Nyhetsbrev OT-Säkerhet #75
- för 9 minuter sedan
- 19 min läsning
Nyhetsbrevet fyller 75! Det firar vi med en riktigt fullproppad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången djupdyker vi i högen av årsrapporter, tittar på trendiga attacker, fnissar lite åt ett misslyckat försök till OT-malware, bestämmer oss för att öva mer, läser ett OT-uppslagsverk, imponeras av en massa nya gratisverktyg, läser allt som Sinclair har presterat sedan sist, kollar säkerheten i EtherCAT, lär oss begreppet ”Cyber Consevative Operations”, skräms av serieadaptrar, tittar på videos från S4, försöker hänga med i alla nya lagar, hyllar Mattias Pilroth, tar bort alla våra PLC:er från Internet och låter en AI leta attackvägar i ett ladderdiagram.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades eller med ett mejl till mats@ot-sakerhet.se. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nu haglar det årsrapporter!
Det är den tiden på året när vi börjar bombarderas av årsrapporter kring cybersäkerhetsfrågor. Många ligger tyvärr i området mellan "oanvändbart" och "ointressant", oftast för att de blir så säljiga, men några finns det som jag tycker är värda att i alla fall bläddra i. Jag ska inte återberätta allt intressant utan pekar på några saker som jag själv tyckte var extra intressanta.
Rapporten från Dragos håller som alltid riktigt hög kvalitet. Vill du dyka i enskilda hotaktörer med fantasifulla namn så finns mycket material kring det. Är du ute efter material för dina threat-hunts i SOC:en så finns det. Söker du aktuell forskning kring trender så har du mycket att hämta. Kloka råd finns det också gott om.
Det jag tycker är det absolut viktigaste i Dragos rapport är att de bekräftar det som jag varnat för i ett antal år nu. Att buset börjar ta sig rejält med tid för att kartlägga den fysiska processen, angripa ingenjörsstationer, ladda ner projektfiler och på så sätt reda ut hur de kan skapa största möjliga oreda i produktionen och största möjliga skada på utrustningen. Vi tenderar att vara alldeles för fokuserade på "bullriga" ransomware-angrepp så vi tänker inte tillräckligt på att alla angripare inte är ute efter snabba pengar. I vår oroliga omvärld är det allt fler som positionerar sig i väntan på rätt tillfälle...
Det här och mycket annat kan du förresten även höra Dragos grundare Rob Lee diskutera med Dale Peterson i en väldigt intressant intervju:
Dragos återkommer upprepade gånger till den 5-stegsmodell för OT-säkerhetsarbete som de ligger bakom tillsammans med SANS. Om du är en återkommande läsare av nyhetsbrevet så vet du att det här är något jag tror starkt på!
Dragos bekräftar det jag hör från andra håll, att en enormt hög andel av verkliga incidenter (3 av 4!) använder VPN-tjänster. Om du struntar i 5-stegsmodellen och bara gör en enda sak i år, så borde det nog handla om remote access! De stora leverantörerna av VPN-produkter har verkligen misslyckats helt med sitt produktsäkerhetsarbete de senaste åren!
SANS har också publicerat sin egen sammanfattning av Dragos rapport. I en artikel sammanfattar Austin Scott elegant hur Dragos använder de fem stegen i sin rapport.
Om du precis som jag gillar OT-säkerhet i den spännande maritima världen är norska Norma Cybers rapport något för dig! Att du dessutom kan roa dig med att läsa den på norska, "Årlig trusselvurdering 2026", om du absolut vill är ett extra plus! På OT-sidan pratar man exempelvis om den Raspberry Pi Zero som man hittade ansluten till ett av näten på ett passagerarfartyg.
Forescout publicerar en betydligt enklare rapport i form av ett blogginlägg med fokus på tekniska sårbarheter. Intressant i sig men kanske inte så användbart i mina ögon eftersom de flesta OT-verksamheter behöver väga in mycket mer än bara sårbarheten i sig själv, framför allt är det ju kombinationen av sårbarhet+exponering+processpåverkan som får styra i praktiken.
WEF och Accenture har intervjuat drygt 100 VD:ar runt om i världen kring cybersäkerhet. OT står inte i fokus men diskuteras på ett antal ställen.
Om du gillar poddar så diskuteras innehållet i rapporten i ett avsnitt av podden "Industrial Cybersecurity Insider".
Denna rapport är ständigt en av de mer intressanta, år efter år. Framför allt eftersom de är lite mer "noga" och "försiktiga" än andra när de definierar en "OT-attack".
Om du vill se Andrew Ginter och Greg Hale diskutera innehållet så finns deras webinar på YouTube.
Danska stoltheterna Secomea levererar kanske inte exakt en årsrapport, men om man är intresserad av vad andra tycker om remote access just nu så kan den vara intressant. Det här är ett superviktigt område, förmodligen det absolut vanligaste jag stöttar mina rådgivningskunder kring. För att läsa den måste du tyvärr ge bort dina kontaktuppgifter och tacka ja till att bli kontaktad...
FRA, Försvarets radioanstalt levererar en årsrapport med väldigt intressant läsning. Mycket är förstås på olika sätt relaterat till vår "lätt röriga" omvärld. Redan på omslaget märker vi detta: "DNIPROPETROVSK, UKRAINA, 10 AUGUSTI 2025: Ukrainska soldater från luftvärnsenheten skjuter mot ryska drönare". Väl värd att läsa även om den kanske inte i sig är så användbar i vardagen.
Det väntar ett spännande år för FRA. Myndigheten är ju på väg att axla en delvis ny roll i och med att man tar över det mesta av cybersäkerhetsverksamheten från MCF, Myndigheten för Civilt Försvar till sommaren. Det ska bli intressant att se hur det märks i nästa årsrapport.
TXOne levererar den grafiskt snyggaste rapporten, vilket också tyvärr gör den hopplöst svår att läsa. Jag kanske helt enkelt är för gammal? Man kan roa sig med att klicka runt på ett antal sidor och under tiden roas (?) av siffror och grafik som bläddrar runt på skärmen. Hör gärna av dig och berätta om du hittar något intressant.
Om du är intresserad av vad andra människor har för åsikter om säkerheten i samhällsviktig verksamhet så är Svenskt Säkerhetsindex 2026 en bra källa.
Nozomi levererar en mer klassisk och ganska välfylld årsrapport, om än i ett liggande format - lite som en presentation fast med mycket text...
Här kan du gotta dig åt en hel del detaljer kring vad de sett under senaste halvåret: trender bland hoten, tekniska sårbarheter och botnets.
CERT-EU är organisationen som skyddar EU:s olika verksamheter. Av naturliga skäl finns det inte så mycket kring OT-incidenter men det finns gott om andra intressanta insikter. OT-säkerhet dyker främst upp i samband med större konflikter i omvärlden, gärna genom några hacktivist-liknande angrepp.
SÄPO levererar en läsvärd rapport även i år. Inte jättemycket fokus på Cyber och OT men vi kan i alla fall glädjas åt att de valde en OT-verksamhet i ett exempel för att beskriva hur de arbetar i samband med ett cyberangrepp.
Det finns trender i attackerna mot OT också
Inte riktigt en årsrapport kanske, men Team82 från Claroty har tittat på trender i attacker mot OT-system. De verkar ha fokuserat på attacker mot exponerade VNC-tjänster för att angripa HMI:er och SCADA-system.
JÄTTEFARLIGT! Eller inte?
En ny och jättefarlig attack-programvara, "ZionSiphon", skulle enligt uppgifter från Darktrace vara specialskriven för att sabotera Israeliska avsaltningsanläggningar.
Men dessa uppgifter får rejält mothugg från analytiker på bland annat Dragos och Nozomi: som dömer ut koden som ett misslyckat försök att skapa attack-kod med LLM utan någon direkt förståelse för de OT-system som ska angripas:
ZionSiphon is a poor attempt at generating OT malware using an LLM. The code is broken and shows little to no knowledge of dam desalination or ICS protocols. It would fail to cause any significant negative consequence in the OT environment, much less set unsafe chlorine levels. ZionSiphon is not a credible threat to dam desalination facilities or any critical infrastructure.
Det här är gissningsvis ett exempel på att hoppfulla hackers försöker ge sig på ett tidigare mycket svårt område: OT. Det är inte så konstigt att det inte blir så bra till en början, men det skulle inte förvåna mig om vi ser en snabb utveckling på det här området framöver.
Öva! Öva! Öva!
ENISA, som är EU:s cybersäkerhetsmyndighet har publicerat ett riktigt bra material för dig som vill köra bra övningar i din organisation. Du får en metodik som är väldigt väl beskriven och en massa mallar som underlättar arbetet. Ingenting är specifikt för OT-världen, metoden är väldigt generell!
Hur nyttigt det är att öva kan jag verkligen inte överdriva! Det misstag som jag tycker väldigt många gör är att man väntar alldeles för länge och samtidigt tar ett alldeles för stort grepp direkt. Börja istället med små och enkla övningar, det behöver inte vara mer än att man samlar några människor runt ett bord som får prata sig igenom ett scenario. Det är också vanligt att man tänker att man först måste bli en mogen organisation innan man börjar träna. Det är ungefär lika konstigt som att säga att man inte kan gå till gymmet för att man inte är tillräckligt stark!
Något som jag brukar vara noga med att påpeka när jag kör övningar åt folk är att syftet med övningen ska vara att misslyckas. Helst ska man dessutom misslyckas på nya, spännande och oväntade sätt - det är då man lär sig mest som organisation. Att se övningen som ett examensprov som man måste "klara" är helt fel inställning!
Vad betyder orden?
Det här är ett oväntat intressant dokument! Ett antal organisationer i USA har sammanställt ett slags uppslagsverk eller ordbok för OT-världen. Den vänder sig till utbildningsvärlden och tar sikte på cybersäkerhet men den gör det genom att grundligt beskriva en oändlig mängd begrepp i OT- och automationsvärlden. Förvisso på engelska, men nog så användbart ändå!
Funderar du på vad en "Process Operator" gör om dagarna, vad som skiljer en "Discrete Process" från en "Batch Process", hur en "Remote Terminal Unit (RTU)" är annorlunda än en "Intelligent Electrical Device (IED)", var "Distillation Columns" används eller kanske vilka sätt man kan programmera en PLC enligt IEC 61131-3? Alla svaren finns här!
Ett nytt verktyg för sårbarheter
Det är utmanande att hänga med i floden av nya sårbarheter som annonseras. Sedan många år tillbaka finns "ICS Advisory Project" där man kan bläddra och filtrera bland sårbarheter i OT-prylar. Nu har vi även fått OTPulse som verkar göra något liknande men kanske med lite mer fokus på att vara lätt att förstå.
Ett nytt verktyg för trafikanalys
River Caudle har lanserat gratis-verktyget MarlinSpike som verkar väldigt intressant. Det analyserar nätverksinspelningar från OT-nätverk i form av pcap-filer och sägs berätta om nätverkstopologi, komponenter och kända malware i nätet. Jag har inte haft möjlighet att prova det själv men är nyfiken att höra om dina erfarenheter om du provat?
Ytterligare ett nytt verktyg för trafikanalys
"Great minds think alike" brukar man ju säga. Ungefär samtidigt som MarlinSpike dök ett annat verktyg upp som verkar tänka i samma banor. Anand Murugan släpper verktyget Gridwolf som också verkar väldigt intressant. Bara att hämta från github!
Jagar du flaggor?
iTrust vid Singapore University of Technology and Design har utlyst sitt tioårsjubileum "Critical Infrastructure Security Showdown (CISS) 2026: X Marks The Exploit", en CTF med fokus på OT!
Kvalificeringar i juli och finaler i september. Det här kan nog bli riktigt roligt för den som gillar att hacka OT-prylar!
Nya godbitar från Sinclair!
Trogna läsare av nyhetsbrevet vet att Sinclair Koelemij är en av mina största idoler. Han levererar ett otroligt flöde av riktigt insiktsfulla och djuplodande artiklar. Här är några favoriter från den senaste tiden...
Licenser är en risk! Utrustning och mjukvara som slutar fungera när en licens går ut eller på annat sätt blir otillgänglig är en klassisk risk. Seriösa IT-leverantörer som ger sig in i OT-världen är noga med att försöka anpassa sig till annorlunda förutsättningar. Sinclair gör som vanligt en grundlig genomgång av både kända och lite oväntade risker med licenser.
Integritet är viktigt! Vi får ofta höra att den välkända CIA-triaden från informations- och IT-säkerhet ska vändas i OT-världen - att A som Availability blir viktigast när vi kommer in på OT. Det kan stämma i vissa fall men jag brukar envist hävda att Integrity är ännu mer avgörande. Oavsett vad man tycker om det så levererar Sinclair en fantastisk genomgång av vad "Operational Integrity" betyder!
Vad är IT/OT-konvergens egentligen? Ett vanligt buzzword är Convergence, det där mystiska närmandet mellan IT och OT som pekas ut som orsaken till att vi har säkerhetsproblem i OT-världen. Sinclair ger sig på detta i en välskriven artikel, döper om det till "Enterprise-to-Control Coupling" och reder ut begreppen.
Det är bara att isolera SIS-systemet!
Ibland hör man argumentet att Safety-system måste segmenteras eller isoleras för att vara säkra. Sinclair förklarar grundligt att det är helt fel sätt att se på behovet av oberoende mellan Safety och processkontroll. Tvärtom är kommunikation och samverkan mellan systemen ofta nödvändig. Det finns många andra källor till samberoenden och sätt som felsituationer kan spridas.
Syftet med säkerhet i processautomation
Sinclair djupdyker med oss i området mellan IEC 62443 och ISA 61511 där ISA TR84.00.09 hjälper oss att knyta ihop begreppen kring OT-säkerhet och motsvarande begrepp från Safety-världen. Han överger den trötta CIA-modellen och landar till slut i begreppet "Operational Integrity" som knyter samman Observability, Controllability, Operability och effektiviteten hos Safety-åtgärder.
Riskbedömningar inom OT helt utan attack-statistik
Sinclair förklarar hur han gör riskanalyser kring farliga processhändelser orsakade av cyberhändelser. Om man inte är van vid resonemang från den här världen blir det en omskakande upplevelse när han utgår från värsta möjliga händelse snarare än cybervärldens normala "vilka säkerhetsåtgärder har vi?". Vi slipper också göra den hopplösa bedömningen av "hur ofta kommer någon hacka den här?".
NIS2 slutar där OT-säkerhet börjar
Riktigt spännande insikter för den som är i OT-verksamheter där extrema konsekvenser av cyberincidenter är möjliga. Sinclair gör jämförelser mellan NIS2 i EU och "motsvarande" regelverk i Saudiarabien (OTCC) och Singapore (CCoP) som utgår från OT-världens specifika behov.
Säkerheten i EtherCAT
EtherCAT Technology Group har gett oss ett whitepaper kring säkerheten i protokollet EtherCAT. Innehållet är ett slags summering av resultatet från en granskning som UL Solutions gjorde. Man tittade på exempelscenarier gentemot IEC 62443-3-3 och kom fram till att man fick Security Level 2 direkt och Security Level 3 genom mjukvarutillägg. Det här är ett av alla exempel på ökat fokus på protokollsäkerhet som till stor del orsakas av CRA-lagstiftningen i EU.
Dokumentet ger dessutom en kraschkurs i EtherCAT som är ett av de där protokollen som får nätverkstekniker från "IT-världen" att bli rejält förvirrade. EtherCAT är, som namnet hintar om, byggt på normal Ethernet men använder inte TCP/IP. Information överförs direkt i Ethernet-frames och dessutom på ett annorlunda sätt än det som vi är vana vid från många andra Ethernet-baserade protokoll. I kombination med ett speciellt sätt att bygga hårdvaran ger det intressanta effekter för både snabbhet och säkerhet i kommunikationen.
CIE på universiteten i USA
Ett dokument från Department of Energy i USA samlar information kring hur CIE, Cyber Informed Engineering, lärs ut och vad kursplanen bör innehålla. Ett imponerande och seriöst grepp på detta viktiga område!
AI är skillnaden...
En vanlig förklaring till att vi ser förhållandevis få angrepp som slår mot processnära system i OT-världen är att världens hackers inte förstår den information de kommer över kring den fysiska processen och kring styrsystemens programmering.
Don C. Weber gjorde ett enkelt experiment där han gav skärmkopior av ladderprogrammering och utdrag ur konfigurationsdata till "en AI". Informationen kom från ett system som används i SANS-utbildningar i ICS613. Resultatet blev ett par fullständigt korrekta attackvägar som skulle underlätta mycket för en angripare som inte har tid eller kompetens att hitta dem själv.
Det här är inte en katastrof, men det sätter nytt ljus på saker som vi har hävdat sedan OT-säkerhet blev ett begrepp:
Information om OT-system är känslig information. Konfigurationsfiler och projektfiler ska skyddas ordentligt. Det är inte helt ovanligt att dessa kan hittas ganska öppet i "kontorsnätet", vilket inte är så lyckat...
Övervaka all fjärråtkomst ordentligt! Både utifrån, från er egen IT-värld och mellan olika segment i OT-nätverken. Informationen om OT-systemen är inte värd något om systemen inte går att nå!
Filer som innehåller programmering måste skyddas så de inte manipuleras. Detta gäller speciellt backuper i olika former.
Vi tänker fel om investeringar i OT-säkerhet!
Grundaren av Dragos, Rob Lee, slår näven i bordet kring hur investeringar i OT hanteras. En lång rad av bra argument som i många fall överlappar med några av mina egna käpphästar i det här sammanhanget. Det finns bra anledningar att investera i OT-säkerhet långt innan vi försöker reducera riskerna! Det här är en viktig text att läsa!
Ett nästan fånigt misstag är "moment 22"-greppet där man inte investerar i övervakning av produktionen för att man inte haft några störningar orsakade av obehöriga i systemen. Frågan blir då: "Hur vet du det?". Vi är tyvärr ofta förblindade av tanken att alla angrepp är ransomware, där effekterna blir väldigt tydliga. Om angriparen har ett annat mål finns det inget som säger att man märker något förrän något mycket allvarligare än ett produktionsstopp inträffar.
Synlighet och övervakning tenderar att enbart diskuteras som ett sätt att larma vid angrepp. I en producerande anläggning finns många fler viktiga anledningar att fundera över först - inte minst att kunna göra en riktig grundorsaksanalys vid händelser och felsituationer i processen. Om man inte ens kan visa om det var ett fel eller ett angrepp som fick Safety-systemen att trippa, hur ska man då kunna bedriva något som helst säkerhetsarbete?
Vi stoppade angreppet - nu då?
I en SANS-blogg skriver Michael Hoffman om det ökande gapet mellan detektion och återställning. De verksamheter som faktiskt satsat på riktig övervakning av sina OT-miljöer blir allt snabbare på att reagera när ett angrepp sker. Tiden för att återställa de skador som trots allt hinner uppstå har däremot inte förändrats speciellt mycket. Han pekar på en rad viktiga skäl till att återställning är svårt, speciellt om man inte förberett sig.
Incidentplanering tenderar att inte inkludera återställning av system
Även om backuper finns så har man inte så mycket förtroende för dem
Roller och ansvar är svårt under stressig återställning
Man underskattar hur många och komplexa beroenden det finns i en typisk OT-miljö
Man har sällan övat hela processen
En intro till OT och hur man skyddar sin anläggning
Min kollega på Sectra, Joakim Elgh, talade nyligen på Netnod Meeting 2026 där han gav en introduktion till OT-system inom kritisk infrastruktur för en publik som kanske inte visste så mycket om OT-världen och hur man arbetar med skyddet av dem. Snyggt Joakim!
"Cyber Conservative Operations"
Den amerikanska elsektorn har "Conservative Operations" som ett etablerat begrepp. Det betyder ungefär att man försöker skapa så stora marginaler som möjligt i elnätet inför en befarad störning, exempelvis ett oväder. Ett intressant dokument från OSTI.GOV, Office of Scientific and Technical Information, berättar om motsvarande koncept för Cybersäkerhet, "Cyber Conservative Operations".
Det handlar om att ha förberedda åtgärder att ta till för att öka robustheten kring cyber om man av någon anledning anar att hotnivån ökat eller att en attack är på gång. Det kan handla om att personalen fokuserar på andra saker, man aktiverar leverantörer för att minska sårbarheter eller skapa åtgärdsberedskap, att öka övervakningen, att lägga till redundanta funktioner och så vidare. Det kan definitivt också handla om att stänga av onödiga system, blockera fjärråtkomst och införa ändringsstopp. De gör intressanta kopplingar till CIE, Cyber Informed Engineering, speciellt kring förberedelsearbetet.
Det här är egentligen inget märkligt, men som vanligt är det viktigt att vara tydlig med sitt tänk. Motsvarande skulle kunna fungera i vilken typ av verksamhet som helst. Spontant känns det som en rimlig del i incidentberedskap och även kanske i civilförsvarsplanering?
Version 2 av CHAPS
Verktyget CHAPS är tänkt som ett granskningsverktyg för Windows-system i OT-sammanhang. Det gör 59 olika kontroller av inställningar som påverkar säkerheten i ett system. Nu är det släppt i en ny moderniserad version. Jag har inte tittat på det själv men det verkar mycket användbart. Intressant är att det går att använda även om man inte kan eller får installera något på systemet.
Serieadaptrar - en ständig källa till spänning...
Vedere Labs från Förescout pekar i en ny rapport på riskerna med att använda adaptrar som ger nätverksåtkomst till seriell kommunikation. Det här är enheter som finns i massor av olika varianter där syftet är att kunna nätverksansluta komponenter som inte själva har nätverksanslutning. De spelade en viktig roll i angreppen mot Ukrainas elnät 2015 och tio år senare slog angripare mot dem i det polska elnätet.
Förutom riskerna med att man kan komma åt oskyddade komponenter så är en av de största riskerna att en angripare kan slå ut adaptern i sig. Har man många av dessa adaptrar och alla förstörs samtidigt genom att de får en trasig firmware installerad så kan det bli väldigt svårt att ersätta alla dessa permanent förstörda enheter på ett bräde.
Den här typen av lösningar finns i alla branscher och i alla typer av system, från fartyg till sjukhus och från kraftverk till avloppsrening. Kända tillverkare är exempelvis Moxa, Digi, Advantech, Lantronix, Perle och Silex men det finns många fler. Vedere Labs tog en titt på sex olika enheter. Deras fynd är inte speciellt imponerande... Många gamla buggar är kvar och Linuxkärnor som gick ur support för mer än 10 år sedan.
Använder din anläggning den här typen av utrustning (de flesta gör det) så skulle jag rekommendera en genomläsning och sedan fundera på vad som kan göras åt er egen situation.
Nytt från S4 2026
Inspelningar från årets upplaga av S4-konferensen har börjat dyka upp. De kommer efterhand i spellistan S4x26 på YouTube.
Lagar och regler!
Tumme upp till Regeringen och Försvarsdepartementet som håller handlingsplanen till förra årets Nationella Cybersäkerhetsstrategi uppdaterad enligt plan. Det finns en ny version ute nu för 2026! Hela strategin och tillhörande planer hittar du sedan tidigare här.
Många nya aktiviteter har lagts till, två har klarats av och en massa justeringar på många olika områden. Inget revolutionerande, men skönt att se att planen lever!
Den nationella strategin innehåller i sig förvånansvärt mycket kring OT och OT-säkerhet. Riktigt roligt att se! I planen pratas det inte så mycket om OT men det ingår i många av aktiviteterna som beskrivs. Till nästa år vill vi förstås se många fler aktiviteter som är avklarade!
Den 15:e April höll statsrådet Carl-Oskar Bohlin och John Billow som är chef för NCSC en pressbriefing där de tryckte på att hotet mot OT-baserad kritisk infrastruktur har ökat.
Med tanke på en del händelser på sistone och det katastrofala resultatet i OT-säkerhetskollen är det kanske inte så konstigt att ministern vill sätta ner foten... Just nu får vi sätta vårt hopp till att NIS2 skapar positiv förändring och att tillsynsmyndigheterna verkligen fokuserar på OT framåt. NCSC gav samtidigt ut en del råd för verksamheter som börjar från noll i sitt OT-säkerhetsarbete.
Om din organisation levererar någon form av produkt med något slags digitalt innehåll så omfattas ni med största sannolikhet av CRA-förordningen. I höst börjar kraven på sårbarhetshantering att gälla och i slutet av nästa år gäller alla krav i CRA. Det låter långt bort men om man inte redan är på god väg är det väldigt lite tid kvar. Frank Leitner har skrivit ett bra förslag på hur man ska spendera tiden framöver för att klara våra deadlines.
De förslagna förändringarna i EU:s cybersäkerhetsakt och uppdateringen av NIS2-direktivet har skickats på remiss i Sverige. Sista datum för svar är 18:e maj.
MCF har en remiss ute till den 22:a maj kring en ny föreskrift: "Föreskrifter om säkerhetsrevision och säkerhetsskanning". Den andra remissomgången av föreskriften kring säkerhetsåtgärder och utbildning kopplat till Cybersäkerhetslagen är försenad och när detta skrivs finns ingen publicerad tidplan.
EU:s cybersäkerhetsmyndighet ENISA har en draft version ute av "ENISA Security by Design and Default Playbook - A Practical Guide to Security by Design and Default for SMEs". Det här är alltså ett viktigt stöd för CRA-lagstiftningen.
Från Kommissionen har vi också fått ett väldigt användbart CRA-dokument i draftversion. Det ger praktiska tolkningar kring kluriga gränsdragningar i lagstiftningen, exempelvis vad det innebär att sätta en mjukvara på marknaden, hur man ska hantera äldre mjukvara osv. Remisstiden har gått ut men dokumentet är fortfarande möjligt att läsa i väntan på den skarpa versionen.
Nu finns ett formellt beslut på att tilläggen till RED, Radiodirektivet, kring Cybersäkerhet som lades till för några år sedan kommer att tas bort den 11 september 2027 eftersom de då ersätts av CRA.
Mattias har uppdaterat
Jag har tidigare pekat er till Mattias Pilroths kloka skrifter kring OT-säkerhet som tydligt präglas av hans långa erfarenhet av automation och produktion inom petrokemisk industri och inom PVC-produktion. Nu har han gjort en rejäl ansiktslyftning av materialet som du hittar här. Just nu finns tre "dokument" på plats, "Why OT Infrastructure Appears Static", "Silent Degradation in OT Systems" och "The Coverage Trap". Jag kan inte vara nog tydlig med hur bra dessa texter är. Det är länge sedan jag sett så mycket klokskap från verkligheten på ett och samma ställe. Han har utlovat att det är mer på gång!
I mina föredrag brukar jag noga peka på att skillnaden mellan olika typer av "OT-anläggningar" är större än skillnaden mellan modern IT och "genomsnitts-OT". Det blir väldigt tydligt när man läser Mattias texter. Det här är fantastisk läsning för alla som inte landat i de enorma skillnaderna mellan olika typer av OT-drivna anläggningar. Förutom kärnkraften är nog de branscher som Mattias rört sig i de absolut mest "extrema" i betydelsen att "Safety", förutsägbarhet och stabil drift med marginal är de absolut viktigaste prioriteringarna.
Exempelvis sätter citatet "IT buys platforms meant to be modified. OT process control buys validated functions because the engineering requirements demand it." fingret på en mycket viktig insikt som ofta är svår att ta till sig om man kommer från IT-hållet. Jag blev påmind om det helt nyligen i ett konsultuppdrag kring ett antal nya fartyg som ska accepteras av beställaren. Maritim OT-säkerhet är en av extremvarianterna i sammanhanget eftersom klassningssällskapens regler är så styrande oavsett vad kundens egna krav är. Det blir exempelvis tydligt när man vill applicera säkerhetsåtgärder ovanpå ett redan certifierat system.
Ett tips: Ha inte din PLC ute på Internet...
Amerikanska myndigheter varnar för att det är en dålig idé att ha sina PLC:er på Internet. Tydligen kan Iranska hackers hitta dem där och göra elaka saker... (Obs, ironi!)
Man måste ju förstås fundera på om de organisationer som lyckats placera sin känsligaste utrustning direkt på nätet faktiskt är mottagliga för den här typen av varningar. Ska bli intressant att se om det får någon effekt.
Här kommer Ruben Santamarta med en riktigt intressant analys av vad som faktiskt hände i de Iranska attackerna. Intressant nog använde de bara ingenjörsverktyget rätt upp och ner! Varför göra saker svårare än de måste vara - om man som angripare ändå har fått "offret" serverat helt öppet... Ruben berättar vidare om hur motsvarande attack skulle se ut om det istället var Siemens S7CommPlus v3 protokollet som användes. Viktiga insikter finns att få här!
Vem är Mats?
Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.