.png)
Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!
Den här gången får du ett troligt datum för NIS2, certifiering av produktleverantörer enligt 62443, ny information om TRITON, hotet mot den svenska energisektorn och så berättar jag att jag har ändrat mig!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
NIS2 har aldrig varit så nära som nu?
Vi var väl ett gäng som både trodde och hoppades att NIS2 skulle vara klubbat vid det här laget. Nu verkar det dock börja röra sig igen. Den 10:e November planeras ett betänkande att läggas fram av Bart Groothuis i Europaparlamentets Plenum.
Jag har inte studerat detaljerna men mitt intryck (som fullständig amatör när det gäller att läsa EU-texter) är att planen är att parlamentet nu ska ge tummen upp och skicka texten vidare för implementation.
När det väl är klubbat skall det bli extremt intressant att se om media slutligen vaknar och om det i sin tur får alla tusentals svenska företag och organisationer som berörs att förstå vad man står inför? Min, högst personliga, uppskattning är att vi exempelvis talar om många hundra svenska industriföretag bara inom tillverkning och kemi!
Full koll på NIS2? Nu kommer CRA också!
Jag har skrivit mycket om NIS2 på senare tid. Men det är bara ett i en rad av initiativ som ingår i EUs cybersäkerhetsstrategi. CRA, eller "Cyber Resilience Act" är en utökning av CE-märkningen som EU definierar. Det handlar gravt förenklat om att prylar som kan ha en digital koppling till någonting annat ska uppfylla en radda säkerhetskrav för att få säljas inom EU. Dessutom finns det en koppling till NIS2 eftersom det ställs högre krav på prylar som är tänkta att användas i verksamheter som är "Essential entities" enligt NIS2.
Några av kraven är exempelvis:
Riskanalyser under utvecklingen
"Secure by default" - dvs man ska inte behöva "slå på säkerheten"
Härdning
Möjlighet till loggning och övervakning
Tillgång till säkerhetsuppdateringar via en dokumenterad metod. Sårbarheter ska fixas och kommuniceras snabbt.
Maskinläsbar SBOM, alltså en innehållsförteckning över vilka mjukvaror som ingår.
Jag ska inte skriva någon lång text om detta eftersom jag hittade en jättebra text av Sarah Fluchs. Det här är superintressant, sannolikt jättebra och påverkar både IT- och OT-världen i grunden!
...och så CER förstås!
Men det räcker inte med NIS2 och CRA. En tredje är CER, Critical Entities Resilience. Det handlar om att verksamheter som är viktiga för samhället ska arbeta systematiskt med riskhantering för att förbygga störningar i verksamheten. Det gäller alltså inte bara IT/OT-säkerhet utan alla former av risk- och säkerhetsarbete. Mitt första intryck är att det påminner en del om det vi i Sverige (via MSB) kallar "Samhällsviktig Verksamhet", även om det verkar vara olika scope för vilka verksamheter som omfattas.
Men glöm inte maskindirektivet!
Jag har skrivit om det nya Maskindirektivet tidigare och nyligen såg jag att Phoenix Contact publicerat en bra text i NyTeknik. Om CER handlar mindre om teknik så handlar förstås Maskindirektivet desto mer om prylar och, framför allt, hur de ska utvecklas och underhållas för att förbli säkra (i betydelsen "Safe") för de som använder dem.
Omfattningen är väldigt bred och man kan läsa en detaljerad definition i förslaget av vad som avses med var och en av dessa:
machinery
interchangeable equipment
safety components
lifting accessories
chains, ropes, slings and webbing
removable mechanical transmission devices
partly completed machinery
Det finns också en koppling till de krav och regler som är på gång inom EU för Artificial Intelligence, speciellt när det gäller Safety-funktioner i autonoma utrustningar.
Det där med leverantörskedjan...
Något som är extremt "hett" just nu (och det med rätta) är säkerhet i leverantörskedjorna. NIS2 är ett väldigt tydligt exempel på att det här är något man måste ta tag i oavsett om man själv berörs av föreskrifterna eller är leverantör till en organisation som omfattas. Här kan man skaffa sig enorma fördelar som leverantör om man är snabb på bollen!
Man måste ju förstås komma ihåg att vi pratar om en kedja, dvs det finns fler än en länk som man är beroende. Så som vi fick lära oss av COOP så är det inte nödvändigtvis den närmaste länken i kedjan som är problemet. Det vill till att både ställa krav på sina leverantörer men också att ställa krav på att de ska ställa krav i sin tur!
Den spännande firman OTORIO, som är mest känt för deras analysverktyg för OT-säkerhet, RAM2, annonserade nyligen att de har slagit till och blivit certifierade enligt ISA/IEC 62443. Mer exakt handlar det om att det finns oberoende bevis på att deras utvecklings- och underhållsprocesser följer 62443-4-1.
Jag ser generellt en stor ökning i intresset för att arbeta enligt standarden 62443-3-3. Ofta vill man mäta sina risker och hur väl man implementerat standarden, så då vore det ju nästan konstigt att använda verktyg som själva inte utvecklats i linje med standarden!
I och med att det här är system som ansluts direkt till känsliga OT-miljöer så vill man ju verkligen inte att säkerhetssystemet själv skapar försämringar i säkerheten! Förutom att det är en kvalitetsstämpel så är det ju förstås också ett bevis på att de tar säkerheten på så stort allvar att man genomför en så pass stor manöver som en certifiering är.
Jaha? Är det så viktigt med certifiering kan man fråga sig? Ja, faktiskt! Krav på just den här typen av certifieringar skulle jag tro blir väldigt vanligt framöver i takt med att fokuset på leverantörskedjorna ökar. Inte minst via NIS2! Personligen tror jag någon form av certifiering av utvecklings- och underhållsprocesser kommer vara ett självklart krav i upphandlingar framöver. Det måste ju inte vara just 62443-4-1, men det gör det förstås lite extra tydligt att man satsat just på OT.
Med bra timing kom även en vägledning från amerikanska NSA och CISA kring leverantörskedjor inom mjukvara, riktad mot leverantörer. Den är förstås skriven ur ett strikt amerikanskt perspektiv men kan nog vara väldigt användbar oavsett om man levererar till USA eller inte.
Dags för regelverksanalys?
Med tanke på alla kommande nya och utökade regelverk, inte minst från EU och som dessutom slår lite oväntat är det dags för väldigt många verksamheter att göra en regelverksanalys! (Det som tidigare ofta kallades författningsanalys!)
Vissa regelverk kommer "slå" mot verksamheter som inte alls förväntar sig att omfattas, så första steget är att hitta alla föreskrifter, lagar och andra regler som man berörs av. Nästa steg är att förstå kraven som ställs från de olika källorna och att sedan kombinera dem för att skapa sitt eget regelsystem.
Till det kommer numera allt oftare även indirekta krav, där man i en utökad regelverksanalys förmodligen bör titta på vilka krav verksamhetens kunder kan förväntas tvingas ställa framöver.
Ofta vill man beskriva de regler man tar på sig i någon form av ledningssystem. Här är det ju förstås väldigt lämpligt att basera det på ISA/IEC 62443, främst delarna 2-1, 3-2 och 3-3. Det går alldeles utmärkt att göra ett integrerat ledningssystem där man blandar åtgärder för att möta 62443 och krav från regelverk med åtgärder kopplat till exempelvis informationssäkerhet och ISO 27001!
Personligen kan jag tycka att det är väldigt klokt att börja med detta så tidigt som möjligt, helst redan när det finns ett förslag till kravtext framme. Det blir sällan några större ändringar...
Jag har ändrat mig!
I förra nyhetsbrevet skrev jag om vännerna på Claroty "Team82" som hade släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskrev ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmerings-verktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker.
Vid första anblicken tyckte jag ärligt talat att det var en lite väl teoretisk attack, men efter att ha funderat lite mer på det där så insåg jag att det var mer intressant än vad jag först insåg. Det är nog fortfarande mest en teoretisk attack men den belyser minst tre viktiga och omdebatterade ämnen:
Luftgapet! Att den gamla idén om att "luftgap" skulle vara ett vettigt skydd håller få med om. (Alltså att att system blir säkrare av att sakna nätverksanslutning eller anslutning till externa nätverk.) Det är absolut inte en meningslös åtgärd men man måste förstås vara medveten om att det finns många andra kommunikationsvägar som kan användas för attacker. Här är ju "Evil PC" ett tydligt exempel på en sådan attack som, åtminstone teoretiskt, skulle kunna ställa till ganska stor skada i system som inte går att attackera via ett nätverk!
Zero Trust! Om du läst mina tidigare texter vet du att jag tycker Zero Trust är ett viktigt men också väldigt missförstått ämne inom OT-säkerhet. Här är "Evil PC" ett underbart exempelvis på att man inte ska ha några som helst implicita Trust-förhållanden. Inklusive att en engineering workstation eller andra programmeringshjälpmedel inte ska lita på de PLC:er som man ansluter sig till!
Backuper! Att ha vettiga backuper av projektfiler och konfigurationer är de flesta överens om även om det är något som sällan sköts perfekt i verkligheten. Den här attacken belyser definitivt vikten av att ha bra backuper men också det vettiga i att utgå ifrån lagrade filer när man ska göra ändringar istället för att ladda ner den aktiva konfigurationen från PLCn!
Jag kommer nog ha med det här som ett lite utmanande scenario i framtida riskworkshops!
Vill du dyka i detaljer så finns alltid en dragning från DEFCON som Sharon Brizinov gjorde.
Intryck från SPS-mässan!
Jag spenderade en dag på SPS-mässan, en stor automations- och produktionsmässa i Nürnberg som arrangerats sedan 1990. Med nästan 14 hektar golvyta och 1700 företag som ställer blir det verkligen en enorm och tuff utmaning att ta in allt spännande som visas upp.
Många fascinerande montrar med otroligt cool teknik inom alla möjliga områden. Men... Det är fortfarande väldigt lite fokus på säkerhet i det man lyfter fram kring sina produkter och när man frågar om säkerhet får man oftast bara en inövad harang som inte säger så mycket. Bland de rena säkerhetsleverantörerna var det förstås betydligt bättre där exempelvis TXOne hade en riktigt bra monter med vassa medarbetare på plats!
Vem bryr sig om säkerhet i CNC-maskiner?
Jag hittade en intressant rapport från Trend Micro kring säkerheten i CNC-maskiner. De har gjort en riktig djupdykning i det här området som jag själv inte sett speciellt mycket forskning inom.
Förutom att man får lära sig mer om dessa spännande och oanat avancerade maskiner, så inser man hur utsatta de är på grund av att riskerna kring dem så sällan diskuteras! Här finns mycket att ta tag i för många!
Ny information om TRITON!
Joe Slowik, som numera arbetar på Gigamon, har tittat djupt i det som är känt kring hur den så kallade TRITON-attacken organiserades. TRITON (eller TRISIS som vissa analytiker kallar den) betraktas som den första kända attacken som riktade in sig på safety-system med avsikt att framkalla ett spektakulärt haveri på det Saudiska raffinaderiet Petro Rabigh 2017. Hade man lyckats hade sannolikt resultatet blivit ett stort antal dödsfall men på grund av en bug i den skadliga kod som användes misslyckades man lyckligtvis. Det finns ett papper att läsa och en video från Joes presentation på VirusBulletin-konferensen i september. Dessutom hörde jag en bra intervju med Joe på Clarotys podcast "Aperture".
Fastighetsautomation skapar information!
SKR har givit ut en skrift om informationssäkerhet för fastighetsvärlden, som tagits fram i samarbetet "Offentliga fastigheter".
Den talar förvisso inte ett enda ord om OT-säkerhet men den tar upp ett besläktat problem som automations-folket ofta inte är så vana vid. När vi digitaliserar och "kopplar upp" våra fastigheter sker ju ofta det med syftet att kunna mäta vad som händer i fastigheten.
"Baksidan" med det är att vi tar fram en massa ny information som då förstås ska skyddas på lämpligt sätt. Just i gränslandet mellan OT-säkerhet och informationssäkerhet uppstår det lätt missförstånd och med det kommer säkerhetsproblemen! Här behöver säkerhetsfolk från olika discipliner bli duktiga på att hantera risker tillsammans. Det låter enkelt men är i praktiken ofta riktigt svårt att få till bra!
MITRE ATT&CK for ICS fyller 12 versioner!
MITRE ATT&CK for ICS har kommit i version 12. Den största och viktigaste förbättringen är att man lagt till "Detections", på samma sätt som finns i "vanliga" MITRE ATT&CK sedan version 11. Vi kan nu referera till vanliga sätt att upptäcka de olika typerna av tekniker som angripare använder.
Om det inte redan var det innan så börjar "MITRE ATT&CK for ICS" verkligen bli ett ovärderligt redskap för den som arbetar med systematiskt OT-säkerheten, oavsett om det är säkerhetsarkitektur, threat hunting eller något annat.
Hårt arbete!
Phil Venables har skrivit en text om "hårt arbete", på engelska "grind" inom säkerhetsarbetet. Precis som vanligt får vi en massa kloka ord om detta osexiga, men viktiga, område - kryddade med geniala citat.
Uppdatering från britterna
Brittiska NCSC har kommit med en ny version av sitt CAF, Cyber Assessment Framework, som ju vänder sig till brittiska verksamheter som lever under den brittiska NIS-regleringen. Som vanligt när NCSC är i farten finns det gott om goda tankar som man kan inspireras av även om man inte formellt lyder under regelverket.
Runda klossar i fyrkantiga hål?
Joe Weiss levererar i en artikel nyligen som vanligt kloka synpunkter på OT-säkerhetsvärlden med utgångspunkter som är väldigt nyttiga, speciellt för dem som har sitt ursprung i IT-världen.
Jag håller verkligen med honom om att många bra vanor i IT-världen förvandlas till riktigt dåliga idéer när de återanvänds utan eftertanke i OT-världen. Därmed inte sagt att man inte kan uppnå samma goda resultat om man bara fokuserar på vad som egentligen är målet med riskreduktionen och i många fall ser över hur man närmar sig problemet och vilka verktyg man föredrar.
Just verktygsfrågan är förstås lite extra känslig i och med att det finns ekonomiska vinster i att återanvända verktygen från IT-världen. Min högst personliga åsikt är att det viktigaste är att få till genomtänkta lösningar som går att underhålla och som håller över tid. Även om du har en obskyr utrustning eller en riktigt gammal version av Windows så innebär inte det automatiskt att det är omöjligt att hitta säkerhetslösningar som är fullt supportade! Med det fokus som är på OT-säkerhet nu har det verkligen börjat dyka upp tekniska lösningar som är byggda från grunden för att passa i våra förutsättningar, oavsett om du vill ha virusskydd, sårbarhetsanalys eller brandväggar!
En helt vanlig dag på jobbet...
För några veckor sedan hade vi en intern "Cyber Security Summit" på jobbet för alla som arbetar inom området "Cybersäkerhet". En punkt på agendan var en paneldiskussion där vi bjöd in fyra organisationer för att diskutera deras utmaningar på säkerhetsområdet med tonvikt på OT-säkerhet. Den spelades in så att fler skulle kunna få ta del av alla klokskaper som våra gäster delade med sig av. Enjoy!
Nytt jobb eller kanske ett exjobb?
Nu är ju nyhetsbrevet min privata skapelse men jag kan inte låta bli att droppa lite roliga AFRY-nyheter ibland! Det är nästan sanslös medvind för säkerhet på oss som jobbar på AFRY! Om du lyssnar för mycket på mig kan du få för dig att det bara handlar om OT-säkerhet men så är det verkligen inte.
Det finns ett antal annonser ute precis som vanligt, men även om du vill syssla med någon annan kategori av säkerhetsarbete så finns det förmodligen ett behov även av det! Hör av dig! Dessutom är det fri placering på något av våra 100 kontor i hela landet - eller i något av de andra 40 länderna där vi håller till...
Om man tittar på just OT-säkerhet så har tung kompetens verkligen börjat samlas hos oss. Nu senast, som du kanske sett på LinkedIn, välkomnade vi Anastasiya, Ove och Oscar, som alla tre kommer från en branschkollega. Så om du är junior kan du lära dig mycket och om du är senior får du verkligen stimulerande kollegor! Fantastiskt roligt!
Nu söker vi dessutom en radda examensarbetare också! Vad sägs om
Utveckla MITRE ATT&CK för användning kring fordon
NIS2 är EUs senaste direktiv, hur kan vi göra det enklare att förstå och uppfylla?
Social Engineering är ett ständigt hett ämne - hur kan vi ta nya tag där?
OT Security - Finns det några nya spännande sätt att arbeta med detta?
OT Security Laboratory - Gör något intressant i vår storsatsning på ett "Levande Labb" för OT-säkerhet och automation.
Och om du har en ännu bättre idé själv så har vi även en öppen kategori, så kom med din egna spännande idé!
Att testa säkerhet på smarta sätt!
Ett papper med den spännande titeln "ICSSIM - A Framework for Building Industrial Control System Security Simulation Testbeds" finns på Arxiv. Författarna Alireza Dehlaghi-Ghadim, Ali Balador, Hans Hansson och Mauro Conti är knutna till RISE, Mälardalens Universitet och University of Padua.
En spännande text som kan vara användbar i många sammanhang, varav ett mycket väl kan bli det OT-säkerhetslabb som finns med i texten ovan om examensarbeten.
Läget i Sverige!
Vännerna på Truesec och Radar har släppt en intressant rapport om säkerhets- och incident-läget i Sverige med fokus på energi-sektorn. De pekar på en radda saker som stämmer helt med min egen uppfattning om hur det står till med OT-säkerheten i svenska organisationer.
I förbigående noterar de exempelvis en uppgång i mängden incidenter hos organisationer som saknar aktiv incidentdetektering. Det här misstaget stöter jag på överallt, tanken att man tror sig kunna förebygga angrepp genom enbart preventiva åtgärder som brandväggar, virusskydd, flerfaktorinloggning, utbildning osv.
Det här är verkligen att försöka bygga ett hårt skal runt sin organisation men när skalet till slut spricker så faller hela säkerhetsupplägget samman. Vill man resonera med begreppen från NIST CSF så har man lagt alla sina ägg (ursäkta ordvitsen...) i korgen "Protect" men struntat helt i korgarna "Detect" och "Respond". Det är oerhört viktigt att ha ett aktivt operativt säkerhetsarbete!
Hjälp kring flytande naturgas och biogas!
NIST ber om kommentarer till ett regelverk kopplat till LNG-industrin (Liquefied Natural Gas). Det är en så kallad profil till NIST Cyber Security Framework, där man anpassar det generella ramverket till de specifika behov som en viss bransch har.
Jag har inte dykt i detaljerna men misstänker att det kan vara väldigt användbart om man sysslar med förvätskning av biogas eller naturgas.
Alla får kakor?
I kölvattnet av NotPetya-attacken 2017 fick vi vår första stora dispyt kring vilka händelser cyberförsäkringar egentligen täcker. Det var Mondelez som drabbades av enorma störningar men som fick nobben av sitt försäkringsbolag som hävdade att attacken var en "Act of war", vilket gör att de flesta försäkringar, som har undantag kring Force Majeure, slutar gälla.
Nu verkar det ha blivit något slags uppgörelse i alla fall, vilket tyvärr gör att läget kring detta inte klarnat, läs mer i en artikel från Darkreading.
Hotlandskapet kring industrin i EU
ENISA, EUs cybersäkerhetsfunktion, har släppt sin rapport kring hotlandskapet 2022. Väl värd att läsa, med en hel del fokus på de ökade attackerna mot OT och industrin i allmänhet.
Kloka ord från Pascal!
Pascal Ackerman, en välkänd profil inom OT-säkerhetskretsar, har skrivit en bra artikel som beskriver varför OT-säkerhet är viktigt. Han knyter ihop ett antal trådar på ett bra sätt som kan fungera som bra introduktion för den som är ny inom området!
Fler kloka ord från Kungliga Krigsvetenskapsakademien
Det må stå väldigt lite om OT-säkerhet specifikt i skriften "Cyberförsvaret - En introduktion", men den är väldigt intressant ändå.
Rekommenderar starkt en genomläsning!
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.