.png)
Dags för nyheter och annat spännande kring OT-säkerhet!
Den här gången kan du läsa om den alldeles nya Maskinförordningen, tramsiga utmärkelser, nya versioner av NIST CSF och MITRE ATT&CK, ett oväntat samarbete mellan säkerhetsleverantörer, ett nytt men bortglömt EU-direktiv och så frågar jag varför vi har bromsar på våra bilar?
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Vi har fått en maskinförordning!
Då har till slut efterträdaren till Maskindirektivet klubbats i EU vilket innebär att vi kommer få Maskinförordningen. Att det är en EU-förordning betyder att den gäller som lag direkt i alla medlemsländer utan att man i varje land måste implementera den lokalt som nationell lag. NIS2 är ju exempelvis ett direktiv...
Det där med ordet "förordning" är förresten en klurighet om man (som jag) är total amatör inom juridiken. I Sverige är en förordning något som är underställt en lag, men inom EU är en förordning den "kraftfullaste" typen av rättsakter. På engelska är motsvarande ord "regulation", vilket jag kan tycka är lite tydligare.
Apropå ord, var försiktig när du läser den svenska versionen, de använder bara ordet "säkerhet" i betydelsen "safety". Om det handlar om cybersäkerhet, IT eller OT, så använder ordet cybersäkerhet. Enklast är att läsa den engelska versionen.
Jag har skrivit om Maskinförordningen tidigare, senast i Nyhetsbrev #48. Jag har inte hunnit titta igenom vilka förändringar som smugit sig in i sista minuten, men det lär knappast vara något avgörande.
Nu har vi 42 månader på oss att förbereda oss på allt nytt. Arbetsmiljöverket sammanfattar det så här på sin informationssida:
Förordningen omfattar bland annat risker med ny teknik. Det kan till exempel vara artificiell intelligens, det vill säga maskiner som har ett helt eller delvis självutvecklande beteende och som använder metoder för maskininlärning.
Bland övriga nyheter kan nämnas att:
• det blir tillåtet med digitala bruksanvisningar
• en tredje part måste göra en bedömning av ett antal produkter om de uppfyller kraven
• maskiner som byggs om med väsentliga ändringar omfattas av förordningen
• det ställs krav på importörer och distributörer.
– I stort har det inte skett några stora förändringar, man kommer att känna igen sig i de flesta delarna från dagens regler, säger Eva Bernmark, projektledare för revideringen av maskindirektivet.
Nu har förhoppningsvis de flesta process- och industriföretag kommit igång med att analysera hur de berörs av NIS2-direktivet. (Det känns så med tanke på den strida strömmen av konsultuppdrag jag upplever.) Väldigt många är nog tyvärr fortfarande omedvetna om att NIS2 även omfattar lite "oväntade" branscher. Lite längre ner i det här nyhetsbrevet skriver jag om det lite "bortglömda" CER-direktivet. Nu läggs även Maskinförordningen till den stora mängden krav som måste kokas ihop till egna rutiner av varje organisation. Det är viktigt att man gör sitt eget regelverk utifrån alla yttre krav som kommer, det kommer bli hopplöst att försöka jobba efter dem var för sig. Efter det väntar vi för att se vart det mest kontroversiella utspelet från EU, CRA - "Cyber Resilience Act", tar vägen.
Varför har vi bromsar på bilen?
Nyligen dök frågan "Ska vi verkligen digitalisera? Är det inte säkrare och bättre att låta bli?" upp i ett event. Det är ju förståeligt (och klokt) att man ställer sig den frågan och i vissa sammanhang är det kanske faktiskt vettigt att låta bli.
Mitt standardsvar på en sådan fråga blir en motfråga: "Varför har du bromsar på bilen?". Svaret brukar kunna bli något i stil med "Öh? För att kunna köra långsammare!". Min comeback är: "Nix! För att kunna köra snabbare!". Utan bromsar (alltså säkerhetsutrustning) måste vi köra långsamt hela tiden, men om vi har bromsar kan vi hantera att det dyker upp farliga situationer. De flesta verksamheter kan inte existera utan att ständigt försöka öka farten, så det finns inget alternativ är att uppgradera bromsarna och köra ännu fortare... Det bästa säkerhetsarbetet är när nya möjligheter skapas av att säkerheten blir bättre!
Men vi ska komma ihåg, att även med de allra bästa bromsarna på bilen och med den allra bästa föraren bakom ratten, så får man trots det sladd ibland och åker eventuellt ner i diket ändå. Då vill det till att vi har tränat på incidenter och har vårt katastrofskydd (bilbältet) på plats...
Sluta med tramsiga utmärkelser!
Jag inser att jag riskerar att göra mig till ovän med vissa företag, men jag måste ändå lyfta fram det underbara initiativet "Silly Security Awards"!
Det handlar om alla de märkliga utmärkelser som dyker upp varje år, där till stolta företrädare för olika typer av leverantörer tar emot priser i fantasifullt namngivna kategorier. Jag har själv blivit erbjuden att köpa mig ett fläskigt pris från en av de organisatörer som pekas ut. För det handlar alltså om utmärkelser där man får betala rejält för möjligheten att nominera sitt eget företag (eller sig själv som person), med tillhörande exponering i media utlovad!
Det behöver förstås inte alls betyda att företaget som "vinner" eller dess produkter är dåliga, men det ger en dålig bismak att marknadsföra sig så här. Dessutom finns det (nog?) bra tävlingar där priset faktiskt betyder någonting...
NIST CSF 2.0!
Som jag förvarnade om i ett tidigare nyhetsbrev har NIST påbörjat arbetet med att uppdatera det populära ramverket "NIST Cyber Security Framework", NIST CSF. Nu finns en väldigt tidig version ute som de ber om feedback på.
En väldigt synlig skillnad är att de fem kategorierna "Identify", "Protect", "Detect", "Respond" och "Recover" har utökats med ytterligare en kategori: "Govern". Jag har ännu inte sett hur den klassiska cirkel-symbolen för version 1 kommer se ut när det blir ett fält till i den, personligen tycker jag nog att en ny cirkel runt de fem gamla sektorerna vore väl lämpligt så att Governance "klär in" alla de andra kategorierna? Vi får väl se hur det blir?
Den nya kategorin "Govern" innehåller några helt nya underkategorier men de flesta har flyttats dit från "Identify" och någon från "Protect". Spontant tycker jag det ser lovande ut men det kommer nog bli en del ändringar innan vi har en slutgiltig version. Det är fortfarande ett helt generellt dokument, helt utan fokus på OT - förutom att "industriella system" nämns några gånger.
Industriell automation är allt!
En av mina hjältar, Jonas Berge, har publicerat en artikel kring hur automationsvärlden förändras runt om oss och om hur begreppet "Industriell automation" växer snabbt. Hans fokus är inte alls säkerhet, men han återkommer ändå till säkerhet flera gånger. Som vanligt lyckas han sätta ord på många av mina egna tankar som jag själv inte riktigt lyckats uttrycka.
Automation is changing. It has become clear that digitalization, digital transformation (DX), or IoT in the plant simply means an expanded scope of automation. The terms ‘digital’ and ‘internet’ got us distracted at first. Many didn’t see it is simply new expanded automation solutions.
Jag rekommenderar verkligen en genomläsning! Det är naturligtvis helt avgörande att vi OT-säkerhetsmänniskor förstår vart de verksamheter som vi försöker skydda är på väg. Jag hör fortfarande alldeles för ofta hårda principuttalanden från förståsigpåare i säkerhetsbranschen som försöker skapa en bild av att vissa saker inte kan ändras och att vissa andra saker absolut inte hör hemma i OT-världen. Den typen av beteende förstärker bara den gamla vanliga bilden av säkerhetsfolk som bara ett hinder man behöver ta sig runt eftersom de försöker skjuta utvecklingen i sank. Istället behöver vi se till att skapa ännu fler möjligheter genom minskade risker och genom att skapa säkra möjligheter att göra helt nya saker!
MITRE ATT&CK i ny version!
Vi har fått version 13 av MITRE ATT&CK! En massa spännande förändringar, inklusive en hel del kring OT-säkerhet. Du kan läsa mer i deras blogginlägg.
Ethos!
En rad stora spelare i OT-säkerhetsbranschen annonserade nyligen det gemensamma initiativet "Ethos", Emerging Threat Open Sharing. Tanken är att de tillsammans ska skapa en plattform där man öppet ska dela hot-information. Som synes är de tre stora tillverkarna av IDS-produkter (Nozomi, Dragos och Claroty) med bland de organisationer som ligger bakom initiativet och de är förstås direkta konkurrenter med varandra, vilket gör det hela lite extra intressant! Man säger att man kommer öppna dörrarna för fler medlemmar i juni.
Det här kommer bli extremt intressant att följa framöver och kan potentiellt flytta fram vår bransch rejält! Dale Peterson gör några tidiga men intressanta reflektioner kring gruppens utmaningar och möjligheter i ett inlägg.
S4 fortsätter att leverera!
S4-konferensen fortsätter att släppa inspelningar efterhand. Här är två exempel där den första är handlar om SDN, Software Defined Networking. SDN är inget nytt men att det börjar användas allt mer inom OT är riktigt roligt! Det passar inte för alla situationer men har en lång rad fördelar jämfört med traditionella metoder. Döm själva när Jeff Smith berättar om sina praktiska erfarenheter:
Den andra videon är avrapporteringen kring "the SBOM Challenge" som gick av stapeln för första gången.
Dales marknadsanalys kring OT detection
Dale Peterson har sedan länge publicerat träffsäkra analyser kring produkterna för "OT detection" och nu är det dags igen. Jag har inte några siffror men för mig personligen känns det som att det för Sveriges del i praktiken handlar mycket om Nozomi, lite spridda skurar av Claroty och så allt mer den spännande uppstickaren OTORIO. Jag ser också att en och annan prövar Microsoft Defender for IoT (oftast som en följd av att man bytt till Defender på andra områden), återstår att se hur det kommer utveckla sig.
Men CER-direktivet då?
Samtidigt med NIS2 klubbade EU även CER-direktivet, "Critical Entities Resilience Act". NIS2 börjar få en del uppmärksamhet nu, men CER pratas det sällan om. De båda direktiven har en massa likheter och överlapp, men även subtila skillnader, vilket orsakar en del frågetecken hos vissa av mina kunder som börjat ta tag i frågorna kring NIS2.
En snabb sammanfattning av vad som skiljer NIS2 och CER från varandra och hur de hänger ihop:
NIS2 ställer krav på att "Samhällsviktiga tjänster" jobbar aktivt med risker och säkerhet kring beroendet av IT och OT. CER handlar om "Samhällsviktiga verksamheter", oavsett eventuella beroenden till teknik, utan fokuserar bara på att dessa verksamheter ska fungera även under ansträngda förhållanden.
NIS2 har två "klasser" av organisationer som berörs, "Viktiga entiteter" och "Väsentliga entiteter", där vissa krav skiljer lite grand mellan klasserna. I CER finns "Kritiskt entiteter" och "Kritiska entiteter av särskild europeisk betydelse" där de senare får extra stöd och uppmärksamhet.
Listan med de verksamhetstyper som potentiellt omfattas av CER är nästan identisk med den som gäller för "Väsentliga entiteter" i NIS2. Det som skiljer är att MSP/MSSP inte omfattas av CER samt att livsmedelsproduktion ingår i CER.
Det finns många referenser mellan de båda direktiven. Ett exempel är att om man omfattas av CER så blir man automatiskt också en "Väsentlig entitet" i NIS2.
Att just livsmedelsproduktion skiljer mellan NIS2 och CER är en klurighet eftersom det "bara" betraktas som en "Viktig entitet" i NIS2, men man blir uppgraderad till "Väsentlig" om man också omfattas av CER.
Båda direktiven ska vara implementerade i nationell lag senast den 17:e oktober 2024 och börjar tillämpas dagen därpå.
Det normala i NIS2 är att man själv ska avgöra om man omfattas av regelverket eller inte. I CER är det myndigheterna i respektive EU-land som bestämmer och pekar ut vilka verksamheter som omfattas baserat på en riskbedömning som myndigheten gör. Länderna har till mitten av 2026 på sig att bli klara med den bedömningen, vilket skiljer sig från NIS2 som ju tar praktisk effekt direkt i Oktober 2024. Om man blir utpekad har man 10 månader på sig att följa regelverket - inte mycket tid...
En artikel i CER öppnar för att länderna kan definiera rätten för CER-organisationer att göra bakgrundskontroller på sin personal. Jag gissar att det kan bli något som liknar den registerkontroll som idag utförs av personer som placeras i säkerhetsklass baserat på säkerhetsskyddslagen. Det här ska bli riktigt intressant att se hur det implementeras! Det kanske också kan minska inflationen som jag ser i överdriven användning av säkerhetsskydd.
I CER finns inga sanktionsnivåer definierade utan varje land får bestämma. I NIS2 är det som högst det högsta av 2% av global omsättning eller 10 MEUR.
Jag gissar personligen att CER kommer implementeras på ett sätt som är ganska likt det MSB gör redan idag kring "Samhällsviktiga verksamheter". Vill man börja förbereda sig så finns det en del att inspireras av där.
Ännu mer på gång från EU!
Förutom CER och NIS2 är det verkligen högtryck i EUs författarstugor och det är sannerligen inte lätt att hänga med i svängarna, inte ens för oss som jobbar med precis det här! Nu hjälper MSB till med att skapa lite översikt med en policyöversikt för cyberområdet.
Det verkar som att planen är att hålla det här dokumentet uppdaterat efterhand som saker och ting utvecklas, den första uppdateringen kom redan efter en månad!
På det nationella planet har SÄPO något liknande, "Aktuellt inom säkerhetsskydd" där de har korta artiklar som tar upp aktuella frågor kring säkerhetsskydd.
MSBs NIS-konferens
Om du missade MSBs NIS-konferens finns inspelningarna här. Det är lite oklart hur länge de kommer fortsätta vara tillgängliga så titta snabbt!
Mer om OPC UA!
Som jag skrev om i förra nyhetsbrevet har Team82 på Claroty dragit igång en serie artiklar om OPC UA, "OPC UA Deep Dive". Nu har del 2 släppts där de går igenom hur OPC UA kan användas plus lite kring datatyper och syntax.
Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på.
Bra diskussioner!
ABB och Industry IoT organiserade nyligen ett webinar med det fiffiga namnet "Ransom-Aware OT Defense Summit" som jag rekommenderar att du tar en titt på. En inspelning är tillgänglig om du registrerar dig.
I mina ögon var den stora behållningen de två paneldiskussionerna, en kring hur riskerna egentligen ser ut idag och en kring "Response and Recovery". En imponerande uppsättning vassa hjärnor delar med sig av en hel del klokskap och fritt tänkande!
Lite ironiskt är det...
... med tanke på ovanstående nyhet att just ABB själva var ett av de lite mer uppmärksammade offren för ransomware under de senare veckorna. Det började genast spekuleras i att attacken mot ABB kunde vara starten på en riktigt otrevlig supplychain-attack mot ABB-kunder, men än så länge har jag inte hört något som bekräftar de ryktena. Däremot har ABB tagit riskerna för kunderna på allvar och ser över alla mjukvaror som distribuerats på senare tiden så att de inte manipulerats. I vissa fall har man uppmanat till att tillfälligt sluta använda den senaste versionen av vissa mjukvaror. I vilket fall som helst är det här en påminnelse om att alla organisationer kan drabbas och om att man måste vara förberedd på att hantera sådana situationer så att man är snabb och tydlig i sin kommunikation! Jag kan inte direkt säga att jag tycker ABB lyckades fullt ut med tanke på den väldigt sena och tama kommunikationen...
Något som också kunde ha blivit otrevligt var attacken mot säkerhetsleverantören Dragos som ju är kända i OT-världen. Det var en riktigt intressant attack där en nyanställd fick sin personliga mejl hackad vilket angriparna använde för att låtsas vara personen ifråga. De lyckades inte speciellt bra men valde ändå att försöka utpressa Dragos vilket de hanterade extremt snyggt. Inte minst var deras fullständiga transparens kring det inträffade ett föredöme!
Kanske inte riktigt kopplat till OT-säkerhet, men ändå väldigt intressant, var avslöjandet att Toyotas lösning för positionsinformation i bilarna varit hackat i tio (10!) år innan det upptäcktes. Om inte annat är det en bra påminnelse att attacker som inte leder till synliga konsekvenser kan vara riktigt svåra att känna igen! Alla attacker är inte ransomware!
Grattis OTORIO!
Ett par av mina personliga favoritlösningar, OT-riskanalysmjukvarorna RAM2 och spOT, från OTORIO har fått amerikanskt patent beviljat för sin användning av en digital tvilling för Breach and Attack Simulation. Grattis!
Det som patenterats är ju nämligen precis den smarta lösningen som gör det möjligt för dem att koka ner alla sårbarheter och risker tillsammans med faktiska brandväggsregler och annat som påverkar den verkliga risken till en kraftfullt prioriterad lista över åtgärder. Rekommenderas till alla som insett begränsningarna i klassiska IDS-lösningar.
En europeisk ATT&CK i rymden?
Europeiska rymdorganisationen ESA har skapat sin egen variant av MITRE ATT&CK för rymdsystem kallad SPACE-SHIELD. Kan ju passa bra nu när den här viktiga branschen börjar få sin rättmätiga uppmärksamhet av exempelvis NIS2.
Vi kommer att ses...
...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e September. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2.
Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare!
Solarwinds!
Tidningen Wired har en artikel skriven av Kim Zetter om Solarwinds-hacket. Som vanligt när det gäller Kim är det välskrivet och intressant!
Fler kompisar!
Något vi alla är överens om "i branschen" är att det saknas tillräckligt med kunnigt och erfaret folk. Riktigt kul att se att Myndigheten för yrkeshögskolan nu har godkänt lite nya kurser som kan bidra till att minska problemen. En intressant nyhet är exempelvis "Cybersäkerhet i elkraftsystem" som tydligen ska ges "här hos mig" i Västerås. En annan som låter spännande är "Cybersäkerhet inom kritisk infrastruktur".
Introduktion till OT-anläggningar
Det är alltid svårt att "lära upp" skickliga IT-säkerhetspersoner inom OT. Det är en väldigt annorlunda värld på många sätt, inte minst är det väldigt annorlunda verksamheter med speciella förutsättningar som inte alltid är helt uppenbara.
Nu har Dietmar Marggraff dragit igång en blogg som verkar väldigt lovande. Han går igenom olika typer av anläggningar på en detaljerad nivå men stannar upp emellanåt för att reflektera över säkerhetsutmaningar i olika sammanhang. Det här tror jag kan vara ett bra sätt att introduceras till de skillnader som uppstår i en viss typ av anläggning. Det finns förstås andra, framför allt "mjuka", skillnader också, men det kanske dyker upp framöver. I vilket fall som helst vill jag rekommendera den här bloggen!
Sveriges risker och sårbarheter
MSB har producerat ett dokument med titeln "Nationell risk- och sårbarhetsbedömning (NSRB)" och det är precis vad det låter som. Det är intressant läsning i sig ur ett nationellt perspektiv men det kan vara användbart även i mindre sammanhang som inspiration eller underlag för egna bedömningar.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.