.png)
Dags för en riktigt välfylld upplaga av nyhetsbrevet kring OT-säkerhet!
Några höjdpunkter den här gången är en gratis bok som är riktigt bra, en modell för hur ransomware kan drabba PLC:er, vettig prioritering av sårbarheter, EU ger oss stöd kring supply chain, lite mer detaljer kring såväl CER-direktivet som CRA-förordningen, en ny version av NIST CSF, en djupdykning (!) i sjöfartens regelverk, en NATO-utbildning från MSB och så berättar jag vad jag hållit på med för roligheter i mitt labb!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Alla pratar om Supply Chain!
Om du inte levt under en sten de senaste åren har du märkt att fokuset på säkerhet i relationen med leverantörer har fått massor med fokus. Inte minst på grund av stora incidenter som NotPetya, Solarwinds och Coop/Visma/Kaseya.
NIS2-direktivet trycker väldigt hårt på det här, likaså den nya versionen av NIST CSF. (Som du kan läsa mer om längre ner i nyhetsbrevet...)
Ett bra stöd för att sortera sina tankar på området är en ny rapport från EUs cybersäkerhets-myndighet ENISA, "Good practices for supply chain cybersecurity". Förutom en introduktion till området och en analys av nuläget får vi en radda ganska handfasta förslag till åtgärder med tydliga mål för var och en av dem.
Uppdaterat från IIC
Industry IoT Consortium, IIC, har kommit med en uppdaterad version 2 av sitt dokument "Industry Internet of Things Security Framework", (IISF) som kom ut första gången 2016. Det här är ett dokument som det har refererats till i lite olika sammanhang, inte minst kring begreppet "Trustworthiness". Och just detta begrepp, Trustworthiness, är lite extra intressant när man ska försöka förstå vad det populära buzzordet (!?) "Convergence" egentligen betyder. IIC reder ut skillnader mellan IT och OT när det just gäller Trustworthiness och hur de två världarna kan mötas i den punkt som de kallar IIoT.
De bygger begreppet Trustworthiness på de fem grundpelarna Security, Safety, Resilience, Privacy och Reliability. Tillsammans ska de motverka Attacks, Disturbances, Errors och Faults.
Personligen är jag lite allergisk mot alla former av buzzord, inte minst "Convergence". Men jag måste säga att IIC åtminstone reder ut begreppets alla sidor på ett tydligt och bra sätt. De arrangerar begrepp som förtroende, assurans, krav och förmågor i kombination med berörda roller på ett sätt som känns väldigt användbart även om det i sig inte ger några magiska svar på svåra frågor.
Det här är i alla delar ett ramverk och inget annat, dvs det är riktigt bra att hänga upp resonemang och planer på, och även om man inte får några svar på de svåra frågor man måste ställa sig själv så är det ändå stor hjälp. Rekommenderas!
Klokskap från de sju haven
Som jag skrev om i förra nyhetsbrevet så har jag på senare tid haft förmånen att vara insyltad i ett par projekt kring OT-säkerhet ombord på nybyggda fartyg. Det här är fantastiskt intressanta verksamheter med väldigt speciella utmaningar, inte minst när fartygen ska användas i mycket känsliga verksamheter.
I den här världen har de så kallade klassningssällskapen mycket att säga till om, det är organisationer med välkända namn som Lloyd's Register, DNV och Bureau Veritas. Det här är verksamheter som i vissa fall funnits sedan tidigt 1800-tal och som sätter regler för hur man konstruerar, bygger och underhåller fartyg för att de ska vara säkra i alla betydelser av ordet "Säkerhet". På senare år har förstås cybersäkerhet och inte minst OT-säkerhet fått stort fokus.
Ett godkännande från ett klassningssällskap innebär att fartyget får en så kallad Klassnotation inom ett visst område, exempelvis cybersäkerhet. För att få behålla fartygets notation sker regelbundna återkontroller av både tekniken och organisationens förmågor. Precis som vilken certifiering som helst!
Som vanligt när OT-säkerhet är relevant baseras numera de flesta krav på en kombination av ISO 27001/27002 och IEC 62443. De klassningssällskap jag tittat på kombinerar på ett snyggt sätt krav på den tekniska utformningen med krav på organisationens arbetssätt och förmågor. Jag har personligen ett gott öga till DNV och deras kravmassa kopplat till OT-säkerhet på fartyg. Det är dokument som dessutom kan vara väldigt användbara även om man inte är i fartygsbranschen!
Kravdokumenten från DNV är gratis att komma åt men en personlig inloggning krävs. Om man är intresserad av OT-säkerhet så är dokumenten DNV-CG-0325, DNV-RU-SHIP Pt.6 Ch.5 (Section 21) och DNV-RU-SHIP Pt.7 Ch.1 (Section 36) speciellt intressanta. Det finns också en recommended practice DNV-RP-0496 som är värd att titta på.
Ett dokument som jag verkligen tycker alla borde ta en titt på har egentligen inte OT-säkerhet i fokus, utan dyker ner i utmaningarna kring hur man bygger bra styr- och övervakningssystem: DNV-RU-SHIP Pt.4 Ch.9. Läs exempelvis Section 2 om principer för utformning av dessa system! Väldigt många kloka principer för att bygga robusta lösningar i känsliga miljöer! Man får förstås ersätta begrepp och system som är unika för fartyg med motsvarande utmaningar i den egna miljön. Larm, safety och felhantering är otroligt viktigt att tänka på och det är ofta insikter i dessa områden som man saknar om man kommit över till OT-säkerhetsvärlden från IT-sidan.
En annan sida av säkerhet till havs har sammanställts av ett Nederländskt universitet, NHL Stenden University of Applied Sciences. Det är en interaktiv karta med information om kända attacker mot fartyg, hamnar och annat sjöfartsrelaterat.
Jag kan inte avgöra hur tillförlitlig eller komplett deras sammanställning är men det är en väldigt intressant illustration av ganska annorlunda utmaningar jämfört med "på land".
Död mans PLC!
Ransomware och andra liknande typer av utpressning är inget nytt inom IT-världen. Däremot har jag, och många med mig, undrat när vi ska börja se motsvarande angrepp mot OT-system. Idag drabbar de flesta OT-incidenter egentligen främst IT-system som "råkat" bli lite för viktiga för produktionen. Med undantag för Stuxnet, Triton och några få till, så är det extremt ovanligt med skadlig kod riktad direkt mot PLC:er och deras fysiska processer. Alla faktiska exempel jag känner till har handlat om sabotage i olika former snarare än utpressning. Det kan vara på väg att ändra sig snart...
Richard Derbyshire, Benjamin Green, Charl van der Walt och David Hutchison har publicerat ett intressant papper med den lovande titeln "Dead Man’s PLC: Towards Viable Cyber Extortion for Operational Technology".
Extremt sammanfattat så beskriver de en metod att hålla en verksamhet gisslan genom att utöka det klassiska ransomware-tänket med modifierad PLC-kod som upptäcker försök att kringgå attacken och då slår ut den fysiska processen på ett sätt som "förhoppningsvis" orsakar fysisk skada. Det har gjorts ett par liknande försök tidigare som de diskuterar och bygger vidare på. Namnet "Dead Man's PLC" associerar förstås till begreppet "Dödmansgrepp", men i det här fallet är det inte ett skydd utan en avtryckare!
De tänker sig att angreppet börjar med en ingenjörsstation där man samlar information om nätverkets uppbyggnad, vilken programmerbar utrustning som finns där, deras programmering och hur de kan kommunicera med varandra. De beskriver en stegvis metod för att, baserat på den informationen, modifiera de aktiva programmen på ett sätt som kommer bevaka att ingen komponent återställs eller stoppas. Offret får en viss tid på sig att betala lösensumma innan samtliga komponenter slås ut och den fysiska processen aktiveras på ett så felaktigt sätt som möjligt. På det här sättet tar man inte en enstaka PLC gisslan utan samtliga i samma system. (Vilket är den stora skillnaden mot tidigare beskrivna metoder.)
Ingenjörsstationen drabbas av något som liknar klassisk ransomware medan övrig utrustning enbart programmeras om utan att man behöver någon speciell access till systemen. Det är fortfarande en metod som kräver att man kan hantera och förstå de aktuella ingenjörs-verktygen men med lite vidareutveckling kan det säkert göras enklare.
Jag rekommenderar att du läser hela pappret, det är bara 12 sidor text. Än så länge är det bara en teoretisk metod som beskrivs även om de genomfört "skarpa" attacker i testmiljöer. Det här känns som ett första steg mot en riktigt jobbig utveckling. Några spontana tankar kring kloka säkerhetsåtgärder för att möta det här är att satsa på en bra balans mellan förebyggande, upptäckande och återställande förmågor, exempelvis:
Använd skyddet du redan betalt för! Moderna PLC-system har massor av enkla men bra skydd. Bra lösenord och kryptering hjälper mycket mot sånt här!
Se till att du förstår dina system bättre än angriparen! Aktiv insamling av inventarie-information tillsammans med automatisk löpande riskanalys av nätverkets och komponenternas konfiguration ger dig möjlighet att ligga steget före.
Angriparen behöver nätverksaccess till ingenjörsstationen eller den plats där den lagrar sina projekt. Skydda och härda ingenjörsstationen. Skaffa en riktig lösning för fjärråtkomst, dvs inte en vanlig VPN. Blanda inte lagring mellan IT och OT!
Se till att du upptäcker förändringar i systemen, styr upp din ändringshantering och kombinera det med ett verktyg som övervakar nätverk och komponenter efter förändringar.
Slarva inte med separationen av Safety-PLCer från övrig utrustning så behöver i alla fall inga farliga situationer uppstå. (Du är väl inte en av dem som bygger sådana funktioner i samma system som styr processen?)
Backup, backup, backup! Precis som i IT-världen är bra (dvs testade och separerade) backuper helt avgörande för att få igång verksamheten när det värsta händer. På samma tema är det förmodligen en bra (men dyr) idé att också ha extra exemplar av all utrustning på hyllan i det fall angriparen lyckas helt "bricka" prylarna.
NATO och civil beredskap
MSB har släppt en webbutbildning kring NATO med fokus på civil beredskap. Jag tycker det var en riktigt bra sammanfattning av allmän information kring NATO och en väldigt nyttig insyn i den icke-militära sidan av NATO. Intressant att se hur mycket av tankarna kring allriskperspektiv för resiliens i samhället går hand-i-hand med EUs satsningar via exempelvis NIS2 och CER.
Utbildningsmaterialet släpptes i mars så det saknar de senaste händelserna kring Sveriges medlemskap men det gör ingenting.
Rapport från labbet!
Jag är tekniker i själen! Men i min roll som rådgivare är det mer sällan som jag numera får nörda ner mig ordentligt i tekniken och få rejält med "skit under naglarna". Trots det är tekniken är något som jag är noga med att fortsätta mig hålla nära för att inte tappa kontakten med "verkligheten". Och dessutom för att det är roligt, inte minst programmering som jag tycker är en väldigt kul del! Det är väldigt lärorikt och dessutom roligt att prova nya kluriga säkerhetsupplägg som jag inte vågar/får/kan/vill göra i kunduppdrag - och i synnerhet att angripa dem förstås!
En utmaning när man vill labba med sånt här är att OT handlar om fysiska processer, vilket förstås är både jobbigt och dyrt att bygga testmiljöer för. Då är verkligen det portugisiska företaget Real Games lösning Factory I/O en superelegant möjlighet! De har tagit en vanlig spelmotor för 3D, men istället för att fylla den med monster och vapen har man skapat en virtuell värld med komponenter och maskiner som man kan använda för att bygga ihop en tillverkande anläggning med enkel drag'n'drop. Alla sensorer och ställdon dyker sedan upp som ett remote I/O på nätverket som du kan ansluta till din PLC med MODBUS, OPC UA eller något annat protokoll som du vill ha. Riktigt smidigt och snyggt är att du sedan kan gå runt i anläggningen medan den kör. Du kan trycka på knappar på "riktigt" för att styra processen.
Nyligen satte jag upp en ny labb-uppställning och drog igång några småprojekt för att kombinera teknik som jag inte blandat förut. Först ut blev en uppställning med en PLC (PLCnext 2152 från Phoenix Contact), ett par omanagerade switchar, ett par EdgeIPS 102 från TxOne och en virtuell tillverkningsprocess baserad på Factory I/O.
Mitt super-simpla "experiment" gick helt enkelt ut på att utforska kombinationen PLCnext, OPC UA, EdgeIPS och FactoryIO:
Koppla PLCn till ett virtuellt remote I/O i Factory I/O via OPC UA (Och det blev även motsvarande övning med Modbus TCP av bara farten)
Programmera PLCn att köra processen
Attackera kommunikationen för att störa processen, gärna med underhållande konsekvenser
Skydda kommunikationen mellan PLCn och Factory I/O med en EdgeIPS
Det är alltid roligt och lärorikt att "labba" lite. Ett återkommande intryck är hur kapabel och enkel modern teknik är! Som den där PLCn från Phoenix Contact. Den kan inte bara agera klassisk PLC och då programmeras enligt IEC 61131-3, utan även har stöd för alla möjliga moderna programmeringsspråk, nätverksprotokoll, Docker-containers och som har en egen "app-store". Vill du köra Node-RED, MQTT, Python eller något annat "modernt" så är det antingen installerat vid leverans eller enkelt (och gratis) att installera. Extra elegant är att deras programmerings-mjukvara, "PLCnext Engineer", är gratis. Om du inte har en fysisk PLC kan du istället skapa en virtuell PLC! (Om du är nyfiken så har Nisse Eriksson på Phoenix Contact skapat en radda bra lektioner kring PLCnext på YouTube.)
Factory I/O har jag inte så mycket erfarenhet av ännu men det är en imponerade mjukvara med riktigt snygg simulering av både remote I/O och fysiska processer! Den fysiska processen blev i det här fallet en hisslösning, delvis baserad på ett av de scenarier som man får med i programvaran. Komponenter ska matas fram på tre rullband på tre våningar som sedan ska samlas upp fem åt gången i en plastback med hjälp av en hiss. När backen är full ska den skickas iväg på en lastpall och en ny back plockas in. På ytan kan man tycka att det är en ganska enkel process, men att få till programmeringen tog en stund! Men i slutänden blev det riktigt bra och jag passade på att lära mig att programmera med Structured Text i funktionsblock vilket jag inte gjort förut.
Jag har däremot jobbat ganska länge med grejorna från TxOne, men slås fortfarande varje gång av hur smidiga de är. Smidiga både i betydelsen att de är enkla att arbeta med men också att de tar upp väldigt lite plats på skenan.
En EdgeIPS styr enkelt upp nätverkstrafiken utan att man riskerar att påverka den i onödan. Medan processen sedan snurrar är det en barnlek att låta en EdgeIPS automatiskt lära sig trafiken på nätverket och föreslå brandväggsregler som kommer stoppa eller larma på annan trafik!
Ja, och jag får väl säga att min lilla övning var framgångsrik... Det blev som vanligt tydligt att det kan behövas lite skydd för verksamheten! Mina angrepp mot den oskyddade hissen via OPC UA fick väldigt "fysiska" konsekvenser och resulterande i ett lätt kaos på "fabriksgolvet"...
Vi får se vad nästa projekt blir i Factory IO? En av komponenterna i Factory IO är en vattentank som ska nivåregleras, så kanske att det blir att testa en PID-funktion? Men jag är nog mest sugen på ett lite mer komplext scenario där man kopplar ihop flera olika komponenter till ett långt produktionsflöde och kanske även styr med flera olika PLC:er.
Jag ska också se om jag kan komplettera min labbuppställning med mer roliga prylar. En riktig HMI-webbpanel skulle vara kul för att bygga användargränssnitt på "riktigt" med Phoenix Contacts eleganta HTML5-baserade lösning. En mer sofistikerad nätverkslösning står också högt på önskelistan och förstås fler PLCer med tillhörande remote IO. En nätverkstapp eller två skulle vara praktiskt också. Det är kul med leksaker - men dyrt! Jag tar tacksamt emot stöd till nyhetsbrevets laboratorium om du tycker att nyhetsbrevet tillför någonting. Om du har avvecklad begagnad utrustning så är det väldigt intressant att få ta över, hör gärna av dig, mats@ot-sakerhet.se !
Säkerhetsmässigt finns det förstås mycket annat att utforska vidare. Nära till hands ligger angrepp mot HMI-kommunikation, labba med krypteringen i OPC UA, använda lite mer "udda" nätverksprotokoll än Profinet, OPC UA och Modbus TCP, men förstås också alla möjligheterna att låta TxOne styra vad som är tillåtet på nätet ner till en löjligt detaljerad nivå - typ: "PLC A får manövrera coil 1 men inte coil 2". Än så länge har jag bara använt enkla omanagerade switchar så där finns mycket kvar att utmana kring segmentering och fjärranslutningar. Man kan lära (och lära ut) så länge man lever!
Apropå OPC UA
Jag har tidigare berättat om Clarotys utmärkta artikelserie kring OPC UA. Nu är del 5 ute där de förklarar hur de forskar kring sårbarheter, generellt och hur de gjort kring just OPC UA. De avslutar med att gå igenom resultaten så här långt, ganska imponerande!
I del 6 släpper de dessutom ett attackverktyg som är fritt fram att använda om man vill jaga nya sårbarbarheter eller granska sin egen installation. Det ser riktigt användbart ut!
Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på. De länkar också till en presentation på samma tema som Eran Jacob på OTORIO gjorde 2021, väl värd att läsa om man är nyfiken!
En riktigt bra bok! ...och gratis!
Vi är inte bortskämda med jättemånga bra böcker kring OT-säkerhet. Det finns några lysande stjärnor på den här bokhimlen som jag skrivit om i tidigare nyhetsbrev, men dagens boktips är lite annorlunda... Det kan vara en av de bästa - och den är gratis!
Marina Krotofil är ett känt namn i våra kretsar. Hon är en av de där få men ack så viktiga personerna som verkligen förstår processautomation på riktigt och samtidigt förstår säkerhet. Om jag skulle manipulera en tillverkningsprocess så att ordentligt farliga situationer uppstår så skulle jag ta hjälp av henne... Här hittar ni inga dåligt förklädda IT-attacker utan ett resonemang som utgår från den fysiska processen.
Hon kallar det ett Technical White Paper, men jag skulle personligen gärna betalat bra pengar för det här innehållet om det hade dykt i bokform! Du hittar det på hennes sajt och på GitHub. Vi får 133 sidor som är både välfyllda och välskrivna.
Hon börjar med en genomgång av hur en ingenjör ser på kontrollsystem. En kort beskrivning av den exempelprocess hon använder är intressant på många sätt, framställning av vinylacetat av etylen och ättiksyra. Det här är en vanlig, välkänd och framför allt väldokumenterad kemisk process med en massa "spännande" möjligheter att skapa farliga situationer om kontrollen över processen blir angripen.
Nästa kapitel är "Cyber-Physical Attack Lifecycle", den centrala delen i texten, där hon går igenom de steg som en angripare behöver ta i en systematisk attack. Igen med ett primärt fokus på tillverknings-processen snarare än system och infrastruktur. Naturligtvis finns även de delarna också med, men de är bara redskapen som angriparen kan använda för att uppnå de fysiska syften som man råkar vara ute efter.
Därefter kommer ett kort avsnitt med hennes slutsatser. Om du inte orkar läsa hela dokumentet så tycker jag ändå att dessa två sidor är värda din uppmärksamhet!
Som en bonus får vi några appendix. Jag rekommenderar speciellt appendix A där hon går igenom Donn Parkers Hexadmodell. (En utökning av den klassiska CIA-modellen. Ni som tagit en CISSP-certifiering har garanterat redan läst om den.) Här möts klassisk informationssäkerhet och information som används i kontrollsystem på ett sätt som är viktigt att förstå!
Som du förstår rekommenderar jag varmt att du läser Marinas papper! Det är inte trivialt att ta till sig i alla delar men det ger en lång rad fantastiskt viktiga insikter!
Styrelsen pratar om fel saker!
En artikel i Harvard Business Review tar upp ett ämne som jag verkligen känner igen mig i och som jag håller med om; att styrelser tenderar att fokusera alldeles för mycket på förebyggande säkerhetsåtgärder istället för att bygga upp en robust och tålig organisation. Visst är det bra att säkerhet numera diskuteras på styrelsenivå, men det sänder fel signaler ut i organisationen!
Samma tendens finns ju för övrigt på alla nivåer i många organisationer som jag stöter på, alltså att man lägger lite för stor andel resurser på förebyggande arbete och mindre på de förmågor som krävs för att upptäcka och hantera incidenter som trots allt inträffar. När styrelsen dessutom spär på detta genom att ha samma slagsida i sitt intresse blir saken än värre.
Jag brukar använda den klassiska cirkeln från NIST CSF för att visa att vissa segment tenderar att få alldeles för lite intresse och resurser. "Protect" är populärast. I takt med att många OT-verksamheter skaffat IDS:er (Nozomi, Dragos etc) så skulle man kunna tro att "Detect" börjar växa till sig men tyvärr är det många verksamheter som i slutändan mest använder sin IDS för att försöka samla inventarieinformation (dvs Identify). Tyvärr är passiv inventering i praktiken inte så effektiv som tillverkarna hävdar. Vill du få bättre resultat krävs aktiv insamling. (Vilket inte är samma sak som IT-världens nätverksscanning!) Respond och Recover får oftast minst fokus trots att det är helt avgörande för organisationens robusthet.
Ett nytt sätt att skära kakan!
Framöver kommer jag få visa en annan bild från NIST CSF än den jag nämnde ovan. Som jag skrev om i nyhetsbrev #52 och nyhetsbrev #49 har NIST version 2.0 på gång av deras Cyber Security Framework, NIST CSF.
Nu har de tuggat i sig all feedback de har fått och annonserat en formell draft av det nya ramverket. Vi har också fått en ny version av det välkända "hjulet" som förutom lite ändrade färgtoner, också har fått det nya sjätte området, "Govern".
Vi har alla till den 4:e november på oss att komma med återkoppling - så börja läsa bums!
Ett annat sätt att utforska det nya ramverket är via det nya verktyget "NIST Cybersecurity Framework (CSF) 2.0 Reference Tool" som också lanserats, om än i en ännu så länge begränsad version. Här kan du vända och vrida på ramverket samt ladda ner valda delar i ett antal olika format. De kommer lägga till mer funktionalitet efter hand. Mycket nöje!
Vi kommer att ses...
...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e september. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2.
Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare!
Exklusivt och gratis!
Vi på AFRY organiserar en nordisk konferens kring OT-säkerhet och kritisk infrastruktur den 27:e september. Tillsammans med några av våra partners erbjuder vi en exklusiv heldagskonferens i Solna, som trots att den är gratis kommer att vara väldigt "osäljig"! Skynda att anmäla dig, det kommer bli fulltecknat! Förutom att lyssna på klokskaper kring OT-säkerhet direkt från ledande personer inom olika industrigrenar kommer det bland annat bli:
En trio före detta högt uppsatta militärer (Fredrik Robertsson, Yair Attar och Inge Kampenes), från tre olika länder, som alla tre numera arbetar i näringslivet. De kommer diskutera hur man håller sin verksamhet robust i en orolig omvärld.
Välkände OT-säkerhetsprofilen Sinclair Koelemij besöker oss för att presentera kloka tankar om försvar i djupled.
En panel där riktigt erfarna OT-säkerhetsmänniskor, Robert Valkama från Fortum, Björn Löfgren från Hitachi Energy och Gjert Tronstad från Elkem diskuterar utmaningar och möjligheter inom OT-säkerhet
Johanna Parikka Altenstedt kommer hjälpa oss få rätsida på alla EU-krav som är på väg och hur de påverkar arbetet med OT-säkerheten.
Adam O'Gorman och Oscar Gumaelius presenterar ett helhetstänk kallat "Secure Site" som tar ett helhetsgrepp kring säkerheten i alla sorters producerande verksamheter!
Och en massa annat som är inte är officiellt ännu. Bland annat kommer våra partnerföretag skicka sina vassa tänkare för att dela med sig av sina insikter snarare än att visa trötta produktslides! Redan klar är Kevin Kumpf från Cyolo men det blir fler tunga namn!
Jag kommer förstås vara där och ser fram emot många spännande möten och diskussioner. Du har förstås även chansen att träffa en massa av mina oerhört kloka och erfarna kollegor, inte bara inom OT-säkerhet utan även säkerhetsskydd, NIS2, penetrationstestning, produktsäkerhet, safety, säker utveckling och en massa andra områden!
Välkommen till en riktigt rolig dag!
Det är sannolikt ganska osannolikt!
Det där med att risk skulle vara lika med sannolikhet gånger konsekvens, det är klurigt på många sätt... Dels är ju inte verkligheten så enkel att varje risk är en punkt i ett diagram. En annan stor utmaning som risk- och säkerhetsarbete kring all modern teknik måste stångas med, är att man ska skydda mot mänskliga angrepp. Mänskligt beteende är svårt att sätta en sannolikhet på och hur ska man då bedöma risker? Saker som går sönder av sig själva är det enklare att räkna på men hur sannolikt är ett visst mänskligt beteende?
Ett område där detta är extra jobbigt är om man vill jobba med att åtgärda kända sårbarheter. Vilka sårbarheter är viktigast att fixa först? Rimligen de som får störst konsekvenser och som är mest sannolika att bli använda. Konsekvenserna är förhållandevis enkla att ta räkna på men hur bedömer vi sannolikheten att en sårbarhet får en exploit?
Vi vet att kända sårbarheter bedöms enligt CVSS-systemet från FIRST. (Jag skrev om version 4 i Nyhetsbrev #50.) Vi vet också att CVSS är omdiskuterat och att modellen inte ger hela bilden av en sårbarhet.
Ett annat, och nyare, initiativ från FIRST är EPSS, Exploit Prediction Scoring System. Det är viktigt att förstå att det här inte är ett alternativ till CVSS, utan är ett försök att bedöma sannolikheten för att en viss sårbarhet omvandlas till en exploit inom 30 dagar! Du får läsa FIRSTs utmärkta egna förklaring till detta för mer detaljer.
EPSS är definitivt ingen exakt vetenskap men kan nog bli en väldigt viktig pusselbit i många verksamheter. Hur viktigt det kommer bli inom just OT-säkerhet är en diskussion i sig, som nog mer handlar om hur man ser på jakten på sårbarheter i OT-produkter. Jag har i alla fall sett att EPSS har börjat användas i allt fler IT-säkerhetsprodukter och vi kommer helt säkert se och höra mer kring detta framöver.
Om det här är ett ämne som intresserar dig kan jag även verkligen rekommendera en serie dokument från Cyentia Institute och Cisco (före detta Kenna Security), där del 9 precis släpptes. Del 9 tittar på initiativet KEV, "Known Exploited Vulnerabilities" från amerikanska CISA. De tidigare dokumenten i serien verkar gå att hitta här numera. En del av de resultat som presenteras i del 1 var det som triggade aktiviteter som till slut ledde till att EPSS togs fram!
Du kan också läsa Fortinets rapport "1H 2023 Global Threat Landscape Report" som tar upp en del intressant statistik kring EPSS, citat:
Our analysis shows that the top most exploitable vulnerabilities, as identified by EPSS, are 327 times more likely to be attacked within a week than others on your radar.
Det är inte självklart att motsvarande siffror för OT-området är lika imponerande, men på klassiskt Pareto-manér tycker jag personligen att man ska hitta enkla lösningar för 80% av sina utmaningar - så man kan lägga 80% av sina resurser på den svåra återstoden. Det här känns som en sådan lösning...
Inspiration kring risker?
Britterna kommer till din räddning om du har svårt att komma på "bra" risker i dina riskanalyser eller som händelser i dina krisövningar. Deras sprillans färska "National Risk Register" är den publika versionen av en nationell riskanalys. Du får en lång radda intressanta händelser, allt från cyberattacker, elaka drönare och djurpandemier till krig och vulkanutbrott.
Om du vill ha en svensk version finns exempelvis MSBs riskkatalog som har ett lite annorlunda stuk och en del andra risker.
Mycket nöje!
USB-minnen är fortfarande en utmaning!
Kaspersky annonserade nyligen en rapport kring en metod för angrepp mot system utan nätverksanslutning via USB-minnen. Intressant i sig men framför allt en påminnelse om att alla former av bärbara medier fortfarande är ett mycket relevant hot, speciellt om man använder luftgap som en säkerhetsåtgärd. För, som vi vet, det finns inga helt isolerade system! Se till att ha bra rutiner och någon form av saneringsverktyg för bärbara media.
Lite nya detaljer kring CER-direktivet
Europeiska Kommissionen har släppt en delegerad förordning med en något utförligare lista över vilka typer av verksamheter som ska inkluderas när EUs stater bedömer vad som är samhällsviktigt enligt CER-direktivet. Jag ser inga direkta överraskningar i den, men det är å andra sidan inte tänkt att vara en uttömmande lista, staterna kan själva lägga till vad de vill.
Jag skrev senast om CER-direktivet i nyhetsbrev #52 om du vill läsa på lite. Är du mer orolig över NIS2 så kom ihåg att alla verksamheter som bedöms omfattas av CER-direktivet automatiskt också blir "Väsentliga verksamheter" enligt NIS2... För vissa branscher är det väldigt viktigt, kanske framför allt livsmedelsbranschen.
...och CRA-förordningen rullar vidare...
Under sommaren publicerade Europeiska Rådet sitt förslag till kompromisser för den väldigt omdiskuterade CRA-förordningen tillsammans med en önskan om att dra igång förhandlingar baserat på förslaget. Sista ordet är långt ifrån sagt kring CRA och det ska bli spännande att se vad som händer härnäst.
Alltid retar eller glädjer det någon?
Microsoft är inte kända för att vara speciellt aktiva kring PLC-nära säkerhet, förutom när det är kopplat till deras Defender for IoT. På senare tid har de dykt upp i lite annorlunda sammanhang, nu senast när de tillsammans med CODESYS annonserade ett antal ganska allvarliga sårbarheter i CODESYS SDK. Extra allvarligt i och med att CODESYS finns till väldigt många tillverkares plattformar.
Inom OT-säkerhet (precis som många andra säkerhetsområden) finns en massa "sanningar" och "självklarheter" som man fått lära sig att hålla med om. Som vanligt finns det sällan en enda sanning som alltid gäller och som man religiöst kan följa, även om det förstås oftast är väldigt bra tumregler att utgå ifrån! En lite extra känslig sanning att utmana är om/hur man kan/bör använda moln-teknik i OT-sammanhang. Jag snubblade över en artikel från förra året där Microsoft beskriver en högnivå-design, där den del av infrastrukturen som ibland beskrivs som "Nivå 3" enligt Purduemodellen byggs som en hybridlösning mellan on-site och Azure. Jag tycker att jag ser fler och fler organisationer som börjar utmana etablerade sanningar, men även stora samarbetsorganisationer (som OPAF, Open Process Automation Forum) som driver fram nya sätt att bygga automationssystem.
Microsoft utvecklar också ett intressant opensource-verktyg för forensik i PLC:er. Än så länge med stöd för Siemens S7 och CODESYS version 3. Du får hjälp att analysera anropsgrafer mm. Riktigt användbart för den som vill kunna göra handgripliga analyser av PLC:er som misstänks vara manipulerade.
Känner du dig mogen?
IIC, Industry IoT Consortium och ISA, International Society of Automation har uppdaterat sitt gemensamma dokument "IoT Security Maturity Model: ISA/IEC 62443 Mappings for Asset Owners, Product Suppliers and System Integrators". Här möts IICs mognadsmodell SMM och de olika delarna av 62443-standarden genom att olika krav i standarden mappas mot de fyra mognadsnivåerna i SMM. Ett riktigt användbart dokument även om mappningstabellerna tyvärr blir onödigt svåra att läsa på grund av formatet de valt. (Som inte riktigt passar med de långa referenstexterna.)
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.