Nyhetsbrev OT-Säkerhet #72

Dags för en riktigt fullproppad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången tittar vi först bakåt på Stuxnet och Projekt Aurora för att sedan återvända till nutiden och sprillans nya NIS2-föreskrifter, ett OT-ramverk från Luleå, ryska hackers som blev rejält lurade, vi tittar på nya och gamla grejor i labbet, läser japanska vägledningar och så lär Arbetsförmedlingen oss att köpa svenska produkter.

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Stuxnet - 15 år sedan...

Nu är det 15 år sedan Stuxnet. En helt avgörande punkt för vår kära OT-säkerhetsbransch, det var då "det började" på riktigt. Det har skrivits många artiklar och böcker kring detta, men en ny pusselbit fick vi nyligen av Rob Hulsebos som var den som gav Symantec ledtråden de behövde för att koppla den skadliga koden de analyserade till urancentrifuger. Intressant och läsvärt!

Aurora - 18 år sedan...

Joe Weiss tittar tillbaka på Aurora-testerna som Idaho National Labs genomförde för 18 år sedan. Arbetet blev "beviset" för att man kan orsaka stor skada på elnät och generatorer genom cyberangrepp.

Nu kommer både NIS2 och dess föreskrifter!

Om nu någon lyckats missa det så har regeringen formellt skickat en proposition till riksdagen för att få Cybersäkerhetslagen på plats - den lag som ska implementera EUs NIS2-direktiv i Sverige. Propositionen innehöll inga större överraskningar om man följt de tidigare förslagen. Nu är det bara att vänta in den 15:e januari.

Dessutom togs ett riktigt stort steg nyligen när MSB släppte föreskrifter för säkerhetsåtgärder på extern remiss. Många organisationer har ju tyvärr skjutit på sitt NIS2-arbete för att man saknat detaljerade krav. Nu går det inte att skylla på det längre, nu är det tydligt för alla att se vilken nivå vårt säkerhetsarbete och våra säkerhetsåtgärder förväntas ligga på. Och det är en hög nivå!

Som alltid finns det både saker jag gillar och saker jag ogillar i föreskrifterna. I grunden är det riktigt bra - att skriva föreskrifter som ska passa ett så här brett spektrum av sektorer och storlekar på organisationer är verkligen inte enkelt. Jag har haft ett finger med i det här arbetet som konsult - så jag har förnyad respekt för alla komplexa avvägningar som man tvingas göra!

En sak som jag verkligen gillar är att man tagit tillbaka texten om att högsta ledningens ska vara aktivt delaktiga i säkerhetsbeslut som finns i NIS2-direktivet, men som med flit togs bort i den svenska Cybersäkerhetslagen. Det är inte så mycket för att sätta "press" på ledningen utan mer för att det tvingar oss "säkerhetsmänniskor" att faktiskt prata med ledningen och ge dem en chans. Det är alldeles för vanligt att säkerhetsavdelningen själva tar beslut om vad som är viktigt för verksamheten eller vilka risker som är acceptabla. Om inte ledningen får en chans att ta sådana beslut kan man knappast räkna med att de sticker till tillräckligt med resurser heller!

På temat NIS2 och bolagsstyrning har Josefin Knudsen skrivit ett examensarbete på just det ämnet. Hon har fokuserat helt på privat sektor och dokumentet innehåller en radda intressanta tankar och kommentarer. Det finns ingen OT-koppling alls, men ur perspektivet "högsta ledningen" så spelar det nog ingen som helst roll.

Cybersäkerhetslagen säger att hela organisationen alltid omfattas av lagen även om bara en del är av verksamheten egentligen faller under NIS2. Om jag ska klaga på något i föreskriften så är det att man dragit detta alldeles för långt och på så sätt förstört direktivets fina tanke om att säkerhetsåtgärder ska vara proportionerliga mot den risk som man orsakar för samhället. Min personliga uppskattning är att 80% av alla organisationer som omfattas av NIS2 gör det på grund av en verksamhet där bra OT-säkerhet är helt avgörande. Men även för en OT-driven organisation lägger föreskriften kravnivån rejält högt även på IT-sidan. Eftersom IT-kraven är mer detaljerade än OT-kraven kommer många organisationer "bränna sina resurser" på IT-skydd snarare än säkerheten i den faktiska kärnverksamheten som behöver bra OT-säkerhet. Inte bra...

Samtidigt med föreskrifterna för säkerhetsåtgärder så kom även föreskrifter för incidentanmälan. Det här också ett viktigt dokument - bland annat för att det sätter nivån för vad MSB betraktar som en "betydande incident". Som exempel är det att en dricksvattenanläggning har nedsatt funktionalitet i över fyra timmar eller att fjärrvärmen påverkats i minst två timmar för mer än 2000 personer.

Ta chansen att tyck till om föreskrifterna, senast den 10:e december. Alla (både organisationer och privatpersoner) får svara på remissen! Det är nu du har chansen att göra din röst hörd!

Nu har vi en handbok!

John Lindström är professor på Luleå tekniska universitet och en välkänd profil i OT-kretsar. På konferensen SCADA-säkerhet lanserade han boken "Handbook on Operational Technology and its Security - Introducing an OT/OT Security Framework" som verkligen är superintressant. Dels för att det är ett viktigt innehåll, men också för att den är GRATIS!

I boken beskriver de hur man får till ett strukturerat arbete med OT och OT-säkerhet. Ett klurigt och viktigt område som många har svårt att komma till skott med.

Jag har inte läst den från pärm till pärm ännu, men innehållet verkar väldigt lovande. Mycket nöje!

Honung eller vatten?

Vedere labs från Forescout har en intressant artikel om hur de lurade in ett gäng pro-ryska aktivister i en simulerad dricksvattenanläggning, en honeypot. En radda intressanta observationer kring hur de gav sig på både HMI:er och processen i sig, något som också diskuteras i en video:

Hotlandskapet i Europa

EUs cybersäkerhetsmyndighet ENISA har publiceras årets rapport kring hotlandskapet i EU.

Många intressanta observationer hela vägen från högsta strategisk nivå ner till detaljer kring attacker och metoder. OT nämns tre gånger, men det är fortfarande inte något stort område bland attackerna. Eller? Det är faktiskt lite märkligt skrivet - man säger, nästan lite i förbigående, att 18% av hoten man sett är riktade mot OT. I mina ögon är det en enormt hög siffra, men sedan finns det ingen mer information om vad detta egentligen kommer ifrån. Tvärtom så nämns bara OT två gånger till och i bägge fallen är det som en bisak. Förklara gärna för mig om du förstår bättre eller vet mer!

Behöver du en molntjänst för att sova gott?

En artikel om lyx-sängar som slutade fungera när Amazon Web Services fick problem ger oss ytterligare ett exempel på företag som misslyckats i sin analys av sina beroenden av leverantörer och infrastruktur som är utanför deras egen kontroll. Ett lite larvigt exempel är det ju förvisso, men ändå en bra påminnelse om att säkerställa att vi kan fortsätta med det som är viktigt för oss trots yttre störningar. Hemma kan det vara sängen, men på jobbet kan det vara SCADA-systemet eller någon cybersäkerhetstjänst.

Relationsrådgivning!

Det har nästan blivit något slags stående skämt att IT-folk och OT-folk har väldigt svårt att förstå varandra. Jag har själv känt mig som något slags äktenskapsrådgivare i vissa konsultuppdrag och nu har Andrew Ginter från Waterfall skrivit en kort och gratis bok om precis detta!

Det här är förmodligen en text som "båda sidor" borde läsa för att få lite mer förståelse för var missförstånden uppstår. På köpet får man tips om hur man ska ställa rätt frågor!

Bli bra på rätt saker i förväg!

OT är mer komplext än IT. Det är de flesta överens om, men man kan definitivt ha olika idéer om varför. Nu är det förvisso svårt att prata om "OT" som om det vore en enda sak, det är faktiskt en del av de viktigaste insikterna man måste få när man ger sig in i OT-världen: att det är riktigt stor skillnad mellan olika branscher, men även inom en viss bransch.

Ett av de viktigaste skälen till att OT är mer komplext än IT tror jag personligen är skillnaderna mellan drivkrafterna bakom förvaltningen av dem. Så gott som alla IT-verksamheter har sitt existensberättigande i stenhård standardisering - det är så en typisk IT-avdelning blir effektiv och det är så man kan få upp kvaliteten i användarupplevelsen. I nästan alla OT-verksamheter är det inte möjligt att driva standardisering speciellt långt, det finns många bra skäl till det och det är något som man definitivt får ha med i beräkningen när man utveckling sitt arbete med OT-säkerhet.

Nu i NIS2-tider satsar många organisationer på att förbättra sina förmågor för incidenthantering. Här är det lätt att man bara fokuserar på att kunna upptäcka en angripare tidigt, vilket kräver en OT-anpassad säkerhetsövervakning. Att bygga upp en sådan från scratch är ett mycket omfattande jobb och det resulterar i en mycket dyr funktion om man ska bemanna den 24/7/365. Nu slår jag ogenerat på min arbetsgivares trumma, men de flesta producerande organisationer borde faktiskt fokusera helt och hållet på att bli duktiga på att kunna få igång sin produktion efter en incident. Att bygga en effektiv säkerhetsövervakning kan en leverantör som gjort det många gånger tidigare göra både bättre och billigare. Det är egentligen bara de allra största organisationerna som har resurser nog att bygga och driva egen säkerhetsövervakning, men även de tar allt oftare hjälp av dem som gjort det tidigare.

I artikeln "Most OT cyber incident responses end with a PDF. That’s the problem." beskriver Gabriel Agboruche utmaningarna kring arbetet efter en incident på ett sätt som jag inte sett så ofta tidigare. Han fokuserar på varför komplexiteten i OT skapar intressanta utmaningar när man förbereder sig för dessa kommande incidenter. Begrepp som "Recovery Tabletop Exercises", alltså att öva återställning av OT-prylar, hör man tyvärr inte så ofta annars. Bara en sådan sak som att återställa PLC-program som manipulerats eller att byta ut gateways som "brickats" av angriparen är aktiviteter som ligger långt utanför de flesta organisationers IT-incidenthanteringsrutiner.

Den där nyckeln på PLCn?

Jag har länkat till Ruben Santamartas fantastiska dokument "A Practical Analysis of Cyber-Physical Attacks Against Nuclear Reactors" förut.

Jag blev påmind om det igen nyligen efter en diskussion om nyckelbrytare på PLC:er och andra utrustningar. Förr kunde dessa nycklar betraktas som "ohackbara", men i den mån det fortfarande finns nyckelbrytare så har de numera allt oftare implementerats i mjukvara... Ett välkänt problem om man läst analyserna av Trisis/Triton-attacken i Saudiarabien 2017.

Fatta beslut om OT i Umeå, Stockholm och Göteborg!

FOI och MSB levererar sin halvdagskurs kring OT-säkerhet på tre platser i Sverige framöver. Jag har ingen egen erfarenhet av denna kurs, men FOI brukar leverera hög kvalitet på beställningarna de får av MSB. Just nu ser det ut att finnas gott om platser kvar - vilket är extra förvånande med tanke på att kursen är gratis!

Version 18 av MITRE ATT&CK är här!

MITRE har släppt en stor uppdatering av ramverket ATT&CK där man helt stöper om detektionsdelen genom att man lanserar "Detection Strategies and Analytics". Tanken är att bli mycket mer strukturerad och fokuserad på beteenden.

De har också släppt en lång rad uppdateringar på så gott som alla andra områden också. Läs mer i Release Notes och i ett blogg-inlägg som dyker ner lite extra på vissa, extra intressanta, områden.

CRA FAQ!

De flesta har nog sitt fokus på NIS2 just nu men runt hörnet väntar CRA, Cyber Resilience Act. CRA kommer på sitt sätt ha minst lika stor påverkan på cybersäkerheten i samhället men skillnaden mot NIS2 är att den bara riktar in sig på de som tillverkar digitala produkter. Jag har skrivit om CRA flera gånger förut, du hittar alla med sökfunktionen på nyhetsbrevets hemsida.

Nu har ständigt produktiva Sarah Fluchs producerat en FAQ om just CRA, med fokus på lagens hantering av supportperiod. Ett viktigt område som vänder upp och ner på en del invanda begrepp i branschen. Rekommenderas för alla som vill förstå vad som är på gång kring digital produktsäkerhet.

Apropå (o)säkra produkter...

Elbilsladdare - kanske inte den vanligaste produkten när man pratar OT, men när konsekvenserna av en attack kan drabba elnätet så blir jag lite extra intresserad...

Företaget Saiflow har publicerat ett blogginlägg om en bugg de hittade i ABBs TERRA AC laddare. Det verkar vara en klassisk buffer overflow bugg som kan leda till lite olika konsekvenser. ABB tycks ha hanterat fyndet på ett bra sätt och har publicerat en advisory och gjort en uppdatering tillgänglig.

För den som är intresserad av elbilsladdare eller kanske av hårdvaruhacking och analys av firmware så innehåller deras blogginlägg mycket godis. De ger också goda råd till både de som tillverkar, säljer eller bygger infrastruktur med den här typen av utrustningar. Det finns en del enkla medel som gör livet mycket svårare för en angripare!

Tre artiklar om incidenter och risk-tryck

I slutet av september skrev Sinclair Koelemij en artikel om begreppet "Risk Pressure" eller på svenska "risk-tryck". Eftersom artikeln är skriven av Sinclair är den som vanligt väldigt intressant och klok.

Risk-tryck är ett sätt att se hur alla riskfaktorer som belastar en organisations förmåga att bedriva sin verksamhet utan att störande eller farliga situationer uppstår. Det är både omvärldsfaktorer som geopolitik, leverantörskedjor och marknadskrafter men också interna faktorer som gammal infrastruktur, mänskliga fel, IT/OT-konvergens och resurstilldelning. Sinclair lägger även till regulatoriska krav som en risk - vilket är intressant - men väldigt sant! Den stora poängen är att alla dessa olika tryck samverkar på jobbiga sätt för att påfresta organisationens skydd.

Dagen efter skriver Danielle Gauthier en artikel om hur snabbt OT-attacker sker idag. Det är en intressant artikel i sig men det som blev en intressant konsekvens var att det uppstod en diskussion kring den.

Den diskussionen ledde i sin tur till att Sinclair några dagar senare skriver en ny artikel som knyter an till diskussionen om Danielles artikel och hans egna artikel om risk-tryck. Artikeln tar avstamp i den eviga frågan om hur mycket OT-attacker som verkligen inträffar runt om i världen? Sinclair hävdar att det inte är en intressant fråga, speciellt inte i processindustrin och andra verksamheter där konsekvenserna av en framgångsrik OT-attack skulle vara extremt allvarliga. Artikeln går sedan igenom hur regulatoriska krav ställs på den typen av verksamheter och hur kvantitativa riskanalysmetoder används för att möta kraven.

Alla tre texterna är läsvärda!

Tänk efter före!

I ett möte häromdagen blev jag påmind om hur viktigt det är att vara rejält modig och ödmjuk när man ska dra igång ett åtgärdsprogram inom säkerhet. Att våga låta någon utomstående utmana den plan/design/arkitektur/strategi/teknik som man med mycket möda tagit fram och med rätta är stolt över.

För vi vet att man blir hemmablind. Vi vet att ingen har erfarenhet av allting. Vi vet att det aldrig finns ett facit. Vi vet att allting är en kompromiss. Vi vet att alla mynt har (minst) två sidor.

Det är nog i dessa stunder som jag känner att jag gör allra mest nytta som rådgivande konsult. På kort tid kan jag tillföra erfarenheter från mängder av andra organisationer - både stora framgångar och rejäla dikeskörningar. Som bollplank märker jag att min kund mycket snabbare kommer framåt i sitt arbete och hittar nya vägar som ger snabbare och bättre resultat.

Så... Ta hjälp av en rådgivare! Alla behöver ett bollplank. Vänta inte för länge - det är enklare att hålla bilen på vägen om den inte redan är på väg ner i diket...

Lite stolt blir man...

Det kom nyligen ett mejl från EUs cybersäkerhetmyndighet ENISA:

Vad handlar det här om? Jo, något som nämns i flera av EUs cybersäkerhetslagar, exempelvis NIS2 och Cyber Solidarity Act, är att säkerhetstjänster ska kunna certifieras. Tanken är att man lätt ska kunna avgöra att en tjänst man köper levereras på ett cybersäkert sätt.

Mejlet handlar om certifiering av MSS, Managed Security Services, alltså att man köper exempelvis säkerhetsövervakning från ett annat företag. Man drar nu igång en arbetsgrupp som ska reda ut vilka krav EU ska ställa i en sådan certifiering. Tydligen var jag en av de 30 personer runt om i Europa som de tyckte passade bäst i den gruppen. Det ska bli riktigt intressant och roligt att få dra sitt strå till stacken!

Glöm inte DNS!

Odd-Arne Haraldsen på Svenljunga kommun har skrivit en viktig LinkedIn-artikel om en av de mest underskattade tjänsterna i våra nätverk: DNS - Domain Name System. Alla behöver förstå hur viktigt DNS är oavsett vad man sysslar med, men för oss som har snöat in på OT är DNS en av de där "dolda" beroendena som ibland kan finnas mellan OT och IT. En av de där jobbiga kopplingarna som gör att saker slutar funka på OT-sidan när IT fått problem...

Inom OT pratar vi mycket om att jobba med segmentering som säkerhetsåtgärd. Ett extremt vanligt misstag är att man tänker att segmentering bara handlar om nätverket i sig. Men ett av de viktigaste syftena med segmentering är att begränsa det som ofta kallas "Blast radius" - alltså att störningar inte sprider sig mellan olika delsystem.

Om man har perfekt nätverkssegmentering, men delar viktiga tjänster som Active Directory, DNS, tidssynkronisering och så vidare så kanske man inte är så segmenterad som man tror. Vill man dessutom kunna gå helt i så kallat "ö-läge", alltså att köra helt oberoende av omvärlden utanför OT, inkluderar det även fler saker som exempelvis säkerhetsövervakning och systemadministration.

Nya grejor!

Trogna läsare av nyhetsbrevet vet att jag är en riktig tekniknörd - särskilt när det gäller automationsteknik. Jag fick nyligen ett roligt paket från Malthe Winje Automation. De hade skickat en PLC från SBC (Saia Burgess Controls), närmare bestämt en Saia QronoX PCD3.M 6893. Det är världens första PLC som är certifierad att klara säkerhetsnivån SL3 enligt IEC 62443-4-2. (Del -4-2 av standarden handlar om krav på enskilda komponenter.)

Det ska bli riktigt roligt att bekanta sig med detta underverk framöver. Jag vet att det är mycket svårt att nå så högt som SL3 och det kräver definitivt att produkten är byggd från grunden för detta. Säkra produkter är långt ifrån det enda som behövs för att vi ska kunna bygga robusta verksamheter, men de skapar en stark bas. Utan dem faller många andra säkerhetsåtgärder platt till marken!

Nu har jag inte hunnit luska i hur SBC ligger till i arbetet för att möta kraven från CRA, Cyber Resilience Act, men QronoX lär ju ligga bra till med själva produktens säkerhet i alla fall.

Som synes på bilderna har de i alla fall det listigaste labb-tillbehöret jag någonsin sett - en platta som monteras direkt i uttagen för IO-kort. Plattan ger åtta switchar för digitala ingångar, åtta LED för digitala utgångar, fyra vridpotentiometrar för analoga ingångar och två LED-histogram för analoga utgångar. Snyggt och enkelt!

...och gamla grejor!

En av de stora sanningarna är att OT-världen tenderar att hålla användbar teknik vid liv länge. Det är förvisso också ett av de områden där OT kritiseras mest, oftast av de som inte förstår varför livscyklerna ser annorlunda ut än på IT-sidan. Det är inte alls ovanligt att springa på rejält gamla grejor som är produktionskritiska. Mitt personliga favoritexempel är en tillverkande industri som jag arbetat en hel del med, de hade för ett par år sedan nya maskiner med Microsoft Hololens som operatörsgränssnitt samtidigt som det fanns maskiner med Windows 3.11 kvar i produktionen.

Jag funderade över detta nyligen när jag fick hem mitt senaste "fynd" till OT-hemmalabbet, en Festo FPC 101, "Festo Programmable Controller", som jag tror är en utbildningsvariant från Festo Didactic. Jag har inte testat den ännu och har inte hittat något tillverkningsdatum, men jag gissar på mitten av 80-talet. Hör gärna av dig om du har bättre koll än jag på den här godingen! mats@ot-sakerhet.se Har du någon överbliven utrustning liggande så är jag alltid intresserad av att ta över både gammal och ny automationsteknik! Hårdvara är alltid intressant och licenser för äldre mjukvara är ofta svårt att få tag på.

OT i molnet!

Att många typer av OT-system rör sig mot "molnet" är ingen nyhet längre, även om det fortfarande rör upp mycket känslor och skapar diskussioner. Google Cloud (som inkluderar Mandiant som ju är välkänt kring OT-säkerhet) har nyligen givit ut dokumentet "Manufacturing & Industries: Security Guidance for Cloud-Enabled Hybrid Operational Technology Networks". Intressant och användbart om man funderar på sitt vägval i den här frågan även om det förstås har en extrem Google-vinkling.

DCS + LLM = SANT!

Ett forskningspapper från ABB tittar på "Spec2Control" ett LLM-baserad workflow-verktyg som bygger styrlogik för DCS-system baserat på krav beskrivna i naturligt tal. Väldigt intressant även om de inte tittar på säkerhetsfrågor i sig!

Japanskt skydd för halvledartillverkning

Japans ministerium för ekonomi, handel och industri, METI, har publicerat en vägledning för skydd av halvledartillverkning. Det finns ett dokument på 130 sidor och en sammanfattning på 23 sidor.

Färre utländska leverantörer?

Kammarrätten i Stockholm avgjorde nyligen ett intressant överklagande i ett mål mellan Arbetsförmedlingen och Lenovo. Det handlar om att Arbetsförmedlingen i en offentlig upphandling ställde krav som stänger ute leverantörer med utländskt ägande från länder som SÄPO pekat ut som ett hot mot Sverige. Kinesiska Lenovo hävdade att detta är ett brott mot LOU, Lagen om Offentlig Upphandling, men domstolen gav Arbetsförmedlingen rätt.

Jag ska akta mig för att göra någon juridisk analys, men jag ser att det finns en rad komplexa krav som domstolen tittat på för att avgöra att Arbetsförmedlingen gjorde rätt. Det är alltså inte fritt fram att ställa vilka krav som helt på ägandet i era upphandlingar. Men det är värt att titta på! Kanske i synnerhet för verksamheter som arbetar under Säkerhetsskyddslagen, men framöver skulle jag inte bli förvånad om detta dyker upp med koppling till exempelvis NIS2.

I en hel del av mina uppdrag som rådgivare kommer vi in på kravställning i upphandlingar. Det är slående hur oroliga de flesta organisationer är över utländskt inflytande, speciellt när man köper tjänster. Nu är det inte längre bara de vanliga orosmomenten som Kina, Ryssland, Iran osv. USA har förstås seglat upp högt på listan över länder där privata företag kan pressas att ställa till det för sina kunder. Väldigt vanligt att det kommer upp i diskussioner vid köp av nya system!

I takt med att intresset för att kravställa och följa upp sina leverantörer ökar, exempelvis på grund av NIS2, märker jag att många söker nya sätt att göra detta enklare. Ett vanligt resonemang handlar om att en leverantör med svenskt ägande är enklare att hantera än en leverantör med utländskt ägande. Väldigt utmanande att få till som krav i offentliga upphandlingar, men för alla andra kan kraven förstås ställas lite friare...

Roliga konferenser framöver!

Det blir många roliga konferenser för mig i höst och vinter. Redan avklarad är Cybersäkerhetskonferensen (20-21 oktober) som anordnades av MSB och NCSC/FRA. Den stora snackisen där var förstås NIS2 och Cybersäkerhetslagen även om det var väldigt lite nytt på den fronten under konferensen.

Senare i samma vecka genomfördes även SCADA-säkerhet som numera är den enda svenska OT-säkerhetskonferensen. Där var jag och min kollega Ioana på scen för att prata om säkerhetsövervakning - varför det är viktigt och hur man gör! Det blev även en liten intervju om du är nyfiken på vad vi pratade om!

Den 10-12 november hålls ISC-CPH i Köpenhamn som verkligen har växt till sig på senare år och har ett riktigt intressant program helt fokuserat på OT. Sedan går det ytterligare ett antal veckor innan det är dags för det fantastiska eventet S4x26 i Miami. Dessutom kommer jag synas på ett par andra roliga event där emellan men de har inte blivit offentliga ännu.

Om du är sugen på att besöka S4x26 så är det hög tid att köpa biljett. Eventet kommer säljas ut helt och redan nu är mer än hälften av biljetterna sålda!

Hojta gärna till om du kommer vara på plats på någon av dem eller haffa mig om vi syns i vimlet! På ISC-CPH är jag på plats med kollegorna från Sectra Critical Infrastructure så det kan tänkas att jag kan ordna rabatt på biljetten - hör av dig! mats@ot-sakerhet.se

När vi ses är det inte omöjligt att jag försöker rekrytera dig till Sectra Critical Infrastructure - jag behöver ännu fler kollegor som kan ot-säkerhet på riktigt. Vi söker i hela landet!

CYFUN tillgänglig i ny version!

Ramverket CYFUN som utvecklas av den Belgiska motsvarigheten till MSB finns nu i version "2025". Man skulle lite slarvigt kunna jämföra ramverket med MSBs "Cybersäkerhetskollen" fast på stereoider. I Belgien antas man uppfylla kraven enligt NIS2-direktivet om man visar att man uppfyller skattningarna i CYFUN.

Ramverket bygger till stor del på NIST CSF 2.0 men har utvecklats för att ställa tydligare frågor. Jag har använt en tidigare version och tyckte den var bra även om det är enormt mycket jobb att hantera hela ramverket - speciellt på de högre nivåerna!

Även om du inte är Belgare så kan tänket i ramverket vara användbart som stöd i det egna säkerhetsarbetet. Den nya versionen ska dessutom ha mycket större fokus på OT. Jag har inte kontrollerat vad detta betyder i praktiken, men det låter ju lovande.

Poolen i polen blev hackad!

Det har varit en hel del uppståndelse kring attacken mot en norsk vattenkraftanläggning tidigare i år. I det allmänna mediabruset kanske vi inte alltid uppfattar att detta sker även på andra platser i vår närhet, exempelvis Polen. I en artikel från United 24 media beskrivs liknande händelser där. I listan över attacker finns allt från vattenkraft, via vatten och avlopp till angrepp på pooler och fontäner!

Här är en artikel från polska CyberDefence24 på samma tema.

Testa att stänga av strömmen?

Om du är nyfiken på elbranschen och vill dyka ner i tekniska detaljer finns ett intressant github-projekt som beskrivs så här av Pavithran Ganesan som ligger bakom:

A complete virtual substation implementation demonstrating IEC 61850 GOOSE (Generic Object Oriented Substation Event) communication between Protection IED and Breaker IED using libiec61850 library. The environment is intentionally self-contained so that control engineers and OT security teams can explore how GOOSE behaves, how permissions impact data sharing, and how adversarial conditions might disrupt coordination without touching production infrastructure.

Det är en väldigt begränsad miljö som simuleras men det kan vara intressant för den som vill lära sig mer!

Vem är Mats?

Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.