära bibliotek som plötsligt "kompletterats" med kod som reagerar om programvaran används på en dator i Ryssland eller Belarus. I vissa fall är det bara ett försök att sprida omvärldens syn på händelserna men det finns fall som helt enkelt raderar filer på den dator där programvaran installerats.

Vad är då kopplingen till OT? Den största risken är kanske alla de mjukvarubolag som inte har någon granskning av den kod de använder i sina produkter, uppdateras ett kodbibliotek så använder de glatt det utan någon närmare granskning. Är det då en leverantör av OT-mjukvara eller en mjukvara som används i OT-system så kan det ju förstås hända saker... En annan variant är att det blir allt vanligare att man kan dela med sig av lösningar till OT-mjukvara, exempelvis genom att köra containrar i PLCer. Jag har skrivit i andra sammanhang om säkert i våra leverantörskedjor och motsvarande gäller förstås i synnerhet för open source!

Problemet med båda scenarierna är förstås att motsvarande skulle kunna drabba även oss som inte finns i Ryssland eller Belarus. Det var ju exempelvis nyligen en person som modifierade sitt kodbibliotek på grund av missnöje med attityden från de företag som gratis kunde dra nytta av hans arbete.

Allt detta skapar ju förstås en tråkig misstänksamhet mot open source men å andra sidan är det en bra påminnelse för alla de som godtroget antar att open source automatiskt är säkert och pålitligt.

Otippade fysiska konsekvenser

Avbrottsfri kraft är ju en av de mest grundläggande säkerhetsåtgärderna i de flesta verksamheter, både inom IT och OT. Nu har UPS:er från APC drabbats av ett gäng riktigt otrevliga sårbarheter som enligt uppgift kan användas för att fysiskt förstöra utrustningen och i vissa fall även orsaka brand!

Förutom att snabbt uppdatera är det ju alltid en väldigt bra idé att administration av viktig utrustning hanteras på avskilda nätverk. Förutom kraftsystem gäller det också konsolportar på nätverksutrustning, serverhårdvara som ofta har iDRAC/iLO/IPMI etc, virtualiseringstrafik i WMware osv. Det är verkligen inte bara klassiska PLCer mm som behöver en bra segmentering!

Lite på samma tema, alltså att utrustning faktiskt förstörs av en attack, är ett angrepp mot satelitterminaler som lustigt nog inträffade i samband med Rysslands anfall mot Ukraina och som inledningsvis framför allt slog mot utrustning i Ukraina... De drabbade terminalerna blev tydligen permanent utslagna och en av de indirekta konsekvenserna var att närmare 6000 vindkraftsnurror runt om i centraleuropa tappade kontakten med sitt SCADA-system. REVERSEMODE har en väldigt bra genomgång av vad som hänt.

Testa! Testa! Testa!

Definitivt inte en nyhet men däremot ständigt aktuellt är behovet av att testa och verifiera sina säkerhetsåtgärder. Matan och Idan från OTORIO berättar om deras spännande användning av MITREs Caldera-plattform för att skapa angrepp mot OT-testmiljöer i syfte att se hur säkerhetsåtgärderna reagerar. Om jag minns rätt var detta också en punkt som de berättade om på CS3STHLM senast det begav sig.

Caldera är Open Source, är tillgängligt på github och har bra dokumentation.

Om du vill djupdyka ordentligt i hur man bygger testbäddar så hittade jag två smaskiga papper på Arxiv, dels "Design Considerations for Building Credible Security Testbeds - A Systematic Study of Industrial Control System Use Cases" av Uchenna D Ani, Jeremy M Watson, Benjamin Green, Barnaby Craggs och Jason Nurse och dels "SoK: A Survey of Open-Source Threat Emulators" av Polina Zilberman, Rami Puzis, Sunders Bruskin, Shai Shwarz och Yuval Elovici.

Fyra procent är viktiga!

I förra nyhetsbrevet hade jag med ett antal årsrapporter från leverantörer av olika säkerhetsprodukter. En som inte fanns med då var rapporten från Dragos som alltid innehåller en massa godis. En riktigt intressant siffra är kopplad till deras analys av sårbarheter som offentliggjorts under 2021. Den totala mängden sårbarheter har som kanske bekant stigit rejält under de senaste åren. MEN! Om man har en vettig arkitektur i övrigt så var deras slutsats att bara 4% av alla sårbarheter i OT-komponenter faktiskt behövde prioriteras! Man kan alltså påverka mängden patchningsarbete rejält om man har en bra prioriteringsmodell!

När jag ändå nämner årsrapporter ska vi inte glömma Clarotys halvårsrapport från sitt "Team82". En intressant poäng de gör är att den kategori sårbarheter som varit störst på senare tid är inom "Operations Management" eller Nivå 3 om man kategoriserar enligt klassiskt Purdue-tänk. Väl värt att ta med sig i tankarna när man lägger upp sin patchningsstrategi!

Läs som ett proffs!

I takt med att mängden sårbarheter som annonseras ökar snabbt blir det förstås allt viktigare att kunna läsa informationen kring dem. Tyvärr är det inte alltid helt enkelt och i många fall är resonemangen mer anpassade för användningen i IT-världen. Ron Brash på Verve ger oss kloka tips om hur vi ska ta till oss innehållet lite enklare och bättre!

Rob Lee om experter och grundorsaker

Rob Lee gav i en Twitter-tråd nyligen en radda riktigt kloka råd till både massmedia och oss andra kring hur vi bör agera om det börjar hända dåliga saker i kritisk infrastruktur. Och då med huvudsyftet att motverka missinformation och psykologiska angrepp. Han trycker på vikten att välja rätt experter för att uttala sig och på vikten av att göra riktigt bra rot-orsaksanalyser. Som vanligt har Rob extremt rätt i det han säger, jag kan förvisso tycka att svenska journalister är hyffsade på att välja sina intervjuoffer men det kan förstås alltid bli bättre. Tanken om att fokusera en del av säkerhetsarbetet på att i efterhand faktiskt kunna reda ut vad som i grunden orsakade att en attack kunde genomföras gäller definitivt även i Sverige!

Vi går till sjöss!

Läste nyss en rapport från ett projekt i Singapore, "A Cyber Risk Management Study in Shipboard OT Systems", där iTrust och SUTD (Singapore University of Technology and Design) tagit fram en samling best-practices för OT-system på fartyg. Den ger förutom en massa kloka råd även en bra introduktion till typiska system på fartyg och hur de kan tänkas bli angripna! På senare år har det kommit en hel del säkerhetsdokument från olika organisationer inom sjöfarten men de har alla varit inriktade mot ledningen - i det här fallet har man valt att vara betydligt mer handgriplig genom att vända sig till de som ansvarar för OT-säkerheten ombord, vilket är riktigt trevligt! Till rapporten finns även ett webbinar som ger en del bra extra poänger. De har också med en alldeles äkta sjökapten som ger sina perspektiv på OT-säkerhet ombord på ett fartyg!

"Den som är försatt i skuld är inte fri"

Det var förstås inte teknikskuld som Ernst Wigforss tänkte på när han myntade det klassiska uttrycket men det passar ju bra även i det sammanhanget. Kanske speciellt inom OT som ju är mer belastat av gammal teknik jämfört med andra säkerhetsområden.

Här är ett antal texter kring begreppet teknikskuld som ger lite nya infallsvinklar, vissa pekar även på de positiva konsekvenserna av att sätta sig i tekniksskuld. Jag kan tycka att det är ett klokt angreppssätt att se valet att göra sig beroende av osupportad teknik som ett medvetet val och ett slags investering eller lån där man får vara noga med att betala av på i framtiden. Det medvetna valet måste förstås också ta med i beräkningen att man gör sig själv oflexibel och ökar sina risker!

"How To Explain Technical Debt To Executives. Hint: It’s Not Technical" av Sam McAfee

"Tech debt is not a burden, it's a strategic lever for success" av Matt Greenberg and Keya Patel

"The 'in vitro' strategy for mitigating product debt" av Jack James

"Practical Approaches to Tech Debt" av Isaac Palka

"How To Successfully Recognise and Manage the 3 Different Types of Tech Debt" av Asley Peacock

Sluta peka finger!

En intressant artikel från DarkReading handlar om ett uppsving just nu för tänket om att skapa en "schysst kultur" där man försöker stärka säkerhetsarbetet genom att skapa en trygg miljö där man inte riskerar att bli syndabock för eventuella säkerhetsmisstag.

Det här är något som jag personligen känner igen från min bakgrund inom kärnkraftsvärlden där just detta med en "no blame culture" är en stor komponent i arbetet med en bra säkerhetskultur. Naturligtvis får man inte blanda ihop ärliga misstag med ont uppsåt eller direkt slarv.

NIST är färdiga med vårt facit!

I nyhetsbrev #35 berättade jag att NIST släppt en draft av ett spännande dokument. Nu har precis den skarpa varianten släppts. Jag repeterar det förra inlägget här (fast med länkar till det slutgiltiga dokumentet) om du missade det förra gången. Jag får erkänna att jag inte gått igenom och jämfört slutresultatet med draften men jag har svårt att tro att det blev några enorma ändringar. Ett dokument som är väl värt att ta till sig!

Jag har tidigare skrivit om dokument från NIST, framför allt i Nyhetsbrev #28 där jag gick igenom "NIST Cybersecurity Framework", "NIST Special Publication 800-53" och "NIST SP 800-82". Nu har NIST släppt en draft av ett nytt dokument i 1800-serien som har det smidiga namnet "NIST 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector".

Om du inte känner till 1800-serien så är det en samling dokument som är tänkta att vara "how-tos", alltså handfasta och praktiska rekommendationer kring hur man hanterar olika kniviga ämnen - i det här fallet OT-säkerhet för tillverkande industri. Det som är lite speciellt är att man gör det i samarbete med ett antal tillverkare och använder deras produkter rätt av som exempel på hur man kan göra. För min egen del hade jag inte koll på Dispel och GreenTec sedan tidigare men i övrigt är det idel välkända namn som medverkar. Vissa har förekommit i nyhetsbrevet tidigare, exempelvis ConsoleWorks från TDI Technologies som var med redan i nyhetsbrev #18!

Det här är ett massivt dokument på drygt 300 sidor, uppdelat i tre delar. Det huvudsakliga innehållet beskriver hur man implementerar funktioner från "NIST CSF" med hjälp av dessa produkter. Som synes är det väldigt olika produkter:

• Säkerhetsfokuserade produkter som applikationskontroll i Carbon Black, sårbarhetshantering i Tenable.ot eller styrsystem-nära säkerhet i Dragos och Azure Defender

• Fjärråtkomst på ett säkert sätt via ConsoleWorks

• Generella historian-funktioner mm via OsiSoft PI Server.

Tillsammans kokar de en ganska heltäckande soppa som bör gå alldeles utmärkt att utnyttja även om man inte använder just de här produkterna. I grunden är det ett ganska bra sätt att tänka brett genom att utgå från CSF.

Jag kallade skämtsamt dokumentet för ett facit i rubriken, men man ska nog hellre se det som en receptsamling. Man kan byta ut de ingredienser som man saknar mot andra som man redan har hemma i skafferiet.

Men det hjälper förstås också till att sätta ljuset på eventuella hål i det egna säkerhetsarbetet. Personligen ser jag väldigt ofta en stark slagsida mot preventiva skyddsåtgärder. En av mina favoritdelar i CSF är de fem grundläggande delarna, "Identify", "Protect", "Detect", "Respond" och "Recover". När man diskuterar utifrån dessa blir det ofta väldigt tydligt att alltför mycket tid och pengar ägnas åt "Protect" medan de övriga får betydligt mindre att dela på. Slarvar man med "Identify" blir alla de andra delarna (inklusive "Protect") betydligt mindre effektiva. Missar man någon av delarna i trojkan "Detect", "Respond" och "Recover" blir man väldigt sårbar om det hårda skalet man försöker skapa via "Protect" skulle brista.

Mer rapporter att läsa?

IEC har kommit med en serie tekniska rapporter kring "Smart manufacturing" där en av de tre delarna handlar om utmaningar kring säkerhet. Har inte haft möjlighet att läsa dem än, det låter spännande! Någon som hunnit läsa och kan berätta om sina intryck?

Konferenser och webbinarier

Det märks att det är ett ständigt ökande intresse kring OT-säkerhet och nu när det blivit möjligt att ordna fysiska event igen så ser man mängder av sådana annonseras! Bland webbinarierna är det svårt att gallra bland alla spännande möjligheter. Här är i alla fall tre event som jag personligen valt att delta i...

Den 19:e till 21:a April kommer jag vara på S4x22 i Miami. Konferensen som väl ändå får räknas som den mest kända OT-säkerhetskonferensen i världen och förmodligen den största också. Sist jag tittade hade man passerat 500 anmälda men det finns biljetter kvar. Vore kul att ses där!

Den 27:e och 28:e April kommer jag vara på NFEA Cyber Security Conference i Oslo . Även om namnet inte säger något om "OT" så är det ett event med fokus på OT-säkerhet. Kanske ses vi där?

Den 30:e mars är du är hjärtligt välkommen att lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättar om hur vi tycker man bäst kan bygga säkra maskiner som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen.

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.