Nyhetsbrev OT-Säkerhet #71

Dags för en riktigt fullproppad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången slår jag ett slag för att ha så låg säkerhet som möjligt, berättar att det plötsligt är bråttom att installera en nio år gammal (!) uppdatering och så tittar jag vidare på nätverkstappar!

Du får också nyheter om IEC 62443 som blivit nationell standard, att MSB organiserar OT-säkerhetsutbildningar och cybersäkerhetskonferens men att FRA kanske tar över NIS2, nya besked från EU om NIS2, och kloka tankar kring inventariehantering, USB-skydd, riskdrivet OT-säkerhetsarbete, segmentering, farliga anläggningar, hamnsäkerhet och varför produktleverantörernas säkerhetsråd kanske inte alltid rimmar perfekt med IEC 62443. Jag berättar också vad prickskyttar och aktivister har gemensamt. Mycket nöje!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

IEC 62443 är nu nationell standard för OT-säkerhet!

IEC 62443 har blivit nationell standard för OT-säkerhet! Ja, åtminstone om du bor i Australien... Så sägs det i en rad artiklar som jag läst på sistone. De slår upp det som en stor nyhet men jag hittar faktiskt ingenting som säger att det är ett "officiellt" beslut. Det är organisationen "Standards Australia" som har uttalat sig om detta och de verkar ha ungefär samma status som SIS i Sverige. Det betyder i så fall att standarden har fått samma status där som den redan haft i ett antal år i Sverige. Det handlar om att när CENELEC publicerar EN-versionen av standarden så måste Sverige, via SIS, publicera samma text i en SS-standard. (CENELEC är en av de tre officiella standardiseringsorganisationerna för EU.)

Så, grattis Australien, men egentligen kanske ingenting som vi kanske blir så impade av från Sveriges sida. Men det är kul och ett bra steg att etablera vår kära standard på bredare front! Förhoppningsvis är det ett första steg på en resa i linje med vad Dan Underwood beskriver i en artikel nyligen.

Har du koll på era prylar?

Samarbetet mellan cybersäkerhetsmyndigheter i Australien, USA, Kanada, Tyskland, Nederländerna och Nya Zeeland fortsätter leverera intressanta resultat. Nu har vi fått vägledning till asset-hantering i OT-världen. Att ha en stark inventariehantering är de flesta överens om är avgörande för allt vettigt säkerhetsarbete. Tyvärr är det inte så enkelt som man kan tro, speciellt inte om man siktar på att hålla en hög datakvalitet över tid. En engångsinventering kan de flesta klara - men att löpande se till att man har rätt information kan vara riktigt klurigt! I takt med att allt fler fokuserar på att bygga ett risk-drivet arbete blir behovet att rätt information ännu större, inte bara att ha koll på prylarna, utan även hur de används i produktionen!

Det är ett vettigt dokument som innehåller mycket godis trots att det bara är 31 sidor stort. Missa inte bilagorna där du får förslag på vilka typer av information du bör överväga att hantera men även specifika rekommendationer för El, Vatten och Olja-Gas.

FRA tar över NIS2 från MSB!

Nu har vi fått resultatet från utredningen som tittat på hur Sverige kan samla sina cybersäkerhetsresurser på ett smartare sätt än idag. Kontentan är att det mesta som MSB tidigare sysslat med flyttas till FRA. Det finns mängder av detaljer att läsa i den 237-sidor långa utredningsrapporten.

Några av de största punkterna i utredningens förslag är:

• Personal och verksamhet flyttar 1 juli 2026 och till nya lokaler ett par år senare.

• Samma dag som verksamhetsövergången börjar också ett antal ändringar i lagar att gälla kring sekretess, skydd av personuppgifter och myndigheternas uppdrag.

• Alla verksamheter som har med cybersäkerhet, informationssäkerhet och cyberincidenter att göra föreslås flyttas, vilket även inkluderar CERT-SE som är Sveriges nationella CSIRT och därför ska ta emot incidentanmälan enligt NIS2.

• Några verksamheter som ligger nära cybersäkerhet blir kvar på MSB, exempelvis: säkra

  kommunikationstjänster, beslut om tilldelning av signalskyddssystem och uppdrag inom EUs rymdprogram.

Att samla dessa resurser tycker jag personligen är väldigt bra och viktigt! Men man kan ju samtidigt inte låta bli att oroligt undra hur smidigt detta kommer gå mitt under införandet av NIS2 i Sverige? Inte minst när man ser att en stor andel av de berörda hos MSB nu är ute och öppet söker nya jobb...

En annan klurighet är hur incidenthantering för CER-direktivet ska hanteras på ett effektivt sätt när ansvaret har insamling av NIS2-incidenter flyttas till FRA. Här vill det till att göra det enkelt och tydligt för de verksamheter som drabbats av incidenter!

USB i OT?

Amerikanska myndigheten NIST har publicerat en draft av ett informationsblad "NIST SP 1334" kring hantering av USB i OT-världen.

Det är "National Cybersecurity Center of Excellence" (NCCoE) inom NIST som ligger bakom ett initiativ kallat "NCCoE Operational Technology Security Series". Den här guiden är först ut bland en rad kommande rådgivningsdokument som ska rikta sig till tillverkande industri. Det ska bli spännande att se vad som kommer härnäst även om jag ärligt talat inte blev så imponerad av innehållet. Det var bra och korrekt men inte direkt något som var specifikt för tillverkande industri, men det finns förstås en poäng att framöver ha ett antal dokument som tillsammans är målgruppsanpassade.

Vi ska ha så låg säkerhet som möjligt!

En åsikt som jag ofta hör från de lite mer idealistiska vännerna i säkerhetsbranschen är att de är besvikna på ambitionsnivån i svenska organisationer. Det kan vara "Varför de inte vill vara bäst i branschen på cybersäkerhet?" eller "Säkerhet är ju det viktigaste vi har?"

Jag brukar kontra med ett citat från en styrelseordförande som jag frågade vilken säkerhetsnivå hens organisation borde ha: "Vi ska ha så lite säkerhet som möjligt - men inte FÖR lite!". Det är precis det som är den viktiga utmaningen, att ha rätt säkerhet, snarare än så mycket säkerhet som möjligt! I de flesta organisationer är cybersäkerhet faktiskt med rätta inte den viktigaste frågan! Om man på allvar tror att en organisation har obegränsat med resurser att lägga på säkerhetsåtgärder så kommer man alltid bli besviken! Det finns förstås tillfällen när man direkt kan tjäna pengar på bättre säkerhet och de stunderna ska man självklart ta vara på - man får mer säkerhet till en negativ kostnad. Men det händer inte så ofta i praktiken...

Det talas allt mer om risk numera och inte inte fullt lika mycket om säkerhet. I alla moderna standarder, som ISO 27001 och IEC 62443, pratar man om att säkerhetsarbetet ska styras av riskanalyser. Samma sak i lagkraven, som NIS2, CER och CRA. I NIS2-direktivet gick man till och med så långt att man valde ordet "Riskhanteringsåtgärder" istället för "Säkerhetsåtgärder", vilket även den svenska SOU-utredningen använde. Nu när lagrådsremissen för Cybersäkerhetslagen har dykt upp, så har man återvänt till samma begrepp som används i den existerande NIS-lagstiftningen, nämligen "Säkerhetsåtgärder" - ett val som jag tycker är vettigt!

På LinkedIn och i andra forum diskuteras det en hel del kring hur man ska göra sina riskanalyser, vilka hot man ska bry sig om och hur man mäter risk. En fråga som jag tyvärr tycker kommer bort lite är VARFÖR vi ska jobba med risk? En riskanalys har ju inte något egenvärde, så vad ska vi ha den till?

Min poäng är att nyttan med riskstyrt säkerhetsarbete är att det ger oss möjlighet att ta kloka beslut om vilka säkerhetsåtgärder som vi inte ska lägga resurser på!

Seriöst säkerhetsarbete handlar om att ta hopplöst svåra beslut, framför allt kring vilka kända risker som man inte ska göra någonting åt - trots att de är viktiga. För det är ju precis just detta som man måste göra för att kunna lägga de få resurser man har på sånt man bedömer är viktigare! Och det är ju naturligtvis här som riskanalys har en helt avgörande roll att fylla!

Med det behovet i bakhuvudet, hur gör man då en riskanalys som blir meningsfull? Det är lätt gjort att man springer iväg och gör en klassisk BIA-analys eller kanske analyserar var enda tänkbar otrevlig händelse som kan inträffa. Kanske försöker man hitta på en sannolikhet för alla dessa otrevliga händelser och inser att det är väldigt svårt...

Personligen har jag otroligt svårt för klassiska riskworkshops. Det har jag skrivit om förut, man ägnar alldeles för mycket tid åt meningslösa diskussioner kring varför ryssen skulle vilja oss illa, varför det är 4% procents sannolikhet att få ransomware och inte 2% eller vad betyder egentligen "Medium konsekvens"? Men samtidigt tycker jag att det är otroligt viktigt att bedöma sina risker så att man kan göra så bra prioriteringar som möjligt - en svår kombination...

Det finns en radda olika sätt att tänka kring riskbedömningar. Den absolut vanligaste metoden är förmodligen att man hittar på en massa potentiella risker och sedan försöker ge dem en sannolikhet och en konsekvens var. Resultatet hamnar i en matris med en massa rutor för att man ska få en grafisk överblick. Det är en metod som kan kännas väldigt enkel och tydlig men som tyvärr sällan ger speciellt meningsfulla resultat...

I förra nyhetsbrevet skrev jag om att använda den klassiska ingenjörsmetoden FMEA som grund för den här typen av riskanalyser. En tanke som jag tycker är väldigt smart, inte minst kopplat till begreppet "Upptäckbarhet" som är lätt att koppla till säkerhetsåtgärder för detektion.

En annan variant som jag skrivit om flera gånger förut är CCE där tanken är att man på ett systematiskt sätt fokuserar på att bygga bort de absolut värsta konsekvenserna mer eller mindre utan att titta på sannolikheterna. En väldigt kraftfull metod, speciellt när konsekvenserna inkluderar dödsfall, miljöskador och totala haverier.

På senare tid talas det allt mer om att ersätta sannolikhetsbedömningar med bedömning av "Credibility", alltså hur "Trovärdig" en risk är. Metoden får en del kritik för att den känns lite väl godtycklig, vilket jag personligen tycker är lite orättvist - de flesta av dessa sätt att göra riskanalyser bygger på väldigt subjektiva bedömningar. Vill man bli mer objektivt analytisk så får man välja någon av alla kvantitativa metoder, som FAIR, Monte Carlo Simuleringar, LOPA eller kanske någon Bayesisk metod. Andrew Ginter är en av de röster som uppmuntrar oss att använda "Credibility" och Sinclair Koelemij är en av de som har invändningar. Kenneth Titlestad från Omny besökte Andrews podcast nyligen och kom in på den här frågan.

Oavsett vilka metoder vi väljer så lär våra subjektiva bedömningar ofta vara väldigt viktiga. Här får man tänka sig för så att man har med sig tanken "vad blir konsekvensen för säkerheten om jag bedömer risken fel?". Riskarbete och säkerhetsarbete kommer sällan vara en exakt vetenskap och det måste vi fortsätta ha respekt för!

MSBs OT-säkerhetskurser är tillbaka!

Riktigt kul att se att MSB nu har öppnat anmälningarna för nästa omgång utbildning med koppling till OT-säkerhet. Det finns en "Grundkurs i säkerhet i industriella informations- och styrsystem" men också "Praktisk incidenthantering i industriella informations- och styrsystem".

Båda är gratis och genomförs på plats hos FOI i Linköping under fyra dagar i oktober respektive september. Det finns många platser kvar, men det här är extremt populära kurser så se till att tydligt motivera varför just du ska gå!

MSBs Cybersäkerhetskonferens är också tillbaka!

Den 20:e och 21:e oktober kör MSB tillsammans med NCSC/FRA sin Cybersäkerhetskonferens igen, in och anmäl dig direkt - du kan vara på plats i Stockholm eller på distans. (Eller en kombination om du vill...)

En god gissning är väl att det kommer bli mycket NIS2 på agendan i år...

Starkt stöd kring risk-baserat OT-säkerhetsarbete

Branschorganisationen VDMA har publicerat ett spännande dokument kring tillämpat riskarbete i OT-världen, med titeln "Applied Risk Management for Plant Operators & Asset Owners: Quick Start".

Det är ett matigt dokument som kan vara väldigt användbart i praktiken! Förutom generell klokskap får vi väldigt specifika tips kring hur man utvärdering konsekvenser, hur hotet ser ut och hur man prioriterar sina åtgärder. Det här är bra!

Att tänka kring segmentering?

I ett mycket kort inlägg ger Sinclair Koelemij oss fyra perspektiv som är värda att ha med när man funderar på hur vår segmentering ska göras. Riktigt klokt!

Citat direkt från texten:

• Asset-Centric (physical and logical boundaries): Aligns with the IEC 62443 segmentation model, grouping assets like sensors, actuators, controllers, and networks by common security characteristics across Purdue levels (e.g., 0-3, up to the DMZ).

• Data-Centric (information and service flows): Captures functional aspects through dynamic data flows, services (e.g., OPC/Modbus protocols), and storage locations like databases or repositories. Segments based on data architecture and service / application characteristics via DMZs/conduits to secure information movement.

• Control-Centric (functional authority mapping): Examines control proximity, points from where one can influence consequences, focusing on decision-making in control loops and automation (e.g., BPCS/SIF). Isolates elements (e.g., ICS Levels 1-2) with measures like authentication/whitelisting to avoid disruptions from exploited interdependencies.

• Risk-Centric (impact-driven isolation): Evaluates failure impacts (e.g., safety hazards, production loss). Segments by severity using HAZOP/LOPA; integrates layers for risk prioritization.

Klara(re) besked från EU!

EUs cybersäkerhetsmyndighet ENISA släppte under sommaren en teknisk vägledning kring NIS2. Den tar fokus på den genomförandeförordning som man släppte i höstas och som bara berör verksamheter inom exempelvis IT-drift, säkerhet, DNS-tjänster mm. ( Jag skrev om detta senast i nyhetsbrev #65 .)

Strukturen är samma som i genomförandeförordningen, det är 13 områden som man ska ha ordning på. Texten är precis som tidigare inte skriven som ett "facit" (vilket är bra!), men vi får både vägledning kring vad som är viktigt att tänka på för respektive krav och många bra exempel på "bevis" för att man faktiskt följer kraven.

Det är alltså inte en teknisk checklista på vad som krävs, vilket i mina ögon är helt rätt! Ska säkerhetsarbetet vara riskstyrt så måste verksamheten själv avgöra vilka lösningar som är rätt för den!

Även om din verksamhet tillhör någon annan NIS2-sektor och därför inte berörs direkt av det här dokumentet så är det ändå en guldgruva för att förstå vad ENISA tycker är en rimlig kravnivå! Riktigt användbart!

Ännu fler klara besked från EU!

Samma dag som ovanstående vägledning släpptes fick vi även ett annat dokument från ENISA: "Cybersecurity roles and skills for NIS2 Essential and Important Entities"! Även detta dokument är kopplat till NIS2, men i det här fallet är det ett helt otekniskt dokument.

Det är en mappning av vilka kompetenser och roller som rimligen krävs för att kunna uppfylla NIS2. Mappningen är baserat på något som heter "the European Cybersecurity Skills Framework (ECSF)".

Om du ska bygga upp en NIS2-organisation så är detta viktig läsning, men även det finns även en annan liten godbit här - man beskriver två tydliga användningsfall där NIS2-kompetens behövs: Implementation av riskhanteringsåtgärder och Implementation av incidenthantering. Väl värt att läsa som inspiration för det egna arbetet!

Fortsätt kika in i nätverket!

I förra nyhetsbrevet skrev jag om den trevlig bekantskapen ProfiShark 1G från Profitap. Den här gången blir det ytterligare två spännande prylar från Profitap, en C1D-1G och en C8P-X2.

Den första, C1D-1G, är en "klassisk nätverkstapp" i ett format som passar bra i OT-sammanhang ute i en anläggning, den har DIN-fäste och dubbla 24 Volts anslutningar. Men att den är liten och tålig gör förstås att den går att använda som portabel tap för felsökning även om jag personligen hade föredragit en ProfiShark för det behovet. C1D-1G kopierar trafiken som passerar igenom den på "Network-portarna" till "Monitor-portarna".

Tänk på att denna typ av tapp har två utgångar och att båda måste användas! Gigabit länkar är i praktiken alltid "full duplex", dvs de skickar trafik åt båda hållen samtidigt. Den sammanlagda mängden data som kan överföras är alltså 2 Gb/s! Eftersom Monitor-utgångarna har samma hastighet som ingångarna kan alltså inte all trafik skicka ut på en och samma port. Tappen kopierar därför nätverkspaket som kommer in på Network-port A till Monitor-port A och motsvarande för B-portarna. Fördelen med detta är att du kan se exakt samma händelser som sker på nätverket, men den uppenbara nackdelen är att du måste ha två ingångar på din analys-utrustning. Vill du att all trafik ska "slås ihop" på en port behöver du en aggregations-tapp, exempelvis C8P-X2 som vi tittar på strax!

Den har "-1G" i namnet vilket hintar om att den kan hantera gigabit-nätverk. Den har en lillasyster som heter "C1D-100" som är att föredra om man enbart ska hantera 100Mb/s. "Vadå föredra? Den snabbare klarar väl lägre hastigheter också?" tänker du kanske? Och det är sant - men här finns något viktigt och grundläggande att komma ihåg; Upp till 100Mb/s kan en nätverkstapp vara helt passiv och det är en stor fördel eftersom den inte stör nätverkstrafiken om den själv tappar sin strömförsörjning. Från 1Gb/s och uppåt krävs aktiv hantering av signaleringen på kablarna vilket gör att en tapp orsakar ett avbrott i nätverkstrafiken om den "dör". Det finns lite olika sätt att hantera detta i professionella tappar, i C1D-1G, har man använt extremt snabba reläer som kopplar samman nätverksportarna fysiskt om enheten tappar strömmen. Det innebär att avbrottet blir extremt kort! En gigabit-tapp måste därmed vara mycket mer komplex (och dyrare) än en tapp som nöjer sig med 100 Mb/s!

Ett annat tecken på att vi har en proffsig produkt i händerna är att man sett till att man inte av misstag kan injicera nätverkstrafik "bakvägen" från monitorportarna till nätverksportarna. Profitap kallar det "network data diode function". En viktig och ofta underskattad funktion!

Det här en relativt enkel produkt men som gör exakt det den ska och gör det på ett väldigt stabilt sätt! Om man övervakar en PoE-länk så fungerar det utan problem. Det finns en rad varianter av produkten, exempelvis utan DIN-fäste, med 48 Volts matning och en variant med inbyggt batteri för att minska risken för störningar ytterligare.

Om vi går över till C8P-X2 som i produktbladet kallas "Booster In-Line Dual Output Gigabit Copper Aggregation TAP". Om vi jämför med C1D-1G så märker vi direkt ett antal skillnader och likheter i vad den erbjuder:

• Istället för att övervaka en enda nätverkslänk kan den hantera upp till fyra stycken gigabit-länkar.

• Det är en aggregerande tapp, vilket innebär att all trafik "slås ihop" och skickas ut på en gemensam port.

• Den har två SFP+-utgångar, vilket innebär att all trafik kan tas ut i två kopior och direkt skickas till två olika analysverktyg - exempelvis en IDS och en felsökningsstation. Tack vare SFP+ kan kan man valfritt använda fiber eller koppar och i hastigheter upp till 10 Gb/s. Notera att den maximala trafikmängden teoretiskt sett kan bli 2Ms/s * 4st = 8Gb/s, så för att vara säker på att man inte tappar trafik så krävs 10Gb/s på utgångarna.

• Tack vare den slår ihop trafik från fyra länkar kan man välja att "märka" trafiken med en fejkad VLAN-taggning. Smart!

• Det finns likheter med C1D-1G också: den har dubbel spänningsmatning, den släpper fram PoE-kraft och den har datadiod-funktion.

Den finns också i en rad andra varianter. Den jag har är en portabel variant, men den finns även i en rackmonterad variant där tre stycken kan monteras i en 1U-hög ram. Den finns med en eller två utgångar. Det finns också en extremt användbar variant som inte är en tapp utan som "tar emot" åtta (!) stycken länkar från andra enheter - typiskt SPAN/Mirror-portar. (Den har dessutom SFP-portar så den kan även ta emot fiber!)

C8P-X2 fungerar direkt, utan någon konfiguration eller speciella drivrutiner. Vill man konfigurera eller uppdatera den ansluter man till en USB-port ger en simulerad serieport. Konfiguration görs med enkla text-kommandon.

Konfigurationen handlar enbart om VLAN-taggning av trafiken för att hålla ordning på varifrån den kommer. Det är användbart, men om du inte behöver funktionen behöver du alltså inte göra någon konfiguration alls! Som ett exempel kan man låta all trafik på port 1 taggas med VLAN 4001 och sedan får respektive port efter det 4002, 4003 osv. Man kan hantera både 802.1q och 802.1ad så även trafik som redan är taggad kan hanteras! Vid analys kan man sedan avgöra varifrån ett paket kommer genom att filtrera på VLAN. Smidigt!

Jag tycker personligen att nätverkstappar är en underskattad teknik som borde få mer uppmärksamhet och användas oftare. De lite enklare tapparna kan ibland bli lite begränsande, men moderna aggregationstappar i stil med C8P-X2 gör det nästan oväntat enkelt att samla in rätt nätverkstrafik för både säkerhetsfunktioner och för felsökning. I och med att även trasiga nätverkspaket skickas vidare får man en bra insyn i vad som verkligen händer på nätet! Tillsammans med centraliserad logginsamling och aktiv inventering av nätverksenheter är passiv insamling av nätverkstrafik de tre grundpelarna i en robust säkerhetsarkitektur för OT!

OT-säkerhet räcker inte!

Sinclair Koelemij beskriver i en artikel varför "bara" OT-säkerhet inte räcker för att uppnå formella krav på att göra allvarliga incidenter osannolika i potentiellt farliga anläggningar. Läs hans korta men kloka artikel.

Hur gör man verklig skillnad?

Danielle Jablanski beskriver i en bra artikel hur man lätt hamnar i bortkastade försök att minska sannolikheten för att kända sårbarheter kan komma att användas, när det ofta finns bättre sätt att komma åt konsekvenserna av en incident, oavsett vilken sårbarhet som faktiskt användes.

Uppgradera genast till en 9 år gammal firmware tack!

ABB har väckt lite uppmärksamhet när de nyligen annonserade en sårbarhet i en MODBUS-server som man hittar i deras PLC "AC500 V2". Det var inget konstigt med sårbarheten i sig, det som väckt intresse var istället den rekommenderade åtgärden.

Man rekommenderas nämligen att installera en ny firmware, version 2.5.3 eller senare. Det intressanta är att version 2.5.3 släpptes 2016, alltså för nio år sedan! Slutsatsen som många drog var att ABB hållit informationen om denna sårbarhet hemlig i nio år, vilket förstås ser lite "märkligt" ut. Transparens kring sårbarheter är ju viktigt och är ett lagkrav i allt fler länder - inte minst tack vare CRA i EU.

Jag har inte hört någon officiell kommentar från ABB, men min personliga misstanke är att sårbarheten faktiskt är nyupptäckt. Att den "åtgärdades" 2016 var gissningsvis en oavsiktlig konsekvens av att någon annan ändring gjordes. Eller så städar man faktiskt i gömmorna och hittar tidigare oannonserade men åtgärdade sårbarheter? Om du vet mer får du gärna höra av dig! mats@ot-sakerhet.se.

Var hamnar hamnars säkerhet?

CCDCOE är en cybersäkerhets-organisation inom NATO, "NATO Cooperative Cyber Defence Centre of Excellence". Under sommaren presenterade de en "Policy Brief" där de bedömer hamnars säkerhet och ger rekommendationer kring hur NATO kan adressera dessa hot på ett bättre sätt framöver.

Inte för att skrämmas, men...

Jag försöker hålla mig borta från den skrämsel-taktik som många produktleverantörer och konsulter envisas med. Det är alldeles för många som försöker sälja sina "universallösningar" genom så kallad "FUD" - Fear/Uncertainty/Doubt. Men samtidigt måste man förstås fundera över vad man möjligen kan läsa ut av förändringar i "bruset". En sådan som känns relativt trovärdig är att hacktivister (alltså hackers som drivs av idealistiska motiv) tenderar att fokusera mer och mer på kritisk infrastruktur - och därmed nästan oundvikligen på OT-systemen som finns där. Ett exempel är en artikel av Cyble som jag såg nyligen...

Än så länge upptäcks förhållandevis få attacker mot OT-system. Det som fortfarande är absolut vanligast är när OT-system drabbas indirekt av attacker mot "IT", det är alldeles för vanligt att IT och OT delar både nätverk, servrar, AD, backuper och en massa andra kritiska systemdelar. I min erfarenhet finns sådana svagheter i synnerhet i viktiga verksamheter som dricksvatten och eldistribution på mindre orter. Denna typ av attacker tenderar vara ransomware och får därför väldigt tydliga konsekvenser när de "lyckas".

En annan grupp är just hacktivisterna. Än så länge verkar de fokusera på "enkla" mål som är dåligt skyddade. Men i takt med att de blir duktigare och märker att det lönar sig med attacker mot denna typ av mål så kommer vi se "jobbigare" händelser. Även här går det inte att missa när de lyckas, och det är ju oftast hela idén med deras attacker - att skapa uppmärksamhet och försöka få opinionen på sin sida genom att skrämmas.

Den typ av attack som jag själv är mest skrämd av är de som inte märks när de lyckas. De som tar sig in men sedan avvaktar tills "läget är rätt". De väntar tålmodigt där som en militär prickskytt som väntar på rätt tillfälle. Och de är lika svåra att hitta när de väl är på plats. När det långt senare är politiskt användbart triggas skadan för maximal effekt! Problemet med dessa attacker är att de inte märks, de hamnar inte i media och därmed blir det svårt att motivera resurser till att förebygga och identifiera den här typen av elakheter! Tricket är som alltid att hitta dem när de är enklare att upptäcka, dvs när de rör sig på väg in i våra system. Det gör vi genom att bygga vår "hemmaplan" på ett sätt är till vår fördel och sedan arbeta aktivt med att hålla koll!

Lagrådsremissen är här!

Så tog då Regeringen äntligen nästa steg kring NIS2 och överlämnade en remiss för en ny Cybersäkerhetslag till Lagrådet. Personligen tycker jag resultatet blev väldigt bra! Man har valt andra vägar kring vissa saker än vad som utredningen föreslog för ett drygt år sedan. Det finns redan gott om analyser av innehållet på nätet och på LinkedIn så jag nöjer mig med att reflektera över de delar som känns intressantast för en läsare med sina OT-glasögon på sig:

• Remissen innehåller bara ett förslag till Cybersäkerhetslag som ska börja gälla den 15 januari 2026. Den tillhörande förordningen, som innehåller det som Riksdagen "delegerar" till Regeringen, har vi inte sett ännu. Vill man se ungefär vad den kan komma att innehålla kan man titta i SOU-utredningens resultat. Det innebär att vi exempelvis inte vet hur det kommer se ut med tillsynsmyndigheterna även om det inte finns något som tyder på att man kommer att ändra något i det som utredningen föreslog.

• Man trycker speciellt på att det inte behövs ett särskilt krav på "Systematiskt och riskbaserat informationssäkerhetsarbete", vilket möts av både jubel och klagomål... Personligen gillar jag det nya sättet att se Cybersäkerhet som paraplybegreppet och tillsammans med allriskperspektivet i lagen så håller jag med Regeringen.

• Organisationsformen kommunalförbund är vanlig inom exempelvis dricksvatten och nämns nu uttryckligen så att det inte ska vara några tveksamheter om att de omfattas.

• Man har nu valt att använda ordet "Säkerhetsåtgärder" istället för "Riskhanteringsåtgärder" som det står i direktivet. Ingen praktisk skillnad dock...

• Man använder fortfarande begreppet "Nätverks- och informationssystem" vilket låter lite extra märkligt i ett OT-öra...

• Man har tagit tillbaka tanken på att säkerhetsåtgärder ska vara lämpliga. Se mer om detta lite längre ner i texten, det här är viktigt för många OT-verksamheter!

• Man har lagt till väldigt tydlig sekretess för det som rapporteras in till tillsynsmyndigheter. Det förstås jätteviktigt för att verksamheter ska våga vara öppna med vad som hänt under och efter en incident!

Minns du att jag skrev ett personligt svar på försvarsdepartementets remiss för den nya Cybersäkerhetslagen? Nu när vi har fått nästa steg, lagrådsremissen, kan vi se hur lagen börjar "sätta sig". Det visar sig att jag var en av tre privatpersoner som är nördiga nog att skicka in sina åsikter.

Hur gick det då med mina sex huvudpoänger i remissvaret? Ja, 33% är väl kanske inte så illa ändå i det här sammanhanget?

1. Kravet om att säkerhetsåtgärder ska vara lämpliga har man tagit tillvara och infört på samma sätt som i direktivets text. Det här är jätteviktigt i exempelvis industriella system där vi inte alltid slentrianmässigt kan införa samma säkerhetsåtgärder som vi är vana vid i "IT-världen". Bra där!

2. Min åsikt om att direktivets sätt att använda ordet "trösklar" för att definiera vilken storlek en verksamhet har är dubbeltydigt har man lyssnat på, nu är lagtexten tydlig! Bra!

3. Däremot fick jag inget gehör för att en hög säkerhetsnivå inte är ett självändamål. Syftet med lagen är fortfarande en hög nivå även om lagkraven pekar på att säkerhetsåtgärder ska vara proportionella mot de risker man vill motverka. Men visst, HÖGRE säkerhet än idag behövs på de flesta ställen...

4. Att man skulle göra något åt den trasiga definitionen av kemikaliesektorn hade jag nog inte trott, det är ju trots allt ett fel man ärvt från NIS2-direktivet. Men det är fortfarande uppenbart att alla verksamheter som använder kemikalier i sin produktion inte automatiskt ska omfattas av lagen. Det är helt uppenbart inte tanken med lagen!

5. Jag hittar inte heller någon öppning för "solcells"-problemet. Alltså det att en stor verksamhet som inte omfattas av lagen plötsligt kommer omfattas till 100% om de skaffar solceller och därmed blir energiproducent. En enda liten solcell räcker... Vi får nog hoppas på att man använder kravet på proportionalitet på något kreativt sätt...

6. Till slut så pekade jag på det delade ansvaret mellan fyra länsstyrelser för tillsyn och föreskrifter. Rimligen borde det samordnas och kravmässigt ensas på något effektivt sätt! Inget gehör här men kommentarer om att myndigheter är skyldiga att samarbeta. Ja, vi får väl se... :-)

Ja, nu är det verkligen hög tid för alla som omfattas av NIS2 att bli färdiga med arbetet att få en strukturerad säkerhetsförmåga på plats. Jag vet inte om det har just med lagrådsremissen att göra, men under de senaste veckorna upplever jag en rejäl ökning i antalet organisationer som tagit kontakt för att be mig agera bollplank eller för att "ta tempen på" deras NIS2-arbete. Extra roligt är det att de flesta verkar ta sitt arbete på riktigt stort allvar och att man inte bara ser det som en engångsinsats, utan siktar på att bygga en egen säkerhetsförmåga som ska kunna leverera över tid. Sånt värmer ett konsulthjärta!

Det har ibland varnats för att NIS2 kommer skapa en GDPR-liknande rusning efter konsulter. Kanske är det som börjat nu? I vilket fall som helst känner jag och mina kollegor på Sectra Critical Infrastructure oss mer efterfrågade än någonsin tidigare. Extra glädjande är också att allt fler inser att vår MDR-tjänst för säkerhetsövervakning faktiskt är byggd från grunden för att möta kraven som just NIS2 ställer på våra kunder inom kritisk infrastruktur!

S4 fortsätter att leverera!

S4-konferensen fortsätter trycka ut inspelningar av intressanta föredrag från årets upplaga. Mycket nöje!

OT? IACS? ACS?

Man måste väl ändå säga att OT har etablerat sig som ett hyfsat känt begrepp även om folk har lite olika idéer om vad det betyder ibland. Ett inlägg av Apurv Leuva påminde mig nyligen om att betydelsen av ord förändras hela tiden. I vår kära standard IEC 62443 används inte begreppet OT utan istället IACS, "Industrial Automation and Control System". Eller... Det har använts fram tills nyligen, numera har man istället börjat inför ACS. "Automation and Control System".

Hur påverkas verksamheten av CRA?

EUs krav på cybersäkra produkter genom CRA kan tyckas bara påverka tillverkarna. Den alltid lika kloka Sarah Fluchs pekar på indirekta konsekvenser för den som vill utöka sin anläggning framöver. Värt att ha med sig i bakhuvudet!

I ett annat inlägg dödar hon ett missförstånd som tydligen finns kring att CRA bara gäller om du har "Remote data processing". Jag har inte stött på den tankevurpan själv men jag kan förstå att det händer...

Säkerhet i PCS 7 kontra IEC 62443?

River Caudle problematiserar i en artikel kring hur Siemens säkerhetsmanual för PCS 7 gör det svårt att arbeta enligt IEC 62443. Intressanta frågeställningar att ta till sig oavsett vilken produktleverantör man använder sig av.

Elektricitet, OT-säkerhet och att skydda skydden...

En tänkvärd text från Mandiant (Google Cloud) diskuterar många intressanta vinklar kring OT-säkerheten i vår elförsörjning, med fokus på skyddet av skydden i elstationer...

ENISA ger råd till EU...

EUs cybersäkerhetsmyndighet ENISA har inrättat en rådgivande "Advisory group" som nyligen publicerade sina åsikter kring hur det gått med implementationen av NIS2 inom EU. De ger 17 rekommendationer som jag i princip håller med om allihop. Mycket handlar om att det blivit väldigt spretigt om man jämför mellan olika länders sätt att hantera den nya lagstiftningen.

ENISA och hotlandskapet

ENISA har publicerat en metodik för systematisk analys av hotlandskap i olika sammanhang.

Mycket användbart för den som vill bli mer metodisk i sådant arbete. På bara 20 sidor får vi en bra genomgång av området.

Att mäta OT-säkerhet?

Att mäta sitt säkerhetsarbete är viktigt och svårt - det är lätt att mätvärden får ett eget liv och att påhittade mål börjar påverka hur man rapporterar och mäter. Vad som är värt att mäta skiljer ofta en hel del mellan IT och OT, men det finns förstås minst lika stora skillnader mellan olika typer av OT-miljöer.

En artikel av Mohammed Adel Saad pekar på en hel del kloka tankar, inte minst just det att mätetal ska hjälpa oss att förstå bra och dåliga trender - inte skapa något slags troféer.

Inte en cyberattack - men intressant ändå!

För den som är intresserad av elbranschens utmaningar är händelserna i Spanien tidigare i år superintressanta. Vill du dyka i den information som fortfarande växer fram kring vad som hände kan jag verkligen rekommendera att läsa det som Ruben Santamarta skriver på LinkedIn. Det fortsätter att komma intressanta artiklar allt efter hand!

Vem är Mats?

Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.