top of page
Sök

Nyhetsbrev OT-Säkerhet #74

  • för 6 minuter sedan
  • 22 min läsning

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången tittar vi på världens första SL3-certifierade PLC, funderar över varför säkra OT-protokoll inte är populära, lär oss vad som hände i Polen, tar emot en ny version av NIS2, får åtta kloka principer för OT-kommunikation, ser fram emot ytterligare en ny y2k-utmaning, besöker mitt OT-museum för lite svensk OT-historia, summerar årets S4-konferens, inser att cybersäkerhetsläget i Sverige tydligen är en katastrof, upptäcker ett Github-repo sprängfyllt med klokskap, tar till oss kloka tankar som inte har med OT att göra och labbar med Labshock.


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Mats Karlsson Landré klädd i varseljacka med "ot-säkerhet.se" skrivet på bröstet.

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min LinkedIn-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades eller med ett mejl till mats@ot-sakerhet.se. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Varför gillar inte Johnny kryptering?

Amerikanska cybersäkerhetsmyndigheten CISA har producerat ett riktigt intressant papper kring säkra OT-protokoll med titeln "Barriers to Secure OT Communication: Why Johnny Can’t Authenticate".


Det är ett känt "faktum" (eller kanske utmaning) i branschen att säkrare OT-protokoll har svårt att slå igenom. Den vanligaste förklaringen är att det orsakas av en ond cirkel där ingen köpare kräver det, vilket i sig beror på att det är svårt och dyrt att få till på ett tillförlitligt sätt, vilket i sin tur beror på att leverantörerna inte kan satsa tillräckligt med resurser på utvecklingen och detta i sin tur börjar om med att ingen vill köpa detta...


Som vanligt när det är kluriga problem sitter "djävulen i detaljerna", så CISA tog en närmare titt på området för att hitta de där djävlarna och se vad man kan göra för att skrämma bort dem. Metoden var ganska seriösa intervjuer med både leverantörs-sidan och kunderna för att identifiera vanliga utmaningar och eventuella missförstånd.


En hel del av fynden är välkända argument i stil med "Med krypterad trafik blir vi blinda", "Det ökar fördröjningarna i nätet" och "Det kommer störa verksamheten". En viktig poäng som jag själv brukar lyfta i dessa sammanhang är att man inte alls måste kryptera trafiken - ofta är det snarare signerad kommunikation som man behöver. Alltså att fokusera på skydd mot manipulation av processen, det är sällan den här informationen är speciellt hemlig. Däremot ska man inte slarva med administrativa inloggningar där åtminstone lösenordet är känsligt!


I bilagorna finns separata rekommendationer för processoperatörer och utrustningstillverkare. Dokumentet förtjänar att läsas och diskuteras när ni står inför möjligheter till teknikval och förstås om ni mer akut behöver skruva upp den tekniska säkerheten i systemen.


För den som gillar poddar eller videos finns en utmärkt intervju med Matthew Rogers från CISA i Clarotys Nexus podd. Där får man också förklaringen till den i svenska öron kanske lite udda titeln på dokumentet.



Åtta kloka principer!

Samarbetet mellan cybersäkerhets-myndigheter i Storbritannien, Kanada, USA, Australien, Tyskland, Nederländerna och Nya Zeeland har resulterat i ytterligare ett utmärkt dokument. Den här gången har de definierat åtta starka principer för hur man utformar, bygger och sköter om säkra kommunikationer inom OT: "Secure connectivity principles for operational technology (OT)".


De åtta principerna är:

  1. Balance the risks and opportunities

  2. Limit the exposure of your connectivity

  3. Centralise and standardise network connections

  4. Use standardised and secure protocols

  5. Harden your OT boundary

  6. Limit the impact of compromise

  7. Ensure all connectivity is logged and monitored

  8. Establish an isolation plan


Vid första anblicken ser inte dokumentet så imponerande ut och läser man inte så noga kan det kännas lite väl "ytligt" och på onödigt hög nivå. Men det finns mängder av kloka insikter strösslade genom texten som är värda att plocka upp. Det dyker också upp viktiga och kluriga saker som exempelvis "Break-glass", dvs åtkomst för nödsituationer när farliga situationer kan uppstå, eller princip 8, "Ö-drift", alltså hur man kopplar bort sig från omvärlden och ändå kör sin produktion.


Dokumentet är relativt kortfattat, med bara 33 sidor och relativt stor font. Det är nog en framgångsfaktor med dokumentet - det gräver inte ner sig i detaljer kring "HUR?" utan är noga med att stanna kvar vid "VARFÖR?". Det finns också en massa bra länkar till dokument från ASD, BSI, UK NCSC osv med mer specifik information.


Andrew Ginter från Waterfall har skrivit mer om dokumentet och har även ett inspelat webinar.


En PLC som klarar SL3!


Som du kanske minns från en tidigare text i Nyhetsbrev #72 så dök det nyligen upp en ny PLC i OT-labbet där hemma. Det var Malthe Winje Automation som skickade en PLC från SBC (Saia Burgess Controls), närmare bestämt en Saia QronoX PCD3.M 6893. Det är världens första PLC som är certifierad att klara säkerhetsnivån SL3 enligt IEC 62443-4-2. Nu har jag haft möjlighet att utforska den lite närmare och kan berätta om mina intryck.


På mina bilder har den som du ser en utbildningsplatta ansluten ovanpå de fyra slottar som annars används för att installera upp till fyra extra I/O-moduler. Det är samma moduler som används till PCD3-serien, så det finns gott om varianter att välja på - förutom digital och analog I/O finns räknare, servostyrning, vägning osv.


Det finns inbyggda anslutningar för RS-485, CANbus och tre Ethernet-portar. (En separat nätverksport och två som är switchade mot varandra.) Nätverksmässigt är det enkelt att få till OPC UA, MODBUS TCP, EtherNet/IP, BACnet och PROFINET. Med extra licens finns även IEC-104 och med extra I/O-modul finns exempelvis M-bus och DALI.


Att det är en PLC som är byggd för säkerhet från grunden är tydligt, samtidigt som det inte "stör" i arbetet. Det finns stöd för krypterade projekt, krypterad lagring, inloggningar, behörigheter osv precis som man kan förvänta sig. Om man använder 802.1x på nätverket så finns det stöd för det. Grundläggande brandväggsfunktionalitet finns också med.


Kryptering och identifiering via certifikat stöds för både CODESYS, den inbyggda webbservern, OPC UA och klienten för 802.1x. En tjusig funktion är "Internet detector". Om PLC:n upptäcker att den "av misstag hamnat på Internet" så kan den automatiskt stänga av åtkomsten.


Programmeringsmässigt är det inga överraskningar. Det ligger CODESYS i botten och verktyget är logiskt och enkelt att arbeta med. Nu har jag förvisso inte gjort några mer avancerade övningar ännu, men jag sprang inte på något som var märkligt eller otydligt.


Det är vanligt att säkerhetsfunktioner i automationsutrustning med flit slås av för att minska komplexiteten och undvika felkällor. Det kommer säkert gälla för vissa användare av den här PLCn också, men jag måste säga att de verkar ha lyckats göra säkerhetsdelarna riktigt lättjobbade - så det finns nog hopp för att många faktiskt kommer dra nytta av den högre säkerheten.

Allt är inte nytt i hemmalabbet...

Att labba med OT-prylar innebär att man måste hantera både ny och gammal teknik - precis som ute i "verkligheten". Jag är extremt tacksam för de spännande nya produkter som skickas till mig för påseende. De som jag gillar delar jag med mig av i nyhetsbrevet. Emellanåt hittar jag oemotståndliga gamla saker på begagnatmarknaden och ibland får jag överblivna prylar och licenser av mina läsare, vilket är väldigt kul och uppskattas väldigt mycket!


De senaste fynden är kanske inte antika, men börjar bli lite till åren. Trots det vet jag att åtminstone den ena är av en typ som fortfarande är i drift i en del större industrianläggningar. Det som är lite extra kul är att de är från företag med ursprung i Sverige som vi idag kanske inte associerar med PLC-tillverkning. Om du har mer information om någon av dem vill jag gärna höra mer! mats@ot-sakerhet.se



Här har vi en PLC från Atlas Copco, EPC 3140HRP. Vad jag lyckats reda ut är den egentligen tillverkad av Hitachi i Japan, kanske en E-40HRP, förmodligen från slutet av 80-talet. Jag har inte provat om den fungerar ännu, men det är egentligen inte så viktigt... Med tanke på smutsen är det helt uppenbart att den använts till något intressant, till skillnad från nästa pryl...



Här har vi en riktig svensk OT-klassiker, en SattCon 05, SC05-10B, från Alfa-Laval SattControl. Även här gissar jag på sent 80-tal eller kanske tidigt 90-tal. SattControl började som företaget Elektronlund i Malmö på 50-talet. Någon gång på 80-talet blev byttes det namn till Satt Electronics, vidare till Ahlsell Control, till SattControl och till slut Alfa Laval Automation. I slutet av 90-talet köpte ABB hela automationsverksamheten och där finns fortfarande en aktiv migrationsväg till ABBs moderna system.


Lite extra roligt och intressant med detta exemplar är att det ligger i en ESD-påse som är förseglad med en etikett som skulle kunna vara original från 90-talet. Det skulle alltså kunna innebära att den är fabriksny, trots att den definitivt inte är ny... Men knappast speciellt värdefull för det - det dröjer nog innan OT-prylar blir samlarobjekt för miljardärer...

Tankar från årets S4-konferens

Årets upplaga av S4-konferensen gick av stapeln nyligen. Jag hade förmånen att vara på plats på världens absolut mest framåtlutande OT-säkerhetskonferens. Förutom tre fullspäckade dagar med presentationer i tre parallella spår arrangerades dessutom, helt separat, konferensen "B-sidesICS", dagen innan S4 började.


Som vanligt kommer de flesta presentationer dyka upp på YouTube under året. Det är svårt att kort sammanfatta alla intryck. Några tydliga trender som jag ser, och gillar, är ett starkt ifrågasättande av det rådande produkt-fokuset på visibilitet i nätverk, intresset för CRA även utanför EU, försöken att på riktigt minska skräckpropagandan inom cybersäkerhet och att verkligt meningsfull AI börjar användas som mer än bara en gimmick.


Leverantörerna i branschen har länge drivit på tanken att visibilitet och asset management är det absolut viktigaste att ha på plats för att kunna bedriva OT-säkerhetsarbete. Detta ifrågasätts nu allt mer - vilket verkligen är på tiden. Det är definitivt en väldigt viktig komponent, men jag ser lite för ofta verksamheter fastna i detta och inte komma vidare med åtgärder som faktiskt påverkar säkerheten. Man måste inte ha koll på varenda pryl i nätet för att arbeta med segmentering. Man måste inte veta firmware-version på alla komponenter för att göra en kronjuvel-analys. Personligen tror jag fortfarande att metoder som fokuserar på robusthet och resiliens är effektivare i praktiken, exempelvis "SANS Five ICS Cybersecurity Critical Controls" eller Dale Petersons "ICS Security Maturity Model". Samma sak gäller definitivt om man drar igång ett arbete för att möta NIS2 och Cybersäkerhetslagen.


Självklart pratas det mycket om AI, det vore konstigt annars. En viktig fråga för OT orsakas av att AI skapar nya och större behov av information från vår produktion. Det, i sin tur, driver mer uppkoppling, vilket förstås skapar nya, spännande säkerhetsutmaningar.


Men det är också en fråga om datakvalitet och att samla insamlad data på ett vettigt sätt. Där har UNS, Unified Name Space, blivit något av en framgångssaga - speciellt på senare år när MQTT och Sparkplug B har blivit populära. Det har dröjt förvånansvärt länge innan detta dykt upp på S4, men nu var det flera föredrag som knöt an till detta på olika sätt. Viktigt, för detta är ett område som verkar enkelt att implementera, men som lätt blir en dikeskörning. (Oavsett hur man väljer bland OPC UA, MQTT, Sparkplug B, Kafka eller något annat.) Jag vill också påminna om vägledningen "Principles for the Secure Integration of Artificial Intelligence in Operational Technology" som gavs ut nyligen av ett antal internationella cybersäkerhetsmyndigheter.


Ett intressant initiativ är fortsättningen på ett föredrag på S4 förra året av Munish Walther-Puri kring behovet av att kunna förklara hur allvarlig en incident är. Man jämför det med Richter-skalan för jordbävningar. Det är en mycket begränsad bedömning som crowdsourcas, man bedömer allvarlighet, räckvidd och längd. Målgruppen är allmänheten och tanken är att kunna avdramatisera vissa händelser som slås upp för stort i media. Du kan gå in och hjälpa till på impact.icsadvisoryproject.com.


Ett återkommande ämne är Europas nya lagstiftningar, främst CRA, men även NIS2. Det finns lite olika bud kring exempelvis hur CRA kommer påverka prisnivån på produkter och vad kunder utanför EU kommer förvänta sig. Det finns lite olika bud, men de flesta verkar överens om att det är bra för branschen som helhet.


Ett roligt grepp var en debatt-tävling där Sarah Fluchs fick chansen att trycka på alla uppsidor med CRA. Alldeles efter konferensen släppte hon sedan två texter med de talande titlarna: "Common Cyber Resilience Act (CRA) misconceptions in the U.S." och "Why CRA will improve cybersecurity in the EU and beyond".


Andra, små-poänger som jag tar med mig är exempelvis:

  • Purple-teaming är ett väldigt bra sätt att bedriva penetrationstestning i OT. Det undviker mycket av de risker man ser kring just OT och det fokuserar på att bygga robusthet genom detektion och åtgärder.

  • Det klassiska CIA (Confidentiality, Integrity och Availability) brukar vi fnysa åt i OT-sammanhang. Men det finns en klar nytta med dessa begrepp om man översätter dem till relevanta tolkningar kring utrustning snarare än ren information. Exempelvis Confidentiality - kan vi upptäcka att någon stjäl aktuell konfiguration och programmering i våra utrustningar?

  • Det ofta underskattade behovet av att ha förberedda tekniska incident-åtgärder när man upptäcker något misstänkt i system och processer. Att enkelt kunna isolera eller på andra sätt tillfälligt skydda processen medan man reder ut situationen. Man tappar funktionalitet men kan hålla igång sin produktion och undvika farliga situationer.


Det kommer som vanligt ta ett tag att smälta alla intryck och nya idéer. S4 är verkligen en unik möjlighet för en säkerhetsrådgivare som jag själv att fylla på mina kunskaper och utmana mina åsikter. Från inspiration direkt till kundnytta - det känns bra!

Har vi noll koll?


Myndigheten för Civilt Försvar publicerade nyligen resultatet från årets "Cybersäkerhetskollen". Numera är det lite extra intressant eftersom "OT-säkerhetskollen" finns med. Man kan definitivt ha åsikter om vad dessa undersökningar egentligen mäter och om det verkligen är exakt det som är viktigast - men oavsett så ger dessa "Koller" starka fingervisningar om hur det ligger till med cybersäkerheten i riktigt viktiga delar av samhället.


Tyvärr är resultatet lika nedslående som vanligt. Bedrövligt faktiskt... Jag rekommenderar att du tittar igenom rapporten för att bilda dig en egen uppfattning om resultatet och om mätmetoden. Med OT-säkerhetsögon är resultatet tyvärr ännu sämre. Jag nöjer mig med att citera min egen kommentar på LinkedIn:

Resultatet från årets Cybersäkerhetskollen är här! Generellt syns tyvärr nästan inga framsteg alls… På OT-sidan tycker jag att den stärker min personliga uppfattning om att 95% av samhällskritisk verksamhet SAKNAR grundläggande säkerhetsövervakning för sin fysiska produktion, jämfört med IT-sidan i precis samma organisationer där minst 95% HAR säkerhetsövervakning på plats. Är det inte viktigare att vi får vårt dricksvatten - än att vi får fakturan för det? Är det inte viktigare att vår eldistribution är robust - än att elbolagets webbsida är uppe? Är det inte viktigare att fjärrvärmen fungerar – än att MinaSidor fungerar? Jag vet vad jag tycker... 🤣

Jag antar att många kommer höra av sig till oss på Sectra nu för att skaffa en riktigt vass övervakning till sin OT-miljö?

Blandade kloka tankar

Allting behöver förstås inte vara fokuserat på OT. Här är några höjdare som exempel på det...


I ett inlägg på LinkedIn påpekar alltid kloka Petra Jonsson att man borde ta till sig andan i NATO-uttrycket "Fight tonight". Alltså att man inte kan räkna med att nästa incident händer någon gång i framtiden, utan kanske just ikväll. Vi kommer aldrig vara helt förberedda, aldrig ha perfekt information och aldrig ha tillgång till alla personer som egentligen behövs. Vi ska både ha blicken framåt men samtidigt kunna agera här och nu!


I en klok artikel beskriver Karen F Worstell det underskattade begreppet "Riskprofil". Väldigt slarvigt uttryckt ett utvecklat sätt att se på det slitna uttrycket "riskacceptans", men där man fokuserar mycket mer på att förstå vad verksamheten verkligen behöver och kan stå ut med. Utifrån det blir det mycket enklare att välja vilka säkerhetsåtgärder som är viktigast och, kanske viktigast, man kan argumentera för dem på ett mycket bättre sätt.


Om du inte följer Svensk OSINT eller prenumererar på deras veckobrev så har du verkligen missat något. Ett närmast klockrent flöde av kurerade nyheter från vår omvärld som ALLTID är intressant och relevant!


Och så avslutningsvis ett klockrent citat från Fredrik Pettersson på Sandvik som får vara med här även om det förvisso handlar om OT....

"OT cybersecurity should treat the IT environment with the same level of caution that IT cybersecurity applies to the public internet."

Så mycket klokskap på ett ställe!

Från Mattias Pilroth har vi fått en samling dokument som belyser spännande vinklar av OT-säkerhet som jag tycker får för lite uppmärksamhet. Se bara titlarna, som säger väldigt mycket om det värdefulla innehållet:


Du hittar dem allihop i hans repo på github.


Jag hade tänkt att försöka sammanställa mina egna tankar kring innehållet, men insåg ganska snabbt att jag inte kommer kunna göra det rättvisa. Läs dem!


Mattias är en av medlemmarna i den OT-säkerhetsgrupp inom Svenska Cybernoden som jag och Thomas Vasen leder tillsammans. Framöver kommer vi i gruppen diskutera Mattias fantastiska dokument vilket jag tror blir väldigt intressant. Vi vill väldigt gärna ha fler medlemmar, så varför inte gå med? Det är gratis och det enda som krävs är att din arbetsgivare går med - vilket också är gratis. Alla som är intresserade av OT-säkerhet är välkomna oavsett vad du sysslar med, men om du arbetar med OT i någon form av producerande verksamhet så kommer vi välkomna dig lite extra!

Vad hände i Polen?

Du har förmodligen inte missat att det varit en del intressanta händelser kring elnätet i Polen nyligen? Det här är riktigt intressanta och allvarliga händelser.


Jag kan rekommendera två intressanta källor till analyser. Dels Dragos som publicerat två rapporter med koppling till detta, den ena är en rapport som fokuserar på hotgruppen man kallat Electrum. Man är relativt säker på att det är samma grupp som låg bakom händelserna i Ukraina 2015 och 2016. Den andra rapporten tittar på både Electrum och deras kompisar i gruppen Kamacite. Kamacite fokuserar på att skapa åtkomst till nät och system medan Electrum är de som slår till mot de OT-specifika systemen för att, i det här fallet, störa elnätet.


Två stora plus med Dragos och deras rapporter är dels att man inte måste ge dem emailadress och en massa annat - det finns en "SKIP"-knapp som leder direkt till nedladdningen. Stor guldstjärna till Dragos för detta. Det här med att "ta betalt" genom att kräva kontaktuppgifter är något jag är riktigt trött på bland produktleverantörer! Ännu mer guldstjärna blir det för att båda rapporterna beskriver hur SANS 5 critical ICS controls är rätt metod även för polacker. Snyggt!


Den andra källan är Ruben Santamarta som vi känner igen sedan tidigare, från när han djupdök i händelserna i Spanien förra året. När detta skrivs har han redan presterat hela åtta artiklar kring det som hänt i Polen, men det kommer säkert fler. Ruben tar oss verkligen med ner i detaljerna kring vad som hände på elnätet!


Tack Ruben för ditt fantastiska analysarbete i nyhetsbrevet NeutronMode! (Part I, Part II, Part III, Part IV, Part V, Part VI, Part VII och Part VIII) Prenumerera på hans nyhetsbrev!


Rapporten från polska nationella CERT.PL innehåller väldigt mycket användbar information! Ett exempel är att de konstaterar att segmenterade nätverk inte är till mycket hjälp om man har en lätthackad VPN-tjänst som kommer åt alla nätverkssegment...


Hitachi Energy ligger bakom två av de komponenttyper (RTU560 och Relion 650) som angreps. De har gett ut information om dem som pekar på en rad brister i hur de konfigurerats. (Gammal firmware, default lösenord, avstängda säkerhetsfunktioner och brister i brandväggsskyddet.)


När du ändå är intresserad av elnät och incidenter så finns det fler värdefulla resurser:

Vad finns längst ner i Purduemodellen?

Joe Weiss slår ett slag för att OT-utbildningar måste ta upp de speciella utmaningarna kring komponenterna som finns allra längst ner/ut i våra anläggningar. I takt med att utbildningar i OT-säkerhet blir allt mer lika vilken IT-säkerhetsutbildning som helst finns andra behov som vi inte tar hand om.


För lite mer bakgrund kan kanske en av texterna i förra nyhetsbrevet vara till hjälp.

CIA vs AIC vs SRP: Sluta tjafsa om bokstäverna!

Du har nog redan koll CIA-triaden inom informationssäkerhet? En enkel förklaring av OT-säkerhet, som jag ofta hör, är att Availability är viktigast, jämfört med IT där Confidentiality är viktigast. Jag brukar käfta emot, bland annat för att Integrity oftast är viktigast av de tre. Ibland kommer också en annan invändning från andra "OT-personer": “Allt det där är fel. SRP är rätt.” (Safety–Reliability–Productivity) Det kan låta som semantik, men bakom finns en viktig observation: modellerna beskriver olika saker.


CIA ger oss ett språk för säkerhetsegenskaper: konfidentialitet, integritet och tillgänglighet. Det fungerar väldigt bra när “tillgången” är information eller ett IT-system. I OT är tillgången ofta något annat: en fysisk process och den tjänst den levererar. Då blir “vänd CIA så att Availability är viktigast” en pedagogisk genväg som lätt gör skada. Den riskerar att flytta fokus från det OT faktiskt behöver skydda: korrekt och säker funktion i rätt tid.


Här har SRP-folket en poäng. SRP är ett bättre språk för att beskriva varför OT finns och vad som gör ont när något går fel: person- och miljösäkerhet, stabil drift, leverans och kvalitet. SRP fångar konsekvensen och prioriteringen i verkligheten.


Men SRP ersätter inte CIA – det är ett annat lager. SRP säger vad du försöker uppnå eller undvika. CIA (och mer OT-nära kontrollramverk) hjälper dig säga hur du ska säkra systemet för att nå SRP utan att skapa nya risker.


I OT är “integritet” ofta mest relevant som kontroll- och processintegritet – rätt mätvärden, rätt logik, rätt sekvens, rätt timing, rätt interlocks. “Tillgänglig” betyder inget om processen drivs fel. Samtidigt måste man erkänna att Availability ibland kan vara en förutsättning för integritet och safety. Tappar du visibility, larm och manöverförmåga kan du varken upptäcka avvikelser eller agera snabbt. Och i vissa typer av verksamheter kan abrupt stopp vara farligare än kontrollerad degradering.


Men! Vi ska komma ihåg att det faktiskt finns information som ska skyddas i de flesta OT-system. Speciellt nu för tiden när man vill dra nytta av detaljerade insikter i hur produktionen fungerar. Det är information som inte direkt påverkar processen i sig, men som är viktig för att optimera, mäta och följa upp över tid. Den informationen kan ha ett mycket stort värde - men den får inte blandas ihop med skyddet av den fysiska processen! Här finns moderna modeller för att klara båda världarnas säkerhetskrav samtidigt, exempelvis NAMUR NOA.


I praktiken är det enkelt: använd SRP för mål och konsekvens, och använd CIA/OT-säkerhetsegenskaper för krav och åtgärder. Då får du ett samtal som både drift, OT, IT och ledning kan fatta – utan att förenkla bort verkligheten.


SRP är målet. CIA är mekaniken.

  • SRP beskriver vad som måste funka i OT: säkerhet, stabilitet, leverans.

  • CIA beskriver vilka säkerhetsegenskaper som måste hålla för att SRP ska vara sant.

  • Förklaringen “Vänd CIA” missar ofta kärnan i OT: processintegritet och timing.

  • Availability är viktigt, men oftast som förutsättning för visibility/åtgärd.

En ny betydelse av förkortningen IDS!

I nyhetsbrev #72 skrev jag om ENISAs årliga hot-rapport som inte talar speciellt mycket om OT. En detalj som jag missade då var att man lite i förbigående nämnde en ny hotgrupp som har ett olycksbådande namn, "Infrastructure Destruction Squad" eller IDS. Vi är annars vana vid att IDS, i betydelsen Intrusion Detection System, är ett av våra favoritverktyg i arbetet med OT-säkerhet. Nu är det också en ny grupp som säljer ett OT-inriktat attackverktyg som de kallar "VoltRuptor". Verktyget sägs hantera en rad OT-protokoll och innehåller funktioner för att motverka forensik och borttagning. ENISA har inte så många exempel att gå på ännu men det kommer sannolikt mer information framöver.


Verktyg för OT-attacker är i sig inte så tekniskt intressanta eftersom de typiskt angriper protokoll som ändå helt saknar skydd. Men i takt med att verktygen blir mer lätttillgängliga och därmed kräver ännu mindre av angriparen så kommer intresset för det här området att öka. Det kommer förvisso fortfarande troligen mest handla om mindre störningar men som ändå kan skapa stor oro. I händerna på personer som faktiskt förstår fysiska processer kan det bli desto farligare. Se till att er OT-SOC håller ögonen på detta framöver...

Vad händer om 10 år?

I förra nyhetsbrevet skrev jag om

problemet med våra klockor som inträffar 2038. Men det finns ytterligare ett annat jobbigt problem som inträffar redan 2036... Den 7:e februari 2036 tar nämligen siffrorna slut i protokollet NTP, Network Time Protocol. Ja, i alla fall om man använder en version före version 4 av protokollet. Vilket är extremt vanligt... Men även senare versioner kan drabbas av problem på grund av andra mjukvaror.


Det här med riktig tid blir allt viktigare. Kanske speciellt när vi pratar om krypterad nätverkskommunikation där fel tid kan skjuta kommunikationen helt i sank. Men även annat som felaktigt tidsmärkta säkerhetsloggar eller tokigt lagrade mätvärden från våra produktionsprocesser. Det blir ju nästan lite ironiskt när NTP, som är det absolut vanligaste sättet att få rätt tid, blir det som saboterar tiden i systemen...


Jag rekommenderar att du läser en artikel av John Lange som introduktion till problemet...

Lagar, föreskrifter och myndigheter

Framöver kommer jag samla nyheter kring lagar och myndighetskrav som inte alltid är fokuserade på OT, men ändå intressanta, under en egen rubrik.


Europeiska kommissionen har publicerat ett förslag till vägledning för CRA, Cyber Resilience Act som de vill ha kommentarer på. Du har fram till sista mars på dig att svara!


Att den svenska Cybersäkerhetslagen med tillhörande Cybersäkerhetsförordning började gälla den 15:e januari kunde nog ingen missa. Samma dag släppte MCF den första skarpa föreskriften kopplat till lagen, som hjälper oss att avgöra om vi omfattas av lagen och hur man anmäler att man gör det.


Innehållet i föreskriften var ingen överraskning om man har tittat på remissversionen som kom innan jul. Kopplat till OT i olika varianter kan man notera:

  • I transportsektorn ingår alla beredskapsflygplatser, flygkontrolltjänster, karantänshamnar och skyddade platser oavsett storlek på verksamheten.

  • Man omfattas oavsett egen storlek om man producerar eller levererar dricksvatten till 20 000 personer eller ett akutsjukhus. Det är exakt samma gräns som tidigare fanns i MSBs föreskrift MSBFS2018:7 under gamla NIS-direktivet.

  • Det finns ett försök att tydliggöra den trasiga definitionen av kemikaliesektorn som finns i direktivet och lagen. Bra, men det blir ännu bättre med den uppdatering av direktivet som är på gång. (Se nedan)

  • Det finns ett undantag för er som är en liten, men helt självständig, verksamhet som ägs av en större organisation. Det kan i vissa fall göra att man "slipper" kraven i Cybersäkerhetslagen.


Till föreskriften finns även en vägledning som lägger ut texten lite mer för att skapa stöd utan att sätta nya regler. Användbart, även om vissa saker blir lite snurriga - exempelvis säger Energimyndigheten i vägledningen att energiproduktion under 10 MW inte omfattas, men samtidigt går Europeiska kommissionen ut i uppdateringen av NIS2-direktivet och säger att gränsen går vid 1 MW... Den som lever får se...


MCF, Myndigheten för Civilt Försvar, är det nya namnet på MSB. Cyberverksamheten, inklusive det som hör till NIS2, kommer finnas på MCF tills i sommar, då den flyttar till NCSC, Nationellt Cybersäkerhetscentrum på FRA.


Redan innan vi fått en chans att NIS2-anmäla våra organisationer klev Europeiska kommissionen fram med en rejäl uppdatering av NIS2-direktivet! Det kan kanske uppfattas som lite tröstlöst att marken ändras under våra fötter, men det är faktiskt riktigt bra saker man gett sig på. Jag ser inte detta som ett problem på något sätt!


Flera av ändringarna är direkt kopplade till olika typer av OT-drivna verksamheter:

  • Det bisarra problemet med att man skulle omfattas av NIS2 för att man investerat i en solenergianläggning försvinner. Man behöver generera mer än 1 MW för att omfattas.

  • Den trasiga definitionen av kemikaliesektorn fixas äntligen! Nu måste man omfattas av registrering enligt REACH-lagstiftningen för att omfattas av NIS2.

  • ”Dual-use infrastructure” omfattas utan begränsningar i storlek. Begreppet relaterar till en föreslagen reglering inom transportsektorn för att hantera militära transporter.


En viktig del är att man ändrar storlekskravet för att vara Väsentlig. Man går från begreppet ”Medium-sized Enterprise” till det nydefinierade ”Small Mid-cap Enterprise”. Min tolkning är att man då behöver 750 anställda eller en omsättning på 150 MEUR för att omfattas som Väsentlig.


OBS! Det här är ännu så länge inte beslutat, men jag har svårt att se några större problem med att få detta genom papperskvarnarna i EU! Cybersäkerhetslagen innehåller en hel del referenser till direktivet, så där ändras lagen "automatiskt". Andra delar kommer dröja tills den svenska lagen följer med i ändringarna. Det blir spännande att se hur man hanterar de organisationer som omfattas idag, men som kommer "slippa" när förslaget går igenom.

Lite brittisk inspiration?

Om du är trött på att EU tjatar om cybersäkerhet kan du ta en titt på en vägledning från brittiska NCSC som riktar sig till nationellt kritisk infrastruktur (CNI). Jag gillar att de inte bara fokuserat på "digitalt försvar", utan även har med riktigt svåra frågor som "Hur man återställer driften medan hotet finns kvar?" och "Hur skapar man en anpassningsbar organisation?".

Sugen på att hacka lite OT?

För den som är nyfiken på de tekniska delarna av OT-säkerhet kan det vara en utmaning att få tag på prylar att experimentera med. Alla är kanske inte heller lika nördiga som jag och vill bygga ett fysiskt OT-labb i garaget?


En relativt ny möjlighet är Labshock, ett projekt och en produkt skapat av Zakhar Bernhardt. Det är gratis att använda för personligt bruk och väldigt enkelt att installera. Rent tekniskt är det ett antal docker-containrar som kör ett antal open-source-verktyg, exempelvis FUXA och OpenPLC. Du får ett enkelt, men fungerande, SCADA-system, en PLC, en ingenjörsstation, nätverksscanners mm. Ingenting är simulerat så du kan manövrera SCADA-systemet, manipulera PLCn, skicka MODBUS-kommandon precis som i ett "riktigt" system.


Labshock är ett elegant sätt att få mer förståelse för OT-teknik och dess begränsningar! För en riktigt bra introduktion rekommenderar jag att du tittar på en livesändning som den fantastiskt produktive Mike Holcomb gjorde.

Följer du mig inte på LinkedIn?

Om du inte följer mig på LinkedIn så kan jag tipsa om vilka inlägg som av olika anledningar verkar ha väckt mest uppmärksamhet på sistone:

En lite längre artikel där jag drar förvånansvärt många paralleller mellan OT-säkerhet och hur man utformade medeltida slott.
En lite längre artikel där jag drar förvånansvärt många paralleller mellan OT-säkerhet och hur man utformade medeltida slott.
Ett inlägg där jag försöker knyta upp den omöjliga ekvationen som säger att allting som är viktigt kan prioriteras högt. Hur ska vi få säkerhet, ledning, styrelse och ägare att prata samma språk så att de kan dra åt samma håll?
Ett inlägg där jag försöker knyta upp den omöjliga ekvationen som säger att allting som är viktigt kan prioriteras högt. Hur ska vi få säkerhet, ledning, styrelse och ägare att prata samma språk så att de kan dra åt samma håll?
NIS2 och andra lagar har satt fokus på våra underleverantörer. Hur ska man ställa krav på dem? Vad gäller egentligen? Är lagkraven samma som det klokaste man kan göra?
NIS2 och andra lagar har satt fokus på våra underleverantörer. Hur ska man ställa krav på dem? Vad gäller egentligen? Är lagkraven samma som det klokaste man kan göra?
Ett inlägg om att hela poängen med NIS2 och Cybersäkerhetslagen kan ses som att de gör konsekvenserna av de risker vi tar större! Vilket förstås ska få oss att ta tag i dem...
Ett inlägg om att hela poängen med NIS2 och Cybersäkerhetslagen kan ses som att de gör konsekvenserna av de risker vi tar större! Vilket förstås ska få oss att ta tag i dem...

Är det jul snart?

Är det för tidigt att börja skriva på min önskelista till nästa jul? Överst på listan står i alla fall en äkta Kuka-robot gjord i Lego! 950 delar att bygga ihop, du beställer den direkt från my.kuka.com. Den är framtagen tillsammans med tyska OrangeApps och känns som ett måste!


Annars är de "lite" större modellerna från Kuka som de använder på Legoland roliga på ett annat sätt! Hoppas att de fortfarande finns kvar, det var länge sedan jag fick en chans att åka dessa!

Vem är Mats?

Porträtt av Mats Karlsson Landré

Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.


Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.


Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.


Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Logga för nyhetsbrevet på ot-säkerhet.se

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.


 
 
bottom of page