.png)
Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet!
Den här gången har jag två världspremiärer! Dels berättar jag om den första krypto-attacken någonsin mot en OT-komponent. Det är också premiär för en gästskribent, min kollega Johanna skriver om likheter mellan hållbarhetsarbete och det som många organisationer står inför kring NIS2. Du får också en djupdykning i nya regelverket CRA från EU, säkerhet i både fartyg och brandbilar, SANS-utbildning i Sverige, ett nytt dokument i 62443-standarden och vad man borde tänka på när man tar bort en säkerhetsåtgärd.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Be careful what you wish for...
Tänk om bara någon kunde börja ställa krav på ett bra säkerhetsarbete i tjänster som är viktiga för samhället! ...och om någon kunde kräva att tillverkarna tar ansvar för säkerheten i alla IT- och prylar! ...och att alla som bygger potentiellt farliga maskiner funderar på riskerna med modern teknik! ...och att även "svåra" branscher kräver cybersäkerhet i komplexa produkter, typ för fartyg och bilar!
Man får vara försiktig med vad man önskar sig. Det kan bli sant - och vad gör vi då?
Det är fantastiskt att se att flera tunga och tonsättande organisationer just nu och nästan samtidigt utvecklar riktigt kraftfulla krav på säkerhetsarbete inom påverkar OT-säkerhet enormt mycket. EU har verkligen kommit igång, i det här nyhetsbrevet skriver jag om efterträdaren till maskindirektivet, den nya CRA-förordningen och vår favorit NIS2-direktivet. Dessutom är det ju en radda andra kravmassor på gång från EU kring finansmarknaden, AI, radioutrustning och samhällsviktig verksamhet för att nämna några. Bilbranschen är mitt uppe i att implementera FN-kraven UN R155 och R156. Och som jag skriver om lite längre ner, fartygsbranschen får nya krav från klassningsorganisationerna som börjar gälla 1:a Januari 2024.
Personligen tycker jag det är fantastiskt! Men visst kommer många få det lite kämpigt och det kommer innebära att spelreglerna på marknaden ändras en del! Än så länge är det fortfarande ganska lugnt i media och bland konsultköpare (förutom i bilindustrin) men vänta ett år eller två... Säkerhetsbranschen är definitivt rätt ställe att vara på framöver!
En djupdykning i CRA!
Nu när du har börjat (?) arbeta med förberedelserna inför NIS2, CER och DORA så är det ju dags att titta vidare på nästa spännande EU-krav, CRA, "Cyber Resilience Act". Eller som den heter i det officiella förslaget: "regulation... on horizontal cybersecurity requirements for products with digital elements..." Det är viktigt att notera att detta inte är ett direktiv utan en förordning ("regulation"), vilket i EU-världen betyder att den gäller direkt i alla medlemsländer utan att det behövs någon nationell lag. NIS2 är ju ett exempel på ett direktiv, vilket innebär att kraven implementeras som en lag i varje enskilt land. Att man valt att göra CRA till en förordning är säkert för att det är så viktigt att den hanteras precis på samma sätt i alla länder.
Vad handlar CRA om då? Det är helt enkelt att EU kräver att man ska kunna visa att tekniken är cybersäker för att man ska få lov att sälja den. Skulle det visa sig att den inte är det så har man dels ett ansvar att lösa problemet och man kan dessutom få böter om man missköter sig. Och det är inget dåligt scope, kraven omfattar alla typer av teknik som man vill kunna sälja inom EU! Scopet är definierat som "products with digital elements", vilket ju är ganska omfattande! Det handlar alltså inte bara OM-prylar utan om allt, även babymonitors och uppkopplade kylskåp. Det kallas för en horisontell kravmassa och med det menar man att den är tänkt att vara gemensam för så många olika områden som möjligt. Man undantar dock medicintekniska system, flygplan och motorfordon som redan har egna kravdokument. Även militär utrustning och produkter som är enbart avsedda för nationell säkerhet kommer undan.
Vad betyder då "products with digital elements"? Här pekar man på både hårdvara och mjukvara men även "remote data processing solutions", dvs molnlösningar som ingår/stöttar i en produkt. Däremot exkluderar man exempelvis SaaS, "Software as a Service", och pekar istället på NIS2 som omfattar den typer av tjänster. Man har också ett tydligt undantag för gratis mjukvara, inklusive open-source och produkter som av andra skäl inte är kommersiella. På samma sätt undantar man test-versioner och liknande.
Man använder det existerande begreppet "CE-märkning" för att indikera att man som tillverkare garanterar att man uppfyller kraven även på det här området. I kraven trycker man på områden som:
hur man får tillhandahålla produkter
design, utveckling och produktion av produkter
hur ansvaret fördelas mellan alla parter som är inblandade
krav på hantering av sårbarheter under hela produktens livscykel
Om man är OT-intresserad så märker man direkt att det är ett väldigt fokus på området. Man använder inte begreppet "OT" så mycket utan pratar om IACS ("Industrial Automation and Control Systems"), vilket är det begrepp som exempelvis 62443-standarden använder (än så länge). Men man kryddar även med andra begrepp för att budskapet ska gå fram, exempelvis "PLC", "SCADA", "DCS", "CNC", "Robot controllers", "Smart meters" och "Industrial Internet of Things".
Man gör en direkt koppling till det nya maskindirektivet och säger att produkter som man deklarerat som att de uppfyller CRA därmed ska ses som att de uppfyller motsvarande krav i maskindirektivet. Det finns direkta hänvisningar till NIS2, vilket exempelvis gör att en PLC som ska kunna användas av en verksamhet som faller under den högre graden av känslighet i NIS2, "Essential" direkt hamnar i den näst högsta kravnivån i CRA, "Critical product - Class II". Lite snärjigt att förstå men det är bra att det hänger ihop!
Det finns som sagt flera kravnivåer, närmare bestämt fyra stycken.
"Product" - Alla prylar som inte hamnar i en högre klass. Här ställs det en massa krav på produkten och på leverantören för att man ska få sälja produkten.
"Critical product - Class I" - I ett appendix till förordningen finns en lista med produkttyper som gör att den är "Critical". Här räknas lite allt möjligt upp som är viktigt för säkerheten, exempelvis lösenordshanterar, SIEM-system, nätverksövervakning, remote access, brandväggar osv. Den lägre klassen "Class I" är allt som inte är "Class II".
"Critical product - Class II" - Den högre klassen är exempelvis operativsystem, virtualiseringsplattformar, PKI-lösningar, microprocessorer, HSM-system, kryptoprocessorer, smartcards med läsare och robotar. Produkter som är avsedda för "industrial use" pekas ut speciellt: Brandväggar, IDS/IPS, mikroprocessorer och switchar. Om de ska användas av "Essential entities" enligt NIS2 ingår även PLC:er, SCADA, DCS, CNC-maskiner (!) och IIoT-prylar.
"Highly critical product" . Här krävs en certifiering av produkten enligt "The EU cybersecurity certification framework" för att den ska vara godkänd att sälja. Just nu är det oklart vilka typer av produkter som är tänkta att hamna här men det hintas om att verksamheter som är "Essential" enligt NIS2 skall använda den här typen av produkter! Ramverket för certifiering är inte heller färdigt ännu.
En sak som exempelvis skiljer mellan "Class I" och "Class II" av Critical produkts är att man behöver anlita en extern granskare i den högre nivån. Några exempel på krav som gäller i alla nivåer är "security by default", skydd mot obehörig användning, skydd av information, tålighet mot attacker, minimerade attackytor och loggning av säkerhetshändelser.
När åtgärder för en sårbarhet publicerats måste leverantören offentliggöra detaljerad information om detta! Uppdateringar för sårbarheter måste dessutom vara gratis och tillgängliga utan fördröjning. Leverantören ska kunna säkerställa att sårbarheter kan åtgärdas med uppdateringar under den kortaste tiden av fem år eller produktens förväntade livslängd. Leverantören ska dokumentera sårbarheter och komponenter vilket inkluderar en maskinläsbar "Software Bill Of Materials", SBOM.
Om du läste mitt förra nyhetsbrev så ondgjorde jag mig där över att vissa leverantörer vägrar offentliggöra sårbarheter och rättningar. CRA kommer alltså att styra upp det beteendet ganska ordentligt och dessutom tvinga leverantörerna att tillhandahålla rättningarna gratis! Bra där!
Här och där trycker CRA på ett av favoritämnena från NIS2, nämligen säkerhet i leverantörskedjorna. Exempelvis ska man utöva "due dilligence" när man inkluderar komponenter från tredje part, dvs man kan inte skylla på sina underleverantörer om något går snett...
Får man smisk om man inte sköter sig enligt kraven? Ja, det får man väl säga... De exakta nivåerna sätts per land i nationell lag men förordningen sätter följande högsta nivåer:
Det högsta av 15 MEUR eller 2.5% av global omsättning om man bryter mot de grundläggande tekniska kraven.
Det högsta av 10 MEUR eller 2% av global omsättning om man bryter mot något annat krav.
Det högsta av 5 MEUR eller 1% av global omsättning om man vilseleder myndigheterna.
Viktigt är också att ovanstående även gäller privatpersoner! Det är alltså inte bara företag som kan få böter i det här sammanhanget. Det är också här som en stor källa till kritik mot CRA finns. Olaf Kolkman har beskrivit det bra i sin artikel där han bland annat pekar på risken att den viktiga Open Source världen påverkas negativt av kraven i CRA. Även om det finns undantag för Open Source så finns det ofta en kommersiell del av stora projekt för att finansiera arbetet. Det skulle också kunna tänkas slå mot plattformar som GitHub eftersom de kan betraktas som distributör av mjukvara, vilket ger dem ett ansvar för dess säkerhet.
Att CRA kommer bli något av en revolution är ganska klart. Men det finns mycket att fundera på, inte minst inom OT-världen. Hur ska man exempelvis se på grundkravet "Products with digital elements shall be delivered without any known exploitable vulnerabilities" när vi vet att många nätverksprotokoll som vi använder helt saknar säkerhetsfunktioner? Man pekar också uttryckligen på leverantörens ansvar för skador som uppstår om "Security-brister" leder till "Safety-brister" som i sin tur drabbar kunden. Något som förvånar mig är att man begränsat ansvaret till 5 år för att tillhandahålla säkerhetsrättningar. Med tanke på typiska livslängder på OT-utrustningar är det väldigt kort!
Existerande produkter omfattas bara om man gör "stora förändringar" i deras design eller användningsområde. Detta gäller dock med ett viktigt undantag! För existerande produkter får tillverkaren omedelbart ett ansvar att meddela ENISA om sårbarheter som aktivt utnyttjas och också att meddela om säkerhetsincidenter som påverkar produktens säkerhet.
Förslaget lades i september och har nu börjat manglas genom EUs kvarnar. Du hittar grunddokumentet och bilagorna på EUs fina web, där du även kan följa arbetet. När det är klart ska det börja gälla efter 24 månader förutom kravet på att meddela ENISA om utnyttjade sårbarheter och säkerhetsincidenter som gäller redan efter 12 månader.
Mer forskning tack!
Apropå kontroversiell sårbarhetsforskning inom OT-världen som jag skrev om i förra nyhetsbrevet och nu igen i texten ovan om CRA, så skrev Michael Yehoshua från SCADAfence nyligen en intressant artikel där han beskriver varför den typen av forskning är viktig.
Det finns ju en del grupper som hävdar att det är meningslöst vilket varken Michael eller jag håller med om. Vad tycker du?
Maskindirektivet är dött! Länge leve Maskinförordningen!
Maskindirektivet har funnits i många år och är tänkt att ställa krav på potentiellt farliga maskiner. Om nu CRA är tänkt att styra upp "Cybersäkerheten" i alla IT/OT/IoT-prylar så tar Maskindirektivet hand om den där delen av säkerheten som heter "Safety" på engelska. Men eftersom även potentiellt farliga maskiner numera innehåller en massa modern teknik så finns det ett stort överlapp mellan de två.
EU har identifierat en radda problem med det nuvarande maskindirektivet som de vill komma till rätta med genom att göra en rejäl uppdatering, exempelvis:
Modern teknik hanteras inte på ett bra sätt. Man lyfter en rad exempel som co-bots, uppkopplade maskiner, mjukvaruuppgraderingar, autonoma maskiner och andra utmaningarna med att göra riskanalyser av applikationer som använder AI och machine learning.
Oklart språk som leder till leder till juridiska oklarheter och gap i safety-tänket.
Det har gått 15 år sedan man gjorde listan över vad som betraktas som högrisk-maskiner, mycket har ändrats sedan dess.
Det nuvarande direktivet kräver dokumentation på papper! Bara här har man uppskattat en kostnadsbesparing på 16 Miljarder Euro per år genom att gå över till digital lagring.
Direktivet är ett direktiv vilket gör att det implementerats olika i olika länder.
I det nya förslaget är maskindirektivet inte längre ett direktiv, utan precis som CRA, en förordning (regulation). Det kommer bli jobbigt att tänka om och börja säga "Maskinförordningen"! Men det är bra att reglerna implementeras mer lika i alla EUs länder! Värt att notera är att både nuvarande och kommande regler inte bara definierar en lägsta nivå och utan säger också att länder inte får ställa högre krav!
Maskinförordningen och CRA är väldigt lika på många sätt. Inte minst verkar man ha liknande tänk kring ansvarsfördelningen mellan tillverkare, importörer och andra som ser till att en produkt finns på marknaden. Däremot skiljer det exempelvis på så sätt att länderna själva styr över böter och sanktionsavgifter som kan drabba en organisation om man bryter mot regelverket.
Jag har tittat närmare på en text från i somras som är något slags arbetsdokument, fyllt av ändringar och tillägg. Man gick nyligen ut och sa att man har kommit överens politiskt men det betyder ju inte att detaljerna är klara... Det verkar som det kommer bli ytterligare en del förändringar så jag avvaktar med en djupdykning i detaljerna ett tag.
Vi får se när texterna blir färdigförhandlade. I den senaste texten jag sett pratar man om 36 månader som startsträcka för dem som omfattas. Helt klart är att det kommer ställas en hel del nya och utmanande krav på er som bygger maskiner i olika former! Här vill det till att stå på tå när kraven börjar klarna!
Slutgiltig NIS2 på svenska!
Jag tog mig en liten stund för att läsa den slutgiltiga versionen av NIS2, speciellt nu när den är tillgänglig på svenska. Här är lite snabba punkter som jag inte hade uppfattat fullt ut tidigare:
Länderna får själva bestämma om NIS2 ska appliceras "offentliga förvaltningsentiteter på lokal nivå", vilket jag tolkar betyder att Sverige själv kan bestämma om NIS2 ska gälla för kommuner och kommunala verksamheter.
På samma sätt kan länderna bestämma att reglerna gäller högskolor som utför "kritisk forskningsverksamhet".
Ett land får fritt besluta om högre krav än de som finns i direktivet.
Ett väldigt starkt krav på att ledningen för berörda organisationer är utbildade och tar aktivt ansvar för riskarbetet kring cybersäkerheten. Ledningen ska kunna ställas till svars om det inte sker på ett tillräckligt bra sätt.
Både länderna och EU-kommissionen får peka ut verksamheter och typer av verksamheter som måste använda tekniska lösningar som säkerhetscertifierats enligt EUs kommande regler.
Tillsynsmyndigheter har rätt att tillfälligt förbjuda en VD eller ett juridiskt ombud för en organisation att utöva ledningsfunktioner i väsentliga organisationer. Det vill säga att en VD som inte ser till att säkerhetsarbetet sker på tillräckligt bra sätt får sitta i skamvrån!
Länderna har 21 månader på sig att skapa de bestämmelser som krävs för att implementera NIS2. När bestämmelserna finns på plats ska reglerna börja gälla direkt!
Av dessa är kanske punkten om att det kan komma bestämmelser om att man måste använda certifierade tekniska lösningar allra mest intressant! Det kan förstås göras på väldigt många olika sätt så det är svårt att förutse hur det kommer att slå. Att det kommer bli en rejäl utmaning är helt klart och i synnerhet för OT som ju extremt ofta baseras på teknik som med flit är utformad för att prioritera driftsäkerhet över skydd mot angrepp.
Hållbarhet och NIS2 - En gästspaning!
Jag har det stora nöjet att släppa in min kära kollega Johanna Parikka Altenstedt som gästskribent. Hon har ett rikt och imponerande förflutet som gör att hon kan dela med sig av spännande spaningar kring likheterna mellan det hållbarhetsarbete som många organisationer är på väg igenom och det säkerhetsarbete som samma organisationer står inför tack vare NIS2. Tack för spännande vinklar på ämnet, Johanna!
Vi bör lära oss av hållbarhetsresan inför arbetet med NIS2
När EU-direktivet NIS2 om cybersäkerhet träder in med full kraft, kommer en organisation som inte har gjort sin hemläxa inom cybersäkerhet få det hett om öronen, om den drabbas av en incident som skapar risker eller skada. Bristerna i säkerheten kommer att skugga organisationens branding och minska trovärdigheten inför kunder, klienter, intressenter, ägare och aktieägare samtidigt som man utsätter sig för stora ekonomiska risker i form av möjliga straffavgifter och eventuellt ogiltiga försäkringar. Allt på grund av bristande risk- och sårbarhetsanalyser samt på grund av onödigt risktagande. Men genom att studera hur hållbarhetsarbetet har utvecklats under det senaste decennium kan man faktiskt ta itu med säkerhetsutmaningar på ett effektivt sätt.
Stora krav på gång
Den som sätter sig in i det kommande nya direktivet om säkerhet i nätverk och informationssystemet, NIS2, kan lätt drabbas av en viss utmattning när man inser vilken ambitionsnivå och vilka krav direktivet för med sig till medlemsländerna i EU. NIS2 ska implementeras i hela unionen inom 21 månader från att slutlig fastställd text publicerats i EU:s offentliga tidning. Direktivet gäller från det datumet och träffar såväl privata som offentliga verksamheter enligt en klassificering baserad på deras storlek och verksamhetens nationella betydelse. De flesta större företag och alla offentliga organisationer kommer förmodligen att träffas av någon del av direktivet, och därmed blir de skyldiga att uppnå en hög säkerhetsnivå i sin verksamhet såväl gällande sin produktion och sina processer. Ansvaret för detta läggs uttryckligen på ledningen oavsett hur organisationsformen ser ut. Vidare blir verksamheterna ansvariga för hela sin värdekedja såväl nedströms som uppströms.
Hållbarhetsresan som förebild
Den som var med på hållbarhets- och CO2-resan från början ser en hel del likheter mellan den och den stundande säkerhetsresan. Ifrån att ha betraktat hållbarhetsanalyser som något som hålls internt i den egna organisationen och som man inte velat kommunicera så mycket om, har det idag blivit normaliserat arbete; effektiva hållbarhetsstrategier och policyn på plats, livscykelanalyser (LCA) görs från början av värdekedjan ända från ”cradle to grave” vilket innebär en identifiering av alla delarna från råvaruproduktionen, logistiken, energiförsörjningen, produktionen av varor och tjänster, expedieringen och konsumtionen/användningen, samt återanvändningen eller avfallshanteringen. En LCA räknar på data från varje del i processen för att få fram miljöpåverkan totalt. Vidare kopplas det sociala ansvaret och samhällsnyttan på detta genom Agenda 2030 målen. För detta har det skapats effektiva datahanteringssystem, avvikelsesystem och ledningssystem. Ansvaret för hållbarheten har också seglat upp från sakkunniga djupt inne i organisationer till ledarna i styrelserna och ledningsgrupperna. Inom PR, kommunikation och marknadsföring har man identifierat riskerna med att inte kommunicera om sitt hållbarhetsarbete som görs (som kan ju vara börspåverkande!) men även riskerna på green wash. Kommunikationscheferna har slitit med att lära organisationer att dumpa ordet ”miljövänlig” eftersom det som görs är inte för miljöns bästa, men i bästa fall neutralt och icke belastande. Idag är hållbarhetstänkandet, CSR-kommunikation och socialt ansvar main stream både inom medier, politiken och bolagsstyrelserna, och vi kan på riktigt följa hur arbetet fortskrider, vad som fungerar och diskutera nya utmaningar.
Inspiration inför NIS2
Det är den här resan som skyddssarbetet har framför sig: att förankra säkerhetstänkandet och utbilda organisationer, lära nyckelpersoner förstå riskerna med utebliven cybersäkerhet, få styrelserna och direktörerna analysera de ekonomiska och brandingvärdena som finns förknippade med såväl välgjort säkerhetsarbete som med dåligt säkerhetsarbete. För detta behövs ett klokt arbete med strategier och policyn. Vidare behöver vi få kommunikationsenheterna att prata om säkerhet på ett relevant sätt och få HR att lägga rimliga utbildningskrav på organisationerna angående detta. Därtill behövs en utveckling av rapporteringssystem och ledningssystem som bidrar till att organisationer genomför ändringarna som krävs, och kan även följa kvaliteten i sitt arbete. Detta inkluderar rimligen alla certifieringssystem och ISO-kvalifikationerna. Sist men inte minst behövs ett gediget system för att få in data och synpunkter såväl från leverantörerna som entreprenörerna, och från kunderna, medborgarna och klienterna angående cybersäkerhetsarbete, risker och åtgärder. Och för att kunna göra det måste man identifiera vilka som träffas av NIS2.
Det kan vara en idé att börja 2023 med ett inspirationssamtal med hållbarhetschefen och hitta synergierna mellan hållbarhetsarbetet och cybersäkerhetsarbetet. Det viktiga i båda är ju att man lever som man lär!
Johanna Parikka Altenstedt, Senior konsult, AFRY
Men sjöfarten då?
Jag hade nyligen förmånen att delta i HAT-tester på ett sprillans nytt och väldigt speciellt fartyg. (Ja, HAT var ett nytt begrepp för mig också - FAT och SAT är man ju van vid, "Factory Acceptance Test" och "Site Acceptance Test". HAT är "Harbor Acceptance Test", vilket följs av SAT, men i det här fallet står det för "Sea Acceptance Test"!) I vilket fall som helst var det väldigt intressant att se hur långt fram sjöfarten ligger kring kravställning på OT-säkerhet.
När jag tittade lite närmare på vilka regelverk som finns var det ytterligare en förkortning som fick en ny betydelse, IACS står i den här världen inte för "Industrial Automation and Control Systems" som vi är vana vid från IEC 62443 utan istället för "International Association of Classification Societies". Det är den organisation av tolv stora klassningssällskap, alltså organisationer som ställer krav på fartyg och "andra offshore-installationer" samt granskar att kraven uppfylls. Några kända namn är "Lloyd's Register", "Bureau Veritas" och "DNV", Det Norske Veritas". Det här är traditionstyngda organisationer där Lloyd's är äldst eftersom det grundades redan 1760! Deras ålder hindrar dem inte det minsta från att hänga med i sin tid, exempelvis genom att ställa krav på säkerheten i de tekniska systemen ombord.
I våras släppte IACS två kravdokument E26, "Cyber resilience of ships" och E27, "Cyber resilience of on-board systems and equipment" som ställer krav på precis det som deras namn indikerar. Båda dokumenten gäller för nya fartyg som beställs från och med nästa nyår, 1:a Januari 2024, vilket verkligen inte gav någon lång startsträcka för de verksamheter som berörs!
Mitt första intryck är att jag verkligen gillar hur man skrivit dessa dokument. Till en början pratar man om "tålighet mot cyberrisker", dvs man inser att det inte går att bygga bort att risker men fartyget ska kunna fortsätta fungera även om det utsätts för en cyberincident. Det är också positivt att man hållit nere omfånget på dokumenten, de är bara 32 respektive 14 sidor! Man har också snott bra koncept från andra etablerade ramverk och standarder, exempelvis NIST CSF och IEC 62443, vilket gör det lättare att hitta bra kompetens. Jag skulle till och med kunna gå så långt som att säga att de här dokumenten är perfekta underlag om man vill skriva en OT-säkerhetspolicy för vilken typ av verksamhet som helst!
IACS har också en rad andra kravdokument kring exempelvis safety som man skulle kunna inspireras av när man vill bygga sitt eget regelverk.
På S4x22 höll Dennis Hackney från ABS group ett riktigt bra föredrag om säkerhets-utmaningarna inom sjöfarten. Är du nyfiken på området så tar han upp många intressanta områden.
Ett skamlöst tiggarbrev!
Det har varit lite stiltje kring produkttester i nyhetsbrevet på senare tid men det hoppas jag kunna ändra på framöver. Precis som tidigare kommer jag bara ta upp saker som är värda att lyfta fram för att jag själv tycker de är bra och intressanta. Du kommer aldrig läsa en text där jag rackar ner på en produkt. De lösningar som jag inte gillar kommer inte synas här och möjligen kan du dra dina egna slutsatser kring vad du inte läst om här.
Jag vill vara noga med att påpeka att nyhetsbrevet och dess texter är något jag står för helt själv utan någon som helst koppling till min arbetsgivare. (Förutom att jag även i den professionella rollen som säkerhetsrådgivare självklart gärna rekommenderar lösningar som jag gillar själv.) All tid och alla kostnader kring nyhetsbrevet står jag för själv. Som du kanske noterat kör jag heller inga reklambanners på sajten eller i texterna.
För att kunna göra roligare och bättre teknik-tester framöver är jag nu på jakt efter alla sorters avlagda OT-prylar för att bygga upp nyhetsbrevets experimentverkstad hemma i källaren. Gärna äldre, men förstås är även modern utrustning av stort intresse! Både hårdvara och mjukvara!
Hör väldigt gärna av dig om du har något som kan avvaras! mats@ot-sakerhet.se
Säkra brandbilar!
MSB och FOI har tagit fram en vägledning kring Cybersäkerhet i tunga räddningsfordon. Det kanske låter väldigt specialiserat men det finns dessutom en hel del råd som är väldigt allmängiltiga och som borde vara användbara, både för andra typer av fordon och i helt andra verksamheter.
Det här är dessutom bara en liten del av ett stort arbete kring cybersäkerhet i fordon där vi bland annat hittar ett Faktablad, en kartläggning av elektroniska styrsystem, men också rapporter om både cyberfysiska sårbarheter i tunga fordon och om cybersäkerhet i smart vägtrafik.
SANSlöst bra utbildning!
I slutet av maj kommer SANS till Stockholm med ett utbildningsevent där en av kurserna är den uppdaterade ICS515: ICS Visibility, Detection, and Response.
Som vanligt när det gäller SANS-kurser är det en riktigt bra och utmanande kurs. Sex dagar med massiv träning, som förvisso kostar en rejäl slant, men det är det värt! Jag har personligen bara bra saker att säga om SANS och deras certifieringsgrupp GIAC. För några år sedan extraknäckte jag som granskare av deras utbildningsmaterial och skrev även certifieringsfrågor, så jag kan verkligen intyga att man har ett unikt tänk, som verkligen ger riktig hög kvalitet på materialet och ovanligt meningsfulla certifieringar. Rekommenderas!
Apropå SANS!
SANS och Dean Parsons har just släppt del 2 av deras "ICS Cybersecurity Field Manual".
Det är ett stycke extremt komprimerad kunskap om allt möjligt som är bra att ha koll på inom OT-världen! Missa inte att hämta del 1 också, båda är gratis!
När du ändå är på deras sajt finns mycket annat bra material att hämta, både kring OT-säkerhet men också inom en väldig massa andra områden!
Nytt på www.ot-säkerhet.se!
På www.ot-säkerhet.se där du, precis som tidigare, hittar alla tidigare nyhetsbrev finns numera även en sökfunktion. Undrar du hur många gånger jag egentligen skrivit om NIS2, när jag senast testade något från Advenica eller om Slartibartfast och hans fjordar någonsin dykt upp så är det lite enklare att ta reda på nu.
En världspremiär i Belarus?
GhostSec, en av de hacktivistgrupper som jag skrev om i förra nyhetsbrevet. har annonserat på sin Telegram-kanal att de utfört världshistoriens första krypto-attack mot en RTU, Remote terminal unit. Som du kan se i texten nedan, verkar det vara en del av en attack mot utrustning i Belarus. I vissa analyser av detta har det slagits upp som en ransomware-attack men det verkar det ju alltså utan det tycks "bara" bara vara avsett att förstöra funktionalitet och/eller utrustning. Med tanke på ändelsen som läggs till på de krypterade filerna är det inte direkt någon oklarhet i vem de kämpar mot...
Oavsett varför attacken utfördes så är den förstås väldigt intressant eftersom, vad jag vet, har de helt rätt i att det är första gången en RTU förstörts genom en krypto-attack. Det är fortfarande väldigt oklart för mig hur en "kommersiellt gångbar" ransomware-attack mot den här typen av utrustning skulle se ut men det får vi nog se, tids nog...
Min egen tolkning av skärmdumparna är att det är en 3G-router från ryska firman Teleofis som de hackat. Lite udda RTU kanske men den sägs ha digitala in- och utgångar, stöd för MODBUS RTU och TCP, det kommer säkert mer information om detta framöver.
De verkar för övrigt inte ha uppskattat intervjun med Matan på OTORIO som jag hade med i förra nyhetsbrevet. OTORIO fick en alldeles egen "hälsning"...
Uppdatering: I en artikel från SynSaber kommer man till ungefär samma slutsatser som jag men drar dem lite längre.
Här är text och bilder från GhostSecs inlägg från den 11:e januari:
Apropå ransomware i en RTU...
Apropå den ovanstående texten om krypterade RTU:er i Belarus, så tänkte jag på den här videon som Ralph Langner spelade in för något år sedan, på temat ransomware i OT-världen. Som vanligt en sansad och klok röst i en bransch som lätt blir lite hysterisk!
USB finns fortfarande kvar!
Honeywell Forge har släppt sitt årliga "USB Threat Report" för 2022. Det är en kompakt liten rapport som bland annat konstaterar att hotet från USB-ansluten utrustning mot OT-världen fortsätter vara stort och dessutom växer ganska kraftigt. Vanligast är olika former av lagringsmedia men en del av problemet är att USB-bussen är så flexibel att även andra varianter på attacker är viktiga! De har även en separat rapport som går igenom detta område på ett bra sätt.
Andelen malware som är fokuserade på spridning via USB ökar rejält från år till år. Det är något som vi kanske lätt glömmer av i dessa dagar när allt fokus ligger på uppkoppling, konvergens och IIoT!
Forensik och incidenthantering inom OT?
Jag hade missat det här fina dokumentet som NIST släppte i somras.
Forensik och incidenthantering är klurigt redan i IT-världen men kliver vi över på OT-sidan tillkommer några aspekter till. Jag har inte dykt i detaljerna men tycker nog spontant att NIST verkar ha skapat en bra bas att stå på när man tar sig an den här typen av utmaningar. Som vanligt handlar det om att ha förberett sig innan incidenten, sedan är det försent!
IIoT + OT = SANT!
Jag har läst en preliminär version av ISA-TR62443-4-3 "Application of the 62443 standards to the Industrial Internet of Things". Det här är ju ett klurigt område eftersom mötet mellan IIoT och OT innebär att två väldigt olika världar med olika förutsättningar eventuellt behöver samsas säkerhetsmässigt.
Ett avsnitt jag gillar är just att man lite grand "gör upp" med Purdue-modellen som ju många baserar sin nätverksarkitektur på och trycker på att den aldrig var tänkt att användas som en nätverksstruktur. I och med att IIoT slutgiltigt skjuter sönder det klassiska Purdue-upplägget krävs ett nytt tänk för att hantera den nya situationen.
Andra intressanta områden som man åtminstone kort tar upp är hur man integrerar molnbaserad funktionalitet i sin OT-arkitektur, hur man gör riskanalyser av IIoT baserat på 62443-3-2, "Trustworthiness" kontra "Zero Trust Architecture" och ansvarsfördelning mellan Saas, Paas och IaaS.
Observera att detta är ett "TR"-dokument, dvs en "Technical Report". Det innebär att det i nuläget inte kommer resultera i en standard, utan är mer att betrakta som stöd-text. På det viset blir man nog besviken om man letar efter svar i dokumentet när man snarare får hjälp att ställa rätt frågor.
Arbetet pågår i en arbetsgrupp inom ISA99 och materialet är inte offentligt ännu så jag kan inte dela med mig ännu. Jag återkommer så snart det ändras!
"Jag förstår inte nyttan!"
En pålitlig källa till riktig klokskap är Phil Venables som jag har haft med förut i nyhetsbrevet. Den här gången får du två artiklar - en ny och en gammal. Den nya handlar om att vi gärna fokuserar på ceremonier i säkerhetsvärlden, alltså när vi börjar utföra bleka kopior av det som egentligen är vettigt säkerhetsarbete. Han har bra exempel kring exempelvis riskacceptans, lösenordskrav och budgetar.
Den äldre (2020) är kanske ännu bättre, både träffsäker och klok, där tittar han på vad som borde krävas för att ta bort en säkerhetsåtgärd som inte längre verkar meningsfull. Läs de här två artiklarna tillsammans, så har du blivit en mycket klokare säkerhetsmänniska.
Robusta säkerhetslösningar
En intressant artikel av Tony Turner som tittar på hur man kan bygga robusta säkerhetslösningar genom göra FMEA-analyser på dem och på så sätt identifiera kritiska förbättringsmöjligheter. FMEA ("Failure Mode and Effects Analysis", "Feleffektanalys") är en känd metod om du är utbildad inom Six Sigma. Ett intressant grepp som har den viktiga sidoeffekten att man inte bara tittar på sannolikhet och konsekvens utan även "Upptäckbarhet". Dvs man går ifrån tankesättet att säkerhet är svart eller vitt, att alla risker måste förebyggas helt, dvs antingen är det lugnt eller så är det full incident. Nu värderas även hur lätt det är att upptäcka en incident som är på väg att hända, dvs "Detect" om man pratar använder begrepp från NIST CSF.
I ett modernt säkerhetsarbete kommer man snart till en punkt där det lönar sig bättre att jobba med "Detect" än att skaffa ännu mer "Protect". Det är ju exempelvis därför fokuset på logganalys och SOC-tjänster blir så stort! I slutändan så är ju det viktiga att man förebygger skadan innan den uppstår oavsett hur det går till.
Alltid retar det någon...
Cisco har publicerat ett white paper där de slår ett slag för moln-hybrida varianter av den traditionella DMZ-lösningen som många organisationer har mellan "OT-världen" och "IT-världen". Det här är förstås en het potatis i många läger där man inte vill se någon som helst relation mellan OT och moln. Men å andra sidan har ju tåget i många fall redan gått i takt med att fler och fler IT-infrastrukturer luckras upp - kalla det zero-trust, cloud-first eller vad du vill. Det här är ett spännande område oavsett vad man tycker om att orden "Cloud" och "OT" skrivs på samma nätverksskiss.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.