.png)
Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet!
Några höjdpunkter den här gången är vi letar läckor i nätverket, lär oss teatersport, stjäl inloggningar i ABB-system, konstaterar att EU är överens om CRA, överraskas av en smart mojäng, fyller på i hemmalabbet och så läser vi två böcker, ett examensarbete, en doktorsavhandling och ett jättegammalt dokument!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Vad har teatersport med säkerhet att göra?
Jag hörde nyligen en intervju om improvisationsteater och teatersport. En av tipsen för att bli en duktig teatersportare var att alltid säga "Ja!" oavsett vad dina motspelare hittar på.
Jag kunde inte låta bli att tänka att samma sak gäller inom säkerhetsarbete! Jag menar inte att man som "säkerhetsperson" ska vara okej med vad som helst, men att inleda med "Ja" är ändå en möjlighet att skicka en signal att man faktiskt har samma mål som den man pratar med. Att man inte ser sig själv som en stoppskylt, en polis eller som "Mordac" från Dilbert. Säger man "Ja" och kvalificerar det med frågor om vad som ska uppnås eller kanske "Ja, men då behöver vi först..." så skickar man lite respekt för vad kollegan vill uppnå, som förmodligen faktiskt är något viktigt och klokt.
Inom improvisationsteater tappar man tempo och flyt i handlingen om man säger "Nej". Inom säkerhet tappar verksamheten tempo och dessutom skapar man beteenden där man försöker kringgå säkerhetsrutinerna. När jag är ute och konsultar träffar jag emellanåt på säkerhetsfolk som verkar ha missförstått sin roll totalt och som tror att man framstår som kunnig genom att vara så motvalls om möjligt.
Att bara säga "Nej" är enkelt, det behöver man ingen speciell kompetens för. Att förklara varför ett förslag är dåligt kräver inte så mycket mer. Men, om man är skicklig så klarar man att hitta vägar framåt tillsammans med organisationen så de når sina mål på ett sätt som inte stökar till säkerheten. Tillhör man den riktiga säkerhets-eliten så klarar man att skapa helt nya möjligheter för verksamheten genom att möjliggöra saker som tidigare var omöjliga. Då blir det lätt att få resurser för säkerhetsarbetet!
Nu kommer CRA! Snart...
Den sista november annonserade EU att man nått politisk enighet kring CRA, Cyber Resilience Act. (Jag har skrivit om CRA tidigare, exempelvis: Nyhetsbrev #48 och #51.) Det här är ett rejält omdiskuterat förslag, inte minst för dess hårdhänta påverkan på opensource-världen, men också på grund av kraven på att rapportera sårbarheter till EUs cybersäkerhetsmyndighet.
I grunden handlar det om att produkter med digitala funktioner ska vara CE-märkta för att få säljas inom EU. CE-märkningen känner vi igen från andra områden men nu lägger man alltså även till krav på cybersäkerhet. Det ursprungliga förslaget presenterades i september 2022 och nu har man kommit överens om en rad kompromisser som ska göra det möjligt att klubba igenom kraven.
De kompromisser som lyfts fram är enligt uppgift:
Tillverkare måste tillhandahålla säkerhetsuppdateringar i minst fem år om man inte kan visa att livstiden för produkten är avsevärt kortare.
Sårbarhetsrapporter och incidenter skall skickas till nationella myndigheter men ENISA har en stark roll.
Kravmassan för hur certifiering av produkter går till har förenklats jämfört med det ursprungliga förslaget och antalet "kritiska produkter" har minskats.
Hur man har skruvat på reglerna som påverkar opensource-projekt är inte helt tydligt ännu men förändringar har tydligen gjorts.
Små företag ska få stöd i hur man praktiskt kan hantera kraven.
När besluten är tagna kommer tillverkare, importörer och distributörer av hård- och mjukvara ha 36 månader på sig att ta till sig kraven. När det gäller kraven för tillverkare att rapportera sårbarheter och incidenter börjar de gälla redan efter 21 månader. Något datum finns inte ännu men man säger "...early 2024", så det är inte långt borta! I motsats till NIS2 är detta inte ett direktiv utan en förordning, vilket innebär att det gäller som lag direkt i alla EUs länder utan att man behöver stifta nationella lagar.
När detta skrivs har jag fortfarande inte fått fingrarna på den uppdaterade texten så jag får återkomma med mina egna tankar om innehållet. Enligt "vanligtvis välunderrättade källor" så har alla OT-relaterade produkter strukits ur listan över viktiga och kritiska produkter. Däremot ska kopplingen mot NIS2 finnas kvar så att prylar som är viktiga för säkerheten i en "Väsentlig entitet" enligt NIS2 blir en "Kritisk produkt" i CRA vilket ställer höga krav på certifiering av produkten.
Eric Byres på Adolus skrev en intressant kommentar kring kraven på SBOM och vilka dolda utmaningar som finns bland kraven i CRA. Värt att läsa!
Personligen är jag generellt väldigt positiv till CRA, om inte annat för att vi till slut kanske slipper alla dessa mörkande tillverkare som inte låtsas om att deras produkter har haft sårbarheter. Förhoppningsvis har man nu lyckats minska påverkan på opensource-världen som jag uppskattar mycket!
Hitta läckan i ditt nätverk?
Oavsett om du har ett OT-nätverk som ska vara helt isolerat eller om det har kommunikation med omvärlden är det en utmaning att kontrollera att det inte finns några okända "läckor". Det är inte det minsta ovanligt att man hittar 4G-modem gömda i apparatskåp, att tillfälliga brandväggsregler råkar bli permanenta eller att utrustning har flera nätverksinterfaces som oväntat gör dem till en router.
Vissa typer av kommunikation kräver dessutom mer än bara brandväggar för att kunna styras upp. Ett klassiskt knep för att kommunicera med omvärlden i smyg är att tunnla genom DNS-uppslag. (DNS, Domain Name System - det sätt som nästan alla nätverksanslutna prylar tar reda på adressen till andra prylar) Man tvingas ofta att tillåta DNS genom brandväggar men då måste din DNS-uppsättning begränsa hur namnuppslag skickas vidare ut på Internet...
För att göra det ännu mer utmanande vill man ju upptäcka framtida förändringar i nätet som gör att det börjar "läcka". Även om skyddet är perfekt så förändras saker över tid och plötsligt så får någon ändring en oväntad sidoeffekt...
Allt det här bygger förstås på att man faktiskt styrt upp både vad som får komma in i nätverket men också vad som får gå ut från det. Tidigare vad det vanligt, både mot Internet och mot industrinät, att man bara stoppade oönskad trafik som försöker ta sig in. Det är inte lika vanligt längre, mycket "tack vare" ransomware, men jag stöter fortfarande på det.
Jag har genom åren provat produkter som löser det här problemet men ingen av dem har varit anpassade för OT-nätverk. Men det finns ett undantag, det finska företaget SensorFu har med produkten "Beacon" löst precis det här problemet. Och de har gjort det med just OT-nätverk i fokus!
Det är egentligen en väldigt enkel lösning. Du placerar ut en eller flera Beacons i ditt nätverk och en hemmabas kallad "Home". Dessa Beacons försöker hela tiden kommunicera med sitt Home som du placerat på Internet eller på något annat nät som inte borde gå att nå.
Beacons använder diverse olika trix att nå till Home och lyckas de så får du ett larm med information om hur de "tog sig ut". Det är just de här försöken som gör SensorFus lösning unik, det är här anpassningen till OT syns tydligt. Det är förstås viktigt att de här försöken inte stör nätverket eller automationsutrustning! En Beacon gör sina tester i ett väldigt lågt tempo och använder inte tester är "stökiga" på nätet.
En Beacon finns i olika former. Du kan köra det som en applikation i Windows eller Linux, skapa en container eller en virtuell maskin. Vill du köra Raspberry PIs så finns officiellt stöd för det också. Hemmabasen Home kan du antingen köpa i molnform eller köra själv i en Linuxmaskin. Själv provade jag både att automatiskt skapa en virtuell maskin, en Linux-applikation och en LXC-container i hemmalabbet.
Testerna inkluderar direktanslutning via TCP och UDP, broadcast via Ethernet, DNS-uppslag, Ping, Spoofade avsändaradresser och oväntade IP-protokoll som IGP, IGMP eller TLSP. Dessutom använder den både IPv4 och IPv6. Har du koll på hur ditt OT-nät hanterar IPv6? (De flesta har inte det...) I exemplet nedan var nätet helt blockerat av en brandvägg förutom för DNS över UDP vilket förstås räcker för en läcka.
Det finns många situationer där läcksökning är viktigt. Naturligtvis är det inte bara inom OT som det här är viktigt, känsliga IT-nätverk inklusive privata cloud-nät är precis lika klurigt att hålla koll på. Några vanliga exempel kring OT är:
OT-nät som enbart ska kunna kommunicera med prylar på ett DMZ
Jumphosts som bara ska vara åtkomliga via en säker lösning för fjärråtkomst
Nät för fysiskt skydd, kameranät eller passagesystem
Datorer som aldrig någonsin ska nätanslutas, exempelvis programmeringsverktyg för safety-system eller kanske en root-server för PKI
Managementnätverk där systemadministratörer utför de allra mest känsliga arbetsuppgifterna
Det här är en produkt som jag verkligen rekommenderar alla att prova. Även om du ska ha öppningar i nätverket är det förstås viktigt att det inte finns andra "läckor" som du inte har koll på. Det man vet om kan man hålla koll på... Produkten är superenkel att använda och resultaten kommer direkt! Hör gärna av dig så hjälper jag till att ordna en test.
Vissa saker måste man göra själv!
En artikel från Otorio tittar på sätt att stjäla administratörsrättigheter från ABBs 800xA-system. Jag ska påpeka att artikeln inte kritiserar säkerheten i systemet, snarare tvärtom - men det är en påminnelse om att vissa saker behöver man se till själv när man implementerar ett system. I 800xA-fallet är det skydd av kommunikationen, exempelvis genom att använda IPSec på det sätt som ABB föreslår i anvisningarna. Här är det lätt att man missar viktiga krav i samband med upphandlingar eller systemdesign!
Exemplet som Otorio visar i artikeln och videon nedan är en kapning av kommunikationen med en Aspect-server.
Vi behöver en lokal!
Ni som är tillräckligt gamla kommer kanske ihåg att Johan Ulvesons karaktär Nisse Näslund från TV-programmet Lorry myntade uttrycket "Vi har ju ingen lokal ju!". Jag har en fundering på att skapa en "lokal" för oss OT-människor där man kan diskutera OT-säkerhet, bolla klurigheter, be om hjälp eller sprida bra information. Kanske ett diskussionsforum eller något liknande, helt separat från alla sociala medier, där vi kan diskutera OT-säkerhet. Är det något som du tror du faktiskt skulle använda? Har du åsikter om vad som är viktigt i så fall? Hjälp mig genom att skicka dina spontana tankar till mig på mats@ot-sakerhet.se eller kommentera det här nyhetsbrevet på LinkedIn. Alla andra åsikter och önskemål om nyhetsbrevet tas förstås också emot med väldigt stor tacksamhet!
Andrew Ginter har gjort det igen!
Han är ett känt namn i branschen och från den podd han skapat hos Waterfall Security. Nu har han skrivit sin tredje bok och den är som vanligt gratis om du ber om den från Waterfall direkt. Skynda dig att beställa!
Den har precis landat i min brevlåda så jag har ingen åsikt ännu men jag har hört positiva omdömen från andra. Han diskuterade den nyligen med Dale Peterson på Dales podd. Andrew skrev också ett förtydligande på LinkedIn efter intervjun.
De två tidigare böckerna är något av klassiker i branschen och jag vet flera kloka kollegor som startat sina karriärer genom att läsa dem!
Stark rekommendation!
En annan bok som jag verkligen rekommenderar, åtminstone om du är intresserad av säkerhetsskydd är Kim Hakkarainens bok "Säkerhetsskydd - En introduktion". Den har precis kommit i en uppdaterad andra utgåva.
Jag tycker mig själv ha bra koll på säkerhetsskydd men redan på första sidan i boken var jag tvungen att säga "Jasså? Det hade jag inte koll på!".
Det här är ett klurigt ämne men Kim kombinerar ett sinne för detaljer med en förmåga att skapa överskådlighet och tydlighet, vilket gör boken lätt att både läsa och att hitta i.
Den funkar definitivt både som lärobok och som uppslagsverk oavsett om du är ny eller senior inom säkerhetsskyddet!
Nu får det vara slutlekt!
Ja, det är faktiskt den underbara titeln på ett examensarbete om NIS2 som Ellinor Dison skrivit vid Stockholms Universitet. Undertiteln är "Cybersäkerhetskraven för privata aktörer i ljuset av NIS2-direktivet".
Hon skriver ingenting specifikt kring just OT-säkerhet, men jag måste säga att det är en rejäl sammanställning av området med många kloka resonemang och intressanta jämförelser med NIS-direktivet. Rekommenderas för alla NIS2-intresserade!
Bra texter måste inte ha en rolig titel!
Jämfört med Ellinors examensarbete har inte Björn Leanders doktorsavhandling vid MDU, Mälardalens Universitet: "Dynamic Access Control for Industrial Systems" den roligaste titeln i världshistorien. Men den innehåller å andra sidan desto mer OT-säkerhet, vilket ju är väldigt roligt i mina ögon! Roligt är också att den faktiskt tittar på praktiska lösningar för intressanta problem vi kommer stå inför när våra automationssystem framöver börjar se annorlunda ut än idag. Det där med "Industri 4.0" och "Industrial Internet" har vi knappt sett början på ännu!
Avhandlingen tittar på dynamisk accesskontroll med målet att stötta ett införande av Zero-trust i OT-system inom tillverkande industri. Det kanske låter lite tungt att läsa en doktorsavhandling? Och så kan det ofta vara, akademi och industri har verkligen olika sätt att göra saker. Men jag tycker Björn har lyckats göra sin text riktigt läsbar och intressant. Är man det minsta intresserad av ämnet så ska man absolut läsa den!
Det finns faktiskt en massa andra bra anledningar att läsa avhandlingen också. Bara i kapitel 2, "Bakgrund" beskriver Björn en massa bra baskunskaper som är värda att läsa på deras egna meriter. Exempelvis trender i avsnitt 2.2 där vi, kortfattat men väldigt tydligt, får förklarat skillnaderna mellan den "gamla skolan" där det gäller att hierarkiskt strukturera dataflöden i automationssystem enligt Purdue-modellen kontra den "nya" nätverksbaserade modell som bland annat förespråkas i OPAS-standarden. (Sök i nyhetsbrevet, jag har skrivit om OPAS förut!) Nyttigt att ha koll på när vi snart börjar röra oss mot den fjärde industriella revolutionen på riktigt! OT-system kommer byggas väldigt annorlunda om några år!
Björns arbete ställer flera intressanta frågor och försöker förstås också svara på dem. Ett grundläggande exempel för accesskontroll är "Hur beskriver man regler för accesskontroll på ett sätt som passar i en extremt flexibel tillverkningsmiljö?" Det låter som en enkel fråga men i en tänkt framtid där alla system har tillgång till all data och där tillverkningsprocessen i sig själv dynamiskt (och automatiskt) förändras efter behoven blir det en riktigt klurig nöt att knäcka!
Arbetet ger förstås inte alla svar som behövs men i Björns sammanfattning får vi en radda intressanta frågor för framtida arbete:
Arbetet fokuserar på kommunikation mellan enheter. Motsvarande arbete behövs för mänsklig interaktion och kommunikation med helt andra system.
Hur man praktiskt integrerar resultaten i industriella produkter?
Dagens PKI-lösningar är anpassade för IT-användning, hur ser en vettig PKI-lösning ut för industriellt bruk?
I traditionella automationssystem är det väldigt tydligt vilken enhet som äger en viss utsignal. I framtida nätverksbaserade lösningar är det inte självklart och behöver styras upp.
Jag rekommenderar varmt egen läsning i avhandlingen. För den som inte får nog har Björn och hans medarbetare skrivit en radda intressanta papper. Vissa av dem ingår i avhandlingen och andra inte. Några exempel är:
Access Control Models to secure Industry 4.0 Industrial Automation and Control Systems som även innehåller de här artiklarna:
Cybersecurity Challenges in Large IIoT Systems
Applicability of the IEC 62443 standard in Industry 4.0 / IIoT
Access Control for Smart Manufacturing Systems
A Recipe-based Algorithm for Access Control in Modular Automation Systems
Towards an ideal Access Control Strategy for Industry 4.0 Manufacturing Systems
Access Control Enforcement Architectures for Dynamic Manufacturing Systems
Classification of PROFINET I/O Configurations utilizing Neural Networks
Developing and Evaluating MQTT Connectivity for an Industrial Controller
Dependability and Security Aspects of Network-Centric Control
Enhanced Simulation Environment to Support Research in Modular Manufacturing Systems
Jag var på plats på MDU när Björn presenterade sin avhandling. Som opponent hade man tagit i rejält och plockat in Marina Krotofil (som jag skrev om senast i Nyhetsbrev #54). Marina, tillsammans med en betygskommité, ställde en lång radda utmanande frågor som Björn hanterade galant. I slutändan blev omdömet "Godkänt" så ett stort grattis är på sin plats!
Det här är ett spännande område där vi kommer se att mycket förändras framöver, och tyvärr inte alltid åt ett håll som vi säkerhetsmänniskor gillar. Grundtänket kring identitetsstyrd åtkomst, som numera oftast går under slagordet "Zero trust", har alltid varit rätt - därom har jag inga tvivel, även i OT-världen. I slutänden tror jag att en kombination av traditionella segmenteringsåtgärder och "zero trust"-inspirerad åtkomststyrning i linje med Björns tänk kommer bli framgångsrikt i många branscher. Jag skulle dessutom vilja lägga till motsvarande "zero trust"-tänk i infrastrukturen baserat på Software Defined Networking som anpassar sig efter aktuella behov på samma sätt som den dynamisk åtkomststyrningen. Det är en spännande framtid som väntar för oss som är nördar inom både säkerhet, teknik och industriella processer!
Det smällde i Danmark och Pennsylvania!
Om du är intresserad av OT-säkerhet har du förmodligen redan koll på händelserna i Danmark och .
Om inte, så hittar du den danska rapporten från SektorCERT här tillsammans med ett par artiklar från media: Govinfosecurity och Industrialcyber.
Händelserna i Aliquippa, Pennsylvania kan du läsa om i en rad artiklar. Exempelvis SecurityWeek, CSO och en text från WaterISAC.
En oväntat kompetent mojäng!
I mitt kära hemmalabb är det förstås fokus på säkerhetsprylar. Den här gången blev det något av en överraskning hur mycket annat än "bara säkerhet" som man ibland får på köpet. Fast förmodligen skulle tillverkaren säga att det är säkerheten man får på köpet...
En viktig del i säkerheten de senaste åren är att kunna jobba med integrationer och dataflöden på ett säkert sätt. Det är precis i den nischen som den här produkten är tänkt att excellera - och utan att avslöja för mycket redan tycker jag att den verkar göra ett bra jobb!
Jag fick nyligen fingrarna på en "Ewon Flexy 205". Ewon är från början ett belgiskt företag som numera ingår i den svenska "HMS Networks"-koncernen. HMS annonserade för övrigt tidigare i veckan att man köper amerikanska företaget Red Lion Controls, vilket känns som en jättebra matchning! Red Lion köpte i sin tur tyska firman MB Connect Line för ett år sedan, intressant utveckling...
Tanken från min sida var att komma över en enkel och rimligt säker VPN-produkt så att jag kan nå hemmalabbet på distans. Till det yttre ser den kanske inte så imponerande ut. En ganska enkel plastkapsling med DIN-fäste och fyra RJ45 nätverksportar. Inget märkligt så långt...
Sedan inser man att den har två kortplatser där man kan kombinera olika typer av instickskort för att utöka funktionaliteten. Det visar sig att det finns en radda kort som man kan stoppa i, exempelvis med MPI-port för att prata med PLC:er från Siemens, ytterligare nätverksportar, 4G, WIFI, Serieportar eller kanske USB? Dessutom finns det en lucka där man kan stoppa in ett SD-minne! Hmm? Vad är det här för en manick jag fått fingrarna på egentligen?
I mitt fall sitter ett kort instucket med ett gäng digitala och analoga in- och utgångar. Hmm? Ett IO-kort? På en VPN-server? Intressant... När man vänder på den och tittar på anslutningen för strömförsörjning så finns det även där ett par digitala in- och utgångar som är inbyggda i grundenheten.
Det visar sig att det här är en M2M-router, alltså en lösning för att få maskiner att kunna prata med andra maskiner. Ett mer poppigt namn på samma sak kanske är IIoT-gateway? Att jag kan använda den som VPN-router är bara en liten fotnot i listan över vad det här underverket kan leverera.
Att få igång enheten på nätverket är enkelt med hjälp av wizards. Att få igång fjärranslutning kräver bara att man registerar ett konto på Ewons webbtjänst och kör en konfigurations-wizard. Sedan börjar det roliga. Vill man ha direktkontakt med en PLC så finns beskrivningar för hur man konfigurerar sin PLC från Siemens, Yaskawa, Omron, Rockwell, Schneider osv.
Kom ihåg att det här inte i första hand är en klassisk VPN-server utan en integrationsplattform. Den kan själv suga i sig data via OPC UA, MODBUS TCP, BACnet, http, ftp eller en rad leverantörsunika protokoll för olika fabrikat av PLCer. Som "vanligt" skapar du taggar i Flexyn för den information som ska hanteras. Taggarna kan vara enbart för läsning eller tvåvägs så att man kan skriva värden via Flexyn. Taggarna kan du sedan sätta loggning för, övervakning på och definiera larm för.
För att exportera data kan enheten skicka loggfiler eller definiera egna taggar som kan läsas av andra enheter via MODBUS TCP, SNMP (!) eller den inbyggda servern för OPC UA. Om man vill kan data löpande exporteras externt via Ewons molntjänst, Talk2M. Den kan också extraknäcka som konverterare till seriella protokoll! För att styra upp nätverkstrafiken finns grundläggande brandväggsfunktioner och NAT-funktionalitet på plats. Vill man koppla den mot andra VPN-tjänster har den även en OpenVPN-klient inbyggd!
Om man tittar på de olika instickskorten så finns en radda intressanta möjligheter. Seriekortet har två portar, en RS232 och en konfigurerbar RS232/RS422/RS485 med eller utan terminering. Kortet med nätverksuttag är precis bara det, om man behöver fler än de fyra inbyggda nätverken kan man få fler. Korten med WIFI eller 4G är precis vad det låter som och USB-kortet kan exempelvis användas för att komma åt USB-enheter på distans som om de vore lokala!
Sedan visar det sig till slut att man kan bygga HMI-sidor i enheten som publiceras av den inbyggda webbservern och till på köpet går det att programmera egna funktioner i Java. Jisses vilken mackapär!
Snacka om att jag missförstod den här lilla lådan när jag fick den i handen! Den kanske inte var den VPN-tjänst som jag trodde, men det är ju inte heller meningen med den! För den som vill bygga dataflöden på distans eller samla in (och presentera) data från andra enhet så imponerar mängden funktionalitet rejält! Det verkar dessutom finnas allt man kan önska sig för att skapa en säker lösning. Man ska tydligen inte döma M2M-routern efter utseendet!
Principer för industriell cybertålighet
WEF, World Economic Forum, har gett oss ett whitepaper med titeln "Unlocking Cyber Resilience in Industrial Environments: Five Principles". Innehållet är precis vad titeln hintar om, fem principer som är grundläggande för god OT-säkerhet:
Riskhantering
Ansvar för OT-säkerhet
Samordning med ledning och strategi
Skapa säkerhetsstandarder och rutiner
Öva, öva, öva!
Det är inte på något vis ett revolutionerande dokument men det är kraftfullt att kunna referera till vad WEF säger när man diskuterar prioritering och resurssättning!
Nyhetsbrevet växer!
Jag vill tacka dig som läser och sprider nyhetsbrevet vidare. För varje upplaga så blir det fler som läser det, vilket säger mig att det fortfarande finns ett behov och ett intresse för den här typen av innehåll! Strax efter att förra nyhetsbrevet släpptes slog vi ett nytt rekord med 450 läsare på en enda dag. Kul! Att jag driver nyhetsbrevet vidare bygger mycket på det gensvar som jag får.
I grunden kommer nyhetsbrevet även i fortsättningen baseras på att jag dammsuger OT-världen efter de mest intressanta nyheterna och skriver om dem. Jag roade mig med att ta fram lite statistik kring vilka nyhetsbrev som har väckt mest uppmärksamhet. Det är ganska tydligt att det är tre saker som just nu ligger i topp när det gäller att skapa lite extra intresse från dig som läser:
NIS2
Hemmalabbet
Mina egna reflektioner kring branschens utmaningar
Att det är de tre är extra kul med tanke på att det är tre ämnen som jag gillar att skriva om! NIS2 kommer ju bara bli mer och mer aktuellt i takt med att vår deadline närmar sig. Hemmalabbet kommer jag försöka prioritera mer framöver även om det tar mycket tid och det är svårt att komma över spännande utrustning. Donationer och lån av prylar mottages tacksam! Mina egna reflektioner kring trender och gemensamma egenheter jag stöter på hos mina kunder kommer ganska naturligt, så det blir det mer av framöver också!
Tack för ert intresse!
Många svenskar på plats!
Tittar just på deltagarlistan för nästa S4-konferens och ser 12 personer som är registrerade från Sverige! Kul! Biljettförsäljningen slår tydligen (som vanligt) rekord och de sista 250 biljetterna säljs nu.
Agendan börjar bli klar och ser (också som vanligt) superintressant ut! Ska bli kul!
Lite fundersam blir jag över att det (än så länge) bara är en enda deltagare från det privata näringslivet! (Förutom alla vi konsulter och produktleverantörer förstås!) Konferensarrangörerna ser ju också detta som ett problem och testar i år begränsningar i hur många deltagare en konsultfirma får ha. Dessutom är de sista hundra biljetterna reserverade för "Asset owners".
Vi ses där!
Attacker mot olja och gas
TxOne har givit ut en välfylld rapport kring olje- och gasindustrin som ju är en verksamhet med väldigt speciella förutsättningar och som är extra utsatt av många olika skäl.
Vi får en genomgång av branschen, en analys av hotlandskapet och förstås en analys av de olika delarna i typiska attacker, inledande access, lateral förflyttning, påverkan och konsekvenser samt (förstås) tankar kring hur man kan motverka de olika delarna i attackerna.
På vägen får vi en analys av typiska problem i vanliga systemkomponenter inklusive OPC UA, som har bred spridning i den här branschen.
Totalt 28 sidor som man tar sig igenom ganska enkelt.
Inte OT men intressant ändå...
En intressant artikel om tåg som saboterades av tillverkaren för att ingen annan leverantör skulle kunna göra underhåll på dem.
Om det inte hade varit för att jag själv faktiskt varit med om något liknande i ett IT-system skulle jag knappt tro på historien! Man kan väl mycket väl tänka sig något liknande sabotage i klassiska OT-system? Ett fantastiskt sätt att bli rejält svartlistad som leverantör är det oavsett!
Senaste nytt från hemmalabbet
För den som är tekniknörd och intresserad av vad som händer i mitt labb för OT-prylar hemma så har jag gjort ett om-tag kring virtualisering. En bättre begagnad mini-PC (6 CPU cores, 32 GB RAM) kör nu Proxmox vilket erbjuder otroligt smidig virtualisering och hantering av Linux-containers (LXC). Nätverket har fått en ny VLAN-indelning vilket gör att jag kan hantera ett gäng separata nätverk med en blandning av virtuella system, containers och förstås fysiska OT-prylar.
Som gammal Unix/Linux-hacker är det helt underbart att återvända till den världen via Proxmox som verkligen är makalöst kraftfullt! Ett antal system har redan "flyttat in", först ut var virtuella administrationskonsoler för säkerhetslösningar som exempelvis TxOnes EdgeOne, en installation av Kali-Linux och agenter för SensorFu Beacon som du kan läsa om på annan plats i det här nyhetsbrevet. Till nästa nyhetsbrev pågår redan experiment med en riktigt imponerande lösning för att hantera fjärråtkomst för leverantörer och annat "löst folk". Återkommer om det!
Gammal är äldst!
Såg ett inlägg på LinkedIn häromdagen som påminde mig om ett av de äldsta OT-säkerhetsdokument som jag kan minnas att jag läste "på den gamla goda tiden"; "21 Steps to Improve Cyber Security of SCADA Networks". Det gavs ut 2002, alltså fyra år innan Stuxnet ens hade börjat planeras!
Att det kom till just 2002 är ingen slump, det bedrevs en hel del nyskapande riskanalysarbete efter attackerna den 11:e september 2001!
Det är värt att notera att allt som skrevs då fortfarande är lika relevant. Man uttrycker sig lite annorlunda och har kanske en lite annan ordning i prioriteringarna, men i grunden ändå väldigt likt.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.