Sökresultat

Dags för en riktigt fullproppad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången tittar vi först bakåt på Stuxnet och Projekt Aurora för att sedan återvända till nutiden och sprillans nya NIS2-föreskrifter, ett OT-ramverk från Luleå, ryska hackers som blev rejält lurade, vi tittar på nya och gamla grejor i labbet, läser japanska vägledningar och så lär Arbetsförmedlingen oss att köpa svenska produkter. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Stuxnet - 15 år sedan... Nu är det 15 år sedan Stuxnet. En helt avgörande punkt för vår kära OT-säkerhetsbransch, det var då "det började" på riktigt. Det har skrivits många artiklar och böcker kring detta, men en ny pusselbit fick vi nyligen av Rob Hulsebos som var den som gav Symantec ledtråden de behövde för att koppla den skadliga koden de analyserade till urancentrifuger. Intressant och läsvärt! Aurora - 18 år sedan... Joe Weiss tittar tillbaka på Aurora-testerna  som Idaho National Labs genomförde för 18 år sedan. Arbetet blev "beviset" för att man kan orsaka stor skada på elnät och generatorer genom cyberangrepp. Nu kommer både NIS2 och dess föreskrifter! Om nu någon lyckats missa det så har regeringen formellt skickat en proposition till riksdagen för att få Cybersäkerhetslagen på plats - den lag som ska implementera EUs NIS2-direktiv i Sverige. Propositionen innehöll inga större överraskningar om man följt de tidigare förslagen. Nu är det bara att vänta in den 15:e januari. Dessutom togs ett riktigt stort steg nyligen när MSB släppte föreskrifter för säkerhetsåtgärder på extern remiss . Många organisationer har ju tyvärr skjutit på sitt NIS2-arbete för att man saknat detaljerade krav.  Nu  går det inte att skylla på det längre, nu är det tydligt för alla att se vilken nivå vårt säkerhetsarbete och våra säkerhetsåtgärder förväntas ligga på. Och det är en hög nivå! Som alltid finns det både saker jag gillar och saker jag ogillar i föreskrifterna. I grunden är det riktigt bra - att skriva föreskrifter som ska passa ett så här brett spektrum av sektorer och storlekar på organisationer är verkligen inte enkelt. Jag har haft ett finger med i det här arbetet som konsult - så jag har förnyad respekt för alla komplexa avvägningar som man tvingas göra! En sak som jag verkligen gillar är att man tagit tillbaka texten om att högsta ledningens ska vara aktivt delaktiga i säkerhetsbeslut som finns i NIS2-direktivet, men som med flit togs bort i den svenska Cybersäkerhetslagen. Det är inte så mycket för att sätta "press" på ledningen utan mer för att det tvingar oss "säkerhetsmänniskor" att faktiskt prata med ledningen och ge dem en chans. Det är alldeles för vanligt att säkerhetsavdelningen själva tar beslut om vad som är viktigt för verksamheten eller vilka risker som är acceptabla. Om inte ledningen får en chans att ta sådana beslut kan man knappast räkna med att de sticker till tillräckligt med resurser heller! På temat NIS2 och bolagsstyrning har Josefin Knudsen skrivit ett examensarbete på just det ämnet . Hon har fokuserat helt på privat sektor och dokumentet innehåller en radda intressanta tankar och kommentarer. Det finns ingen OT-koppling alls, men ur perspektivet "högsta ledningen" så spelar det nog ingen som helst roll. Cybersäkerhetslagen säger att hela organisationen alltid omfattas av lagen även om bara en del är av verksamheten egentligen faller under NIS2. Om jag ska klaga på något i föreskriften så är det att man dragit detta alldeles för långt och på så sätt förstört direktivets fina tanke om att säkerhetsåtgärder ska vara proportionerliga mot den risk som man orsakar för samhället. Min personliga uppskattning är att 80% av alla organisationer som omfattas av NIS2 gör det på grund av en verksamhet där bra OT-säkerhet är helt avgörande. Men även för en OT-driven organisation lägger föreskriften kravnivån rejält högt även på IT-sidan. Eftersom IT-kraven är mer detaljerade än OT-kraven kommer många organisationer "bränna sina resurser" på IT-skydd snarare än säkerheten i den faktiska kärnverksamheten som behöver bra OT-säkerhet. Inte bra... Samtidigt med föreskrifterna för säkerhetsåtgärder så kom även föreskrifter för incidentanmälan. Det här också ett viktigt dokument - bland annat för att det sätter nivån för vad MSB betraktar som en "betydande incident". Som exempel är det att en dricksvattenanläggning har nedsatt funktionalitet i över fyra timmar eller att fjärrvärmen påverkats i minst två timmar för mer än 2000 personer. Ta chansen att tyck till om föreskrifterna, senast den 10:e december. Alla (både organisationer och privatpersoner) får svara på remissen! Det är nu du har chansen att göra din röst hörd! Nu har vi en handbok! John Lindström är professor på Luleå tekniska universitet och en välkänd profil i OT-kretsar. På konferensen SCADA-säkerhet lanserade han boken " Handbook on Operational Technology and its Security - Introducing an OT/OT Security Framework " som verkligen är superintressant. Dels för att det är ett viktigt innehåll, men också för att den är GRATIS! I boken beskriver de hur man får till ett strukturerat arbete med OT och OT-säkerhet. Ett klurigt och viktigt område som många har svårt att komma till skott med. Jag har inte läst den från pärm till pärm ännu, men innehållet verkar väldigt lovande. Mycket nöje! Honung eller vatten? Vedere labs från Forescout har en intressant artikel om hur de lurade in ett gäng pro-ryska aktivister i en simulerad dricksvattenanläggning, en honeypot. En radda intressanta observationer kring hur de gav sig på både HMI:er och processen i sig, något som också diskuteras i en video : Hotlandskapet i Europa EUs cybersäkerhetsmyndighet ENISA har publiceras årets rapport kring hotlandskapet i EU. Många intressanta observationer hela vägen från högsta strategisk nivå ner till detaljer kring attacker och metoder. OT nämns tre gånger, men det är fortfarande inte något stort område bland attackerna. Eller? Det är faktiskt lite märkligt skrivet - man säger, nästan lite i förbigående, att 18% av hoten man sett är riktade mot OT. I mina ögon är det en enormt hög siffra, men sedan finns det ingen mer information om vad detta egentligen kommer ifrån. Tvärtom så nämns bara OT två gånger till och i bägge fallen är det som en bisak. Förklara gärna för mig om du förstår bättre eller vet mer! Behöver du en molntjänst för att sova gott? En artikel om lyx-sängar som slutade fungera när Amazon Web Services fick problem ger oss ytterligare ett exempel på företag som misslyckats i sin analys av sina beroenden av leverantörer och infrastruktur som är utanför deras egen kontroll. Ett lite larvigt exempel är det ju förvisso, men ändå en bra påminnelse om att säkerställa att vi kan fortsätta med det som är viktigt för oss trots yttre störningar. Hemma kan det vara sängen, men på jobbet kan det vara SCADA-systemet eller någon cybersäkerhetstjänst. Relationsrådgivning! Det har nästan blivit något slags stående skämt att IT-folk och OT-folk har väldigt svårt att förstå varandra. Jag har själv känt mig som något slags äktenskapsrådgivare i vissa konsultuppdrag och nu har Andrew Ginter från Waterfall skrivit en kort och gratis bok om precis detta! Det här är förmodligen en text som "båda sidor" borde läsa för att få lite mer förståelse för var missförstånden uppstår. På köpet får man tips om hur man ska ställa rätt frågor! Bli bra på rätt saker i förväg! OT är mer komplext än IT. Det är de flesta överens om, men man kan definitivt ha olika idéer om varför. Nu är det förvisso svårt att prata om "OT" som om det vore en enda sak, det är faktiskt en del av de viktigaste insikterna man måste få när man ger sig in i OT-världen: att det är riktigt stor skillnad mellan olika branscher, men även inom en viss bransch. AI-konst: "Komplexitet i industriell automation" Ett av de viktigaste skälen till att OT är mer komplext än IT tror jag personligen är skillnaderna mellan drivkrafterna bakom förvaltningen av dem. Så gott som alla IT-verksamheter har sitt existensberättigande i stenhård standardisering - det är så en typisk IT-avdelning blir effektiv och det är så man kan få upp kvaliteten i användarupplevelsen. I nästan alla OT-verksamheter är det inte möjligt att driva standardisering speciellt långt, det finns många bra skäl till det och det är något som man definitivt får ha med i beräkningen när man utveckling sitt arbete med OT-säkerhet. Nu i NIS2-tider satsar många organisationer på att förbättra sina förmågor för incidenthantering. Här är det lätt att man bara fokuserar på att kunna upptäcka en angripare tidigt, vilket kräver en OT-anpassad säkerhetsövervakning. Att bygga upp en sådan från scratch är ett mycket omfattande jobb och det resulterar i en mycket dyr funktion om man ska bemanna den 24/7/365. Nu slår jag ogenerat på min arbetsgivares trumma, men de flesta producerande organisationer borde faktiskt fokusera helt och hållet på att bli duktiga på att kunna få igång sin produktion efter en incident. Att bygga en effektiv säkerhetsövervakning kan en leverantör som gjort det många gånger tidigare göra både bättre och billigare. Det är egentligen bara de allra största organisationerna som har resurser nog att bygga och driva egen säkerhetsövervakning, men även de tar allt oftare hjälp av dem som gjort det tidigare. I artikeln " Most OT cyber incident responses end with a PDF. That’s the problem. " beskriver Gabriel Agboruche utmaningarna kring arbetet efter en incident på ett sätt som jag inte sett så ofta tidigare. Han fokuserar på varför komplexiteten i OT skapar intressanta utmaningar när man förbereder sig för dessa kommande incidenter. Begrepp som "Recovery Tabletop Exercises", alltså att öva återställning av OT-prylar, hör man tyvärr inte så ofta annars. Bara en sådan sak som att återställa PLC-program som manipulerats eller att byta ut gateways som "brickats" av angriparen är aktiviteter som ligger långt utanför de flesta organisationers IT-incidenthanteringsrutiner. Den där nyckeln på PLCn? Jag har länkat till Ruben Santamartas fantastiska dokument " A Practical Analysis of Cyber-Physical Attacks Against Nuclear Reactors " förut. Jag blev påmind om det igen nyligen efter en diskussion om nyckelbrytare på PLC:er och andra utrustningar. Förr kunde dessa nycklar betraktas som "ohackbara", men i den mån det fortfarande finns nyckelbrytare så har de numera allt oftare implementerats i mjukvara... Ett välkänt problem om man läst analyserna av Trisis/Triton-attacken i Saudiarabien 2017. Fatta beslut om OT i Umeå, Stockholm och Göteborg! FOI och MSB levererar sin halvdagskurs kring OT-säkerhet på tre platser i Sverige framöver. Jag har ingen egen erfarenhet av denna kurs, men FOI brukar leverera hög kvalitet på beställningarna de får av MSB. Just nu ser det ut att finnas gott om platser kvar - vilket är extra förvånande med tanke på att kursen är gratis! Version 18 av MITRE ATT&CK är här! MITRE har släppt en stor uppdatering av ramverket ATT&CK där man helt stöper om detektionsdelen genom att man lanserar "Detection Strategies and Analytics". Tanken är att bli mycket mer strukturerad och fokuserad på beteenden. De har också släppt en lång rad uppdateringar på så gott som alla andra områden också. Läs mer i Release Notes och i ett blogg-inlägg som dyker ner lite extra på vissa, extra intressanta, områden. CRA FAQ! De flesta har nog sitt fokus på NIS2 just nu men runt hörnet väntar CRA, Cyber Resilience Act. CRA kommer på sitt sätt ha minst lika stor påverkan på cybersäkerheten i samhället men skillnaden mot NIS2 är att den bara riktar in sig på de som tillverkar digitala produkter. Jag har skrivit om CRA flera gånger förut, du hittar alla med sökfunktionen på nyhetsbrevets hemsida. Nu har ständigt produktiva Sarah Fluchs producerat en FAQ om just CRA , med fokus på lagens hantering av supportperiod. Ett viktigt område som vänder upp och ner på en del invanda begrepp i branschen. Rekommenderas för alla som vill förstå vad som är på gång kring digital produktsäkerhet. Apropå (o)säkra produkter... Elbilsladdare - kanske inte den vanligaste produkten när man pratar OT, men när konsekvenserna av en attack kan drabba elnätet så blir jag lite extra intresserad... Företaget Saiflow har publicerat ett blogginlägg om en bugg de hittade i ABBs TERRA AC laddare. Det verkar vara en klassisk buffer overflow bugg som kan leda till lite olika konsekvenser. ABB tycks ha hanterat fyndet på ett bra sätt och har publicerat en advisory och gjort en uppdatering tillgänglig. För den som är intresserad av elbilsladdare eller kanske av hårdvaruhacking och analys av firmware så innehåller deras blogginlägg mycket godis. De ger också goda råd till både de som tillverkar, säljer eller bygger infrastruktur med den här typen av utrustningar. Det finns en del enkla medel som gör livet mycket svårare för en angripare! Tre artiklar om incidenter och risk-tryck I slutet av september skrev Sinclair Koelemij en artikel om begreppet "Risk Pressure" eller på svenska "risk-tryck". Eftersom artikeln är skriven av Sinclair är den som vanligt väldigt intressant och klok. Risk-tryck är ett sätt att se hur alla riskfaktorer som belastar en organisations förmåga att bedriva sin verksamhet utan att störande eller farliga situationer uppstår. Det är både omvärldsfaktorer som geopolitik, leverantörskedjor och marknadskrafter men också interna faktorer som gammal infrastruktur, mänskliga fel, IT/OT-konvergens och resurstilldelning. Sinclair lägger även till regulatoriska krav som en risk - vilket är intressant - men väldigt sant! Den stora poängen är att alla dessa olika tryck samverkar på jobbiga sätt för att påfresta organisationens skydd. Dagen efter skriver Danielle Gauthier en artikel om hur snabbt OT-attacker sker idag. Det är en intressant artikel i sig men det som blev en intressant konsekvens var att det uppstod en diskussion kring den. Den diskussionen ledde i sin tur till att Sinclair några dagar senare skriver en ny artikel som knyter an till diskussionen om Danielles artikel och hans egna artikel om risk-tryck. Artikeln tar avstamp i den eviga frågan om hur mycket OT-attacker som verkligen inträffar runt om i världen? Sinclair hävdar att det inte är en intressant fråga, speciellt inte i processindustrin och andra verksamheter där konsekvenserna av en framgångsrik OT-attack skulle vara extremt allvarliga. Artikeln går sedan igenom hur regulatoriska krav ställs på den typen av verksamheter och hur kvantitativa riskanalysmetoder används för att möta kraven. Alla tre texterna är läsvärda! Tänk efter före! I ett möte häromdagen blev jag påmind om hur viktigt det är att vara rejält modig och ödmjuk när man ska dra igång ett åtgärdsprogram inom säkerhet. Att våga låta någon utomstående utmana den plan/design/arkitektur/strategi/teknik som man med mycket möda tagit fram och med rätta är stolt över. För vi vet att man blir hemmablind. Vi vet att ingen har erfarenhet av allting. Vi vet att det aldrig finns ett facit. Vi vet att allting är en kompromiss. Vi vet att alla mynt har (minst) två sidor. Det är nog i dessa stunder som jag känner att jag gör allra mest nytta som rådgivande konsult. På kort tid kan jag tillföra erfarenheter från mängder av andra organisationer - både stora framgångar och rejäla dikeskörningar. Som bollplank märker jag att min kund mycket snabbare kommer framåt i sitt arbete och hittar nya vägar som ger snabbare och bättre resultat. Så... Ta hjälp av en rådgivare! Alla behöver ett bollplank. Vänta inte för länge - det är enklare att hålla bilen på vägen om den inte redan är på väg ner i diket... Lite stolt blir man... Det kom nyligen ett mejl från EUs cybersäkerhetmyndighet ENISA: Vad handlar det här om? Jo, något som nämns i flera av EUs cybersäkerhetslagar, exempelvis NIS2 och Cyber Solidarity Act, är att säkerhetstjänster ska kunna certifieras . Tanken är att man lätt ska kunna avgöra att en tjänst man köper levereras på ett cybersäkert sätt. Mejlet handlar om certifiering av MSS, Managed Security Services, alltså att man köper exempelvis säkerhetsövervakning från ett annat företag. Man drar nu igång en arbetsgrupp som ska reda ut vilka krav EU ska ställa i en sådan certifiering. Tydligen var jag en av de 30 personer runt om i Europa som de tyckte passade bäst i den gruppen. Det ska bli riktigt intressant och roligt att få dra sitt strå till stacken! Glöm inte DNS! Odd-Arne Haraldsen på Svenljunga kommun har skrivit en viktig LinkedIn-artikel om en av de mest underskattade tjänsterna i våra nätverk: DNS - Domain Name System . Alla behöver förstå hur viktigt DNS är oavsett vad man sysslar med, men för oss som har snöat in på OT är DNS en av de där "dolda" beroendena som ibland kan finnas mellan OT och IT. En av de där jobbiga kopplingarna som gör att saker slutar funka på OT-sidan när IT fått problem... Inom OT pratar vi mycket om att jobba med segmentering som säkerhetsåtgärd. Ett extremt vanligt misstag är att man tänker att segmentering bara handlar om nätverket i sig. Men ett av de viktigaste syftena med segmentering är att begränsa det som ofta kallas "Blast radius" - alltså att störningar inte sprider sig mellan olika delsystem. Om man har perfekt nätverkssegmentering, men delar viktiga tjänster som Active Directory, DNS, tidssynkronisering och så vidare så kanske man inte är så segmenterad som man tror. Vill man dessutom kunna gå helt i så kallat "ö-läge", alltså att köra helt oberoende av omvärlden utanför OT, inkluderar det även fler saker som exempelvis säkerhetsövervakning och systemadministration. Nya grejor! Trogna läsare av nyhetsbrevet vet att jag är en riktig tekniknörd - särskilt när det gäller automationsteknik. Jag fick nyligen ett roligt paket från Malthe Winje Automation . De hade skickat en PLC från  SBC (Saia Burgess Controls) , närmare bestämt en Saia QronoX PCD3.M 6893 . Det är världens första PLC som är certifierad att klara säkerhetsnivån SL3 enligt IEC 62443-4-2. (Del -4-2 av standarden handlar om krav på enskilda komponenter.) Det ska bli riktigt roligt att bekanta sig med detta underverk framöver. Jag vet att det är mycket svårt att nå så högt som SL3 och det kräver definitivt att produkten är byggd från grunden för detta. Säkra produkter är långt ifrån det enda som behövs för att vi ska kunna bygga robusta verksamheter, men de skapar en stark bas. Utan dem faller många andra säkerhetsåtgärder platt till marken! Nu har jag inte hunnit luska i hur SBC ligger till i arbetet för att möta kraven från CRA, Cyber Resilience Act, men QronoX lär ju ligga bra till med själva produktens säkerhet i alla fall. Som synes på bilderna har de i alla fall det listigaste labb-tillbehöret jag någonsin sett - en platta som monteras direkt i uttagen för IO-kort. Plattan ger åtta switchar för digitala ingångar, åtta LED för digitala utgångar, fyra vridpotentiometrar för analoga ingångar och två LED-histogram för analoga utgångar. Snyggt och enkelt! ...och gamla grejor! En av de stora sanningarna är att OT-världen tenderar att hålla användbar teknik vid liv länge. Det är förvisso också ett av de områden där OT kritiseras mest, oftast av de som inte förstår varför livscyklerna ser annorlunda ut än på IT-sidan. Det är inte alls ovanligt att springa på rejält gamla grejor som är produktionskritiska. Mitt personliga favoritexempel är en tillverkande industri som jag arbetat en hel del med, de hade för ett par år sedan nya maskiner med Microsoft Hololens som operatörsgränssnitt samtidigt som det fanns maskiner med Windows 3.11 kvar i produktionen. Jag funderade över detta nyligen när jag fick hem mitt senaste "fynd" till OT-hemmalabbet, en Festo FPC 101, "Festo Programmable Controller", som jag tror är en utbildningsvariant från Festo Didactic. Jag har inte testat den ännu och har inte hittat något tillverkningsdatum, men jag gissar på mitten av 80-talet. Hör gärna av dig om du har bättre koll än jag på den här godingen! mats@ot-sakerhet.se Har du någon överbliven utrustning liggande så är jag alltid intresserad av att ta över både gammal och ny automationsteknik! Hårdvara är alltid intressant och licenser för äldre mjukvara är ofta svårt att få tag på. OT i molnet! Att många typer av OT-system rör sig mot "molnet" är ingen nyhet längre, även om det fortfarande rör upp mycket känslor och skapar diskussioner. Google Cloud (som inkluderar Mandiant som ju är välkänt kring OT-säkerhet) har nyligen givit ut dokumentet " Manufacturing & Industries: Security Guidance for Cloud-Enabled Hybrid Operational Technology Networks ". Intressant och användbart om man funderar på sitt vägval i den här frågan även om det förstås har en extrem Google-vinkling. DCS + LLM = SANT! Ett forskningspapper från ABB tittar på "Spec2Control" ett LLM-baserad workflow-verktyg som bygger styrlogik för DCS-system baserat på krav beskrivna i naturligt tal. Väldigt intressant även om de inte tittar på säkerhetsfrågor i sig! Japanskt skydd för halvledartillverkning Japans ministerium för ekonomi, handel och industri, METI, har publicerat en vägledning för skydd av halvledartillverkning. Det finns ett dokument på 130 sidor och en sammanfattning på 23 sidor . Färre utländska leverantörer? Kammarrätten i Stockholm avgjorde nyligen ett intressant överklagande i ett mål mellan Arbetsförmedlingen och Lenovo. Det handlar om att Arbetsförmedlingen i en offentlig upphandling ställde krav som stänger ute leverantörer med utländskt ägande från länder som SÄPO pekat ut som ett hot mot Sverige. Kinesiska Lenovo hävdade att detta är ett brott mot LOU, Lagen om Offentlig Upphandling, men domstolen gav Arbetsförmedlingen rätt. Jag ska akta mig för att göra någon juridisk analys, men jag ser att det finns en rad komplexa krav som domstolen tittat på för att avgöra att Arbetsförmedlingen gjorde rätt. Det är alltså inte fritt fram att ställa vilka krav som helt på ägandet i era upphandlingar. Men det är värt att titta på! Kanske i synnerhet för verksamheter som arbetar under Säkerhetsskyddslagen, men framöver skulle jag inte bli förvånad om detta dyker upp med koppling till exempelvis NIS2. I en hel del av mina uppdrag som rådgivare kommer vi in på kravställning i upphandlingar. Det är slående hur oroliga de flesta organisationer är över utländskt inflytande, speciellt när man köper tjänster. Nu är det inte längre bara de vanliga orosmomenten som Kina, Ryssland, Iran osv. USA har förstås seglat upp högt på listan över länder där privata företag kan pressas att ställa till det för sina kunder. Väldigt vanligt att det kommer upp i diskussioner vid köp av nya system! I takt med att intresset för att kravställa och följa upp sina leverantörer ökar, exempelvis på grund av NIS2, märker jag att många söker nya sätt att göra detta enklare. Ett vanligt resonemang handlar om att en leverantör med svenskt ägande är enklare att hantera än en leverantör med utländskt ägande. Väldigt utmanande att få till som krav i offentliga upphandlingar, men för alla andra kan kraven förstås ställas lite friare... Roliga konferenser framöver! Det blir många roliga konferenser för mig i höst och vinter. Redan avklarad är Cybersäkerhetskonferensen (20-21 oktober) som anordnades av MSB och NCSC/FRA. Den stora snackisen där var förstås NIS2 och Cybersäkerhetslagen även om det var väldigt lite nytt på den fronten under konferensen. Senare i samma vecka genomfördes även SCADA-säkerhet som numera är den enda svenska OT-säkerhetskonferensen. Där var jag och min kollega Ioana på scen för att prata om säkerhetsövervakning - varför det är viktigt och hur man gör! Det blev även en liten intervju om du är nyfiken på vad vi pratade om! Den 10-12 november hålls ISC-CPH i Köpenhamn som verkligen har växt till sig på senare år och har ett riktigt intressant program helt fokuserat på OT. Sedan går det ytterligare ett antal veckor innan det är dags för det fantastiska eventet S4x26 i Miami. Dessutom kommer jag synas på ett par andra roliga event där emellan men de har inte blivit offentliga ännu. Om du är sugen på att besöka S4x26 så är det hög tid att köpa biljett . Eventet kommer säljas ut helt och redan nu är mer än hälften av biljetterna sålda! Hojta gärna till om du kommer vara på plats på någon av dem eller haffa mig om vi syns i vimlet! På ISC-CPH är jag på plats med kollegorna från Sectra Critical Infrastructure så det kan tänkas att jag kan ordna rabatt på biljetten - hör av dig! mats@ot-sakerhet.se När vi ses är det inte omöjligt att jag försöker rekrytera dig till Sectra Critical Infrastructure - jag behöver ännu fler kollegor som kan ot-säkerhet på riktigt. Vi söker i hela landet! CYFUN tillgänglig i ny version! Ramverket CYFUN som utvecklas av den Belgiska motsvarigheten till MSB finns nu i version "2025" . Man skulle lite slarvigt kunna jämföra ramverket med MSBs "Cybersäkerhetskollen" fast på stereoider. I Belgien antas man uppfylla kraven enligt NIS2-direktivet om man visar att man uppfyller skattningarna i CYFUN. Ramverket bygger till stor del på NIST CSF 2.0 men har utvecklats för att ställa tydligare frågor. Jag har använt en tidigare version och tyckte den var bra även om det är enormt mycket jobb att hantera hela ramverket - speciellt på de högre nivåerna! Även om du inte är Belgare så kan tänket i ramverket vara användbart som stöd i det egna säkerhetsarbetet. Den nya versionen ska dessutom ha mycket större fokus på OT. Jag har inte kontrollerat vad detta betyder i praktiken, men det låter ju lovande. Poolen i polen blev hackad! Det har varit en hel del uppståndelse kring attacken mot en norsk vattenkraftanläggning tidigare i år. I det allmänna mediabruset kanske vi inte alltid uppfattar att detta sker även på andra platser i vår närhet, exempelvis Polen. I en artikel från United 24 media beskrivs liknande händelser där. I listan över attacker finns allt från vattenkraft, via vatten och avlopp till angrepp på pooler och fontäner! Här är en artikel från polska CyberDefence24 på samma tema. Testa att stänga av strömmen? Om du är nyfiken på elbranschen och vill dyka ner i tekniska detaljer finns ett intressant github-projekt som beskrivs så här av Pavithran Ganesan som ligger bakom: A complete virtual substation implementation demonstrating IEC 61850 GOOSE (Generic Object Oriented Substation Event) communication between Protection IED and Breaker IED using libiec61850 library. The environment is intentionally self-contained so that control engineers and OT security teams can explore how GOOSE behaves, how permissions impact data sharing, and how adversarial conditions might disrupt coordination without touching production infrastructure. Det är en väldigt begränsad miljö som simuleras men det kan vara intressant för den som vill lära sig mer! Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en riktigt fullproppad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången slår jag ett slag för att ha så låg säkerhet som möjligt, berättar att det plötsligt är bråttom att installera en nio år gammal (!) uppdatering och så tittar jag vidare på nätverkstappar! Du får också nyheter om IEC 62443 som blivit nationell standard, att MSB organiserar OT-säkerhetsutbildningar och cybersäkerhetskonferens men att FRA kanske tar över NIS2, nya besked från EU om NIS2, och kloka tankar kring inventariehantering, USB-skydd, riskdrivet OT-säkerhetsarbete, segmentering, farliga anläggningar, hamnsäkerhet och varför produktleverantörernas säkerhetsråd kanske inte alltid rimmar perfekt med IEC 62443. Jag berättar också vad prickskyttar och aktivister har gemensamt. Mycket nöje! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! IEC 62443 är nu nationell standard för OT-säkerhet! IEC 62443 har blivit nationell standard för OT-säkerhet! Ja, åtminstone om du bor i Australien... Så sägs det i en rad artiklar som jag läst på sistone. De slår upp det som en stor nyhet men jag hittar faktiskt ingenting som säger att det är ett "officiellt" beslut. Det är organisationen "Standards Australia" som har uttalat sig om detta och de verkar ha ungefär samma status som SIS i Sverige. Det betyder i så fall att standarden har fått samma status där som den redan haft i ett antal år i Sverige. Det handlar om att när CENELEC publicerar EN-versionen av standarden så måste Sverige, via SIS, publicera samma text i en SS-standard. (CENELEC är en av de tre officiella standardiseringsorganisationerna för EU.) Så, grattis Australien, men egentligen kanske ingenting som vi kanske blir så impade av från Sveriges sida. Men det är kul och ett bra steg att etablera vår kära standard på bredare front! Förhoppningsvis är det ett första steg på en resa i linje med vad Dan Underwood beskriver i en artikel nyligen. Har du koll på era prylar? Samarbetet mellan cybersäkerhetsmyndigheter i Australien, USA, Kanada, Tyskland, Nederländerna och Nya Zeeland fortsätter leverera intressanta resultat. Nu har vi fått vägledning till asset-hantering i OT-världen . Att ha en stark inventariehantering är de flesta överens om är avgörande för allt vettigt säkerhetsarbete. Tyvärr är det inte så enkelt som man kan tro, speciellt inte om man siktar på att hålla en hög datakvalitet över tid. En engångsinventering kan de flesta klara - men att löpande se till att man har rätt information kan vara riktigt klurigt! I takt med att allt fler fokuserar på att bygga ett risk-drivet arbete blir behovet att rätt information ännu större, inte bara att ha koll på prylarna, utan även hur de används i produktionen! Det är ett vettigt dokument som innehåller mycket godis trots att det bara är 31 sidor stort. Missa inte bilagorna där du får förslag på vilka typer av information du bör överväga att hantera men även specifika rekommendationer för El, Vatten och Olja-Gas. FRA tar över NIS2 från MSB! Nu har vi fått resultatet från utredningen  som tittat på hur Sverige kan samla sina cybersäkerhetsresurser på ett smartare sätt än idag. Kontentan är att det mesta som MSB tidigare sysslat med flyttas till FRA. Det finns mängder av detaljer att läsa i den 237-sidor långa utredningsrapporten. Några av de största punkterna i utredningens förslag är: Personal och verksamhet flyttar 1 juli 2026 och till nya lokaler ett par år senare. Samma dag som verksamhetsövergången börjar också ett antal ändringar i lagar att gälla kring sekretess, skydd av personuppgifter och myndigheternas uppdrag. Alla verksamheter som har med cybersäkerhet, informationssäkerhet och cyberincidenter att göra föreslås flyttas, vilket även inkluderar CERT-SE som är Sveriges nationella CSIRT och därför ska ta emot incidentanmälan enligt NIS2. Några verksamheter som ligger nära cybersäkerhet blir kvar på MSB, exempelvis: säkra kommunikationstjänster, beslut om tilldelning av signalskyddssystem och uppdrag inom EUs rymdprogram. Att samla dessa resurser tycker jag personligen är väldigt bra och viktigt! Men man kan ju samtidigt inte låta bli att oroligt undra hur smidigt detta kommer gå mitt under införandet av NIS2 i Sverige? Inte minst när man ser att en stor andel av de berörda hos MSB nu är ute och öppet söker nya jobb... En annan klurighet är hur incidenthantering för CER-direktivet ska hanteras på ett effektivt sätt när ansvaret har insamling av NIS2-incidenter flyttas till FRA. Här vill det till att göra det enkelt och tydligt för de verksamheter som drabbats av incidenter! USB i OT? Amerikanska myndigheten NIST har publicerat en draft av ett informationsblad "NIST SP 1334" kring hantering av USB i OT-världen. Det är "National Cybersecurity Center of Excellence" (NCCoE) inom NIST som ligger bakom ett initiativ kallat " NCCoE Operational Technology Security Series ". Den här guiden är först ut bland en rad kommande rådgivningsdokument som ska rikta sig till tillverkande industri. Det ska bli spännande att se vad som kommer härnäst även om jag ärligt talat inte blev så imponerad av innehållet. Det var bra och korrekt men inte direkt något som var specifikt för tillverkande industri, men det finns förstås en poäng att framöver ha ett antal dokument som tillsammans är målgruppsanpassade. Vi ska ha så låg säkerhet som möjligt! En åsikt som jag ofta hör från de lite mer idealistiska vännerna i säkerhetsbranschen är att de är besvikna på ambitionsnivån i svenska organisationer. Det kan vara "Varför de inte vill vara bäst i branschen på cybersäkerhet?" eller "Säkerhet är ju det viktigaste vi har?" Jag brukar kontra med ett citat från en styrelseordförande som jag frågade vilken säkerhetsnivå hens organisation borde ha: "Vi ska ha så lite  säkerhet som möjligt - men inte FÖR lite !". Det är precis det som är den viktiga utmaningen, att ha rätt säkerhet, snarare än så mycket säkerhet som möjligt! I de flesta organisationer är cybersäkerhet faktiskt med rätta inte den viktigaste frågan! Om man på allvar tror att en organisation har obegränsat med resurser att lägga på säkerhetsåtgärder så kommer man alltid bli besviken! Det finns förstås tillfällen när man direkt kan tjäna pengar på bättre säkerhet och de stunderna ska man självklart ta vara på - man får mer säkerhet till en negativ kostnad. Men det händer inte så ofta i praktiken... Det talas allt mer om risk numera och inte inte fullt lika mycket om säkerhet. I alla moderna standarder, som ISO 27001 och IEC 62443, pratar man om att säkerhetsarbetet ska styras av riskanalyser. Samma sak i lagkraven, som NIS2, CER och CRA. I NIS2-direktivet gick man till och med så långt att man valde ordet "Riskhanteringsåtgärder" istället för "Säkerhetsåtgärder", vilket även den svenska SOU-utredningen använde. Nu när lagrådsremissen för Cybersäkerhetslagen har dykt upp, så har man återvänt till samma begrepp som används i den existerande NIS-lagstiftningen, nämligen "Säkerhetsåtgärder" - ett val som jag tycker är vettigt! På LinkedIn och i andra forum diskuteras det en hel del kring hur man ska göra sina riskanalyser, vilka hot man ska bry sig om och hur man mäter risk. En fråga som jag tyvärr tycker kommer bort lite är VARFÖR vi ska jobba med risk? En riskanalys har ju inte något egenvärde, så vad ska vi ha den till? Min poäng är att nyttan med riskstyrt säkerhetsarbete är att det ger oss möjlighet att ta kloka beslut om vilka säkerhetsåtgärder som vi inte ska lägga resurser på! Seriöst säkerhetsarbete handlar om att ta hopplöst svåra beslut, framför allt kring vilka kända risker som man inte ska göra någonting åt - trots att de är viktiga. För det är ju precis just detta som man måste göra för att kunna lägga de få resurser man har på sånt man bedömer är viktigare! Och det är ju naturligtvis här som riskanalys har en helt avgörande roll att fylla! Med det behovet i bakhuvudet, hur gör man då en riskanalys som blir meningsfull? Det är lätt gjort att man springer iväg och gör en klassisk BIA-analys eller kanske analyserar var enda tänkbar otrevlig händelse som kan inträffa. Kanske försöker man hitta på en sannolikhet för alla dessa otrevliga händelser och inser att det är väldigt svårt... Personligen har jag otroligt svårt för klassiska riskworkshops. Det har jag skrivit om förut, man ägnar alldeles för mycket tid åt meningslösa diskussioner kring varför ryssen skulle vilja oss illa, varför det är 4% procents sannolikhet att få ransomware och inte 2% eller vad betyder egentligen "Medium konsekvens"? Men samtidigt tycker jag att det är otroligt viktigt att bedöma sina risker så att man kan göra så bra prioriteringar som möjligt - en svår kombination... Det finns en radda olika sätt att tänka kring riskbedömningar. Den absolut vanligaste metoden är förmodligen att man hittar på en massa potentiella risker och sedan försöker ge dem en sannolikhet och en konsekvens var. Resultatet hamnar i en matris med en massa rutor för att man ska få en grafisk överblick. Det är en metod som kan kännas väldigt enkel och tydlig men som tyvärr sällan ger speciellt meningsfulla resultat... I förra nyhetsbrevet skrev jag om att använda den klassiska ingenjörsmetoden FMEA som grund för den här typen av riskanalyser. En tanke som jag tycker är väldigt smart, inte minst kopplat till begreppet "Upptäckbarhet" som är lätt att koppla till säkerhetsåtgärder för detektion. En annan variant som jag skrivit om flera gånger förut är CCE där tanken är att man på ett systematiskt sätt fokuserar på att bygga bort de absolut värsta konsekvenserna mer eller mindre utan att titta på sannolikheterna. En väldigt kraftfull metod, speciellt när konsekvenserna inkluderar dödsfall, miljöskador och totala haverier. På senare tid talas det allt mer om att ersätta sannolikhetsbedömningar med bedömning av "Credibility", alltså hur "Trovärdig" en risk är. Metoden får en del kritik för att den känns lite väl godtycklig, vilket jag personligen tycker är lite orättvist - de flesta av dessa sätt att göra riskanalyser bygger på väldigt subjektiva bedömningar. Vill man bli mer objektivt analytisk så får man välja någon av alla kvantitativa metoder, som FAIR, Monte Carlo Simuleringar, LOPA eller kanske någon Bayesisk metod. Andrew Ginter är en av de röster som uppmuntrar oss att använda "Credibility" och Sinclair Koelemij är en av de som har invändningar . Kenneth Titlestad från Omny besökte Andrews podcast nyligen och kom in på den här frågan. Oavsett vilka metoder vi väljer så lär våra subjektiva bedömningar ofta vara väldigt viktiga. Här får man tänka sig för så att man har med sig tanken "vad blir konsekvensen för säkerheten om jag bedömer risken fel?". Riskarbete och säkerhetsarbete kommer sällan vara en exakt vetenskap och det måste vi fortsätta ha respekt för! MSBs OT-säkerhetskurser är tillbaka! Riktigt kul att se att MSB nu har öppnat anmälningarna för nästa omgång utbildning med koppling till OT-säkerhet. Det finns en " Grundkurs i säkerhet i industriella informations- och styrsystem " men också " Praktisk incidenthantering i industriella informations- och styrsystem ". Båda är gratis och genomförs på plats hos FOI i Linköping under fyra dagar i oktober respektive september. Det finns många platser kvar, men det här är extremt populära kurser så se till att tydligt motivera varför just du ska gå! MSBs Cybersäkerhetskonferens är också tillbaka! Den 20:e och 21:e oktober kör MSB tillsammans med NCSC/FRA sin Cybersäkerhetskonferens igen, in och anmäl dig direkt - du kan vara på plats i Stockholm eller på distans. (Eller en kombination om du vill...) En god gissning är väl att det kommer bli mycket NIS2 på agendan i år... Starkt stöd kring risk-baserat OT-säkerhetsarbete Branschorganisationen VDMA har publicerat ett spännande dokument kring tillämpat riskarbete i OT-världen, med titeln " Applied Risk Management for Plant Operators & Asset Owners: Quick Start ". Det är ett matigt dokument som kan vara väldigt användbart i praktiken! Förutom generell klokskap får vi väldigt specifika tips kring hur man utvärdering konsekvenser, hur hotet ser ut och hur man prioriterar sina åtgärder. Det här är bra! Att tänka kring segmentering? I ett mycket kort inlägg ger Sinclair Koelemij oss fyra perspektiv som är värda att ha med när man funderar på hur vår segmentering ska göras. Riktigt klokt! Citat direkt från texten: Asset-Centric (physical and logical boundaries): Aligns with the IEC 62443 segmentation model, grouping assets like sensors, actuators, controllers, and networks by common security characteristics across Purdue levels (e.g., 0-3, up to the DMZ). Data-Centric (information and service flows): Captures functional aspects through dynamic data flows, services (e.g., OPC/Modbus protocols), and storage locations like databases or repositories. Segments based on data architecture and service / application characteristics via DMZs/conduits to secure information movement. Control-Centric (functional authority mapping): Examines control proximity, points from where one can influence consequences, focusing on decision-making in control loops and automation (e.g., BPCS/SIF). Isolates elements (e.g., ICS Levels 1-2) with measures like authentication/whitelisting to avoid disruptions from exploited interdependencies. Risk-Centric (impact-driven isolation): Evaluates failure impacts (e.g., safety hazards, production loss). Segments by severity using HAZOP/LOPA; integrates layers for risk prioritization. Klara(re) besked från EU! EUs cybersäkerhetsmyndighet ENISA släppte under sommaren en teknisk vägledning kring NIS2. Den tar fokus på den genomförandeförordning som man släppte i höstas och som bara berör verksamheter inom exempelvis IT-drift, säkerhet, DNS-tjänster mm. ( Jag skrev om detta senast i nyhetsbrev #65 .) Strukturen är samma som i genomförandeförordningen, det är 13 områden som man ska ha ordning på. Texten är precis som tidigare inte skriven som ett "facit" (vilket är bra!), men vi får både vägledning kring vad som är viktigt att tänka på för respektive krav och många bra exempel på "bevis" för att man faktiskt följer kraven. Det är alltså inte en teknisk checklista på vad som krävs, vilket i mina ögon är helt rätt! Ska säkerhetsarbetet vara riskstyrt så måste verksamheten själv avgöra vilka lösningar som är rätt för den! Även om din verksamhet tillhör någon annan NIS2-sektor och därför inte berörs direkt av det här dokumentet så är det ändå en guldgruva för att förstå vad ENISA tycker är en rimlig kravnivå! Riktigt användbart! Ännu fler klara besked från EU! Samma dag som ovanstående vägledning släpptes fick vi även ett annat dokument från ENISA: " Cybersecurity roles and skills for NIS2 Essential and Important Entities "! Även detta dokument är kopplat till NIS2, men i det här fallet är det ett helt otekniskt dokument. Det är en mappning av vilka kompetenser och roller som rimligen krävs för att kunna uppfylla NIS2. Mappningen är baserat på något som heter " the European Cybersecurity Skills Framework (ECSF) ". Om du ska bygga upp en NIS2-organisation så är detta viktig läsning, men även det finns även en annan liten godbit här - man beskriver två tydliga användningsfall där NIS2-kompetens behövs: Implementation av riskhanteringsåtgärder och Implementation av incidenthantering. Väl värt att läsa som inspiration för det egna arbetet! Fortsätt kika in i nätverket! I förra nyhetsbrevet skrev jag om den trevlig bekantskapen ProfiShark 1G från Profitap . Den här gången blir det ytterligare två spännande prylar från Profitap, en C1D-1G  och en C8P-X2 . Den första, C1D-1G, är en "klassisk nätverkstapp" i ett format som passar bra i OT-sammanhang ute i en anläggning, den har DIN-fäste och dubbla 24 Volts anslutningar. Men att den är liten och tålig gör förstås att den går att använda som portabel tap för felsökning även om jag personligen hade föredragit en ProfiShark för det behovet. C1D-1G kopierar trafiken som passerar igenom den på "Network-portarna" till "Monitor-portarna". Tänk på att denna typ av tapp har två utgångar och att båda måste användas! Gigabit länkar är i praktiken alltid "full duplex", dvs de skickar trafik åt båda hållen samtidigt. Den sammanlagda mängden data som kan överföras är alltså 2 Gb/s! Eftersom Monitor-utgångarna har samma hastighet som ingångarna kan alltså inte all trafik skicka ut på en och samma port. Tappen kopierar därför nätverkspaket som kommer in på Network-port A till Monitor-port A och motsvarande för B-portarna. Fördelen med detta är att du kan se exakt samma händelser som sker på nätverket, men den uppenbara nackdelen är att du måste ha två ingångar på din analys-utrustning. Vill du att all trafik ska "slås ihop" på en port behöver du en aggregations-tapp, exempelvis C8P-X2 som vi tittar på strax! Den har "-1G" i namnet vilket hintar om att den kan hantera gigabit-nätverk. Den har en lillasyster som heter "C1D-100" som är att föredra om man enbart ska hantera 100Mb/s. "Vadå föredra? Den snabbare klarar väl lägre hastigheter också?" tänker du kanske? Och det är sant - men här finns något viktigt och grundläggande att komma ihåg; Upp till 100Mb/s kan en nätverkstapp vara helt passiv och det är en stor fördel eftersom den inte stör nätverkstrafiken om den själv tappar sin strömförsörjning. Från 1Gb/s och uppåt krävs aktiv hantering av signaleringen på kablarna vilket gör att en tapp orsakar ett avbrott i nätverkstrafiken om den "dör". Det finns lite olika sätt att hantera detta i professionella tappar, i C1D-1G, har man använt extremt snabba reläer som kopplar samman nätverksportarna fysiskt om enheten tappar strömmen. Det innebär att avbrottet blir extremt kort! En gigabit-tapp måste därmed vara mycket mer komplex (och dyrare) än en tapp som nöjer sig med 100 Mb/s! Ett annat tecken på att vi har en proffsig produkt i händerna är att man sett till att man inte av misstag kan injicera nätverkstrafik "bakvägen" från monitorportarna till nätverksportarna. Profitap kallar det "network data diode function". En viktig och ofta underskattad funktion! Det här en relativt enkel produkt men som gör exakt det den ska och gör det på ett väldigt stabilt sätt! Om man övervakar en PoE-länk så fungerar det utan problem. Det finns en rad varianter av produkten, exempelvis utan DIN-fäste, med 48 Volts matning och en variant med inbyggt batteri för att minska risken för störningar ytterligare. Om vi går över till C8P-X2 som i produktbladet kallas "Booster In-Line Dual Output Gigabit Copper Aggregation TAP". Om vi jämför med C1D-1G så märker vi direkt ett antal skillnader och likheter i vad den erbjuder: Istället för att övervaka en enda nätverkslänk kan den hantera upp till fyra stycken gigabit-länkar. Det är en aggregerande tapp, vilket innebär att all trafik "slås ihop" och skickas ut på en gemensam port. Den har två SFP+-utgångar, vilket innebär att all trafik kan tas ut i två kopior och direkt skickas till två olika analysverktyg - exempelvis en IDS och en felsökningsstation. Tack vare SFP+ kan kan man valfritt använda fiber eller koppar och i hastigheter upp till 10 Gb/s. Notera att den maximala trafikmängden teoretiskt sett kan bli 2Ms/s * 4st = 8Gb/s, så för att vara säker på att man inte tappar trafik så krävs 10Gb/s på utgångarna. Tack vare den slår ihop trafik från fyra länkar kan man välja att "märka" trafiken med en fejkad VLAN-taggning. Smart! Det finns likheter med C1D-1G också: den har dubbel spänningsmatning, den släpper fram PoE-kraft och den har datadiod-funktion. Den finns också i en rad andra varianter. Den jag har är en portabel variant, men den finns även i en rackmonterad variant där tre stycken kan monteras i en 1U-hög ram. Den finns med en eller två utgångar. Det finns också en extremt användbar variant som inte är en tapp utan som "tar emot" åtta (!) stycken länkar från andra enheter - typiskt SPAN/Mirror-portar. (Den har dessutom SFP-portar så den kan även ta emot fiber!) C8P-X2 fungerar direkt, utan någon konfiguration eller speciella drivrutiner. Vill man konfigurera eller uppdatera den ansluter man till en USB-port ger en simulerad serieport. Konfiguration görs med enkla text-kommandon. Konfigurationen handlar enbart om VLAN-taggning av trafiken för att hålla ordning på varifrån den kommer. Det är användbart, men om du inte behöver funktionen behöver du alltså inte göra någon konfiguration alls! Som ett exempel kan man låta all trafik på port 1 taggas med VLAN 4001 och sedan får respektive port efter det 4002, 4003 osv. Man kan hantera både 802.1q och 802.1ad så även trafik som redan är taggad kan hanteras! Vid analys kan man sedan avgöra varifrån ett paket kommer genom att filtrera på VLAN. Smidigt! Jag tycker personligen att nätverkstappar är en underskattad teknik som borde få mer uppmärksamhet och användas oftare. De lite enklare tapparna kan ibland bli lite begränsande, men moderna aggregationstappar i stil med C8P-X2 gör det nästan oväntat enkelt att samla in rätt nätverkstrafik för både säkerhetsfunktioner och för felsökning. I och med att även trasiga nätverkspaket skickas vidare får man en bra insyn i vad som verkligen händer på nätet! Tillsammans med centraliserad logginsamling och aktiv inventering av nätverksenheter är passiv insamling av nätverkstrafik de tre grundpelarna i en robust säkerhetsarkitektur för OT! OT-säkerhet räcker inte! Sinclair Koelemij beskriver i en artikel varför "bara" OT-säkerhet inte räcker för att uppnå formella krav på att göra allvarliga incidenter osannolika i potentiellt farliga anläggningar. Läs hans korta men kloka artikel . Hur gör man verklig skillnad? Danielle Jablanski beskriver i en bra artikel hur man lätt hamnar i bortkastade försök att minska sannolikheten för att kända sårbarheter kan komma att användas, när det ofta finns bättre sätt att komma åt konsekvenserna av en incident, oavsett vilken sårbarhet som faktiskt användes. Uppgradera genast till en 9 år gammal firmware tack! ABB har väckt lite uppmärksamhet när de nyligen annonserade en sårbarhet i en MODBUS-server som man hittar i deras PLC "AC500 V2". Det var inget konstigt med sårbarheten i sig, det som väckt intresse var istället den rekommenderade åtgärden. Man rekommenderas nämligen att installera en ny firmware, version 2.5.3 eller senare. Det intressanta är att version 2.5.3 släpptes 2016, alltså för nio år sedan! Slutsatsen som många drog var att ABB hållit informationen om denna sårbarhet hemlig i nio år, vilket förstås ser lite "märkligt" ut. Transparens kring sårbarheter är ju viktigt och är ett lagkrav i allt fler länder - inte minst tack vare CRA i EU. Jag har inte hört någon officiell kommentar från ABB, men min personliga misstanke är att sårbarheten faktiskt är nyupptäckt. Att den "åtgärdades" 2016 var gissningsvis en oavsiktlig konsekvens av att någon annan ändring gjordes. Eller så städar man faktiskt i gömmorna och hittar tidigare oannonserade men åtgärdade sårbarheter? Om du vet mer får du gärna höra av dig! mats@ot-sakerhet.se. Var hamnar hamnars säkerhet? CCDCOE är en cybersäkerhets-organisation inom NATO, "NATO Cooperative Cyber Defence Centre of Excellence". Under sommaren presenterade de en " Policy Brief " där de bedömer hamnars säkerhet och ger rekommendationer kring hur NATO kan adressera dessa hot på ett bättre sätt framöver. Inte för att skrämmas, men... Jag försöker hålla mig borta från den skrämsel-taktik som många produktleverantörer och konsulter envisas med. Det är alldeles för många som försöker sälja sina "universallösningar" genom så kallad "FUD" - Fear/Uncertainty/Doubt. Men samtidigt måste man förstås fundera över vad man möjligen kan läsa ut av förändringar i "bruset". En sådan som känns relativt trovärdig är att hacktivister (alltså hackers som drivs av idealistiska motiv) tenderar att fokusera mer och mer på kritisk infrastruktur - och därmed nästan oundvikligen på OT-systemen som finns där. Ett exempel är en artikel av Cyble som jag såg nyligen... Än så länge upptäcks förhållandevis få attacker mot OT-system. Det som fortfarande är absolut vanligast är när OT-system drabbas indirekt av attacker mot "IT", det är alldeles för vanligt att IT och OT delar både nätverk, servrar, AD, backuper och en massa andra kritiska systemdelar. I min erfarenhet finns sådana svagheter i synnerhet i viktiga verksamheter som dricksvatten och eldistribution på mindre orter. Denna typ av attacker tenderar vara ransomware och får därför väldigt tydliga konsekvenser när de "lyckas". En annan grupp är just hacktivisterna. Än så länge verkar de fokusera på "enkla" mål som är dåligt skyddade. Men i takt med att de blir duktigare och märker att det lönar sig med attacker mot denna typ av mål så kommer vi se "jobbigare" händelser. Även här går det inte att missa när de lyckas, och det är ju oftast hela idén med deras attacker - att skapa uppmärksamhet och försöka få opinionen på sin sida genom att skrämmas. Den typ av attack som jag själv är mest skrämd av är de som inte märks när de lyckas. De som tar sig in men sedan avvaktar tills "läget är rätt". De väntar tålmodigt där som en militär prickskytt som väntar på rätt tillfälle. Och de är lika svåra att hitta när de väl är på plats. När det långt senare är politiskt användbart triggas skadan för maximal effekt! Problemet med dessa attacker är att de inte märks, de hamnar inte i media och därmed blir det svårt att motivera resurser till att förebygga och identifiera den här typen av elakheter! Tricket är som alltid att hitta dem när de är enklare att upptäcka, dvs när de rör sig på väg in i våra system. Det gör vi genom att bygga vår "hemmaplan" på ett sätt är till vår fördel och sedan arbeta aktivt med att hålla koll! Lagrådsremissen är här! Så tog då Regeringen äntligen nästa steg kring NIS2 och överlämnade en remiss för en ny Cybersäkerhetslag till Lagrådet. Personligen tycker jag resultatet blev väldigt bra! Man har valt andra vägar kring vissa saker än vad som utredningen föreslog för ett drygt år sedan. Det finns redan gott om analyser av innehållet på nätet och på LinkedIn så jag nöjer mig med att reflektera över de delar som känns intressantast för en läsare med sina OT-glasögon på sig: Remissen innehåller bara ett förslag till Cybersäkerhetslag som ska börja gälla den 15 januari 2026. Den tillhörande förordningen, som innehåller det som Riksdagen "delegerar" till Regeringen, har vi inte sett ännu. Vill man se ungefär vad den kan komma att innehålla kan man titta i SOU-utredningens resultat . Det innebär att vi exempelvis inte vet hur det kommer se ut med tillsynsmyndigheterna även om det inte finns något som tyder på att man kommer att ändra något i det som utredningen föreslog. Man trycker speciellt på att det inte behövs ett särskilt krav på "Systematiskt och riskbaserat informationssäkerhetsarbete", vilket möts av både jubel och klagomål... Personligen gillar jag det nya sättet att se Cybersäkerhet som paraplybegreppet och tillsammans med allriskperspektivet i lagen så håller jag med Regeringen. Organisationsformen kommunalförbund är vanlig inom exempelvis dricksvatten och nämns nu uttryckligen så att det inte ska vara några tveksamheter om att de omfattas. Man har nu valt att använda ordet "Säkerhetsåtgärder" istället för "Riskhanteringsåtgärder" som det står i direktivet. Ingen praktisk skillnad dock... Man använder fortfarande begreppet "Nätverks- och informationssystem" vilket låter lite extra märkligt i ett OT-öra... Man har tagit tillbaka tanken på att säkerhetsåtgärder ska vara lämpliga. Se mer om detta lite längre ner i texten, det här är viktigt för många OT-verksamheter! Man har lagt till väldigt tydlig sekretess för det som rapporteras in till tillsynsmyndigheter. Det förstås jätteviktigt för att verksamheter ska våga vara öppna med vad som hänt under och efter en incident! Minns du att jag skrev ett personligt svar på försvarsdepartementets remiss för den nya Cybersäkerhetslagen? Nu när vi har fått nästa steg, lagrådsremissen, kan vi se hur lagen börjar "sätta sig". Det visar sig att jag var en av tre privatpersoner som är nördiga nog att skicka in sina åsikter. Hur gick det då med mina sex huvudpoänger i remissvaret? Ja, 33% är väl kanske inte så illa ändå i det här sammanhanget? Kravet om att säkerhetsåtgärder ska vara lämpliga har man tagit tillvara och infört på samma sätt som i direktivets text. Det här är jätteviktigt i exempelvis industriella system där vi inte alltid slentrianmässigt kan införa samma säkerhetsåtgärder som vi är vana vid i "IT-världen". Bra där! Min åsikt om att direktivets sätt att använda ordet "trösklar" för att definiera vilken storlek en verksamhet har är dubbeltydigt har man lyssnat på, nu är lagtexten tydlig! Bra! Däremot fick jag inget gehör för att en hög säkerhetsnivå inte är ett självändamål. Syftet med lagen är fortfarande en hög nivå även om lagkraven pekar på att säkerhetsåtgärder ska vara proportionella mot de risker man vill motverka. Men visst, HÖGRE säkerhet än idag behövs på de flesta ställen... Att man skulle göra något åt den trasiga definitionen av kemikaliesektorn hade jag nog inte trott, det är ju trots allt ett fel man ärvt från NIS2-direktivet. Men det är fortfarande uppenbart att alla verksamheter som använder kemikalier i sin produktion inte automatiskt ska omfattas av lagen. Det är helt uppenbart inte tanken med lagen! Jag hittar inte heller någon öppning för "solcells"-problemet. Alltså det att en stor verksamhet som inte omfattas av lagen plötsligt kommer omfattas till 100% om de skaffar solceller och därmed blir energiproducent. En enda liten solcell räcker... Vi får nog hoppas på att man använder kravet på proportionalitet på något kreativt sätt... Till slut så pekade jag på det delade ansvaret mellan fyra länsstyrelser för tillsyn och föreskrifter. Rimligen borde det samordnas och kravmässigt ensas på något effektivt sätt! Inget gehör här men kommentarer om att myndigheter är skyldiga att samarbeta. Ja, vi får väl se... :-) Ja, nu är det verkligen hög tid för alla som omfattas av NIS2 att bli färdiga med arbetet att få en strukturerad säkerhetsförmåga på plats. Jag vet inte om det har just med lagrådsremissen att göra, men under de senaste veckorna upplever jag en rejäl ökning i antalet organisationer som tagit kontakt för att be mig agera bollplank eller för att "ta tempen på" deras NIS2-arbete. Extra roligt är det att de flesta verkar ta sitt arbete på riktigt stort allvar och att man inte bara ser det som en engångsinsats, utan siktar på att bygga en egen säkerhetsförmåga som ska kunna leverera över tid. Sånt värmer ett konsulthjärta! Det har ibland varnats för att NIS2 kommer skapa en GDPR-liknande rusning efter konsulter. Kanske är det som börjat nu? I vilket fall som helst känner jag och mina kollegor på Sectra Critical Infrastructure oss mer efterfrågade än någonsin tidigare. Extra glädjande är också att allt fler inser att vår MDR-tjänst för säkerhetsövervakning faktiskt är byggd från grunden för att möta kraven som just NIS2 ställer på våra kunder inom kritisk infrastruktur! S4 fortsätter att leverera! S4-konferensen fortsätter trycka ut inspelningar av intressanta föredrag från årets upplaga. Mycket nöje! OT? IACS? ACS? Man måste väl ändå säga att OT har etablerat sig som ett hyfsat känt begrepp även om folk har lite olika idéer om vad det betyder ibland. Ett inlägg av Apurv Leuva påminde mig nyligen om att betydelsen av ord förändras hela tiden. I vår kära standard IEC 62443 används inte begreppet OT utan istället IACS, "Industrial Automation and Control System". Eller... Det har använts fram tills nyligen, numera har man istället börjat inför ACS. "Automation and Control System". Hur påverkas verksamheten av CRA? EUs krav på cybersäkra produkter genom CRA kan tyckas bara påverka tillverkarna. Den alltid lika kloka Sarah Fluchs pekar på indirekta konsekvenser för den som vill utöka sin anläggning framöver. Värt att ha med sig i bakhuvudet! I ett annat inlägg dödar hon ett missförstånd som tydligen finns kring att CRA bara gäller om du har "Remote data processing". Jag har inte stött på den tankevurpan själv men jag kan förstå att det händer... Säkerhet i PCS 7 kontra IEC 62443? River Caudle problematiserar i en artikel kring hur Siemens säkerhetsmanual för PCS 7 gör det svårt att arbeta enligt IEC 62443. Intressanta frågeställningar att ta till sig oavsett vilken produktleverantör man använder sig av. Elektricitet, OT-säkerhet och att skydda skydden... En tänkvärd text från Mandiant (Google Cloud) diskuterar många intressanta vinklar kring OT-säkerheten i vår elförsörjning, med fokus på skyddet av skydden i elstationer... ENISA ger råd till EU... EUs cybersäkerhetsmyndighet ENISA har inrättat en rådgivande " Advisory group " som nyligen publicerade sina åsikter kring hur det gått med implementationen av NIS2 inom EU. De ger 17 rekommendationer som jag i princip håller med om allihop. Mycket handlar om att det blivit väldigt spretigt om man jämför mellan olika länders sätt att hantera den nya lagstiftningen. ENISA och hotlandskapet ENISA har publicerat en metodik för systematisk analys av hotlandskap i olika sammanhang. Mycket användbart för den som vill bli mer metodisk i sådant arbete. På bara 20 sidor får vi en bra genomgång av området. Att mäta OT-säkerhet? Att mäta sitt säkerhetsarbete är viktigt och svårt - det är lätt att mätvärden får ett eget liv och att påhittade mål börjar påverka hur man rapporterar och mäter. Vad som är värt att mäta skiljer ofta en hel del mellan IT och OT, men det finns förstås minst lika stora skillnader mellan olika typer av OT-miljöer. En artikel av Mohammed Adel Saad pekar på en hel del kloka tankar, inte minst just det att mätetal ska hjälpa oss att förstå bra och dåliga trender - inte skapa något slags troféer. Inte en cyberattack - men intressant ändå! För den som är intresserad av elbranschens utmaningar är händelserna i Spanien tidigare i år superintressanta. Vill du dyka i den information som fortfarande växer fram kring vad som hände kan jag verkligen rekommendera att läsa det som Ruben Santamarta skriver på LinkedIn. Det fortsätter att komma intressanta artiklar allt efter hand! Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången förbereder vi oss på Ransomware i OT-miljöer, tittar på MSBs nya ”OT-Säkerhetskollen”, imponeras av NSA som kompletterar IEC 62443, räknar om CVSS för OT-system, funderar på begreppet ”hygien”, läser om AI i kritisk infrastruktur, får massor av klokskap från Nederländerna, läser gratis-standarder, funderar över leverantörskedjor och letar spöken i fastighetsautomation. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Har du koll? MSB släppte nyligen årets version av Cybersäkerhetskollen som numera även innehåller OT-Säkerhetskollen! Min spontana reaktion var att det var väldigt snabbt marscherat eftersom det här var en av sakerna som vår nya nationella cybersäkerhetsstrategi sa skulle produceras fram till 2027. Snyggt jobbat! Jag är försiktigt positiv till hur OT-Säkerhetskollen är utformad, även om jag alltid har lite svårt för listor som indirekt insinuerar att mer säkerhetsåtgärder självklart är bättre - oavsett riskexponering, oavsett kostnad och oavsett om åtgärderna har meningsfull effekt. Men vi ska komma ihåg att syftet med materialet är att skapa en bild i stort av hur det står till i landet och det tror jag det kan passa väldigt bra för. Det ska bli väldigt intressant att se resultatet och jag kommer nyfiket fråga runt bland de som fyller i den hur de uppfattar OT-delen. Du får väldigt gärna höra av dig med dina tankar till mig: mats@ot-sakerhet.se ! För dig som är utvecklare av OT-komponenter! Två organisationer som är nära kopplade till ISA, ISAGCA (ISA Global Cybersecurity Alliance) och ISASecure har tagit fram ett dokument där man mappar ISAs kravstandard för mjukvaru-utvecklingsprocesser ISA/IEC 62443-4-1 mot USAs Secure Software Development Framework från NIST SP 800-218. ISA-standarden är ju helt OT-fokuserad medan SSDF är helt generell så det kan vara en användbar jämförelse. Personligen tycker jag mig se att trenden mot att tillverkare av komponenter och mjukvaror för OT-kunder allt mer satsar på att certifiera sina processer mot ISA/IEC 62443-4-1 och ofta gör motsvarande arbete för själva produkterna - fast då mot ISA/IEC 62443-4-2. I takt med att intresset för leverantörernas del i den totala säkerhetsbilden, exempelvis kopplat till NIS2, så är detta en klok och viktig väg framåt. Det där med hygien? Ett begrepp som jag alltid haft lite svårt för är "Cyberhygien". Jag har inte riktigt kunnat förklara varför jag inte gillade det, men jag tyckte definitivt att det användes väldigt slentrianmässigt och det hintade om en lista med säkerhetsåtgärder som magiskt passar för alla. Dessutom ofta använt med en underton av att det egentligen är ganska enkelt; "om alla bara skötte sin cyberhygien så skulle vi inte ha några cyberproblem". I IT-världen kopplas det gärna ihop med att allt ont som händer beror på användare som är så korkade att de klickar på länkar. Att dålig hygien kan leda till virusinfektioner är förvisso en lite rolig lek med orden! Jag vägrar hålla med om att användares sunda förnuft ska vara vårt viktigaste försvar mot allvarliga tråkigheter eller att samma nivå på hygien ska vara rimliga för alla. Säg åt en HR-person att man inte får öppna bilagor som skickats till dem med mejl... Eller att Bengts Mekaniska AB ska ha samma krav på cyberhygien som kontrollsrumspersonalen på kärnkraftverket i Ringhals... Nu har jag till slut förstått vad jag störde mig mest på med cyberhygien-begreppet! Det som skaver är att man alltid verkar betrakta hygien som förmågan att helt undvika att drabbas av angrepp, men sedan helt glömmer bort förmågan att reagera när något udda ändå är på väg att hända. Det är när man bedriver säkerhetsarbete på det sättet som säkerhetsåtgärderna blir onödigt störande för verksamheten. Det leder ofelbart till att medarbetarna betraktar säkerhetsfolket som besvärliga och gör sitt bästa för att kringgå säkerhetsåtgärderna för att "kunna jobba". Jag menar inte alls att kloka medarbetare eller cyberhygien är dåligt. Hygien i vardagen är viktigt - men det ska vara rätt hygien på rätt plats. Det ställs olika krav på hur jag tvättar händerna och hur en sjuksköterska gör det! Åtgärder som är anpassade efter riskerna kommer respekteras! En patient som löper större risk att drabbas av infektioner kan vi övervaka noggrannare och ta prover oftare! Dessutom vet vi också att även sjuksköterskor blir förkylda, så det finns inga garantier trots hygienen - trots handtvätten gäller det att vara vaksam på symptom och reagera snabbt när de kommer! På samma sätt måste riskhanteringen skilja mellan olika delar av en verksamhet och oftast mellan IT och OT. Den som håller på med förberedelser inför NIS2 just nu har förhoppningsvis gjort begreppet "proportionalitet" till sin bästa vän - just för att kunna fokusera "hygienen" där den är som viktigast! Med den här tolkningen av hygienbegreppet så tycker jag personligen det blir mycket mer användbart och rimligt! AI + Kritisk infrastruktur = ? ISA och Automation.com har tagit fram ett tydligt material som tittar på hur AI (främst generativ AI men även Machine Learning) kan användas inom kritisk samhällsinfrastruktur. Det är skrivet med ett USA-perspektiv och med extra fokus på energi-branschen, men resonemanget går att överföra till andra länder och till andra branscher. Sammanfattningen säger ganska väntat att AI-lösningar inte kan användas i sammanhang där deterministiska lösningar är nödvändiga: Andrew Bochman har publicerat en artikel med hans tankar kring innehållet och lite hintar om vad INL pysslar med i sammanhanget. Kan CVSS användas inom OT? Du är förmodligen bekant med CVSS, The Common Vulnerability Scoring System , som används för att definiera hur allvarlig en sårbarhet är på en skala mellan 0 och 10. Det är förstås en extrem förenkling att beskriva en sårbarhet enbart med en siffra, men samtidigt vill man ju i alla fall att siffran är så meningsfull som möjligt. Roger Hill beskriver i en artikel ett sätt att få CVSS-poäng att passa bättre i OT-världen genom att räkna om dem och ta hjälp av de delar som redan finns tillgängliga i CVSS-definitionen. Väl värt att tänka på för den som jobbar med att prioritera sårbarheter. NSA tänker till om PLC:er på ett riktigt intressant sätt! NSA i USA har publicerat en teknisk rapport med titeln: " Smart Controller Security within National Security Systems " som var oväntat intressant! De har gjort en analys som utgår från kraven i NIST SP 800-53 Rev. 5 och mappade dem mot kraven i IEC 62443-4-2. Man utgick från de lagkrav som gäller för system med nationell säkerhetspåverkan i USA och mappade dem mot nivå SL-3. De komponenter man har haft i åtanke är "Smart Controllers", vilket man definierat som PLC:er och andra controllers som har "avancerade" förmågor. Det kan vara mer beräkningskraft för realtidsanalys, utökade kommunikationsmöjligheter och dataanalysförmågor, "Edge computing", direkt i den enskilda controllern. Det man kom fram till var att 74 krav från 800-53 var relevanta i det här sammanhanget, men det intressanta var att man hittade 13 som inte togs omhand i 62442-4-2! Som lösning har man helt enkelt föreslagit nya krav. (1 st CR och 5 st RE) Resultatet kommer användas för deras test-processer men har också skickats till ISA för att tas omhand i kommande uppdateringar av standarden. Som du kan se i tabellen var det en rad säkerhetsåtgärder, från helt olika områden, som man identifierade. Kul och seriöst sätt att utveckla standarden! Tack NSA! Om jag förstått det rätt är förresten det här definitionen av ett National Security Systems (NSS): Där får man ändå ge USA lite cred för att man tagit ett bra grepp kring OT-säkerheten i lite mer "utmanande" systemlösningar, inte minst de som är inbyggda i vapensystem. Jag vet av egen erfarenhet att regelverk inom militär verksamhet annars tenderar att fastna lite vid att skyddet av känslig information är det enda viktiga i världen... Alltid redo? Lesley Carhart har skrivit ett utmärkt whitepaper kring hur man förbereder sig inför Ransomware i sin OT-miljö som är publicerat via SANS. Man kan definitivt häva att det finns andra typer av attacker som enklare kan få riktigt allvarliga konsekvenser, men ska man fokusera på vad som är mest troligt i de flesta verksamheter så är det utan tvivel ransomware. Det kanske inte är avsett att drabba OT-verksamheten i sig men det brukar lätt bli produktionspåverkan även om det "är IT som egentligen drabbats". Är man förberedd för just ransomware så kommer man på köpet att ligga mycket bättre till även när andra typer av incidenter inträffar, även om de inte orsakats av någon illvillig hacker! Sista ordet kring CIA-triaden i OT-världen! Den person som jag refererar allra oftast till i nyhetsbrevet är Sinclair Koelemij, som trots sin pensionering (eller kanske tack vare?) fortsätter producera artiklar som jag ofta önskar att jag skrivit själv. Den här gången sätter han punkt för diskussionen kring varför Confidentiality/Integrity/Availability passar dåligt i OT-världen och varför Controllability/Observability/Operability är en mycket listigare trojka av ord. Det hade räckt där, men sedan följer han upp med ytterligare en artikel med ett riktigt klokt ifrågasättande av hur vi definierar begreppet "OT"! Själv brukar jag ibland roa mig med att försöka provocera folk lite genom att säga att "IT är systemen som stöttar verksamheten, men OT är verksamheten". Sinclair tar den tanken och vrider den ett varv till genom att flytta fokuset för vad OT är, från system och komponenter till den fysiska processen - där den förstås hör hemma. Han argumenterar för sin syn med en radda positiva effekter som detta synsätt ger oss i vårt sätt att arbeta med risk. Och när han redan var igång så fick vi dessutom en artikel med kloka insikter kring hur CRA-förordningen påverkar automationsbranschen . Exempelvis pekar han på de kluriga gränsdragningar som systemintegratörer kommer behöva hantera. Spännande! Jag kan bara säga "Läs!". Och tack till Sinclair! Läs EUs standarder gratis! En viktig del när EU skapar så kallade "Harmoniserade standarder" är att de ska vara tillgängliga gratis. Hur man gör det beror lite på vilket land man befinner sig i, men man kan alltid hitta rätt via https://harmonized.standards.eu/ . Är du i Sverige så kommer du till slut hamna hos SIS där du kan registrera dig och komma åt CEN- och CENELEC-standarder. De här standarderna kommer bli allt viktigare framöver. Närmast framöver kommer du höra om dem allt oftare i samband med det uppdaterade Radiodirektivet och sedan även CRA-förordningen. Dags att se över EUs sätt att arbeta med cybersäkerhet? EU-kommissionen efterlyser nu dina åsikter kring hur man kan utveckla arbetet med cybersäkerhet inom EU. Det handlar om CSA, "Cyber Security Act" som ligger till grund för bland annat ENISA, EUs cybersäkerhetsmyndighet, men också allt arbete som pågår med bland annat certifieringskrav. Man verkar tänka stort och öppet vilket syns i att man formellt överväger fyra radikalt olika vägval: Har du en åsikt om detta så är det dags att säga ifrån nu ! Bli min kollega! Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet! Vi söker i hela Sverige ! Uppdatering till sjöss! IMO, som är FNs organisation för sjöfart är på väg att släppa en uppdaterad version av sina rekommendationer kring cybersäkerhet . Den enes kund är den andres leverantörskedja En gammal fråga, inte minst inom OT-världen, är hur vi ska se på säkerheten hos våra leverantörer. Den har blivit extra mycket i fokus på senare tid tack vare NIS2-direktivet och CRA-förordningen. När det gäller NIS2 så handlar ju den i grunden om att samhället nu ställer krav på "cyber-resiliens" i samhällets egna leverantörskedjor; den som levererar något som samhället är beroende av behöver se till att både egen cybersäkerhet och underleverantörernas cybersäkerhet möjliggör stabila leveranser även under säkerhetsincidenter. Det har dykt upp ett antal tjänster på marknaden som hjälper organisationer att följa upp cybersäkerheten hos deras leverantörer. I alla de exempel som jag har tittat på handlar det om att leverantören får självskatta sina förmågor utifrån ett antal frågor; "Har ni en säkerhetspolicy?", "Använder ni MFA för remote access?" och så vidare. Jag tycker det i grunden är positivt att dessa tjänster dyker upp eftersom det kommer sätta ljus på den oerhört svåra fråga som leverantörsuppföljning faktiskt är, i synnerhet när det handlar om säkerhetsfrågor! Däremot är jag skeptisk till att dessa tjänster verkligen ger en sann bild av den samlade riskprofilen för ett företag - men det är en diskussion för en annan dag... En insikt jag fått i dessa diskussioner är att nästan alla missar sin egen roll i samhällets leverantörskedjor - det blir väldigt mycket fokus på att jaga underleverantörerna, men mycket mindre på att bedöma vilka risker den egna organisationen orsakar för kunderna och samhället! Detta blir dessutom rörigt när NIS2 kommer på tal eftersom många verkar missförstå hur kraven därifrån "drabbar" organisationer och underleverantörer... När man börjar fundera över detta blir det snabbt tydligt hur snabbt det blir väldigt komplext när man tittar på leverantörskedjor. Jag ritade den här bilden för att försöka göra det lite begripligt. Det blev det nog inte... (Om du lätt får ont i huvudet så kanske du ska sluta läsa här...) Orange pilar symboliserar leverans av någonting från en leverantör till en kund och en leverans är alltid kontraktsmässigt kravställd, vilket visas som gröna pilar. Lila pilar är samhällets NIS2-krav på leverantörer. Samhället är ju en lite speciell kund som kan ta många skepnader men jag ritar den som en stor kund för enkelhetens skull. Det man snabbt inser är att om leveransen flödar i de orangea pilarnas riktning så flödar kundens krav på leveranserna åt andra hållet, enligt de gröna pilarna. Man inser också att NIS2-krav och leveranskrav kan vara (och ska vara) helt olika saker. I min modell har jag fyra olika exempel på leverantörer. I verkligheten är det förstås oerhört mycket mer komplicerat, men det här får räcka för mitt resonemang. Det blir nog stökigt ändå! A och B omfattas av NIS2, medan C och D inte gör det. En viktig insikt som man ser direkt är att en organisation kommer få krav från flera olika håll samtidigt beroende på vilka kunder den har. Det är rimligt att anta att dessa krav ställs på olika sätt och med olika nivå så arbetet att se till att man kan leva upp till allihop kan bli utmanande... Det är just den här rörigheten och utmaningen kring varifrån kraven kommer som jag vill försöka reda ut här. Jag hör tyvärr fortfarande ofta resonemang i stil med: "Vi omfattas av NIS2 och som leverantör till oss så måste ni också uppfylla NIS2" Om du frågar mig är det ett riktigt dåligt sätt att ställa krav på sin leverantör. Det leder inte  till att kunden uppfyller sina egna åtaganden kring leveranstörskedjan enligt NIS2! Hur träffas då de fyra typ-organisationerna av kraven? Organisation "A" A omfattas själv av NIS2 och kommer därför träffas av krav "direkt från samhället", de lila pilarna i bilden. Här gäller det att ta till sig tänkesättet i NIS2 - att förstå vilka risker man utsätter både sig själv för, men också samhället, så att man kan ta hand om riskerna på ett "proportionerligt" sätt. Fokus ska vara på att kunna producera även om man utsätts för attacker eller drabbas av andra typer av incidenter! A kommer också få krav på sig som en del av respektive leveranskontrakt, de gröna pilarna. En utmaning blir då att kombinera dem med NIS2-kraven. En komplikation för vissa organisationer är om de är verksamma i flera NIS2-sektorer och kommer då träffas av föreskrifter från flera olika tillsynsmyndigheter. Det är ännu oklart hur mycket möda myndigheterna kommer lägga på att synka sina krav med varandra. Om A dessutom själv är kund till B eller C så behöver man ställa rätt krav på dem utifrån sin egen verksamhet och sin egen samhällspåverkan. Se mer nedan. Organisation "B" B är väldigt lik A med skillnaden att B även drabbas av krav från A. De kraven utgår ingår i As arbete med att själv uppfylla NIS2-kraven. Här är det viktigt att inse det är inget som säger att kraven som A ställer på B ska vara samma som ställs på A från NIS2! De kan vara hårdare eller snällare. Man kan mycket väl tänka sig att B är extremt viktig för att A ska kunna producera och då kan det vara rimligt att ställa högre krav i sina kontrakt med dem än vad NIS2 kräver! Organisation "C" C har förvisso leveranser till samhället, men tillhör inte en sektor som omfattas av NIS2. Det innebär att eventuella säkerhetskrav i leveranserna direkt till samhället kan bli lite vad som helst, men man kan ju misstänka att kraven efter hand börjar likna dem som "drivs fram " av NIS2. C levererar också till NIS2-organisationen A enligt pilen 6. Även här måste A ställa rätt krav utifrån sin faktiska verksamhet, istället för att blint peka på NIS2. Organisation "D" D liknar mycket C. De kan dessutom beröras av att A, på grund av NIS2, ställer krav på att C i sin tur måste ställa relevanta krav på sina egna leverantörer. Beroende på hur duktig C är på riskanalys och kravställning kan det bli mer eller mindre bra för alla inblandade... Ja, som synes blir det snabbt komplicerat och det kan vara mycket att hålla rätt på. Några grundläggande tips kan man sammanfatta till: Oavsett om du eller din leverantör omfattas av NIS2 så bör ni alltid ta fram era egna krav utifrån era egna risker. En viktig del är sedan att säkerställa att de kraven dessutom hjälper er uppfylla alla krav ni själva får på er utifrån. Omfattas ni av NIS2 så handlar kraven därifrån främst om att förstå risker som uppstår runt er produktionsförmåga och att ni ska fokusera på att hantera de viktigaste riskerna. Har ni fysisk produktion så lär OT-säkerhet hamna väldigt högt upp på prio-listan! Ta gärna hjälp av kommersiella verktyg för att följa upp hur era leverantörer uppfyller säkerhetskraven, men glöm inte att nivån på kraven måste komma från er . Det är stor skillnad på kravet "Ni ska ha ett snöre!" och "Ni ska ha ett snöre som är 60cm långt!" Om ni omfattas av NIS2 så kan det vara klokt att se er själva som en del av "Samhälls-rutan". Är man viktig för samhället så är man på ett tydligare sätt en del av samhället och inte något som står lite vid sidan av! Något som inte tas upp här är det omvända behoven, alltså ert beroende av samhället. Det är viktigt att ha med i sina riskanalyser - vad händer om andra funktioner i samhället börjar knaka i fogarna? Här kan det skapas nya gröna pilar till era leverantörer! Koll på väderstrecken? En kort artikel från DarkReading illustrerar det viktiga med att inte bara övervaka trafiken in och ut från våra känsliga nätverk, utan även det som rör sig inom nätet, ofta kallat "Öst-Västlig trafik". Det är något som dessutom ofta är utmanande att få till på ett bra sätt i typiska OT-nät. De är ofta utspridda fysiskt och tekniken sätter begränsningar kring vilken trafik som går att få insyn i utan stora extrakostnader. Det är därför det är så viktigt att bygga sin infrastruktur med försvar i åtanke redan från start. Det som SANS kallar "defensible architecture" i sin "SANS Five ICS Cybersecurity Critical Controls" . På samma sätt är det sällan möjligt att komma åt all trafik men om man vet vilka blinda fläckar man har så går det mycket bättre att hantera det i praktiken. Vill du inte åka till Orlando? I mitten av juni går årets SANS ICS Security Summit av stapeln i Orlando. Om du vill slippa Musse Pigg så kan man ta del av många delar av programmet på distans. Mycket nöje! Det kan ju förstås vara en slump... För ett par år sedan fick jag ett konsultuppdrag som gick ut på att titta på hur produktleverantörer i den svenska OT-världen hanterade annonseringen av sårbarheter i deras produkter och hur rättningar lyftes upp offentligt. Jag slogs då av att vissa väldigt välkända svenska produktleverantörer i aldrig någonsin hade haft några sårbarheter i sina produkter! De hade fina webbsidor där man skröt om processerna för hanteringen, men där sårbarheterna skulle listas var det tomt... Nu noterade jag i förra veckan att samma leverantörer plötsligt börjat "drabbas" av en massa sårbarheter under det senaste året! Märkligt... Kan det vara så att de tagit de kommande kraven i CRA på allvar redan nu och faktiskt inte mörkar sina sårbarheter längre? Oavsett vad som ligger bakom så är det en positiv utveckling! Bra där! Vill du också göra rätt? Kanske vill du också hantera sårbarheter rätt? Vill du också ha koll på allt annat som CRA-förordningen kräver av dig som är leverantör av digitala produkter? Då är den gratisutbildning i CRA som The Linux Foundation och OpenSSF (Open Source Security Foundation) tagit fram ett förnämligt första steg! En bra introduktion på ungefär en timme och en med liten certifiering på slutet om man vill! Spöken i husets automation? Fastighetsautomation är en spännande del av OT-världen, men vad händer om man blandar in polisens forensiska utredningar i mixen? I en artikel publicerad i " Forensic Science International: Digital Investigation " har Johnny Bengtsson från Polismyndighetens Nationellt Forensiskt Centrum tillsammans med Linköpings Universitet tittat närmare på den frågan. Rubriken är " The ghost in the building: Non-invasive spoofing and covert attacks on automated buildings ". NIS2 i Finland! Den 8:e april implementerades NIS2 i Finland vilket är lite extra intressant även för oss i Sverige. Alla texter, inklusive lagen, är ju tillgänglig på svenska. Jag måste säga att jag gillar deras sätt att annonsera lagstiftningen och även sättet de skriver lagtexter. Det ska bli intressant att titta närmare på och så småningom jämföra med det svenska lagförslaget. Vi får se hur det går... Om du sysslar med cybersäkerhet i någon form så har du knappast missat allt ståhej på senare tid kring den USA-finansierade CVE-databasen vars framtid är oklar. Oavsett hur det går med detta och egentligen också oavsett vad man tycker om sårbarhetshantering i den här formen, och kanske i synnerhet CVSS-poäng, så blir det intressant att se hur detta landar. EUs eget initiativ framstår som mycket rimligare idag än vad jag personligen kanske tyckte för något år sedan. Otmar Lendl på Österrikes nationella CERT, cert.at , skrev en tankeväckande artikel där han jämför utmaningarna med CVE med DNS-systemet som vi alla använder dagligen för att hitta IP-adresser. Artikeln är på tyska men det fixar din browser! En smygtitt i brevlådan... Fedex kom förbi med en låda roliga grejor till låns från Profitap . Att kunna lyssna på nätverkstrafik är populärt i OT-världen. Det är ett vanligt grepp för att kunna leta efter angrepp eller andra händelser som man vill ha koll på. En par vanliga myter är att passivt lyssnande på trafik inte kan ställa till några driftproblem och att nätverksswitchar lätt kan hantera mirror/SPAN-portar utan problem. Så enkel är ju tyvärr inte verkligheten och ett sätt att minska vissa av dessa risker är att använda specialiserad hårdvara för att "kopiera" nätverkstrafik, vanligen kallade "Tappar". De är dessutom helt ovärderliga för lite mer avancerad felsökning i nät som drabbas av "magiska" fel! Att Profitap är proffs just på tappar framgår ju faktiskt av namnet... Från vänster till höger på bilden är det en C1D-1G , en Profishark 1G och en C8P-X2 . Jag återkommer med en närmare titt på dessa när jag hunnit utsätta dem för en del intressanta utmaningar... Fler videos från S4 - missa inte! Glöm inte att S4-konferensen fortsätter att lägga ut inspelningar från årets tillställning i spellistan "S4x25 Tampa" på YouTube . En rad intressanta presentationer finns att gotta sig åt, exempelvis när Andrew Ohrt berättar om CIE, Cyber Informed Engineering och kommer in på fantastiska begrepp i stil med "Cyber-enabled failure mode": MITRE EMB3D i ny version! MITRE har släppt version 2.0 av hot-ramverket MITRE EMB3D . Oerhört användbart om du pysslar med modellering av hot mot alla former av inbyggda system. Vad kan vi vänta oss för vägledning kring CRA? Sarah Fluchs delar med sig av sina insikter kring vad vi kan vänta oss när det kommer till ytterligare vägledning kring CRA. Vi är många som är angelägna att veta mer om vad som gäller i praktiken. Sarah ställer helt rätt frågor och nu väntar vi på att Kommissionen levererar svaren. Waterfalls årsrapport är här! Jag är inte så förtjust i alla årsrapporter från snart sagt varenda produktleverantör i säkerhetsbranschen. Det tenderar att blir en jakt på motivation att köpa just deras produkter... Jag ska inte säga att Waterfall helt låter bli det men deras rapporter tenderar att vara mer balanserade än de flesta. Jag låter dig läsa deras slutsatser direkt i deras senaste årsrapport Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången funderar jag på vad man kan skydda, jag tittar på OT-innehållet i Sveriges nya cybersäkerhetsstrategi, MSB har tittat på OT-utmaningar, det har dykt upp nya prylar hemma i labbet, noterar att gruvor inte har säkerhetsutmaningar, funderar på var som är proportionerligt och så har jag två AI som diskuterar nyhetsbrevet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nyhetsbrevet diskuteras i en ny "podd" Jag provar nu att erbjuda ett nytt grepp för att ta till sig det här nyhetsbrevet. Nu kan du höra mina goda AI-vänner Aileen och Aiden diskutera det jag skrivit i deras podd . Jag är väldigt nyfiken på att höra dina åsikter om detta är något som är värt att producera även i fortsättningen? Är det ett bra komplement till nyhetsbrevet eller till och med bättre? Eller borde jag skapa något slags podd själv, en "riktig"? Kommentera gärna det LinkedIn-inlägg där nyhetsbrevet annonserades eller hör av dig till mig på mats@ot-sakerhet.se . Du kan inte skydda det som... Den som pysslar med OT-säkerhet vet att det varit mycket fokus på asset management på senare år, alltså att man gärna skaffar verktyg som hjälper till att hitta de prylar som finns i våra anläggningar. Detta för att vi ska kunna hålla koll på vad det är, var de är, hur de sitter ihop, vilka sårbarheter de har och kanske hur de påverkar varandra. Ett slagord som man brukar höra i det sammanhanget är någonting i stil med " You cannot protect what you don't know you have! ". Det är förstås helt sant och definitivt något att tänka på. Baksidan av det resonemanget är att jag sett en lång rad organisationer skaffa fina (och dyra) verktyg som de sedan inte lyckas skapa något värde med. Man har kanske fått lite bättre kvalitet i sitt CMDB/inventarieregister, men nyttan för organisationen dyker liksom inte upp. Det finns nämligen ett ännu viktigare slagord som de ofta missat: " You cannot protect what you do not understand! ". Det finns dessutom två bra tolkningar av detta: Vi behöver ha kompetensen att förstå utrustningen som vi hittat. Det är tyvärr lite för vanligt att någon stackars IT-person får detta i knät och har väldigt svårt att göra något meningsfullt med informationen på egen hand. Man måste förstå produktionsprocessen där prylarna ingår. Det viktiga är inte att skydda prylarna i sig utan att se till att processen inte störs! Som en variant på den andra punkten brukar jag slänga mig med ett annat slagord: " IT är ett stöd till verksamheten, men OT är verksamheten! " Jag menar inte alls att OT är viktigare än IT, utan istället att OT-säkerhet inte går att bedriva utan att ha förstått produktionsprocessen. Det här är extra viktigt att ha med sig för alla som tar sig an NIS2. Det är lätt att man börjar skydda utrustning "blint", men det gäller att hålla kvar fokuset på att åtgärderna ska hantera de risker som organisationen och samhället utsätts för om produktionen inte fungerar som den ska! Annars blir det lätt att vi spenderar tid och pengar men får väldigt lite effekt... En ny nationell strategi som pekar på OT-säkerhet! Medias intresse för att vara på plats var lågt när Carl-Oskar Bohlin presenterade Sveriges nya cybersäkerhetsstrategi, men jag tror definitivt inte det ska ses som lågt intresse för frågan. Själv satt jag som klistrad framför direktsändningen med en påse chips i handen... Efter en första snabb titt på strategin  så verkar den riktigt lovande. Om inte annat så har nu det viktiga begreppet OT-säkerhet börjat dyka upp på allvar i dessa sammanhang! Man beskriver dessutom på ett mer handfast sätt än tidigare de faktiska mål som ska uppfyllas senast 2030. Om du vill läsa strategin så finns den faktiskt i två versioner, en som är regeringens formella skrivelse och en som är "glättigare" för att bli mer tilltalande. Innehållet ska vara samma i övrigt. En sida av strategin som har orsakat en del irritation och diskussion är att man lämnat begreppet "Informationssäkerhet" och istället följer i EUs fotspår genom att prata om "Cybersäkerhet". Den klassiska modellen har ju länge varit att allting handlar om att skydda information vilket gör IT-säkerhet, OT-säkerhet och Cybersäkerhet till underordnade delar av Informationssäkerhet. Det är en vettig modell när fokuset är just på information oberoende av hur den lagras och överförs. Men det är också en riktigt dålig modell i många sammanhang, och i synnerhet när man kommer till OT-säkerhet! Personligen är jag väldigt positiv till att Cybersäkerhet används som paraplybegrepp, även om jag inser att det också har baksidor, kanske framförallt när vi pratar om säkerhetsskydd och annat där informationen ofta står i centrum. Om man däremot fokuserar på NIS2 så blir arbetet med NIS2 mycket tydligare i och med att orden har samma betydelse! OT-säkerhet pekas det speciellt på i flera sammanhang: Kompetens- och kunskapsbrist -- Något som jag definitivt kan skriva under på, det behövs mycket fler som verkligen förstår utmaningarna kring OT-säkerhet och inte bara ser det som IT-säkerhet i en fysisk pryl. Digitaliseringen av kritisk samhällsinfrastruktur -- Man pekar på att förutsättningarna inom OT-säkerhet är väldigt speciella. Bra där! Säkerhetsövervakning -- Detta är något som ska stimuleras med stort fokus på OT-system inom kritisk infrastruktur. Proportionalitet -- Man trycker på att även OT-säkerhet behöver dimensioneras utifrån betydelsen för samhället och hotbilden mot den. MSB ska vidareutveckla Cybersäkerhetskollen. MSB ska ge stöd för arbete med OT-säkerhet inom samhällsviktiga verksamheter. Vi får nog vänta ett par månader till innan vi ser ett färdigt lagförslag utifrån NIS2 men om det ligger i linje med den nationella cybersäkerhetsstrategin (vilket är väldigt rimligt) så tror jag det kan bli riktigt bra. Vad är det som hindrar oss? Att säkerhetsarbete har sina utmaningar är inte någon nyhet för någon; inte heller att OT-säkerhet har sina egna klurigheter. För att reda ut hur det ligger till i OT-säkerhetsarbetet inom "samhällsviktiga verksamheter" så har vännerna på MSB gjort ett intervjuarbete och skrivit en rapport över resultatet . Jag tror inte resultatet kommer förvåna någon som är i branschen men det är ändå bra att det sätts på pränt, det gör det enklare att börja ta tag i utmaningarna på riktigt! Första steget mot en EU-standard för CRA! Sarah Fluchs förklarar i en artikel hur den nya harmoniserade EU-standarden EN18031 hänger ihop med det utökade Radiodirektivet "RED", där cybersäkerhetskrav numera finns för alla produkter som innehåller någon form av radiosändare. Det är förstås intressant i sig självt, men kanske i synnerhet som en försmak för vad som kan komma för CRA, Cyber Resilience Act och cybersäkerhetsdelarna i Maskinförordningen. Jag rekommenderar en genomläsning av Sarahs korta text . Tyvärr verkar det som en del ganska grundläggande saker i CRA fortfarande inte är klarlagda. Jag tänker speciellt då på det viktiga begreppet "Produkt" som beroende på vem man frågar antingen betyder "en typ av produkt" eller "en enstaka individ". Det låter kanske lite akademiskt men det får stor effekt på när vissa krav börjar gälla för existerande produkt-typer! Nytt (och gammalt) i labbet I mitt kära OT-labb där hemma har många spännande prylar passerat förbi genom åren. Jag har ofta känt att det blivit lite för mycket fokus på infrastruktur och nätverk, det har varit massor av brandväggar, switchar och IPS:er, men alldeles för lite klassisk processutrustning. Nu är det nya tider! Men inte helt nya grejor... En av de intressanta och utmanande delarna med arbetet som säkerhetsrådgivare inom OT-säkerhet är att man oftast behöver förhålla sig till gammal, men "väl beprövad", utrustning. Alltså borde hemmalabbet se ut på samma sätt! Några av de allra senaste fynden ser du på bilden. En bättre begagnad Mitsubishi Melsec-PLC, remote I/O från Wago, en frekvensare från Allen Bradley, ett säkerhetsrelä från Pilz, lite Profibus-prylar och en flödes/tryck-mätare från ABB. Verkligen högt och lågt - stort som smått... Tillsammans med Melsec-PLC:en fyndade jag dessutom en "tillverkningsprocess" i form av en äkta Fischertechnik "mini-fabrik" som normalt sett är löjligt dyr att köpa. Processen är inte så speciellt avancerad kanske, men fullt tillräcklig för att skapa realistiska scenarier. Se "hemmavideon" nedan.... Vissa av sakerna har jag fyndat begagnade, medan annat är presenter från läsare av nyhetsbrevet som haft prylar över. I det här fallet ville givarna vara anonyma, men ett stort tack får de här i alla fall! Det är förstås helt ovärderligt för mig att få fingrarna på mer utrustning! Rena julafton faktiskt! Det som jag har svårast att få tag på är mjukvaror och licenser, så där är jag extra tacksam - även för äldre versioner som någon har liggande i skrivbordslådan. Det händer också att produktleverantörer lånar ut eller ger bort spännande prylar, vilket jag förstås uppskattar väldigt mycket eftersom det är modernare utrustning. De senaste veckorna har det dykt upp lite nya prylar som produkt-tillverkare lånat ut. Men jag har inte har bestämt mig om jag ska skriva om dem eller inte, så deras identitet får förbli en hemlighet tillsvidare... Det är för övrigt en av de tre principer som jag satte tidigt i nyhetsbrevets historia: att jag bara skriver om produkter som jag verkligen gillar själv. (Ni får fundera själva över vad som inte dykt upp i nyhetsbrevet...) att jag aldrig tar betalt av de företag som syns i nyhetsbrevet. Det är belöning nog att få klämma på rolig teknik. att jag verkligen ska ha utvärderat produkterna själv, att skriva om något som jag bara sett en demonstration av blir för tunt! Det fortsätter vara min starka ambition att behålla en fot i den praktiska teknik-världen, vilket också ska synas i nyhetsbrevet. Dels för att det är otroligt roligt, men jag märker att det ger mig mycket bättre trovärdighet - både på "golvet" och i "styrelserummet". Dale inledde årets S4 på ett välbalanserat sätt! Jag deltog inte själv på årets S4-konferens, men det verkar som vanligt ha varit en utmärkt tillställning. De första inspelningarna har börjat dyka upp på YouTube och bland dem Dales egen keynote-dragning . Jag nöjer mig med att notera att han pekar på ett antal av mina egna käpphästar, resten får du höra direkt från honom själv: Kom ihåg att vi alltid har begränsade resurser för säkerhetsåtgärder. Se till att prioritera på ett klokt sätt! Att hitta viktiga saker att prioritera upp är enkelt. Det utmanande är att prioritera ner viktiga saker till förmån för de mest effektiva åtgärderna. Att avgöra vad som är mest effektivt är i det närmaste en konstart man kan komma i mitt skrå. Att utifrån erfarenhet, kunskap och mod välja bort bra åtgärder är inte enkelt och det kommer aldrig finnas ett facit! Att bocka av åtgärder i IEC 62443 eller ISO 27002 är definitivt inte svaret! Jag hoppas fler tar till sig at Dales kloka ord! Han sätter verkligen fingret på det som jag oftast känner är mitt viktigaste bidrag som inhyrd rådgivare, att hitta de starkaste korten att spela bland andra starka kort! I övrigt börjar årets presentationer nu dyka upp i S4:s YouTube-kanal . En riktigt intressant är NVIDIAs satsning på säkerhet genom Bluefield och Morpheus , något som kan bli extra stort inom OT. Skulle jag sätta en peng på något som kommer förändra säkerhetslösningar i grunden så är det detta. Jag tror dessutom det kommer ”synka” bra med vårt tänk eftersom säkerhetsdelarna är separerade från de producerande applikationerna. Förvisso en löjligt ”säljig” presentation men ändå värd att se för att förstå hur brutalt nya möjligheter vi står inför. Bli min kollega! Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet! Vi söker i hela Sverige ! Ett Sverige utan bakdörrar! Jag uppmärksammade nyligen i ett inlägg på LinkedIn att Clavister har en fantastisk deklaration som man exempelvis kan läsa i deras manualer: Det här ligger ju verkligen i tiden på flera sätt. Dels för att säkerhetsläget i världen förändras snabbt nu och dels för att exempelvis NIS2 kommer tvinga oss att ta våra leverantörers säkerhetsarbete på mycket större allvar. Ett enkelt sätt att hantera delar av det problemet är förstås att undvika uppenbara risker med utländska komponenter och tjänster som lyder under andra länders underrättelselagar... Inlägget fick massor av reaktioner och ganska snabbt så räckte även Xertified upp handen . Nu går vi och väntar på ytterligare produktleverantörer som vill ställa sig bakom det här löftet, oavsett om de är svenska eller inte! Lite på samma tema har flera läsare hört av sig och berättar att deras verksamheter ser över hur de kan minska riskerna som beroendet av utländska leverantörer skapar oavsett om de har backdörrar eller inte. Det där är en spännande och svår utmaning att reda ut. Jag har gått och funderat i flera år på att göra "en grej" kring helsvenska produkter med anknytning till OT-världen. Om du representerar en tydligt svensk producent så får du gärna höra av dig och bolla lite tankar kring det här... Reaktioner på förra nyhetsbrevet Efter förra nyhetsbrevet så handlade de flesta kommentarer och frågor om min text kring utdelade "böter" kopplat till det nuvarande NIS-direktivet. Jag är fortfarande förvånad över varför de tillsynsmyndigheter som utdelar sanktionsavgifter gör det så diskret och då också missar en chans att "motivera" andra organisationer i samma bransch? Mina två låtar väckte också en del uppmärksamhet, så för att underlätta för dig som vill spela dem i olika sammanhang så finns de nu på Spotify ! Det känns som den poppiga NIS2 har bäst chanser att bli en hit även om jag personligen gillar den något hårdare " OT-säkerhet dot se " bättre... Nu finns jag i en podd-spelare nära dig! Jag och Johan Guste gästade ett avsnitt av podden "Cyber Chats & Chill" som den fantastiska duon Margarita Sallinen och Linda Nieminen driver. Det blev ett kul samtal om högt och lågt inom OT-säkerhet - allt från Stuxnet till relationsrådgivning. Jag tycker verkligen Margarita och Linda lyckas väldigt väl med det som de satsat på - att föra ut insikter om vad cybersäkerhets-arbete innebär brett till en publik som annars inte har chansen att förstå vad vi egentligen sysslar med i den här branschen. Du hittar vårt avsnitt tillsammans med alla deras andra fantastiska episoder. Sprid det väldigt gärna till kollegor, familj och vänner som behöver höra varför OT-säkerhet är roligt och viktigt att arbeta med. Återkoppla gärna dina tankar om vad vi pratade om! Missade vi något viktigt? Hade vi fel? EU talar ur skägget! EUs cybersäkerhetsmyndighet ENISA har publicerat sin första NIS360-rapport där man bedömer hur mogna och hur kritiska olika sektorer i samhället är. Alltsammans synas förstås ur ett NIS2-perspektiv. De har fokuserat på ”Väsentliga” verksamheter, den högre graden i direktivet. Det är lite synd att man inte tog med ”Viktiga” verksamheter också, men det kanske kommer i framtida versioner. Ingen blir nog förvånad över att El, Telekom och Bank pekas ut som de mognaste även om jag av personlig erfarenhet nog måste säga att just El är "spretig" - det är långt mellan de mest amatörmässiga och de duktigaste! Generellt måste man ju tyvärr konstatera att de flesta OT-dominerade sektorerna ligger på den undre halvan av mognadsskalan och att jag dessutom har precis samma syn på det som ENISA... Den som sticker ut mest i mina ögon (även om jag håller med om bedömningen) är "ICT Service Management", alltså MSP och MSSP - dvs tjänsteföretag inom drift och säkerhetstjänster inom IT och OT. De ligger extremt högt i kriticitet och bara halvvägs upp på mognadsskalan. Problemet med det är ju förstås att de "drar med sig sina kunder i fallet", vilket kan slå hårt och brett mot samhället. Mycket glädjande så talar man numera ur skägget mer kring hur viktigt OT-säkerhet är i det här sammanhanget. NIS2 fokuserar helt på robust produktion av tjänster och produkter som samhället är beroende av, så god OT-säkerhet är helt centralt för de allra flesta områden. Man lyfter dessutom specifikt OT lite extra ibland annat sjöfarten, dricksvatten, fjärrvärme, el, järnväg som är bra exempel på att den fysiska delen av produktionen helt står och faller med god OT-säkerhet. Generellt måste jag säga att deras resultat motsvarar min egen magkänsla för var vi har de stora utmaningarna i samhället. Det är lite lugnande att det syns en tydlig koppling mellan hur kritisk en verksamhet är och hur mogen den är. Nu tittar rapporten på EU som helhet, vissa saker hade jag definitivt ändrat ur ett strikt svenskt perspektiv; exempelvis är fjärrvärme väldigt viktigt för stora delar av landet och jag tycker nog dricksvatten förtjänar att ligga lite högre på viktighets-skalan. Vi vet också erfarenhetsmässigt att det är en väldigt stor spridning i mognaden inom vissa sektorer, personligen skulle jag peka på dricksvatten, fjärrvärme och fartyg som viktiga exempel på det. Skit händer! Den alltid kloke Sinclair Koelemij skrev ett inlägg på LinkedIn nyligen som satte ord på en diskussion som jag haft ganska ofta på sistone. Den där insikten om att vi inte kan satsa alla våra resurser på att förebygga dåliga saker. Skiten kommer träffa fläkten i alla fall och om vi då blir det jobbigt och vi inte förberett oss på att upptäcka händelsen snabbt, kunna hantera situationen och återgå till rimlig produktion inom rimlig tid. För den som gillar NIST CSF så handlar det ju förstås om att inte lägga alla sina ägg i korgen "Protect" utan att ha några kvar för "Detect", "Respond" och "Recover". Men Sinclair nöjer sig inte där... Nyligen kom han med en riktigt bra artikel på LinkedIn som tittar på begränsningarna med det populära (och viktiga) begreppet "Secure by design", och hur det kan vara en klurig tankefälla om man har en produktions-process med någon form av Safety-utmaningar. En riktigt viktig text att läsa för många som har sin bakgrund i IT-världen, där den här dimensionen inte existerar. Gruvor har inga cyberrisker! Eller? I en uppmärksammad års-rapport från EY har cybersäkerhet halkat ut från topp-10-listan över risker i gruvindustrin. Det här kan man tycka vad man vill om men det är en bra illustration över att företagsledningar har många typer av risker att hantera och att det inte är säkert (!) att cybersäkerhet (och därmed OT-säkerhet) ska vara högsta prioritet för dem! Samtidigt finns det en poäng i att cybersäkerhet inte hanteras separat eftersom den ofta ingår som en delkomponent i andra, större riskmassor. Skippa projekten! I en artikel beskriver Allan Kelly hur Madrid lyckades bygga ut sin tunnelbana utan att det blev jättedyrt. Poängen verkar, enkelt uttryckt, att man bedrev arbetet i den ordinarie organisationen och på så sätt optimerade för fokus på resultat och undvek baksidorna med projekt. Min tanke gick direkt till ett antal välkända IT-projekt som valsat runt i media på sistone efter att ha kört i diket. Tankarna gick också åt att vi kanske kan tänka likadant kring en del implementationsprojekt för OT-säkerhet så att inte projektet hamnar vid sidan av verksamheten? Kommer du ihåg Y2k? Ja, det var många som var nervösa inför årsskiftet mellan 1999 och 2000 trots att otroligt många system uppdaterats för att klara datum-omställningen. Efteråt har jag förstått att många uppfattade det hela som något av ett antiklimax eftersom så lite gick snett. Det är förstås en rimlig reaktion om man inte haft insyn i den enorma mängd system som åtgärdades och som annars hade fått problem om man inte hanterat situationen i tid. Nu är det snart dags igen... Den 19:e januari 2038 närmare bestämt! Då kommer alla system som använder 32-bitars tid på Unix-manér. Det kan tyckas vara lång tid kvar men i synnerhet i OT-världen så är ju lång livslängd på utrustningen ett viktigt krav. Utrustning som vi installerar idag kan mycket väl vara i drift 2038... Och det är väldigt mycket utrustning som berörs. Wikipedia-sidan om detta förklarar bakgrunden bra. Mer batterier! I förra nyhetsbrevet skrev jag en del om säkerhet i batterisystem. Jag följer upp med ett riktigt intressant papper kring modellering och simulering av cyberattacker mot just batterisystem. Det är skrivet av Frans Öhrström, Joakim Oscarsson, Zeeshan Afzal, János Dani och Mikael Asplund. Det är extra roligt med tanke på att Frans, Joakim och János alla är kollegor till mig på Sectra. De har tittat på hur olika typer av kreativ manipulation av dessa system kan ställa till oreda för elnätet. Aktuellt och intressant ämne! Vad är proportionerligt? Jag hade nyligen en intressant diskussion om kopplingen mellan CCE ("Consequence-driven, Cyber-informed Engineering") och NIS2-direktivet, speciellt ur perspektivet om det finns några fällor med att se CCE som en del av åtgärderna för att möta NIS2? En av mina favoritdelar i NIS2 är att man trycker så hårt på att man ska basera säkerhetsåtgärder på riskbedömningar utifrån både hur den egna verksamheten kan drabbas av någon form av störning, men också hur samhället kan drabbas indirekt om den egna verksamheten drabbas av störningar. Eftersom bedömningarna ska vara utifrån de egna unika förutsättningarna så är det svårt att säga något generellt som gäller alla. Men något som jag tycker många stirrar sig blinda på i sina riskanalyser är störningar i produktionen, alltså situationer där "produktionen kommer igång igen när cyberincidenten är löst". Det man lätt missar är de riktigt allvarliga händelserna som kan skapas i vissa verksamheter om man som angripare verkligen "går in för det". Jag tänker exempelvis på: Sönderkörd utrustning. Stora generatorer, motorer eller transformatorer kan ha leveranstider på flera år om de behöver ersättas. Explosioner, brand, utsläpp och annat som tar människoliv ögonblickligen. Miljöpåverkan genom giftiga utsläpp som får stor miljöpåverkan. Det som dessa exempel har gemensamt är att konsekvenserna i sig inte är "cyber. I inget av exemplen har man tagit en backup som man kan läsa tillbaka transformatorn, kollegan Bengt eller abborrarna ifrån... Det är ju precis här som CCE har sitt fokus. Att säkerställa att den fysiska processen är utformad på ett sätt som gör att den skyddar sig själv, i bästa fall utan att skyddet innehåller något "Cyber" som går att påverka av en illasinnad angripare. För mig är det ett uppenbart sätt att bygga bort de där konsekvenserna som får de allra mest långdragna konsekvenserna, vilket rimligen är viktigt för samhället om man omfattas av NIS2. Det som ska blir intressant att se är hur den här typen av resonemang hanteras av tillsynsmyndigheterna när de skriver sina sektorspecifika föreskrifter och hur de följer upp åtgärderna under tillsyn. Jag hoppas att det här landar väl, så att vi kan använda det här kraftfulla verktyget på bästa sätt. Det dröjer nog ett tag till... Om du inte riktigt hänger med i svängarna så kan du ha missat det senaste kring när vi kan förvänta oss svensk lagstiftning kopplat till NIS2-direktivet? Som jag skrev i nyhetsbrev #65 så har EU besviket konstaterat att Sverige och en massa andra länder helt missat den deadline för NIS2 som gick ut i oktober. Ett brev skickades ut till alla eftersläntrare för att förstå vad som händer och varför. Nu har vi sett Sveriges officiella svar och där säger man helt enkelt att arbetet med lagstiftningen och den nationella cybersäkerhetsstrategin pågår. Strategin har vi precis fått, men lagstiftningen är tänkt att beslutas under våren med skitet på en implementation framåt årsskiftet 2025/2026. ECSO har för övrigt en tracker som enligt uppgift uppdateras månadsvis där man kan se hur implementeringen av NIS2 kryper framåt: Ny strategi för ENISA EUs cybersäkerhetsmyndighet ENISA har firat 20-årsjubileum och har då tagit fram en ny strategi och plan för arbetet fram till 2027 . Väl värda att läsa. Om du inte orkar ta dig igenom den ganska mastiga planen så bad jag Googles mäktiga AI-hjärna ta fram en avslappnad summering, det kanske blev lite väl relaxat? Hallå där! Tjohej från ENISA:s värld! 🎉 Nu rullar vi in i 2025-2027 med ett sprillans nytt treårigt programdokument! Det är fullproppat med spännande saker för att göra EU ännu säkrare online. Vi snackar inte bara om att hänga med i svängen, utan om att ta ledningen när det gäller cybersäkerhet! En stor grej är att vi nu verkligen dyker ner i nya EU-direktiv som NIS2, Cyber Resilience Act (CRA), och Cyber Solidarity Act (CSoA) – det kommer att bli mycket att göra! Vi satsar stenhårt på att boosta allas cybersäkerhetskunskaper genom initiativ som Cybersecurity Skills Academy – heja kompetens! Ett annat hett ämne är att stärka vårt samarbete och vår gemensamma lägesbild så att vi kan agera snabbt om något händer. Och hör på detta – vi jobbar på en EU-gemensam cybersäkerhetsreserv för att kunna rycka in vid kriser. Dessutom bygger vi coola verktyg som en CRA-rapportplattform och en EU-databas för sårbarheter. Vi på ENISA tittar också inåt och vill bli en ännu bättre arbetsplats med fokus på hållbarhet och grym service. Kort sagt, det är full fart framåt för ett ännu tryggare digitalt Europa! Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du musikaliska versioner av OT-säkerhet och NIS2! Jag berättar också hur mycket böter som delats ut kopplat till nuvarande NIS-direktivet, avslöjar hur man blir riktigt efterklok, serverar några riktigt jobbiga sanningar, tittar närmare på batteri-system, söker en kollega, funderar på hur vi reagerar på hybridhot, tittar på ett par årsrapporter och säger tack till både Livsmedelsverket och MSB. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Är OT-säkerhet.se som musik i dina öron? För den som är musikaliskt intresserad finns nu nyhetsbrevets första egna låt med den uppkäftiga titeln "Purdue is not security!" . Valet av genre föll på industri-metall förstås, som sig bör... Tankar på den? Sjung med! ot-säkerhet.se come follow me, don't even have to pay a fee. Purdue was never a security plan, do your zoning properly man! The time for point to point is gone, now Unified Namespace has won. Now let's make OT secure again, or all our work has been in vain... Är det så att du kanske föredrar ett lite mer poppigt sound? Kanske tänker du mycket på NIS2? Då har jag ett alternativ bara för dig: Okej... Jag inser att jag inte ska satsa på en musik-karriär... Men det är inte omöjligt att det kommer något mer i framtiden om det uppskattas? Hur många röda kort har delats ut? Jag insåg nyligen att jag inte hade koll på hur mycket "böter" som drabbat svenska organisationer för att de inte skött sig enligt NIS-direktivet. Att vissa av tillsynsmyndigheterna varit aktiva med tillsyning och delat ut en hel del anmärkningar är välkänt. Men hur mycket smisk har egentligen delats ut för sådana förseelser? Och varför är det så tyst om att detta faktiskt sker? För att förstå detta bättre har jag på sista tiden lekt undersökande journalist och begärt ut den här informationen från de aktuella myndigheterna (Post- och Telestyrelsen, Energimyndigheten, Transportstyrelsen, Livsmedelsverket, Inspektionen för vård och omsorg och Finansinspektionen). Det jag ville veta var vilka sanktionsavgifter de beslutat om, vilka organisationer som berörts och vilka regelbrott de straffats för. Resultatet visade sig mycket intressantare än jag hade trott och dessutom på fler sätt än väntat... Generellt sett ser svaren från de olika myndigheterna väldigt olika ut, vissa har delat ut förvånansvärt många böteslappar, medan andra inte har gjort det alls. I vissa fall är det rejäla belopp vi pratar om och i andra ett större antal småbelopp. Vissa skillnader kan ju förstås bero på skillnader mellan branscher och i vilken takt de olika myndigheterna tagit fram sina föreskrifter, men ändå... En väldigt tydlig skillnad mellan de olika myndigheterna är hur de hanterar information om vilka organisationer som "berörs". I ett par fall vägrar man lämna ut namnen på organisationerna eftersom man har belagt den informationen med sekretess enligt Offentlighets- och Sekretesslagen. Samtidigt berättade andra myndigheter gladeligen exakt vilka verksamheter som hade anmält sig som berörda av NIS. (För den som är nyfiken på detaljer kring sekretessen så refererar man till OSL 18 kap 8 § vilket också prövats i rättsfall, exempelvis Kammarrätten i Jönköping mål nr 3039-20 .) Det jag egentligen var ute efter i första hand var ju att förstå hur det stod till med just sanktionsavgifterna. Även här visade det sig vara stor skillnad mellan sektorer och mellan myndigheter. Det absolut vanligaste är att organisationen missat eller varit sen med att anmäla sig, det "kostar" alltid 5 000 kronor hos en av myndigheterna, medan de andra myndigheterna drar till med mellan 15 000 och 90 000 kronor. En annan vanlig förseelse är brister i hur man hanterat en inträffad säkerhets-incident och där ligger beloppen i spannet mellan 70 000 och 200 000 kronor. Riktigt dyrt blir det om man får allvarliga anmärkningar under en tillsyn av verksamhetens säkerhetsarbete, där startar fakturan på en dryg miljon och det högsta beloppet jag hittat är nästan 4 miljoner. I ett fall, som jag känner till sedan tidigare, var förhållandet mellan storleken på beloppet (1,5 miljon) och storleken på organisationen riktigt tuff! Tro alltså inte att myndigheterna håller igen med piskan bara för att du är liten eller har svagare ekonomi! Brister i anmälan Incidenthantering Tillsyn Totalt antal 78 4 17 Maxbelopp 90 000 200 000 3 750 000 Snittbelopp 24 000 115 000 1 155 000 Allt detta handlar alltså om regler som direkt eller indirekt kopplar till det första NIS-direktivet. Jag ser ingen anledning att tro att våra tillsynsmyndigheter kommer hålla igen mer när NIS2 implementerats. Tvärtom! Då finns fler och tyngre straff att ta till! Nu är ju inte viljan att undgå straff den bästa drivkraften för säkerhetsarbete, men nog skulle det kännas bättre att lägga de där 4 miljonerna på säkerhetsåtgärder istället för att betala dem till en myndighet? Det som förvånar mig mest med allt detta är att man från myndigheternas sida inte tar chansen att berätta för alla andra berörda verksamheter hur det kan gå om man inte sköter sig. Även om man hemlighåller namnet på organisationen så är det ju en missad chans att "motivera" andra att skärpa till sig ännu mer! Men där kanske det blir skillnad med NIS2 eftersom man kan tvingas att själv berätta för hela världen varför man fått en "sanktionsavgift". En riktig skampåle-paragraf alltså! Helt uppenbart är det viktigt att hantera NIS2-kraven ordentligt framöver. Några generella insikter kan man dra kring hur man minimerar risken för att få spö: Se till att ta analysen av om ni omfattas på allvar. Även om ni inte tror ni omfattas så tycker jag det är en väldigt bra idé att ändå göra en enkel men formell analys. Glöm inte att låta högsta ledningen fatta beslut om vägvalet, oavsett om det blir att ni omfattas eller inte! Om ni omfattas av reglerna så glöm inte att göra en formell anmälan! Lätt gjort att man glömmer den lilla detaljen... Siktar ni på att uppfylla NIS2 så är min bedömning att man inte ska försöka hitta något facit, för det kommer det ändå inte att finnas. Säkerställ att ni jobbar systematiskt med att identifiera och hantera risker med fokus på er egen produktion. Glöm inte att NIS2 handlar om att bygga en "cyber-robust" produktion, vilket kan innebära att andra delar av verksamheten inte behöver lika mycket säkerhetsfokus! Var inställda på att ni aldrig kan förebygga risken för incidenter helt. Ni måste vara beredda på att hantera att tråkiga saker faktiskt händer. Läs även artikeln nedan om att bli efterklok, det är otroligt viktigt att kunna förklara vad som hände efteråt! Konsten att bli riktigt efterklok! Om du följer något slags nyhetsflöde inom cybersäkerhet har du garanterat inte missat den enorma läckan av konfigurationsdata som drabbat en stor grupp användare av Fortinet-prylar. Som vanligt har den fått ett putslustigt namn: FortiGate-skandalen... En artikel på samma tema påpekade klokt att, även om man varit snabb på att installera säkerhetsrättningar, så behöver man dessutom dubbelkolla att inte det elaka typerna ändå hann utnyttja sårbarheterna innan du hann rätta dem. (För då hjälper det inte att patcha!) Just det här tycker jag är en poäng som lätt tappas bort! För det är en viktig poäng! Och en riktigt svår poäng att göra något åt i verkligheten! Eftersom jag arbetar på ett företag som erbjuder en framstående OT-SOC , alltså säkerhetsövervakning fokuserad på OT-drivna verksamheter, så hamnar jag ofta i samtal om nyttan med övervakning. Den primära nyttan med en SOC är förstås att någon snabbt upptäcker en angripare och att man därför tidigt kan få stopp på angreppet, innan det lett till jobbiga konsekvenser. Jag märker dock att många organisationer missar att diskutera en annan nytta, som är nästan lika viktig. Förmågan att efter en attack kunna titta i backspegeln och avgöra vad som egentligen hände! Och detta oavsett om man lyckades stoppa angreppet tidigt eller om det dessutom hann börja leda till tråkiga konsekvenser. Det värsta som finns när man städat upp efter ett angrepp är att inte veta vad som egentligen hände! Hur kom de in? Vad ställde de till med egentligen? Har vi lyckats åtgärda allting? Kan de ställa till samma oreda igen imorgon? Kan vi lära oss något till nästa gång? Det här får ytterligare en dimension för de organisationer som omfattas av någon av alla nya och gamla lagstiftningar kring cybersäkerhet. Ta NIS2 som exempel, där en av de viktigaste kraven är att man i efterhand ska kunna redogöra i detalj för vad som hände. NIS2 förbjuder inte säkerhetsincidenter, men man kan råka riktigt illa ut om man har så dålig koll på läget att man inte kan analysera vad som gick snett! Är det dessutom så att din verksamhet omfattas av svenskt säkerhetsskydd så behöver du eventuellt kunna spara all den informationen länge (10 eller 25 år), så att motsvarande analys kan ske om man inser långt senare att man drabbats av en säkerhetsincident. Så fundera noga över vilken information du behöver samla in för att kunna göra en bra analys och vilka förmågor som behövs för att kunna tolka informationen. Du behöver se till att insamlingen startats i god tid innan incidenten, för när incidenten inträffat är det redan för sent... För att kunna bli efterklok i framtiden så behöver du vara klok idag... Vill du bli ytterligare lite klokare så kommer MSB anordna ett webbinarium den 28:e mars kring ämnet säkerhetsövervakning. Gratis och förmodligen fyllt av klokheter: Varför en stark Security Operations Center (SOC)-förmåga är avgörande för att stärka samhällets motståndskraft Hur monitorerings- och realtidsövervakning bidrar till att skydda kritiska system och tjänster Praktiska steg för att bygga eller förbättra SOC-förmåga för offentlig sektor Brittiska risker! Storbritannien publicerade nyligen den officiella/publika versionen av deras riskbedömning "National Security Risk Assessment", (NSRA) i form av en riskförteckning, " National Risk Register " (NRR). Som vanligt i den här typen av dokument från britterna så är det genomarbetat och bra. En hel del användbart för oss OT-människor i olika sammanhang men fungerar även som en utmärkt sammanfattning av hotläget i "Cybervärlden". Jobbiga sanningar... Chris Hughes skriver under rubriken " Cybersecurity's Delusion Problem " om en utmaning som jag verkligen håller med om. Det här att vi "säkerhetsmänniskor" gärna blir fanatiska och en-frågefokuserade i vår iver att göra allting säkert. Jag har ofta stött på motstånd när jag påpekar att vi behöver stötta ledningen i organisationerna att kunna jämföra risker mellan olika områden - för det finns faktiskt värre saker i livet än cyberrisker! Jag tycker det blir väldigt tydligt när man ställer frågan "Hur mycket risk är lagom?" till olika personer. En typisk cybersäkerhetsmänniska kommer nästan garanterat svara något i still med att "Mindre risk är alltid bättre!". Ställer du samma fråga till en styrelsemedlem kan du räkna med ett svar i linje med "Så mycket som möjligt. Men inte för mycket!". Tricket med risk är inte att undvika dem. Det viktiga är att ha koll på dem så man kan göra kloka och informerade val. Att ta risker är att skapa fördelar och möjligheter men gör man det blint och på magkänsla så kommer man snabbt hamna i diket. Det här är för övrigt en av sakerna jag brukar lyfta som en fördel med att styrelsen pekas ut så hårt i NIS2. Kloka styrelser kommer kräva att organisationen kan visa en samlad bild av riskbelastningen och därmed måste vi kunna jämföra risker från helt olika områden. "Ska vi byta ut de gamla PLC:erna i produktionen eller är det faktiskt viktigare att renovera fabrikstaket?" Dragos ger oss sin syn på världen! Dragos har släppt sin "8th annual year in review, 2025 OT/ICS Cybersecurity Report" som är väl värd att läsa. Jag ska dessutom ge dem extra beröm för att de, i motsats till alla andra i OT-säkerhetsbranschen, inte tvingar oss att ge bort vår mejladress till dem för att få läsa rapporten! Bra! Det är en ganska omfattande (56 sidor) genomgång av hur Dragos uppfattar hotlandskapet och hur det går för "försvararna" i deras utveckling mot mer mognad och effektivare säkerhetsarbete. Hacktivisterna har varit ganska aktiva under senare tid vilket får mycket uppmärksamhet i rapporten. Naturligtvis också en hel del kring trenderna runt ransomware men också den spännande rubriken "Legacy malware" där man diskuterar att gammal skadlig kod, som exempelvis WannaCry, fortfarande "gömmer sig" i existerande system. I kapitlet "Vulnerabilities" pekar de på den intressanta utmaningen att förstå fältbusstrafik när protokoll körs "ovanpå varandra" i flera lager. De nämner exempelvis EtherCAT som Omron kör över NXBus-protokollet och bakar in alltihop i http-förfrågningar! Jag har varit på CCE-kurs! Jag hade nyligen förmånen att få gå en utbildning i CCE-metoden , "Consequence-driven, Cyber-informed Engineering". Det är Idaho National Labs, INL , organisationen som utvecklade metoden som också kör dessa påkostade intensiv-utbildningar kallade " ACCELERATE ". Jag kan verkligen rekommendera dessa kurser, som dessutom är gratis. Å andra sidan genomförs de bara i USA, så resan tillkommer förstås... Om du läst mina nyhetsbrev tidigare så vet du att jag propagerat för den här metoden tidigare. Det finns en bok utgiven som jag recenserade i nyhetsbrev #26 men du kommer långt även med ett av INLs whitepapers . I grunden handlar det om att identifiera de allra värsta händelser som kan drabba en producerande verksamhet, alltså inte bara de som är väldigt jobbiga, utan händelser som kan: få organisationen att gå under orsaka enorma skador eller förlust av människoliv få allvarlig påverkan på samhället Det som gör metoden så intressant är att man identifierar katastrofala händelser som kan utlösas via digitala angrepp, men man försöker inte lösa problemet med "cyber-åtgärder". Istället siktar man på att hindra en angripare genom att fysiskt ändra i processen så att konsekvensen blir fysiskt omöjlig. Mitt favoritexempel för att illustrera tänket är lite fånigt: "Om det är farligt att köra en pump baklänges så kan en backventil vara ett effektivare skydd än att sätta motorstyrningen bakom en brandvägg". En annan aspekt som gör metoden så intressant är att den verkligen gör precis de svåra antaganden som vi säkerhetsmänniskor alltid säger att man ska göra, exempelvis "assume breach" - alltså att angriparen redan är i våra system och därmed spelar det mindre roll hur de tog sig dit! Man förutsätter också att angriparen vet mer om systemen och tekniken i dem än vad vi själva vet. Tuffa antaganden, men viktiga på den här nivån! Jag ska inte upprepa allt fantastiskt med metoden, där hänvisar jag till min tidigare text i nyhetsbrev #26 , men några nya reflektioner vill jag ändå göra: Det här är en makalös metod för att identifiera och åtgärda de absolut värsta händelser som kan drabba organisationer. En av styrkorna är att man tvingas tänka långt utanför boxen och där kanske hittar risker som ingen tidigare "vågat" tänka på. Metoden passar väldigt väl för verksamheter som lyder under säkerhetsskyddslagen. Både CCE och säkerhetsskydd tar ingen hänsyn till sannolikheter, det handlar bara om att se till att allvarliga händelser inte KAN hända. Klockren kombination! Även kopplat till NIS2 passar CCE bra om man tar fasta på att direktivet trycker hårt på att allt säkerhetsarbete ska vara risk-drivet och att åtgärderna ska vara proportionella. CCE kan möjligen vara lite förvirrande om man jobbar strikt enligt IEC 62443-3-3, men även den är ju i grunden risk-driven så om man bara gör riskanalyser med tungan rätt i munnen så fungerar det utmärkt! En potentiell utmaning med att använda CCE för att uppfylla NIS2, Säkerhetsskydd eller något annat regulatoriskt krav skulle kunna vara att tillsynsmyndigheterna ibland blir alldeles för detaljerade i sina krav. Om det i mitt exempel ovan finns ett uttryckligt krav på att skydda alla farliga pumpar med en brandvägg så kanske inte en backventil accepteras som ett bättre alternativ. Låt oss hoppas att myndigheterna respekterar den risk-drivna approachen i exempelvis NIS2! Metoden kan uppfattas som tung, vilket den också är om man tar sig an en komplex produktionsprocess. Som motvikt till det kan den med fördel genomföras "iterativt" så att man bara fokuserar på den absolut värsta konsekvensen först och sedan repeterar i den takt man orkar med. Det pågår ett intressant arbete på Luleå Tekniska Högskola där Ebba Linnea Nilsson och Hampus Ettehag tittar på hur man bäst kan anpassa metoden till de förmågor som en mindre organisation har. Det ska bli spännande att se vad de landar i. Det finns gott om delar i metoden som kan vara inspiration för att förbättra konventionella metoder för riskbedömningar. Många organisationer jag jobbar med har inte tidigare tänkt igenom hur de genomför riskanalyser eller vilket värde de egentligen kan ge. Om inte annat så tvingar CCE-tänket organisationer att få "IT-folk" och "process-folk" att prata med varandra! Hör gärna av dig om du är nyfiken på att prova det här i din verksamhet! mats@ot-sakerhet.se Batterier? Användningen av batteri-teknik i vårt elnät ökar. I takt med att de blir allt viktigare blir säkerheten i dem allt mer kritisk. En radda intressanta rapporter INL (Idaho National Labs) är väldigt intressanta i sammanhanget och innehåller dessutom en del referenser till arbete utfört enligt CCE-metoden . INLs sida för batterier och energilagring Rapporten " Battery Energy Storage Systems Report " från US DoE White paper " Application of Cyber-informed Engineering för protecting BESS " Guide: " Securing Digital Energy Infrastructure: Procurement, Contracting, and Supply Chain Risk Management Guidance " Till det ska vi verkligen inte glömma den (som vanligt) välskrivna artikeln "BESS Cyber physical risk" av Sinclair Koelemij. Bli min kollega! Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet! Vi söker i hela Sverige ! Hybrida hot och knattefotboll Jag vill slå ett slag för Anton Lifs texter , han kommer ständigt med kloka insikter om den kluriga värld som vi verkar i. I senaste utgåvan reagerade jag lite extra på en mening i ett stycke som egentligen handlar om att hybrida hot inte ska ses som snällare. Meningen han skrev är: Men när det väl är sensationella angrepp (ex. Nordstream) så fastnar vi alla i fällan, och allt fokus riktas mot ett och samma håll. Det där är något jag tänkt på också, både kring världshändelser som kabelsabotage i Östersjön, men även i mindre skala, exempelvis inom OT-säkerhetsbranschen. Det är väldigt lätt att fastna i de frågor som fått rubriker på sista tiden! Ibland känns det som att vi är spelare i ett knattefotbollslag - ni vet där alla spelare springer efter bollen istället för att fundera på var på planen man själv kan göra bäst nytta utifrån sina egna förutsättningar... För en säkerhetsperson handlar det nog mest om att våga tänka fritt när man gör sina riskanalyser och funderar över vilka åtgärder som får bäst effekt. Ska vi satsa stenhårt på försvar genom att bara förebygga att motståndaren gör mål eller ska vi även höja blicken, förstå spelet och leta efter nya möjligheter framåt? Reaktioner på förra nyhetsbrevet Det stora intresset kring Clavisters OT-satsning och deras nya NetWall 200R gick inte att missa! Kul att de får erkännande för det de gör. Jag kommer följa deras fortsatta utveckling på OT-sidan med stort intresse, men måste ärligt säga att de redan nu är ett riktigt starkt kort i kampen mellan OT-brandväggar! Den svenska flaggan på prylarna gör definitivt inte saken sämre... Den senaste versionen av mjukvaran sägs komma att lanseras inom ett par veckor, men jag har förstått att det redan nu är fritt fram att diskutera offerter eller ordna en provkörning! Det kommer alltid ett gäng kloka kommentarer på det LinkedIn-inlägg där nya nyhetsbrev annonseras, så även den här gången. Mest genialisk var nog Lina Bengtsson som utökade min liknelse mellan bilbälten och cybersäkerhet med att regelbunden besiktning har ett stort värde. Så är det ju verkligen! Realtid! Begreppet realtid är inte alltid så lätt att förstå för nybörjare i branschen. I en uppföljare till artikeln om skillnaderna mellan SCADA och DCS som jag nämnde i förra nyhetsbrevet så skriver nu Sinclair Koelemij om "riktig" process-styrning och hur en angripare skulle kunna störa dessa systems cykeltider för att på så sätt påverka den fysiska processen. Som alltid, välskrivet och läsvärt när det kommer från Sinclair! Samtidigt kommer skrytvideos från Siemens och Audi om hur de virtualiserat PLC:er och placerat dem i en datorhall 8 kilometer bort. Naturligtvis en helt annan typ av verksamhet och helt andra krav, men ändå en tydlig påminnelse att utvecklingen av tekniken och metoderna ständigt utvecklas! Obligatorisk läsning! Sarah gör det igen! Namnet Sarah Fluchs har dykt upp ett antal gånger tidigare i nyhetsbrevet, senast i nyhetsbrev #64 där jag pekade på hennes avhandling. Nu har hon släppt ett gratisverktyg för att göra "Cyber Decision Diagrams". Verktyget bygger på det kommersiella verktyget “Security Engineering Tool” (SET) som Sarah också ligger bakom. Du hittar e n av hennes texter här som förklarar mycket av tänket. Utforska gärna det här arbetssättet och hör av dig med dina reflektioner! mats@ot-sakerhet.se Det här är ett intressant utvecklingsområde! Tack Livsmedelsverket! Livsmedelsverket har släppt en uppdaterad version av " Handbok i krisberedskap och civilt försvar för dricksvatten ". Viktigt material i största allmänhet om man är i vattenbranschen. Extra kul tycker jag personligen bilaga 2 är som innehåller en stor samling scenarier för övningar - viktigt att göra ofta! När det gäller säkerhetsfrågor så pratas det tyvärr nästan bara om skydd av information och nästan ingenting om skydd av process-systemen, vilket ju känns lite märkligt? Men i övrigt ett riktigt bra dokument! Tack MSB! Ett annat bra dokument som tyvärr pratar ännu mindre om OT-säkerhet är MSBs " Resultatredovisning av Cybersäkerhetskollen 2024 ". Det är trots detta ett bra dokument, men som pekar på väldigt dåliga saker inom samhällsviktig verksamhet - den generella säkerhetsnivån är helt enkelt bedrövlig... Det skulle vara väldigt intressant att komplettera "Cybersäkerhetskollen" som ju bygger på "Infosäkkollen" och "IT-säkkollen" med "OT-säkkollen". Den skulle i så fall rimligen behöva omfatta ungefär samma områden som både "Infosäkkollen" och "IT-säkkollen", men då med fokus på fysisk produktion. Ett vanligt missförstånd är att IT-säkerhet och OT-säkerhet är varandras motsvarigheter eftersom de har så lika namn. Men det är min erfarenhet att OT sällan finns med på radarn när organisationer pratar om "Analys av informationssäkerhetsrisker", "Kontinuitetshantering" eller "Ledningens styrning"... Så i praktiken behöver OT-säkerhet driva samma frågor som både informationssäkerhet och IT-säkerhet gör. Minimera mera! I en artikel av Marco Felsberger sätter han fingret på två av mina allra käraste käpphästar för hur vi skapar robusta verksamheter och system: Minimera systemen, "Minimum viable systems" Begränsa skadeverkningarna, "Bounded impact" Det är en gammal sanning att komplexitet och säkerhet är varandras fiender. Det betyder både att vi behöver skala av det som är överflödigt ("Härdning") men också att vi ska kunna falla tillbaka till minimalt systemstöd och ändå leverera. Den andra delen av resonemanget är att vi kan begränsa skadorna vid haverier/attacker och på så sätt öka tåligheten i verksamheten. Begreppet "Limiting the blast radius" är ganska talande sammanhanget. Marco avslutar med en radda citat-värda tankar, där " resilience is about survival, not perfection " är min favorit. Det är lite samma grundtanke som i CCE (se ovan ), att vårt fokus behöver vara på de händelser som helt kan utplåna vår organisation och verksamhet. När vi har koll där så kan vi börja med finliret... Får jag svära lite i kyrkan? Det är fortfarande en del "OT-folk" som inte vill ta ordet "Molnet" i sin mun. Var eventuella kopplingar till något slags moln passar eller inte passar är extremt situationsberoende, men jag tror de flesta av oss sedan länge insett att världen inte är så svart-vit att man bara kan avfärda ett teknikområde helt. Håkon Olsen har skrivit en väldigt bra artikel som säkert kan hjälpa till att desarmera frågan om det fortfarande behövs. Om inte annat så är den också fylld med en rad goda idéer! Din egen eller någon annans kryptering? Det har varit en hel del rubriker på sistone kring infiltration av teleoperatörer av en hackergrupp som precis som vanligt fått en massa fåniga namn: "Salt Typhoon", "RedMike", "Ghost Emperor" och "Famous Sparrow". Innan dess var det gruppen " Volt Typhoon " som angrep kritisk infrastruktur med hjälp av routrar och brandväggar som de tagit över. Det här med att nätverksutrustning tas över är ju ett riktigt jobbigt hot att hantera. Som angripare går det att ställa till riktigt tråkiga saker, i synnerhet när det handlar om nätverkstrafik som var tänkt att bara åka runt i "interna nätverk"... Det påminner mig om en diskussion som jag hamnar i emellanåt. Det handlar om hur mycket vi egentligen kan lita på teleoperatörer och andra leverantörer av nätverk? Inte för att de är onda - tvärtom, utan för att de har alldeles för komplexa lösningar för att kunna hålla elaka angripare ute från sina nät. Konsekvensen för mig är att man ska akta sig för att se leverantörernas nät som en säkerhetslösning. Att de är duktiga på att få fram vår trafik är det inget tvivel om, men mitt förtroende för att trafiken är väl skyddad mot insyn eller ändring är ganska låg. Mitt råd brukar helt enkelt vara att alltid själv ha rådighet över skyddet av känslig trafik, oftast genom att använda något slags krypterade tunnlar i näten. Och, Ja, jag menar även mobiltrafik med privata APN eller leverantörer som erbjuder olika former av krypterade tunnlar inne i sina nät. Och, Ja, jag inser att det inte är självklart att vi klarar att skydda våra egna nätverksprylar så fantastiskt mycket bättre. Och, Ja, jag inser att många tycker jag har fel eftersom det inte finns några bevis... Men det är i alla fall något som man borde ta ett medvetet beslut om! Jag skulle förresten gärna se att vi börjar ge dessa kriminella grupper lite mindre glamorösa namn, som det är nu låter de onödigt coola! Jag förslår att vi byter ut namnet på den här gruppen från "Salt Typhoon" till något mer förolämpande. Vad tror du om "Fluffy Poop", "Farty Pants" eller kanske "Smelly Armpit"? Snart i en podd-spelare nära dig! Jag och Johan Guste gästade ett avsnitt av podden " Cyber Chats & Chill " som fantastiska Margarita Sallinen och Linda Nieminen driver. Det blev ett kul samtal om högt och lågt inom OT-säkerhet - allt från Stuxnet till relationsrådgivning. Avsnittet är inte släppt ännu när detta skrivs, men det finns många andra bra avsnitt så om du inte har lyssnat på dem tidigare så har du tid på dig nu som uppvärmning till vårt! Gartner tycker till om OT-säkerhetsplattformar Gartner släppte nyligen en uppdaterad analys av alla de stora "OT-säkerhetsplattformarna". Även om den här typen av analyser har sina begränsningar så är det i alla fall åtminstone en bra startpunkt för den som vill välja eller byta system. Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången inser vi att OT-säkerhet är ett riktigt svårt problem, vi testar en haj i labbet, vi förbjuder lösenordsbyten, läser statistik över vilka OT-protokoll som är populärast, lyssnar på en ny podd om fastighetsautomation, svarar på en fråga om FMEA-analys, räknar OT-honeypots på Internet, filosoferar över proportionalitet i NIS2, funderar över hur lång tid ett havererat system tar att få igång och så tittar vi på den nya nationella sårbarhetsbedömningen. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Regelbundna lösenordsbyten? Det har ingenting specifikt med OT-säkerhet att göra, men jag tyckte det var intressant att NIST nu äntligen kommer "förbjuda" att man tvingar fram regelbundna byten av lösenord och krav på att blanda olika typer av tecken. (Rad 5 och 6 nedan) Texten kommer från ett utkast till den nya versionen av NIST SP 800-63B så det är inte en officiell version riktigt ännu. De har sedan knappt 10 år tillbaka avrått från detta, men nu är det alltså uppgraderat till ett "SKA INTE" istället för ett "BÖR INTE"! Håll tummarna! Vi har ett resultat! Svenska HMS Networks har publicerat årets analys av hur användningen av olika "OT-protokoll" ser ut . På det hela är det inga stora överraskningar - användningen av av PROFINET, EtherNet/IP och EtherCAT ökar. Det är precis som tidigare en hel del skillnader mellan olika världsdelar. Generellt verkar intresset för de spännande teknikerna APL (Advanced Physical Layer) och SPE (Single Pair Ethernet) vara stort framöver. Jag fick en bra fråga... Efter en presentation jag körde nyligen kring hur det går för Sverige i arbetet med NIS2 fick jag en fråga om det inte vore en bra idé att använda FMEA-analys (Failure Mode and Effects Analysis) när man gör riskanalyser i sitt NIS2-arbete. Mitt svar gick ut på tre saker och gäller egentligen oavsett om NIS2 är aktuellt eller inte: Det känns som en bra idé i största allmänhet. Jag har inte använt metoden i just det sammanhanget, men spontant känns det vettigt. Jag har en farhåga att metoden kan tendera att lura bort uppmärksamheten från det som verkligen måste styra NIS2-arbetet, nämligen hur verksamheten påverkas av en incident. Man ska förstås förstå hur incidenten uppstår i systemen men man måste komma ihåg att värdera konsekvenserna på riktigt. En riktigt bra effekt av att använda metoden är att man kan väva in organisationens förmåga att upptäcka incidenter när man bedömer sina risker. Den tredje poängen är extra viktig! Det handlar om att man utökar det gamla vanliga tänket med sannolikhet och konsekvens med en tredje parameter: "upptäckbarhet". Incidenter som vi har dåliga möjligheter att upptäcka är rimligen otäckare jämfört med andra incidenter som vi har förmåga att upptäcka och hantera tidigt, innan konsekvenserna blir allvarliga! Det knyter an till en poäng som jag skrivit om flera gånger förut, nämligen att man lätt lägger för mycket av sina resurser på att förhindra att incidenter kan inträffa. Jag vet att det kan låta lite bakvänt, men min poäng är att erfarenheten visar att allt för många blir helt överrumplade när incidenten trots allt inträffar! De har inte tillräcklig förmåga till detektion, de har inte rutiner för att hantera situationen snabbt, de har inte övat på rutinerna och de samlar inte in tillräckligt med information för att kunna analysera vad som egentligen inträffade. ...och vad som inte hände! Det där, att veta vad som faktiskt hänt och inte hänt, i systemen är otroligt viktigt av två skäl. Dels för att kunna ägna sig åt rätt saker när man hanterar incidenten och kunna vara säker på att man är helt färdig med uppstädningen. Men om man exempelvis omfattas av NIS2 så förväntas man dessutom i efterhand kunna förklara för sin tillsynsmyndighet vad som inträffade, vad som inte hände, varför det gick som det gick och vad som kommer förhindra att det återkommer igen. Oavsett om man behöver skicka en rapport till en myndighet eller inte, så är det förstås extremt viktigt att man lär sig av incidenter och då vill det ju också till att verkligen veta vad som hände i systemen! Det finns förstås inget som hindrar att man väger in "upptäckbarhet" i sina riskanalyser oavsett vilken metod man använder. Jag skulle nog rekommendera det för de flesta. För att kunna dra nytta av att NIS2 säger åt oss att använda proportionerliga åtgärder behöver vi verkligen förstå var åtgärderna gör störst nytta! Om du vill läsa mer om FMEA har jag förresten skrivit om det tidigare i Nyhetsbrev #48 men då i ett annat sammanhang. Behovet av att kunna vara efterklok skrev jag om i Nyhetsbrev #67 . Det finns en variant av FMEA som kallas FMECA där man även väger in hur kritisk en viss komponent är, jag har inte själv använt den varianten men det låter som den skulle kunna adressera en del av problemet att man riskerar att missa verksamhetspåverkan? Om du som läser har erfarenhet av detta vill jag gärna lära mer: mats@ot-sakerhet.se. (Sorry att jag gick lite bananas med AI-bilderna i den här texten...) OT-säkerhet är ett riktigt svårt problem! Amerikanska "National Academies" har släppt ett helt fascinerande dokument: " Cyber Hard Problems ". Syftet med dokumentet är att definiera de absolut viktigaste och svåraste problemen att lösa kring cybersäkerhet. Tanken är att det ska skapa ett fokus på att faktiskt lösa dem! Det är ett rejält dokument på 137 sidor som känns riktigt väl genomarbetat! En sammanställning  på 3 sidor finns också tillgänglig. Det är tydligen en stolt tradition sedan många år tillbaka att ta fram dessa dokument "emellanåt", det finns två tidigare versioner, en från 1995 och en från 2005! I ett av kapitlen tittar man på hur det har gått, och glädjande nog finns det tydliga framsteg på flera av dåtidens topplista! Jaha? Vad har det med OT-säkerhet att göra då kan man undra? Jo, det är faktiskt så att OT-säkerhet är en av de 10 problemen: nr 8! Dessutom är flera av de andra problemen extremt relevanta problem för oss i OT-branschen, personligen tänker jag framför allt på nr 4: Supply chain, och nr 10: Operational Security. Risk assessment and trust Secure development. Secure composition Supply chain Policy establishing appropriate economic incentives Human–system interactions Information provenance, social media, and disinformation Cyber-physical systems and operational technology AI as an emerging capability Operational Security De problem som målas upp kring OT-säkerhet är ingenting nytt för någon i branschen men det ska bli väldigt spännande att se om det ändå kan påverka hur branschen utvecklas på något litet sätt? Slutsatserna om vad som är viktigt framåt känns främst som: Multidisciplinär ansats där vi fåt ihop teknik, människa och policy på ett vettigt sätt. Fokus på resiliens snarare än endast skydd. Att sårbarheter i dagens OT-system måste hanteras strukturellt, inte bara reaktivt. En proffsig haj är på besök i labbet! Som jag förvarnade om i förra nyhetsbrevet har mitt OT-säkerhetslabb fått besök av en spännande trio från Profitap . Först ut att bli synad lite närmare är en ProfiShark 1G som jag hade stora förväntningar på redan i förväg och som det snabbt visade sig vara en riktigt trevlig bekantskap... Den presenteras som en "Portable traffic capture and troubleshooting tool", vilket säger ganska mycket om nyttan den ger. Men samtidigt måste jag säga att dess blygsamma yttre döljer en del riktigt imponerande muskler! Den variant jag har fått i händerna, "1G", är en mellanmodell bland fem olika. Syftet med alla modellerna är att göra det enkelt att samla in en kopia på nätverkstrafik. Det kan vara för att felsöka märkligt beteende i anläggningens nätverk, eller om vi pratar säkerhet, att samla in trafik för senare analys. Nätverkstrafiken kan man antingen få genom att ProfiShark ansluts till en (eller två) SPAN-portar på exempelvis en nätverksswitch. Alternativt kan den användas som en nätverks-tap, alltså att den kopplas in så att trafiken passerar igenom enheten. Det senare är det mer rättvisande alternativet eftersom man ser det som verkligen rör sig på nätverket och inte begränsas till det som switchen väljer att kopiera ut. Exempelvis kan man få tillgång till korrupta paket och full insikt i länkförhandlingar! En baksida som alla tapar har är att man måste bryta kommunikationen för att koppla in den och att den kan störa kommunikationen om tapen inte fungerar som den ska. Några av de fem varianterna har därför inbyggda funktioner som "kortsluter" kommunikationen om de exempelvis förlorar strömmen. Något som blir allt vanligare är att industriella komponenter strömförsörjs via nätverksanslutningen via PoE - Power Over Ethernet. Profishark 1G hanterar det här på rätt sätt så att man kan koppla in sig utan att behöva ordna med separat strömmatning. De två modellerna som har ett "+" i namnet har dessutom ingångar för GPS och PPS, alltså extremt exakt tid. Det används för att ge de infångade nätverkspaketen extra exakt tidsstämplig, vilket kan vara väldigt viktigt i exempelvis nätverk som använder TSN-teknik. Alla modellerna klarar tidsstämpling med en upplösning på 8 nanosekunder! Två modeller har stöd för 10 Gb/s via SFP-moduler, vilket även medger insamling från fiberanslutningar. En klurighet om man lyssnar på full-duplex trafik är att resultatet kan bli dubbla bandbredden. Det vill säga att om man lyssnar på en vanlig länk med 1 Gb/s så kan resultatet bli 2 Gb/s. Det blir klurigt om systemet som ska ta emot trafiken bara klarar 1 Gb/s! Det finns olika varianter på lösningar av detta. En är att ha två utgångar med 1Gb/s var. Inte speciellt smidigt! En annan är så kallade aggregerande tapar, vilket innebär att trafiken slås ihop till en gemensam dataström. Men det kräver ju då mer bandbredd... En viktig sak som skiljer dessa tapar från de flesta andra tapar jag kommit i kontakt med är att man ansluter till dem via USB! Det innebär förvisso att man behöver en speciell drivrutin, men i gengäld får man en massa fördelar. Den största fördelen är att du klarar att hantera full-duplex, dvs 2 Gb/s, på ett vettigt sätt. Profitap har även byggt in möjligheten att låta ProfiShark spela in direkt till en NAS via USB om det är så att man ska spara enorma mängder data, eller över lång tid för att hitta problem som uppstår mycket sällan. För att komma igång installerar man en drivrutin och det finns stöd för Windows, macOS, en rad varianter av Linux, Synology NAS och VMware ESXi. I mitt fall provade jag på Windows där enheten dyker upp som ett vanligt nätverksinterface och därmed är åtkomligt direkt i alla analysverktyg, exempelvis WireShark. Tillsammans med drivrutinen finns även "ProfiShark Manager", en mjukvara där man kan diagnostisera portproblem, följa trafiken, starta inspelningar mm för en eller flera ProfiShark-enheter. Om man använder någon av modellerna med stöd för 10 Gb/s så finns även möjligheten att filtrera i trafiken så att bara de delar som man är intresserad av skickas vidare. Gör man inspelningar direkt i mjukvaran så kan man be den dela upp inspelningen i flera filer baserat på tid eller storlek. Det här är smidigt för att hantera stora mängder data. Om du använder CloudShark som samarbetsplattform så kan dina inspelningar laddas upp automatiskt - smidigt! När man ska analysera en driftstörning eller en potentiell säkerhetspåverkan är möjligheten att snabbt kunna ta en kopia på nätverkstrafik ofta jätteviktig. Det sista man behöver i det läget är teknikstrul eller att en super-certifierad nätverkstekniker måste vara tillgänglig. ProfiShark är så enkel att använda att jag nästan undrade vad jag missförstått. Jag försöker generellt vara försiktig med rekommendationer, men ProfiShark passar verkligen utmärkt i händerna på en automationsingenjör eller en OT-säkerhetsperson. Den är smidig att använda, stör inte kommunikationen och kräver ingen extra strömförsörjning. Man behöver inte vara specialist på nätverk för att få till det. Resultatet blir de inspelningar man faktiskt behöver och det mesta sköter sig självt helt automatiskt. Oavsett om du har 10, 100 eller 1000 Mb/s i nätet så funkar den rätt av! Den har alla förutsättningar att bli årets julklapp i din verksamhet! Om du vill se alternativ på marknaden och få en jämförelse med andra portabla tapar så gjorde Sake Blok en spännande presentation på Sharkfest 24 där han jämförde ett antal olika märken. Om du är medlem kan du se presentationen på YouTube : (Annars finns hans slides att titta på gratis.) Till nästa nyhetsbrev hoppas jag återkomma till en av de andra godbitarna som jag lånat av Profitap: en C1D-1G eller en C8P-X2 . Vi får se vilken det blir, eller kanske båda två? Vem lurar vem egentligen? Jag har alltid tyckt att att det känns lite överdrivet med alla larmrapporter som regelbundet dyker upp och säger att det sitter mängder av OT-prylar direkt på Internet. Att problemet existerar säger jag ingenting om, men att det skulle vara jätte-vanligt känns lite överdrivet... Kan det vara så att det finns väldigt många fejkade system för att mäta hur mycket angrepp OT utsätts för på Internet? Jag ser framför mig forskare som letar efter "angripare" och andra forskare som letar efter "exponerade system" - men de båda upptäcker mest varandra... Nu har en grupp forskare, Martin Mladenov, László Erdődi och Georgios Smaragdakis, tittat närmare på hur stor del av alla "OT-system" på Internet som egentligen är klassiska honeypots. Deras slutsats i " All that Glitters is not Gold: Uncovering Exposed Industrial Control Systems and Honeypots in the Wild " är att det är uppemot 25%! Dessutom verkar andelen öka ganska snabbt! Då återstår ju frågan om hur stor del av de övriga 75%:en som inte är "riktiga" system? Jag tänker mig prylar som inte är "honeypots" utan istället är "riktiga" komponenter men som inte ingår i "riktiga system"? Duktiga angripare kommer relativt snabbt upptäcka att de kommit i en honeypot - men det tar längre tid om man hamnat i ett "riktigt" system, med "riktiga" komponenter, som fungerar "på riktigt" - men som inte styr någonting viktigt? Hur vanligt är det? Men ta nu inte detta som att problemet med direkt-exponerade OT-system egentligen inte är ett problem! Det är ett problem, men det är inte så stort som det ibland presenteras som! Proportioner i samhället? Det är mycket snack om NIS2 nu! Även om vi inte fått någon svensk lagstiftning ännu så finns ju väldigt tydliga förväntningar att läsa direkt i direktivet från EU . En sådan är att man förväntas hantera risker på ett proportionerligt sätt. När man tänker efter så är det ju ett väldigt enkelt, tydligt och vettigt krav, att man ska lägga mer resurser på allvarliga risker och mindre på alla andra risker. Men... Det finns en liten detalj i direktivet som jag tycker ofta tappas bort när man pratar om just proportionalitet. Detaljen handlar om vilken risk man ska utgå från när man väljer sina åtgärder. Det är lätt att tänka att det är de risker som slår hårdast mot den egna verksamheten, men då missar man att man också förväntas bedöma hur man påverkar samhället! (Se de sista orden i slutet av utdraget.) Det här är det lätt att säga smarta saker om, men ganska svårt att genomföra i praktiken. I grunden handlar det om att inte bara stirra sig blind på säkerheten i sina egna leveranskedjor, utan även förstå sin egen roll i kundernas leveranskedjor. Och deras kunders... Och deras kunders... Det betyder också att vad som är en rimlig mängd resurser att lägga på riskåtgärder kan bli mycket högre om man inte bara ska "tänka på sig själv". Det kanske dessutom är lite extra svårt att se samhälls-perspektivet när man fokuserar på OT-säkerhet i en fysisk produktion? Risken att roboten i vår automation "petar bort" den där avgörande komponenten som en massa oväntade saker i samhället balanserar på... Det kan tänkas att jag är lite indoktrinerad kring det här med proportionalitet. Det där är nämligen ett extremt centralt begrepp i kärnkraftsbranschen, där ju jag har min "uppväxt". Där använder man istället begreppet "graded approach" som på hög nivå handlar om exakt samma sak. Nämligen att det är direkt dåligt att försöka skydda allt på samma nivå; det blir onödigt dyrt, saker som egentligen inte behöver så mycket skydd blir onödigt "krångliga" och det blir i slutändan för lite resurser kvar till det som verkligen behöver mycket skydd... Här har tyvärr en del kollegor i säkerhetsbranschen gått vilse och driver linjen "mer säkerhet är alltid bättre". Det är förvisso fullt förståeligt om de kanske har fått slåss för "sin sak" hela livet. Min erfarenhet är att det är enklare att få både gehör och resurser om man är mer nyanserad och vågar prioritera ner vissa saker lika ofta som andra prioriteras upp. Det ska bli spännande att se hur föreskrifterna från tillsynsmyndigheterna hjälper verksamheterna att se sin roll i samhället! Här ska vi också komma ihåg en annan bortglömd rad i direktivet, den om att man inte alls måste uppfylla kravet på 50 anställda mm för att omfattas av NIS2-kraven. Tycker en myndighet att alldeles för mycket i samhället balanserar på er lilla verksamhet så kommer ni att "manuellt" stoppas in som NIS2-verksamhet oavsett er storlek! Bli min kollega! Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet! Vi söker i hela Sverige ! Sarah ger kloka råd om CRA! Sarah Fluchs är en ständig källa till kloka texter. Nu har vi fått en summering av läget kring CRA från henne som ger en radda riktigt bra och handfasta råd för den som känner sig vilsen. Det bästa med råden är att Sarah utgår ifrån det faktum att det faktiskt inte går att undvika att vara förvirrad just nu, det är alldeles för mycket som är oklart fortfarande. Men med en klok inställning och vettigt fokus i arbetet så kan man ändå göra meningsfulla insatser i riktning mot målet att uppfylla kraven. Hon följde upp detta med ett inlägg kring en oro runt att CRA är risk-drivet och att det på något sätt skulle kunna underminera den ideala säkerheten. Sarah reder förstås ut de missförstånden like elegant som vanligt! Lycka till med CRA-arbetet! Podd-dags igen - "Energi & Magi" För ett tag sedan var jag och hälsade på hos PiiGAB i Göteborg för att spela in ett poddavsnitt i deras podd-serie "Energi & Magi". Om du pysslar med energi-effektivisering eller automation av fastigheter så har du förmodligen stött på deras produkter i något sammanhang. Det blev ett kul samtal om OT-säkerhet , NIS2, mätvärden och fastigheter med Gunnar Oesterreich, Kaj Winther och Karl Lindell. Väl värt att lyssna på även om du är i en annan bransch! ( Spotify , Poddtoppen , Apple ) Att komma igång igen... Dale Peterson publicerade nyligen två kloka texter, en handlar om RTO , Recovery Time Objective, och vad som gör det begreppet speciellt i OT-världen. Den andra texten fortsätter på den första och tittar på hur man faktiskt kan uppnå det RTO-mål man har satt upp. Dales texter är riktigt bra och förtjänar verkligen att man tänker igenom budskapet ordentligt. Att det är bra texter märktes också genom att det väckte tre helt olika associationer i min stackars hjärna: De påminde mig om en text jag skrev i Nyhetsbrev #55 om RPO, Recovery Point Objective, ett närbesläktat begrepp som också är viktigt att ha koll på. Den andra associationen var till ett samtal jag hade nyligen där jag just jämförde förmågan att återställa havererade system tillräckligt snabbt (och tillräckligt bra) med förmågan att kunna avsluta en incident när man blivit hackad. Det är en sak att ha övervakning så att man kan reagera snabbt vid angrepp. Men det är en annan sak att löpande samla på sig tillräckligt mycket av rätt information om vad som händer i nätverket och system för att kunna avgöra vad som faktiskt hänt och om man verkligen tagit hand om det. Efter det kommer dessutom en analys för att förstå vilka brister som bidrog till incidenten - och då behöver man ännu mer sparad information. Ska man skicka in en NIS2-rapport till sin tillsynsmyndighet kan det krävas ännu mer... Den tredje associationen var lite mer långsökt och knöt också an till en diskussion nyligen. Inom elförsörjningen talar man om "dödnätsstart", alltså att kunna få igång ett stort elnät (tänk en hel stad eller en hel region) med tillhörande kraftverk när elnätet helt saknar ström. Det är utmanande och kräver speciella förberedelser. På samma sätt måste återställningplanering för OT (och för IT) i många fall fundera på hur man får igång viktiga system och processer när kringliggande system eller nätverk är "döda". Ofta finns betydligt fler beroenden än man tror, inklusive diverse fysiska behov som el, kyla, tryckluft, tillträde genom låsta dörrar osv... Det här är viktiga analyser att ta sig tid med. De brukar dessutom föra med sig en massa insikter om vilka system som faktiskt är viktiga för produktionen... Fler videos från S4 Det fortsätter att ramla in videos från årets S4-konferens med många godbitar! Här är några exempel, men det finns fler i den kompletta spellistan . Andy Bochman drar intressanta jämförelser mellan "naturliga" katastrofer i vår omvärld och katastrofer vi kan drabbas av via våra OT-system. Vad lär det oss om hur vi förbättrar vår tålighet och robusthet? Dale intervjuar Tom Burke som grundade och ledde OPC Foundation i tre decennier. De skapade exempelvis OPC DA och OPC UA. Eric Forner slår ett slag för att IT-säkerhet och OT-säkerhet är mer lika än vi tror och att säkerhetslösningar i molnet är alldeles utmärkt för majoriteten av OT-system. Snacka om att svära i kyrkan enligt många men hans poänger håller alldeles utmärkt för många verksamheter. Favoriter från Sinclair Om du läst mina tidigare nyhetsbrev vet du att Sinclair Koelemij är en av mina största hjältar. Den här gången plockar jag ett citat från ett inlägg på LinkedIn : Det här är viktiga insikter på flera nivåer. En av dem är att vi både måste ägna oss åt att bygga så säkra system som möjligt (exempelvis genom att luta oss mot compliance-krav) och samtidigt arbeta med att förstå och utveckla tåligheten och robustheten i våra fysiska produktionsprocesser så att de står pall även när vi har en riktigt dålig dag. Gamla nyheter från Kanada! Ett nyhetsbrev ska rimligen mest innehålla nyheter... Men ibland kommer jag tillbaka till gamla godingar, bara för att de är riktigt bra! En sådan är en vägledning från myndigheterna i Kanada kring hur man bygger upp sin förmåga kring incidenthantering inom OT. Den gavs ut 2020 men känns fortfarande bland det bästa jag läst på området - tydligt, enkelt och med äkta fokus på OT. Anledningen till att jag lyften denna, förutom att den helt enkelt är bra, är att det behövs mycket mer fokus på incidenthanteringsförmåga i nästan alla verksamheter som jag stöter på. Nu i NIS2-tider så blir det ännu tydligare att allt för många enbart fokuserar på att förbygga tråkiga saker och lägger alldeles för lite intresse vid att upptäcka och hantera incidenter. Det är riktigt jobbigt att ta till sig tanken att man nästan oundvikligen kommer drabbas av incidenter - trots allt jobb med att förebygga dem. Men när man kommit dit så blir arbetet desto enklare att fokusera på rätt saker. Det jag alltid tjatar om i det här sammanhanget är att börja öva tidigt och i liten skala! Det finns inget bättre sätt att hitta sina viktigaste svaga punkter så att man snabbt jag höja nivån än att göra enkla små-övningar! Dale bedömer hur det gick... Den alltid insiktsfulle Dale Peterson tittar i en artikel hur det gått för de uppköpta OT-säkerhetsbolagen sedan 2018: Forescout köpte SecurityMatters 2018 Tenable köpte Indegy 2019 Cisco köpte Sentryo 2019 Microsoft köpte CyberX 2020 Honeywell köpte SCADAfence 2023 Rockwell Automation köpte Verve 2023 Hans dom är hård och jag håller med om den till 100%. Det är egentligen bara Microsoft som lyckades med det som var avsikten med deras köp. Även om alla existerande kunder till CyberX genast hoppade av så fick Microsoft grundstommen till Defender for IoT. I alla andra fall, inklusive kopplingen till Ciscos köp av Splunk för ett par år sedan, har resultatet verkligen inte varit imponerande. Dale har inte med Armis köp av Otorio som genomfördes alldeles nyligen, där har jag personligen lite mer hopp - men det återstår att se hur det går... Först ett stabilt nätverk - sedan säkerhetsarbete! Jag läste nyligen en bra artikel från svenska firman Lindh Automation om viktiga mätpunkter för att hålla koll på att ett PROFINET-nätverk mår bra. En intressant artikel i sig, men den påminde mig också om hur viktigt det är att man har ett välmående nätverk (oavsett om man kör PROFINET eller något annat) innan man börjar lägga till säkerhetslösningar. Jag träffar lite för ofta verksamheter som råkat illa ut i samband med att de fått dåliga råd i samband med en PoC-test av någon ny säkerhetsprodukt. En klassiker är att man skulle prova en IDS-lösning och fick höra det klassiska; "Nej, den är helt passiv så den kan inte störa produktionen!". Men efter hand uppstår det en massa konstiga störningar som är väldigt svåra att felsöka. Senare visar det sig att nätverksswitchen som man fick en mirror-port i hade så hög last att den inte pallade med att kopiera all trafik till den speglade porten och istället började tappa paket. En annan variant är att mirrorporten visar sig inte vara begränsad till att enbart skicka trafik åt ett håll utan "ny trafik läcker in" på produktionsnätet från säkerhetsservern... Din SBOM är trasig! I ett intressant papper från University of California, Riverside har Sheng Yu, Wei Song, Xunchao Hu and Heng Yin studerat ett antal program för att generera SBOM:ar och framför allt, hur "rätt" de har i sina analyser. I korthet konstaterar de att det fortfarande finns stora brister i hur väl dessa system fungerar. Å andra sidan kan man med viss rätt hävda att en SBOM bara kan vara rätt och fullt meningsfull om den producerats i samband med att den mjukvara som beskrivs togs fram. Fler certifieringar att ta! CompTIA har annonserat att de kommer med en OT-certifiering. Det ska bli roligt att se hur de tagit sig an detta när fler detaljer blir tillgängliga. En ny nationell risk- och sårbarhetsbedömning! MSB har genomfört en analys av nationella risker och sårbarheter som publiceras i ett rejält dokument på dryga 180 sidor . Som sig bör dyker OT-säkerhet upp i ett antal viktiga sammanhang, både specifikt men också (som är det nya sättet att tala om detta) under paraplybegreppet "Cybersäkerhet" som i det här sammanhanget inkluderar Informationssäkerhet, IT-säkerhet och OT-säkerhet i ett och samma ord. Det här är ett gediget dokument som verkar väl genomarbetat. Vi kommer säkert se en hel del referenser till det, både i kommande myndighetskommunikation men, som slagträ i diskussioner kring prioritering av resurser och från produktleverantörer som motivation till att köpa fler fantastiska säkerhetsprylar! Andrew är i molnet! Den alltid kloke Andrew Ginter reflekterar över "Molnet" och dess allt viktigare roll i OT-verksamheter och spekulerar kring vad som skulle kunna vara bra lösningar för att inte tumma på "Safety" i dessa sammanhang. Stressad av NIS2? Vänta du bara... Ett läsvärt dokument publicerades nyligen av EUs cybersäkerhetsmyndighet ENISA, en handbok i hur myndigheter ska stressa verksamheter - exempelvis kopplat till NIS2. Nä, det är inte så bisarrt som det låter. Det handlar om att genomföra en slags myndighetsorganiserade övningar baserat på utmanande scenarier. Scopet kan vara en eller flera sektorer och för ett/flera/alla länder i EU samtidigt. Tanken är att övningarna ska vara "table top", alltså helt utan tekniska eller praktiska inslag. Man tänker sig specifikt att detta kan vara ett verktyg för tillsynsmyndigheterna under NIS2 för att bedöma starka och svaga sidor i organisationernas tålighet mot allvarliga störningar. MITRE genomförde nyligen något liknande i USA med 200 personer från 70 organisationer. Själva övningen och de exakta resultaten är hemligstämplade, men det finns ett par dokument som i korthet tittar på övningen. Ett med den dramatiska titeln " 5 STEPS TO PREPARE CRITICAL INFRASTRUCTURE FOR A CYBER WAR " och det andra " Past is Prologue: Creating a Civil Defense Mindset to Address Modern Cyber Threats ". Virtuella PLC:er någon? Branschens intresse kring virtualisering av PLC:er har verkligen hettat till. Senaste tillskottet är norska startupen OTee som börjar synas mer och mer . Det finns många spännande för- och nackdelar ur ett säkerhets- och riskperspektiv så vi kan se fram emot fler spännande diskussioner framöver. Personligen är jag definitivt positiv även om startsträckan i vissa branscher är extremt lång. På samma tema annonserade Siemens nyligen hur deras virtuella S7-1500V används i Safety-applikationer. Intressant.... Se upp med GPS:en! Det är inga nyheter att det förekommer en hel del medveten störning av GPS-tjänster runt om i världen, inklusive i vår närhet där södra Östersjön lustigt nog är extra utsatt. Nyligen annonserades det att fartyget MSC Antonia gick rejält på grund i Röda havet i början av maj på grund av manipulerad eller störd GPS-information. Fartyg innehåller mängder med OT-teknik men även för OT på land kan GPS-störningar ställa till det, inte minst om man använder GPS-källor för att ha synkroniserad tid - något som Ukraina haft stora problem med i sitt elnät. Värt att tänka på! Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra Critical Infrastructure AB. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången jämför jag boxning med NIS2, du får en närgången titt på en helsvensk OT-brandvägg och en ovanligt listig nätverksswitch men dessutom kan din chef få gå en kurs, vi mäter nyttan med Cyber Informed Engineering, lär oss begreppet Secure by Demand, får lite utmaningar med VLAN, tittar på Irans senaste cybervapen, jämför SCADA med DCS och funderar på om två brandväggar alltid är bättre än en? Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Varför har du bromsar på bilen? Ibland får jag frågor i stil med: ”Hur långt vågar vi ta vår digitalisering? Det verkar så farligt med alla angrepp man läser om, och säkerhetsprylar är så dyra!” Mitt svar brukar bli en motfråga: ”Varför har du bromsar på bilen?”. Svaret blir gärna något i stil med: ”För att kunna köra sakta?”. Min poäng är förstås att man har bromsar på bilen för att kunna köra riktigt fort! Vi vill komma fram snabbt och effektivt genom att hålla en tillräckligt hög hastighet, men det kräver att vi också kan bromsa och hantera farliga situationer som plötsligt dyker upp. Trots att man har riktigt bra bromsar så kan det förstås gå snett ändå och då behöver vi ett bra katastrofskydd, i form av bälten och krockkuddar. Skulle bilen sakna både bromsar, bälten och krockkuddar så lär vår bilkörning inte bli speciellt effektiv… Det är här EU i sin vishet har givit oss NIS2-direktivet. Det övergripande syftet är att verksamheter som samhället är beroende av ska fortsätta leverera trots att farliga situationer uppstår. Här brukar jag plocka fram nästa liknelse, nämligen boxning! Det finns nämligen en del viktiga likheter mellan NIS2 och boxning… Ett vanligt missförstånd är att NIS2 förbjuder säkerhetsincidenter, att det på något vis är straffbart att drabbas av ett cyberangrepp. Naturligtvis är det att föredra att man duckar ”cybersmockan” när den kommer, men det är hur man hanterar en smäll som räknas. Riktigt dåligt är att ramla ihop och inte snabbt komma upp igen efter en rejäl snyting. Minst lika illa är att efteråt inte kunna förklara vad det var som hände – ”det blev bara svart!”. En tredje ”no-no” är att skylla på någon annan, i boxning kanske dina skor och i NIS2 dina viktiga leverantörer – det är alltid du själv som är ansvarig för det som dina leverantörer ställer till med för dig! Ytterligare en likhet med boxningen är att man måste ha koll på sina egna svagheter, sina sårbarheter. Om man under träning har upptäckt att man åker dit på högerkrokar så får man förstås se till att det inte blir ett problem i skarpt läge! En myt som jag ofta hör kring cybersäkerhet är att det skulle vara mycket enklare att vara angripare än försvarare; ”En angripare behöver bara hitta en sårbarhet men som försvarare behöver du ha koll på alla sårbarheter!”. Som alltid när det handlar om myter finns det ett korn av sanning – de två vanligaste misstagen som jag ser är att man lägger allt krut på förebyggande åtgärder och att man som försvarare inte utnyttjar att man har ”hemmaplan”. Det första misstaget kan jag förklara med hjälp av NIST Cybersecurity Framework, där den här cirkelmodellen finns. Den illustrerar sex typer av säkerhetsåtgärder som jag tycker behöver balanseras för att få ett robust säkerhetsarbete. Enkelt uttryckt så hanterar ”Identify” att vi har koll på vår verksamhet och våra system, ”Protect” att vi förebygger incidenter och ”Detect” att vi kan upptäcka incidenter som inträffar trots vårt förebyggande arbete. I ”Respond” finns vår förmåga att hantera incidenter som vi upptäckt och om vi ändå hamnar i diket använder vi ”Recover” för att få igång verksamheten igen. Alltihop hålls samman av ”Govern” för att styra säkerhetsarbetet. Det misstag som jag ser alldeles för ofta är att man lägger allt sitt krut på ”Protect” och ”Govern”. Det är ett misstag som är förståeligt – man vill undvika problem och man vill visa att man har koll på sitt arbete. Problemet med det är att man inte kan upptäcka incidenter som trots allt inträffar, man kan inte reagera på ett sätt som förhindrar att incidenter orsakar skador och man får väldigt svårt att komma igen vid en större händelse. Här behöver man helt enkelt ha is i magen och flytta lite av sitt fokus bort från Protect för att istället kunna hantera de tråkigheter som för eller senare är oundvikliga. Det andra misstaget är att man inte drar fördel av att man som försvarare är på ”hemmaplan”. En stor del av detta handlar just om att förstärka förmågorna ”Detect” och ”Respond” genom att utforma sin infrastruktur på ett smart sätt. Det talas ibland om ”Defensible architecture”, vilket sätter fingret på vad som är viktigt. Om man gör det här rätt är vinsten enorm! En annan sida av samma mynt är att man ofta väntar alldeles för länge med att öva incidenthantering. Min åsikt är att övningar inte ska ses som en ”examen” där man bevisar att säkerhetsarbetet varit framgångsrikt. Tvärt om faktiskt! Öva är något man gör tidigt och ofta för att snabbt hitta sina största svagheter. Samtidigt hittar man lättare vad som är viktigt för att ”Detect” och ”Respond” ska få bra förutsättningar. En aspekt av NIS2 som ofta får kritik är att direktivet inte ställer några specifika krav på säkerhetsåtgärder. Här har jag en annorlunda åsikt, jag tycker det är precis detta som är det geniala med NIS2! Vi förväntas förstå alla relevanta risker i vår verksamhet och göra något åt dem på ett proportionerligt sätt. Det är just det där proportionerliga som är tricket, det betyder inte bara att stora risker ska få mycket fokus, det betyder också att mindre viktiga delar av verksamheten ska  ha mindre skydd! Vi har alla begränsade resurser och de ska användas där de gör mest nytta! OT-brandvägg på svenskt vis! Som jag hintade om i nyhetsbrev #64 breddar nu svenska brandväggstillverkaren Clavister sitt utbud för OT-nätverk. De gör det genom att lansera ny ruggad hårdvara och samtidigt släppa helt ny funktionalitet med fokus på OT. OT-funktionaliteten är för övrigt tillgänglig även i andra hårdvaror om man inte behöver ruggad utrustning. Den släpps även i mjukvaran för "virtuell brandvägg". När det här nyhetsbrevet skrivs har OT-satsningen formellt sett inte lanserats än, så se det här som en välfylld aptitretare... Efter lanseringen kommer jag uppdatera den här texten med länkar till Clavisters officiella produktbeskrivningar. Clavister är ett spännande företag med ett intressant sortiment, även utanför OT-världen... Jag har märkt att inte alla har full koll på Clavister som företag, så det är kanske bra om jag slår ett slag för denna svenska teknikledare! Bara det faktum att allt ägande och all utveckling finns i Sverige (det mesta i Örnsköldsvik närmare bestämt) är ju något som allt fler organisationer kommer värdera högt framöver, när exempelvis NIS2 ställer krav på att ha koll på sina leverantörer. Om du inte känner till Clavister sedan tidigare så är det alltså inte något nystartat företag, de grundades för över 25 år sedan. De bygger brandväggar, allt från små "bordsbrandväggar" i NetWall 100-serien som klarar 1 Gb/s till extrema brandväggar för teleoperatörer som " Netshield 9000T " som hanterar 800 Gb/s! Det finns även "virtuella" mjukvaru-varianter som mest begränsas av den hårdvara du kör dem på. Förutom traditionella brandväggsfunktioner finns förstås även VPN-tjänster och SD-WAN som dessutom kan kompletteras med smarta Cloud-tjänster. Via varumärket " PhenixID " erbjuder de även lösningar kring identitetshantering, autentisering, signering mm. Möjligen är Clavister mest kända för sina militära brandväggar som går under det coola namnet "Cyber Armour", där bland annat de erbjuder den hårdkokta NetWall RSG-400 . Nu börjar vi prata utrustning som är ruggad på riktigt... Clavisters prylar finns exempelvis i CV90 från BAE Systems, men du hittar dem numera även i militära fartygssystem. Den helt nya OT-brandväggen NetWall 200R är kanske inte så uppseendeväckande till utseendet. I en DIN-monterad ruggad låda med rejäla kylflänsar hittar vi dels 4 st RJ45-portar med stöd för 2.5 Gb/s och dels 2 st SFP-portar för koppar eller fiber. Dubbla anslutningar för 24 VDC håller den med ström. Men det är när vi "tittar under huven" som det blir riktigt intressant... De flesta andra leverantörer av OT-specifika brandväggar verkar fokusera på att bygga minimalistiska produkter som enbart har funktioner som en genomsnittlig OT-miljö behöver. Clavister har valt en helt annan väg... Här hittar vi precis samma funktionalitet som finns i deras stora modeller, men i ett mindre format rent fysiskt. En skillnad mot deras andra produkter är grundkonfigurationen baserad på "transparent" läge. Det innebär att brandväggen direkt kan kopplas in i ett existerande nätverk utan att "störa" för att direkt börja logga vilken trafik den ser och möjliggöra att begränsande regler läggs till efter hand. Jag har ingen chans att gå igenom all nätverksfunktionalitet här, utan kommer fokusera på de som kanske är intressantast för den typiska OT-läsaren. Du kan lugnt utgå från att alla andra "normala" brandväggsfunktioner finns på plats, som exempelvis: Brandväggsregler baserat på adresser, interface, nätverkstjänster, geografisk plats, användargrupper, applikationer, tidsbegränsningar osv VLAN med virtuella interface på brandväggen Transparent filtrering ger möjlighet att införa brandväggsskydd utan att bygga om nätverket helt Möjlighet att bygga virtuella brandväggar med egna routingtabeller Klustring av flera brandväggar för redundans och maximal tillförlitlighet En lång rad olika tekniker för att bygga tunnlar och VPN-tjänster IDS/IPS (Intrångsdetektion), Virusscanning av filer, phishingskydd, DoS-skydd ... och så vidare... För användning i olika typer av OT-sammanhang kanske exempelvis följande är lite extra intressanta finesser: Filtrering och loggning av applikationer, med stöd för en enorm mängd OT-protokoll och systemtyper, här finns alla välkända namn såsom OPC UA, CIP, MODBUS, ifix, S7Comm_plus, IEC61850, IEC104, mbConnect24, Codesys, DeltaV, Fanuc, Melsec, Osisoft PI, Profinet, SAP osv... Clavister lägger hela tiden till mer stöd för att bygga regler baserat på detaljer i de olika protokollen. Du kanske vill begränsa vad som går att slå upp via DNS eller begränsa var version 1 av SMB får användas? Inga problem! Alla tänkbara kombinationer av adressöversättning, "NAT", är tillgängliga för att hantera komplexa situationer med exempelvis överlappande adressområden. Alla säger att de erbjuder AI i dessa dagar, så även Clavister med NetWall 200R. Clavister köpte för ett par år sedan Göteborgsbaserade AI-företaget Omen Technologies , vilket nu börjar synas på ett väldigt intressant sätt i deras brandväggsprodukter. Det som Clavister gjort här är lite utöver det vanliga vi brukar se när någon pratar om AI. Här finns nämligen en inbyggd anomali-detektering som fungerar på allt, inklusive protokoll som brandväggen inte förstår! Och det inkluderar krypterade protokoll som brandväggen inte kan tyda. Samma funktionalitet kommer samtidigt även på andra modeller: NetWall 300/500/6000 samt "virtuella" modeller. Peka ut bara trafik som ska AI-analyseras så görs en automatisk träning på vad som är normalt beteende. Det här är en viktig funktion, inte bara för cybersäkerhet, utan minst lika mycket för att hitta avvikelser i produktionen. De mest uppenbara möjligheterna finns kanske kring förebyggande underhåll men man kan tänka sig många kreativa varianter... En fantastisk variant är att man kan låta sin SOC via säkerhetsövervakning korrelera förändringar i den fysiska processer med händelser i systemen... Nu kan det bli fokus på produktionsprocesserna på riktigt i säkerhetsarbetet! I en kommande version har Clavister kombinerat AI-funktionen med deras enorma stöd för OT-protokoll på ett riktigt starkt sätt. Man kommer exempelvis kunna göra saker såsom " skicka bara Topic-fältet från all MQTT trafik till Ignition-servern på AI-analys ". Då blir förstås analysen ännu mer fokuserad och vass! AI-funktionen kan nog bli en oväntat viktig pusselbit för många teknikorganisationer att kunna erbjuda mer än "bara" cybersäkerhet till den producerande verksamheten. Nu kan cybersäkerhetslösningen även hitta andra oönskade beteenden än hackers och virus! En annan unik egenskap hos NetWall 200R passar för de OT-tillämpningar där det uppstå farliga konsekvenser om man förlorar kommunikationen i nätet. Det leder ofta till att man helt undviker att stoppa in cybersäkerhetsutrustning för att inte skapa andra risker genom ökad komplexitet. Man vill kanske exempelvis inte riskera att en brandvägg går sönder och då helt förhindrar kontakten mellan kritiska komponenter. I NetWall 200R kan man lösa det genom att två av portarna automatiskt förbinds med varandra mekaniskt om brandväggen av någon anledning slutar fungera. Man kan alltså få extra nätverkssäkerhet under normal drift om man accepterar mindre skydd om det uppstår störningar. Snyggt! I många organisationer är det fortfarande en utmaning att få till samarbetet mellan "IT-folket" och "OT-folket". Runt nätverk, och i synnerhet brandväggar, brukar det bli extra tydligt. I de flesta fall finns de vassaste nätverksproffsen på "IT-sidan", men samtidigt vill "OT-folket" ha egen kontroll över de miljöer de ansvarar för. Ofta leder det till att man från OT-hållet skaffar prylar som är enklare att hantera om man inte är en certifierad nätverksexpert. Det som jag tycker Clavister faktiskt har lyckats med att kombinera riktigt vass fullblods-funktionalitet för den som behärskar den, med överskådlighet för den som inte har behov av alla spets-finesser. Slappna inte av för att du slutar med ESXi! I ett dokument från FBI kring LockBit noterar man i förbigående att versioner för Proxmox och Nutanix är på gång. Om din organisation precis som jag själv (och många andra just nu) slutat med VMware så betyder det att vi definitivt inte kan slappna av för ransomware-hotet. De host-system där vi kör våra virtuella system är bland de viktigaste vi har att skydda! Se till att er säkerhetsövervakning inkluderar de här systemen! Kör du fortfarande ESXi gäller det precis som tidigare att verkligen tänka igenom skyddet av dina hostar! Just nu är det en del ståhej kring sårbara implementationer av OpenSSH i ESXi vilket är ett utmärkt exempelvis på att även kommunikation som i sig fortfarande är säker kan exponera allvarliga sårbarheter i våra system. Nä, slappna verkligen inte av... Som jag noterat tidigare verkar det vara något av en trend (och en positiv sådan) att myndigheter i olika länder samarbetar allt mer för att ge ut gemensamma rekommendationer och riktlinjer. Det senaste exemplet är nog ett nytt rekord med 15 loggor på framsida, även om flera är från samma länder. Å andra sidan är en av loggorna från EU-Kommissionen... Den här gången är titeln " Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products ". I korthet ger man sig på det välkända faktumet att OT-produkter sällan byggs under parollen "Security by design", vilket i sin tur förstås beror på att kunderna ytterst sällan kräver det... Nu slår man ett slag för begreppet "Secure by Demand" i ett försök att öka intresset och medvetenheten från kundsidan. Spontant tycker jag det är väldigt bra! Det är relativt kortfattat och tydligt. För oss i EU matchar det ganska väl tankarna i kommande CRA-förordningen. Å andra sidan ändrar det inte faktumet att vissa saker som de vill att vi prioriterar för att minska riskerna för cyberattacker samtidigt ökar komplexitet och andra risker för driftstörningar... Hur som helst är det positivt att det piskar på utvecklingen av mer lättanvända säkerhetsfunktioner i OT-produkter! Det hela har sammanställts av CISA i USA som även har en kort guide kring begreppet "Secure by Demand" för alla typer av digitala produkter. Nytt (och gammalt) i labbet I förra nyhetsbrevet dök den trevliga switchen " PROmesh B8 " från Indu-Sol  (och deras svenska representation Lindh Automation ) upp. Nu får du träffa storasyskonet " PROmesh P10+ " som är en riktigt imponerande bekantskap! I grunden är det en rejäl och ruggad nätverksswitch med 8 stycken gigabit-portar och 2 stycken 2,5-gigabit SFP-portar. Den har stöd för Ethernet/IP och PROFINET, du kan ladda ner GSDML-filen direkt från switchens konfigurations-webbsida. Till det kommer en radda vettiga grundfunktioner: Stöd för VLAN inklusive trunkning En IP- och/eller MAC-baserad brandvägg NAT, alltså adressöversättning, vilket är en viktig funktion i sammanhang där man tvingas hantera IP-adresskonflikter QoS (Quality of Service) och bandbreddskontroll, ger möjlighet att prioritera trafik och att begränsa hur mycket bandbredd varje port kan lägga beslag på Portaggregering ger möjlighet att skapa "virtuella portar" med hög bandbredd genom att slå ihop flera fysiska portar Portspegling för att skicka kopior av nätverkstrafik till övervakningssensorer LLDP, Link Layer Discovery Protocol, för att upptäcka "grannskapet" på nätverket För att bygga robusthet genom redundans i nätverket finns stöd för MRP, RSTP och MSTP: MRP, Media Redundancy Protocol, ger möjlighet att bygga ringnät så att nätet överlever att man tappar en länk RSTP, Rapid Spanning Tree Protocol, kan hantera multipla redundanta länkar i mer komplexa nätverk MSTP, Multiple Spanning Tree Protocol, utökar RSTP med stöd för olika redundans beroende på vilket VLAN det handlar om Så här långt är det en ganska "normal" DIN-monterad switch som är riktigt välförsedd med smarta nätverksfunktioner, men nu börjar det bli riktigt intressant... Till detta kommer nämligen ytterligare några funktioner som ger dig möjlighet att hålla koll på din fysiska infrastruktur och upptäcka försämringar innan de orsakar problem: Den fysiska kvaliteten på kablaget utvärderas löpande på alla portar. Du får larm om någon av dem försämras för mycket, förhoppningsvis innan trafiken påverkas. Läckströmmar till jordning kan vara en jobbig källa till fel i kommunikationen, den mäts löpande. Ovanligt detaljerad statistik över hur trafiken ser ut på varje port ger möjlighet att identifiera oväntad trafik. Du kan sätta larmnivåer för allting som analyseras och definiera larm som skickas via SNMP, mejl eller till en syslog-server. Du kan också annonsera larm via PROFINET eller elektriskt via en inbyggd relä-utgång. I sin helhet är detta en riktigt imponerande skapelse! Till det finns andra produkter från Indu-Sol för att bygga vidare på analysförmågan. Dels finns " PROmanage NT " som samlar all administration och analys på ett ställe. Till det kan man koppla andra sensorer för att hålla koll på exempelvis PROFIBUS . Det här är nätverksprylar för dig som bygger automationsnätverk på riktigt och vill ha koll på ditt kablage! Utmaningarna kring just kablage är något som ofta glöms bort. I en intressant artikel  påpekar exempelvis Rob Hulsebos att temperaturen kan ha stor inverkan på hur långa kablar vi kan använda. Det är ju inte helt ovanligt att vi behöver använda långa kablar som dessutom förläggs i varma miljöer. Om vi dessutom kör strömförsörjning via PoE så spär vi på problemen ytterligare... Indu-Sol har förresten en annan intressant liten produkt, PROFINET-INspektor® NT , som är besläktad med PROmesh P10+. Även om den ju faktiskt inte primärt är tänkt som en säkerhetsprodukt, utan mer för diagnos, felsökning och som en garant för nätverkets välmående, så löser den ändå en del grundläggande säkerhetsrelaterade utmaningar. Tanken med den här prylen är att den placeras permanent mellan nätverkets PROFINET-master och resten av nätet. Där analyserar den PROFINET-trafiken på en riktigt avancerad nivå. För extra information kan den integrera med PROmesh P10+ om man använder sådana switchar. Förutom en imponerande lista analysfunktioner för nätverkets status och kvalitet så kan säkerheten hjälpas av att den kan säga till om säkerhetspåverkande händelser inträffar, exempelvis att controllern programmeras om, att det dyker upp nya enheter i nätverket eller om nätverket i sig förändras i sin topologi. Alltsammans kan integreras och läsas av även via PROFINET eller OPC UA. En cool liten pryl! Jag har tidigare nämnt Chris Chungs spännande blogg  och YouTube-kanal . Här finns det mycket godis som du kan botanisera i. Numera finns sex blogginlägg om PROmesh P10+. Mycket nöje: Indusol#PROmesh P10+_Part01_Start up your network equipment! Indusol#PROmesh P10+_Part02_Let's Connect to Profinet! Indusol#PROmesh P10+_Part03_Let's access the SNMP Server! Indusol#PROmesh P10+_Part04_Let’s use the Syslog Server sending function! Indusol#PROmesh P10+_Part05_Let’s use the MRP function! Indusol#PROmesh P10+_Part06_Let’s use the RSTP function! En kurs för dig? Om du arbetar inom elsektorn så kan jag verkligen rekommendera kursen som Svenska Kraftnät erbjuder: " ICS och cybersäkerhet för elsektorns aktörer ". Jag hör mycket goda saker om utbildningen från de som redan gått den, vilket inte är så förvånande när man vet att det är Robert Malmgren och Erik Johansson som leder den. Det blir inte sämre av att den är gratis... Skynda och anmäl dig! En kurs för din chef och en ny kurs för Sverige? Nja... Det kanske är en kurs för dig själv också? I vilket fall som helst så lanserar MSB nu en utbildning i hur man leder informations- och cybersäkerhetsarbete för "personer i ledande befattningar i verksamheter som är viktiga för samhällets funktionalitet". Kursstart någon gång kring månadsskiftet februari/mars. Den typen av utbildning kan verkligen vara en av pusselbitarna som behövs för att möta det behov av ökad digital suveränitet som efterlystes nyligen i en debattartikel i Dagens Industri . (Skriven av Annika Rydström, John Vestberg, Jim Johansson, Johan Christenson, Fredric Wallsten, Joakim Öhman och Johan Edlund) Det knyter i sin tur an till en tanke jag gått och funderat på ganska länge nu... Hur långt skulle jag komma om jag försökte bygga någon form av OT-verksamhet med enbart komponenter som utvecklats i Sverige? Jag tror det skulle bli svårt men samtidigt väldigt intressant! Den första frågan är förstås att reda ut vad man menar när man säger "svensk utrustning"... Jag vill gärna höra dina tankar om detta! mats@ot-sakerhet.se Hur ger man sig på ett sådant projekt? Dystra tongångar från regeringen! Några dagar innan julafton beslutade regeringen " Gemensamma förutsättningar för utvecklingen av totalförsvaret 2025–2030 ". Om du på något sätt arbetar med säkerhetsfrågor så berörs du, direkt eller indirekt av det som slås fast i dokumentet. Och egentligen berörs vi ju förstås alla som bor i Sverige. Det kan vara värt att läsa för att ta till sig hur landets ledning ser på situationen. Jobbiga citat som vi behöver ta till oss är exempelvis: "Det väpnade angreppet är dimensionerande." "Hoten omfattar bland annat otillbörlig informationspåverkan, cyberangrepp, illegal underrättelseinhämtning, terrorism och sabotage samt utnyttjande av ekonomiska beroenden. Aktiviteterna kan vara en del i krigsförberedelser, men utförs i väsentligt högre utsträckning lågintensivt i fredstid och är därmed något som samhället måste kunna hantera även utan särskilda beslut om höjd beredskap och med både civila och militära medel." "Nyckelpersonal kan komma att likvideras i hela samhället. " "Påverkansoperationer för att störa vår förmåga att fatta beslut och försvaga vår försvarsvilja kommer att vara en del i krigföringen." "Överraskning och vilseledning kan förväntas vara en viktig del i operationen." Jag skulle säga att alla verksamheter, oavsett vad man sysslar med, skulle må bra av att se över sin planering inför alla former av kriser. Höjd beredskap eller till och med krig skulle ju förstås vara extremformen av kris, men även i något mer begränsade situationer kan det bli riktigt jobbigt. En underskattad del tycker jag ofta är tillgången till sin egen personal och de konsulter man är beroende av. Levererar man något som är viktigt för samhället har man alla möjligheter att exempelvis krigsplacera nyckelpersoner på arbetet. Hur mäter man nyttan med CIE? Det blir allt mer populärt att använda metoder som Cyber-Informed Engineering (CIE) och Consequence-driven Cyber-informed Engineering (CCE) för att bygga bort cyberrisker med metoder som inte använder "cyber-lösningar". (Jag har skrivit om dessa tidigare, exempelvis här .) En fråga som förstås dyker upp är hur man mäter och bevisar nyttan med dessa metoder. Idaho National Labs (INL) gav nyligen MITRE i uppdrag att titta på det vilket resulterade i en intressant rapport . Man tittar på utmaningarna och listar ett antal alternativa sätt att närma sig problemet, samt rekommenderar en av dem. Intressant läsning även om man inte siktar på att använda dessa metoder eftersom de tittar på generella problem! VLAN är kluriga! VLAN är ett populärt diskussionsämne kring OT-säkerhet, om inte annat så bara den eviga tvistefrågan om virtuella LAN verkligen är en säkerhetsåtgärd? (Min åsikt är förresten oftast "Ja"!) Men oavsett varför man använder VLAN och till vad så är de ibland kluriga att få till. I ett inlägg på LinkedIn nyligen skriver Josh Vargese om skillnaderna mellan hur olika produktleverantörer hanterar konfiguration av dem. En del av egenheterna som han beskrive är ganska uppseendeväckande... Om du är intresserad av OT-nätverk och inte redan följer Josh så rekommenderar jag att du åtgärdar det bums. Många intressanta inlägg och dessutom en radda bra texter på hans företag Traceroutes blogg . Om du vill förstå teorin bakom VLAN och hur det relaterar till bland annat prioritering av realtidskommunikation finns en kort men bra artikel från svenska specialisterna inom OT-protokoll RT-Labs . Ännu ett "cybervapen"! Team82 från Claroty har dissekerat IOCONTROL , ett verktyg som enligt uppgift används av hotaktörer kopplade till Iran som kopplats till attacker mot företag och produkter med koppling till USA och Israel. Analysen bygger på kod man hittade i ett "bränslehanteringssystem" och man nämner kopplingar till attacker mot produkter från Unitronics, Orpak och Gasboy. Skaffa dig ett bollplank! 2025 kommer bli ett intensivt år för säkerhetsarbetet i producerande verksamheter. Utifrån stressas vi av både ransomwaregängens attacker och EUs nya lagkrav på robust cybersäkerhet. Samtidigt vill vi ju se positivt på nyttan med säkerhetsförbättringar – att vi vågar använda den nya tekniken och att vi kan dra nytta av all information som finns i vår produktion! Bland de organisationer jag träffar märks tydligt att intresset för säkerhetsfrågor nu verkligen har vaknat. I synnerhet gäller det kombinationen av OT-säkerhet och NIS2, där insikten om hur brett de nya lagarna slår har landat på VD:s bord. Vissa väljer att bygga upp egen kompetens medan andra tar stöd av oss konsulter. Oavsett vilken väg man väljer verkar ett behov vara gemensamt; att kunna lära av andras erfarenheter, att undvika andras misstag och att ha någon att bolla vägvalen med. Här är det roligt att se att allt fler hör av sig och etablerar en relation i förebyggande syfte. Tanken är att alltid ha någon att ringa när man behöver ett bollplank eller någon som ger feedback på det man tagit fram. Kanske behövs en NIS2-utbildning för ledningsgruppen eller en coach för den nyblivna säkerhetsstrategen? Om det avtalsmässiga redan är satt på plats kan man ju få hjälp samma dag och hjälpen kostar bara när den används. Det här är definitivt mina personliga favorituppdrag. Här känner jag verkligen att jag direkt bidrar med erfarenheter och insikter från alla de verksamheter som jag haft förmånen av att jobba med tidigare. Varje gång är det samma känsla, oavsett om det är med en styrelsemedlem, automationsingenjör, systemarkitekt, underhållsingenjör, IT-chef, pentestare, utvecklare eller säkerhetschef så är utbytet av erfarenheter väldigt berikande för oss båda! Jag kommer ha tid för fler spännande uppdrag framöver. Hör av dig! mats@ot-sakerhet.se Först till kvarn… En eller två brandväggar? Emellanåt hör man argument för att använda brandväggar från olika leverantörer som ett sätt att komma till rätta med alla de risker kring framför allt VPN-tjänster som formligen exploderat på sistone. I en kort artikel utforskar Dragos för- och nackdelar med detta tänk. SCADA och DCS möter olika risker! Sinclair Koelemij beskriver i en artikel skillnaderna i vilka risker man ser kring SCADA- respektive DCS-system utifrån hur de normalt används och den funktion de har i sina respektive produktionsverksamheter. Relevanta poänger men också läsvärt för att bättre tydliggöra skillnaderna mellan SCADA och CDS, två begrepp som jag ofta hör blandas ihop. Safety och IEC 61508, IEC 61511 och IEC 62443 Sinclair Koelemij leverar som vanligt kloka tankar , den här gången kring Safety och kopplingen mellan standarderna IEC 61508, IEC 61511 och IEC 62443. Han slår ett slag för bättre integration mellan standarder för cybersäkerhet och standarder för safety. En viktig poäng! Reaktioner på förra nyhetsbrevet Det är alltid roligt att se vad som väcker mest uppmärksamhet när jag släpper ett nytt nyhetsbrev. Förra gången var det definitivt texten om riskhantering och texten om missförstånden kring Integritet . Stort tack till er som hörde av er via mejl och er som kommenterade inlägget på LinkedIn . Björn Klug skrev ett eget inlägg som utvecklar tankarna kring riskhantering ännu mer. Kul! Minst reaktioner kom det på min tanke kring att skapa roliga dekaler så den lade jag ner direkt! Fortsätt gärna höra av er ( mats@ot-sakerhet.se ), det uppskattas mycket! Nästa utspel från EU: Produktansvar Det blir intressant att se hur PLD, det nya produktansvarsdirektivet från EU kommer användas i praktiken. Jag har själv inte riktigt landat i min syn på det här ännu, men det är väldigt uppenbart att PLD tillsammans med andra EU-krav, framför allt cybersäkerhetskraven i CRA-förordningen, väldigt tydligt lägger ansvaret för alla former av säkerhet hos tillverkaren. Det är förstås viktigt för mig som privatperson att förstå vad jag kan ställa för krav på produkter och tjänster jag använder. Att produkter inte ska kunna skada mig fysiskt är tydligt, men formuleringar som ”När det gäller en produkt vars hela syfte är att förhindra skada, att produkten inte uppfyller detta syfte” hintar även om indirekta klurigheter. Om ett villalarm visar sig enkelt att störa ut och en inbrottstjuv därmed tar sig in och misshandlar mig – är det larmtillverkarens fel då? Om mitt uppkopplade brandlarm störs ut av min uppkopplade brödrost och de tillsammans bränner ner mitt hus – är det brandvarnarens fel eller brödrostens? För mig som OT-säkerhetsperson blir samma citat extremt intressant. Om det finns cybersäkerhetsbrister i systemen som ska se till att en kemisk tillverkningsprocess inte exploderar och dödar alla i närheten – vems fel är det? Tillverkaren av produkten? Eller den som konfigurerat produkten genom att aktivera osäkra funktioner? Citatet ” Varje fysisk eller juridisk person som väsentligt ändrar en produkt utanför tillverkarens kontroll och därefter tillhandahåller den på marknaden eller tar den i bruk ska betraktas som tillverkare av den produkten” tyder på det. Eller kanske till och med arbetsgivaren som kravställt och installerat produkten? Det är positivt att man, precis som i exempelvis CRA, tvingar tillverkaren att ta hänsyn till hur produkten faktiskt kan tänkas användas i praktiken. Exempelvis säger citatet ”Rimligen förutsebar inverkan på produkten av andra produkter som kan förväntas bli använda tillsammans med produkten, även genom sammankoppling” att saker som kan kopplas ihop ska tåla det. Däremot hittar jag inte motsvarigheten till de formuleringar i CRA där brukaren förutsätts installera, använda och underhålla produkten som det är föreskrivet. Det är mycket som händer på det här området just nu! Som konsult och rådgivare kring OT-säkerhet märker jag tydligt att det finns ett stort intresse bland alla som berörs! (Det här skrevs först som ett inlägg på LinkedIn .) Skydda dina ingenjörsstationer! Det kan vara värt att påminna om att skyddet av ingenjörsstationer behöver ligga högt upp på prioriteringslistan för dig som jobbar med OT-säkerhet. Nog för att rena processkomponenter är känsliga i sig, men ingenjörsstationerna är i de flesta fall ännu värre. Tillgång till känslig information i projektfiler och dokumentation, sparade behörigheter och lösenord samt färre begränsningar i nätverket gör att de är en intressant måltavla. Det är dessutom här som säkerhetskrav krockar med bekvämlighet vilket kan leda till sämre skydd än tänkt. För att göra det ännu värre tenderar de också vara åtkomliga på distans på mer eller mindre säkra sätt... En artikel från Forescout berättar om en analys de gjorde kring smittade OT-mjukvaror som laddats upp till VirusTotal. Deras slutsatser kanske inte är så skräckinjagande men det belyser ändå intresset för ingenjörsmjukvaror bland de som skriver skadlig kod. En intressant detalj är att man hittat texter på nederländska och spanska i koden vilket kan vara en indikation på att utvecklarna inte finns i de länder som vanligen pekas ut i dessa sammanhang... NIS2 och Seveso? Är det någon mer än jag som saknar kopplingen mellan NIS2- och Seveso-lagstiftningarna? Som rådgivare och granskare av OT-säkerhet har jag genom åren arbetat med ett antal Seveso-klassade organisationer där hanteringen av digitala risker i kemikaliehanteringen verkligen inte känts bra. Med tanke på att Seveso är EUs lagstiftning för att förebygga storskaliga kemikalieolyckor så borde robust cybersäkerhet i stil med NIS2 rimligen vara en viktig ingrediens. En direkt koppling mellan NIS2 och Seveso är förvisso inte helt självklar. Kanske är det snarare dags att ”modernisera” Seveso-lagstiftningen, speciellt med tanke på det stora inslaget av digitala säkerhetslösningar i de flesta verksamheter numera? Läser man MSBs stöd för de säkerhetsrapporter som Seveso kräver så nämns ”ont uppsåt” bland de risker som ska hanteras, men ingenting sägs specifikt om cybersäkerhet eller OT-säkerhet. Det finns förvisso en indirekt koppling mellan NIS2 och Seveso via CER-direktivet, som möjligen skulle kunna ”smitta” NIS2 över tid, men jag tycker faktiskt området är lite för viktigt för att hanteras så. Har du mer erfarenhet av Seveso och dessa frågor? Har jag missat något avgörande? Hör gärna av dig! mats@ot-sakerhet.se (Det här skrevs ursprungligen som ett inlägg på LinkedIn .) Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du bland annat läsa om vad OT-branschen kan lära sig efter Crowdstrike-händelsen, vad ordet proportionalitet betyder, den svenska energibranschens nya CERT, nya detaljer kring krav i NIS2, attacker mot MODBUS TCP, fysiskt skydd av dricksvatten och hur aerodynamik spelar roll för OT-säkerhet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Svensk EnergiCERT bildas! Fem svenska energiföretag har tillsammans bildat "EnergiCert". (CERT är en förkortning av " Computer Emergency Response Team") Det är Jämtkraft, Vattenfall, Fortum, E.ON Sverige och Uniper som tar det här steget för att gemensamt förebygga och hantera cybersäkerhetsincidenter. Det är inte så mycket som är officiellt ännu mer än identiska pressreleaser från Jämtkraft och Vattenfall . Detta är ett samarbete mellan fem pionjärföretag men siktet är inställt på att skapa möjligheter för hela energibranschen. Vi har nyligen etablerat grunderna för partnerskapet och planerar att rekrytera en vd till hösten, säger Håkan Hagberg, säkerhetsansvarig för Jämtkraft AB.  Det här är ett riktigt bra steg som kan leda till många bra saker. Vi har sedan länge sett liknande initiativ i andra länder, inte minst InfraCERT/KraftCERT i Norge, som verkligen gjort nytta. Där hände det igen... Jag kan väl inte låta bli att kommentera Crowdstrike-incidenten även om det kanske redan är lite tjatigt? Jag ska i alla fall inte dyka i detaljerna kring vad som hände, det har andra redan gjort mycket bättre. Men det verkar klarlagt att det var en uppdatering av detektionsreglerna ledde till att säkerhetsprogramvaran Falcon från Crowdstrike kraschade de Windows-system som använde den, vilket fick enorma konsekvenser runt om i världen - både inom IT och OT. Vi som varit i branschen ett tag minns att det hänt förut, mest känd är väl McAfee som fick liknande problem 2010 . Lite extra tråkigt för Crowdstrikes VD George Kurtz som var CTO på McAfee förra gången... Det är en liten bransch... Helt klart är att QA-rutinerna på Crowdstrike kommer få en upprustning efter det här... En diskussion som genast uppstod var kring patchrutiner och hur viktigt det är med solida testrutiner innan man släpper in uppdateringar i sin systemmiljö. Nu var det ju inte en uppdatering av mjukvara i det här fallet, utan "bara" definitionsfiler vilket ju gör det hela lite klurigare... (Det var för övrigt precis samma sak som hände McAfee 2010, då var det av deras DAT-filer som ställde till det och nu var det en Channel-fil från Crowdstrike.) Det är nog många som kommer inkludera möjligheten till att provköra den här typen av uppdateringar i sina kravspecifikationer framöver! Och med rätta, det här är helt avgörande inom både IT och OT! Det behöver inte finnas ondskefulla hackers för att det ska bli riktigt jobbiga konsekvenser! De flesta "OT-incidenter" jag hört om i det här sammanhanget har orsakats av för starka beroenden till IT-världen, även om Falcon definitivt förekommer på OT-system också. Det som störts har varit kopplingar till affärssystem, utskrifter som går via system på "IT-sidan", delade administrationsmiljöer eller gemensamt Active Directory. För mig bekräftar det här en av mina gamla käpphästar som jag envisas med att tjata om så fort jag får en chans; satsa inte för mycket av dina resurser på att förebygga problem och attacker. Du behöver en rejäl förmåga kring att hantera jobbiga incidenter oavsett vad som orsakade dem. Det är de tre "bortglömda" delarna i cirkeln från NIST CSF: Detect, Respond och Recover: Detect - Här finns mycket att lära av "IT-folket"! Detect är inte bara att upptäcka attacker, utan även generell övervakning av system och nätverk. Gärna med bra loggning och inspelning så att det går att analysera vad som hänt i efterhand. Respond - Gammal hederlig krisledning och förmågan att få ihop rätt kompetens och tillräckligt med resurser när det "smäller". Mycket fokus på att öva! Recover - Här får man bygga från grunden så att man kan ta hand om alla typer av problem: brand, kraschade system eller infektioner. Lite enklare att hantera i enstaka system men mycket mer utmanande om det drabbar ALLA system... I OT-världen är mycket av det här väldigt svårt eftersom system ofta levereras och installeras av leverantörer. Den egna personalen har väldigt liten chans att hantera jobbiga situationer själv, samtidigt som leverantörernas personal snabbt blir otillgängliga om många kunder drabbas samtidigt... Här finns några att de största utmaningarna för den som behöver jobba med säkerheten i sina leverantörskedjor, oavsett om det är på grund av NIS2 eller för att det är en bra idé ändå... Och apropå NIS2, det finns ingenting i NIS2 som fokuserar specifikt på säkerhetsincidenter som orsakats av elaka hackers. Man pratar om "Incidenter" och "Allriskansats", med andra ord är allt som kan hota produktionen i fokus, vilket gör förmågan att effektivt hantera alla former av störningar avgörande. En del av detta är förstås också att bygga sina system på ett sätt som tål störningar och där det går att "provköra" uppdateringar av alla slag. Hör gärna av dig till mig ( mats@ot-sakerhet.se ) med dina tankar, insikter eller funderingar. Om du i förtroende vill berätta om er incident så är jag förstås väldigt intresserad. Ett bortglömt ord i NIS2... I diskussioner kring NIS2 fokuseras det oftast (ganska naturligt) på att höja säkerheten och hur dyrt eller jobbigt det kommer bli. Det blev dessutom "ännu värre" när den svenska utredningen föreslog att hela organisationen ska omfattas av cybersäkerhetslagen även om bara en del av verksamheten egentligen berörs av direktivet. Det jag tycker många missar är att ordet "proportionerlig" hela tiden används kring säkerhetsåtgärder. Det betyder förstås att man ska ha rejäla säkerhetsåtgärder för att komma åt allvarliga risker. Men det betyder också att man absolut kan ha mindre omfattande åtgärder för de verksamhetsdelar som inte orsakar stora risker för den egentliga NIS2-verksamheten. Mer säkerhet är inte alltid bättre, se till att hushålla med resurserna så att de får göra maximal nytta där det behövs mest! Men det förutsätter förstås att man faktiskt gör jobbet som krävs för att förstå riskerna! Utan att veta om de största riskerna kan vi inte heller veta om de minsta... Det kräver både kunskap och mod att göra det här ordentligt. Det är precis som med ordet "Prioritera". Det tenderar bara användas när man tycker något är extra viktigt, men den riktiga utmaningen är att kunna våga peka på vad som är mindre viktigt ! Om allting är viktigt så är ingenting viktigt! Varför patchning är svårt? En kort och enkel artikel av Anrei Mungiu som snyggt sammanfattar varför patchning är utmanande. Jag gillar speciellt ansvarsfrågan kring vems fel det är om det strular men också att man tenderar att enbart fokusera på operativsystem! En guldgruva för Safety! Jag råkade snubbla över en stor mängd gratis publikationer från Springer , där bland annat spännande forskningsartiklar går att läsa alldeles gratis. De har även sammanställt besläktade artiklar i böcker, exempelvis hittade jag en samling böcker kring " SpringerBriefs in Safety Management ", där exempelvis boken " The Coupling of Safety and Security " ingår. Du kan ladda ner dem gratis som pdf eller epub. Om du sysslar med Safety-frågor finns exempelvis också böcker med titlar som: Exploring Resilience Risk Communication for the Future Compliance and Initiative in the Production of Safety The Regulator–Regulatee Relationship in High-Hazard Industry Sectors Human and Organisational Factors Och mycket annat... Syra i ditt nätverk? Om du använder Zeek (ett ramverk för nätverksövervakning och IDS) i dina OT-nätverk, så kan CISAs nya projekt "ACID" , "ATT&CK-based Control-system Indicator Detection for Zeek" kanske vara intressant att titta lite närmare på. Det ger möjlighet att upptäcka och reagera på viktiga händelser kopplade till PLC:er, som synes i tabellen. Än så länge har det bara stöd för tre protokoll: S7COMM, ENIP/CIP och BACnet, men det är baserat på ett annat projekt från CISA, ICSNPP , som har stöd för många fler. Vi kan nog lugnt räkna med att fler protokoll kommer läggas till efter hand. Conny reder ut begreppen kring ISA-95 och Purdue! Trogna läsare har förmodligen redan sett mina tidigare texter om de allt för vanliga missförstånden kring Purdue-modellen och tillhörande standarder. Jag snubblade över en kort artikel av Conny Jakobsson där han reder ut begreppen, missförstånden och historiken på ett riktigt bra sätt! Förhoppningsvis kan den hjälpa en eller annan att använda rätt modell till rätt behov framöver. Vad är nästa stora grej? Dale Peterson resonerar kring vilket produktområde inom OT-säkerhet som kommer bli nästa stora grej nu när Detection-marknaden börjat sätta sig. Han tar upp remote access för OT, SBOM för OT och OT Cyber risk management. Som vanligt håller jag med honom i både resonemanget och slutsatserna! Ett facit för NIS2! Nä... Så är det inte riktigt, men det är en så kallad " Genomförandeakt ", alltså ett dokument kopplat till NIS2 där Europeiska Kommissionen beskriver sina förväntningar på hur man möter kraven i NIS2 på ett rimligt sätt. Det som har kommit nu är en remiss , alltså att vi får skicka in åsikter om akten som består av ett huvuddokument och en bilaga. Fokuset är inte på typiska OT-verksamheter utan exempelvis DNS-tjänster, cloud-tjänster mm men även managerade drifttjänster och managerade säkerhetstjänster som definitivt kan vara relevanta för en OT-verksamhet. Dessutom kan man se lite hur tänket ser ut vilket man förstås kan dra slutsatser av även för mer OT-nära organisationer. I samma veva får vi också detaljerade definitioner av vad en incident är och i synnerhet vad en "betydande incident" betyder. (Det är just "betydande incidenter" som ska anmälas.) Slarvigt sammanfattat så är det när en incident matchar minst en av: Kan orsaka finansiell skada på minst 100 000 Euro eller 5% av årlig omsättning. Kan orsaka skada på verksamhetens rykte. (Exakt vad detta innebär definieras också.) Kan orsaka att verksamhetens företagshemligheter stjäls. Kan orsaka dödsfall eller allvarliga skada på en människa. Ej behörig tillgång till nätverk eller system har inträffat som misstänks vara i ont uppsåt. Upprepade säkerhetsincidenter som inträffar inom 6 månader eller som har samma grundorsak. Specifika problem beroende på vilka tjänster som påverkats: DNS-tjänster, Toppdomäner, Molntjänster, Datorhallstjänster, Innehållstjänster, Managerade tjänster, Managerade säkerhetstjänster, Marknadsplatser, Sökmotorer, Sociala nätverk eller identitetstjänster. I en bilaga får vi lite mer detaljer kring hur säkerhetskraven ska utformas, helt fokuserat på de minimikrav som finns i NIS2-direktivets paragraf 21. Det som i mina ögon är fantastiskt bra är att man nöjer sig med att definiera vad man ska göra men inte hur . Å andra sidan är det relativt detaljerat, exempelvis räknas hela 13 områden upp som ska definieras i organisationens säkerhetspolicies. Här vet jag att det finns olika åsikter om hur det borde vara, men jag är personligen helt på linjen att det absolut bästa med NIS2 är att den inte definierar krav som är "Check-In-The-Box" utan att man faktiskt måste tänka själv och göra säkerhetsarbetet på riktigt! Det blir naturligtvis mer utmanande men resultatet är definitivt värt det. Jag hoppas verkligen att de svenska tillsynsmyndigheterna inte kommer "förstöra" det här genom att göra för detaljerade föreskrifter i sina sektorer! Högst personligen ger jag två tummar upp för kravnivån, exempelvis kring det snåriga området riskhantering. Tittar man speciellt på områden som är kluriga för OT-folket så är några favoriter att: Konfigurationer ska dokumenteras, styras och övervakas. Säkerhetstestning ska genomföras regelbundet men också vara en del av utvecklingsprocesserna. Styrd hantering av ändringar och underhåll. Patchning kan man välja att låta bli om nackdelarna är större än nyttan. Fjärrarbete ska vara uppstyrt. Nätverk ska vara segmenterade. Kraven rimmar faktiskt ganska bra med tänket i IEC 62443 och inkluderar även hänsyn till Safety-utmaningar. Extra guldstjärna till kravet att separera systemadministration till egna nät! Sårbarhetsannonseringar från systemleverantörer ska löpande utvärderas. Kraven på utbildning i säkerhetsförståelse inkluderar leverantörer av produkter och tjänster. Samma sak gäller för krav på bakgrundskontroll. En personlig favorit från NIS2-direktivet är att man ska mäta hur väl säkerhetsarbetet fungerar. Även detta kläs i lite mer detaljer nu och på ett bra sätt dessutom. Det kommer fortfarande vara en svår puck för de flesta men otroligt nyttig! Frostigt i Ukraina! Vännerna på Dragos har annonserat att de utrett incidenter i Ukraina där en ny skadlig kod, döpt till FrostyGoop, använts för att manipulera fjärrvärme i Lviv. Det "nya" i sammanhanget är, förutom att själva koden är ny, att man manipulerat en fysisk process genom att prata MODBUS TCP med aktiv utrustning och på så sätt manipulerat mätvärden och annat. Det här är i sig kanske inte så anmärkningsvärt men när man betänker att väldigt många system baserade på MODBUS TCP är dåligt skyddade (eller till och med anslutna direkt till Internet) så sätter det tonen för vad man kan ana är på väg... De noterar också att verktyget är väldigt enkelt uppbyggt, vilket kanske inte är så förvånande med tanke på att det är enkla funktioner som ska manipuleras... Tyvärr blir ofta reaktionen "Men hur kan man använda oskyddade nätverksprotokoll?", vilket förvisso är en riktig observation men jag kan ändå tycka att det är fel slutsats. Det här är en välkänd begränsning så om man vill använda sådana protokoll (vilket det ibland finns goda skäl till) så får man bygga sin säkerhet på andra sätt. Med det sagt så kan jag väl tycka att det är dags att faktiskt börja använda de säkra varianter som faktiskt finns tillgängliga sedan länge ! Som alltid finns det en mänsklig sida på det här, i synnerhet bland de som drabbades av attacken. Om jag förstod det rätt utfördes attackerna mot den ukrainska fjärrvärmen i Januari, vilket förstås är mitt i smällkalla vintern. Jag kan tycka att Rob Lee på Dragos uttryckte sig mycket lämpligt i ett inlägg på Linkedin ... Ett nytt sätt att orsaka fysisk skada... Det finns många spännande publikationer! En ny för mig var " Journal of Wind Engineering and Industrial Aerodynamics " där jag nyligen hittade ett forskningspapper med den något otippade titeln " On the cybersecurity of smart structures under wind ". Miguel Cid Montoya, Carlos E. Rubio-Medrano och Ahsan Kareemhar har tittat på den intressanta attack-vektorn som uppstår när fysiska konstruktioner som är utsatta för vind har aktiva skyddsmekanismer. Exempel är tydligen långa broar, höga byggnader, vindkraftsnurror och stora solpaneler. Det här var ett för mig okänt område inom OT-säkerhet, vilket är en av anledningarna att jag är aktiv i det här området - det finns så många spännande sätt att använda cool teknik! Cybersäkerhet för fartyg inom EU? EMSA, European Maritime Safety Agency, vilket alltså är EUs myndighet för säkerhet inom sjöfarten har gjort en bra och tydlig sammanställning av de regler och ställningstaganden som EU gjort kring cybersäkerhetskrav för fartyg och inte minst hur detta område ska inspekteras. Det där är inte speciellt snällt! Jag snubblade över en rapport som FOI gav ut förra året på uppdrag av Myndigheten för psykologiskt försvar: "Diaspora och påverkan från främmande makt" . Obehagligt och väldigt aktuellt ämne som alla "säkerhetsmänniskor" behöver ta till sig. MEN! Vi ska verkligen se upp så vi inte blir fullständigt paranoida, samtidigt som det här är verkliga och vardagliga hot som dessutom är ruskigt svåra att skydda sig mot. I rapporten har man fokuserat på beteendet från Iran, Kina, Eritrea, Syrien och Ryssland. Arbetar du inom verksamheter som är viktiga för samhället är det här viktig läsning! Chatham House om kärnkraftens cybersäkerhet För de flesta är nog Chatham House annars mest känd för " Chatham House Rule ", men nu har de släppt en forskningsrapport som tittar på den civila kärnkraftsvärlden ur ett cybersäkerhetsperspektiv; " Cybersecurity of the civil nuclear sector Threat landscape and international legal protections in peacetime and conflict ". Inte minst kopplat till intresset för att bygga små reaktorer, "SMR" och hur detta påverkas av krigshändelser i omvärlden. Intressant! Återstående eller inneboende? Som alltid, en intressant artikel av Sinclair Koelemij kring skillnaderna i att bestämma "Återstående risk" kontra "Inneboende risk". Väldigt relevant for OT-världen och med en tydlig koppling till metoderna i 62443-standarden. Inte nytt, men bra! ISA uppdaterade förra året deras kompakta guide-dokument " Industrial Cybersecurity for Small- and Medium-Sized Businesses " som är en riktigt bra start för den som är osäker på hur man lägger upp sitt säkerhetsarbete för att komma igång. Det är bara 14 sidor att läsa men de lyckas ändå sätta bakgrund och prioriterade åtgärder på ett tydligt sätt. Rekommenderas! Glöm inte S4! Missa inte att det löpande släpps videos från årets S4-konferens. När detta skrivs är vi uppe i över 30 stycken . Jag ska inte ge mig till att peka på någon favorit, de håller sanslöst hög kvalitet allihop! (Biljetterna till nästa år släpps 16:e september...) Man glömmer så lätt... Phil Venables skriver ofta kloka texter. Senast läste jag en text med titeln " Why Good Security Fails: The Asymmetry of InfoSec Investment " som är otroligt relevant för OT-säkerhet! I grunden handlar det om utmaningen som uppstår om man bedriver ett bra säkerhetsarbete, nämligen att man får färre problem som motiverar att man arbetar med säkerhet! Det påverkar både hur mycket resurser som görs tillgängligt men förstås även vad folk är motiverade att arbeta med! En speciellt viktig poäng som han också tar upp är det som kallas " Chesterton's Fence ", som enkelt uttryckt innebär att man (som person eller organisation) glömmer bort varför man införde en åtgärd. När åtgärden senare mest ses som ett hinder blir det lätt att den rationaliseras bort. En helt annan typ av lag! Det är mycket snack om lagar nu, inte minst från EU... Men en helt annan typ av lagar är de som förklarar hur någonting i vår omvärld fungerar och som vi kan lära oss någon av. Nu tänker jag inte på tyngdlagen eller något annat fysikaliskt utan lite mer "filosofiskt"... En lag som jag inte hade koll på men som jag kände igen mig i direkt är "Goodharts lag". Förenklat säger den "När du använder ett mätetal som ett mål så slutar det vara ett bra mätetal". Du har säkert varit med om varianter på detta när man vill utveckla något slags verksamhet genom att sätta utmanande mål. Man hittar någonting som går att mäta och som verkar indikera vår förmåga på ett bra sätt. Men ganska snabbt märker man att det spårar ur, exempelvis för att folk börjar fokusera enbart på vissa saker eller att mätetalet helt enkelt inte fungerar i andra situationer. I en text från 2019, skriven av David Manheim och Scott Garrabrant , beskriver de fyra varianter på varför det går snett. Perfekt läsning och bra inspiration för den som vill mäta och sätta bättre mål för sitt säkerhetsarbete framöver! Om inte annat så är det ju faktiskt ett lagkrav i NIS2 att man ska mäta sitt säkerhetsarbete... Vill du gå ännu längre finns en blogg-text av den alltid intressante Phil Venables som tar upp tio lagar kring teknikutveckling. Allt från de välkända Moore's lag och Murphy's lag till lite mer okända (men bra) som Hyrums lag och Conways lag. Där finns även några som är direkt applicerbara på säkerhetsfrågor, speciellt Wirths lag, Hyppönens lag och Venables lag. Många synpunkter på Cybersäkerhetslagen! I förra nyhetsbrevet berättade jag att jag skrev ett personligt svar på remissen av nya Cybersäkerhetslagen, den som ska möta kraven i NIS2. Förutom de 163 andra svar som är listade på försvarsdepartementets sida kan man förstås alltid begära ut de 41 övriga svaren som skickats in på remissen... Tittar man i den listan ser man att jag inte är helt ensam om att vara nördig nog att skriva ett personligt remissvar, vi är tre stycken individer... Det finns många kloka tankar även bland dessa 41 svar men som inte får samma synlighet som de 163. Lite synd kan jag kanske exempelvis tycka om Kungliga Musikskolan som bland annat pekar på det lite orimliga att en liten högskola som forskar kring musik omfattas av lagens krav. Jag hade kanske förväntat mig lite fler nödrop från andra verksamheter som kommer omfattas, men som man spontant kan tycka är lite i överkant att kräva den här nivån av skydd för. Roliga exempel som jag tänker på är tillverkare av barnvagnar, kanoter, shoppingvagnar och spelkonsoler. Det kan ju vara så att de inte finns i Sverige eller att de helt enkelt inte insett att de omfattas ännu... Cybersäkerhet eller fysiskt skydd? En rad uppmärksammade inbrott i dricksvattenanläggningar i Finland påminner oss om hur viktigt det är att det fysiska skyddet av många anläggningar matchar OT-säkerheten och hur viktigt det är att exempelvis inbrott utreds ur perspektivet "Var det manipulation av system även om det maskerats som stöld?". Kloka tankar kring nätverksswitchar En artikel av James Mulford med titeln " 10 Basic Switch Features to Improve Your Industrial Security " listar 11 (!) kloka råd för den som sätter upp nätverksswitchar för OT-miljöer. Vissa av råden vet jag att det finns lite olika åsikter om, men personligen håller jag med om allihop. Vissa råd är dessutom väldigt viktiga av andra skäl än klassisk säkerhet, framför allt tänker jag då på råden kring VLAN och kring IGMP Snooping. Nu tar vi nästa steg? I många sammanhang är det en utmaning att kunna installera säkerhetslösningar tillräckligt "nära" styrsystemen. Det kan vara på grund av svårigheter att få tillgång till nätverkstrafiken, platsbrist i skåpen eller helt enkelt kostnaden för mer utrustning. Det påverkar ofta vilka typer av information vi kan samla in och vilka typer av incidenter vi kan upptäcka. En tanke som jag själv har utforskat i en del kunduppdrag är hur man skulle kunna utnyttja den nya funktionalitet som börjar dyka upp i PLC:er från allt fler tillverkare, nämligen att köra andra typer av applikationer utöver än de klassiska "styr och mät"-delarna. Rimligen finns här en möjlighet att integrera säkerhetslösningar väldigt nära processen? Nu verkar Nozomi vara på väg med en variant på precis detta! De har annonserat att deras ARC-lösning kommer i en variant, "ARC Embedded", som går att köra i en PLC. Till en början i Mitsubishis produkter i serien MELSEC iQ-R, men en personlig gissning är att vi kommer se detta i PLC:er från fler tillverkare framöver. Det borde rimligen vara enkelt i andra produkter med liknande stöd - exempelvis PLCnext från Phoenix Contact eller Beckhoffs controllers. När detta skrivs finns inga offentliga detaljer att prata om, så jag ber att få återkomma... Tankar kring robusthet i tillverkande industri En artikel från World Economic Forum med några tankar på hög nivå kring hur tillverkande industri kan bygga en kultur där cyber-robusthet är högt på agendan. Det här är ett område som man inte ska underskatta, inte minst om man tänker sig möta kraven från exempelvis NIS2. Det är inte ekonomiskt rimligt att förebygga alla former av cyberhot, så då får man fokusera på en lagom kombination av förebyggande skydd och förmågan att hantera incidenter på ett sätt som inte raserar verksamheten. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en maxad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du reda på nyhetsbrevets framtid, att NIS2 blir ännu mer försenat, varför en OT-SOC är en bra idé, hur det egentligen stod till ombord på skeppet som raserade bron i Baltimore, vi lär oss hur man tänker själv, möter en ny spännande bekantskap i labbet, australiensiska principer för OT, hur man får gratis pengar till säkerhet, vad vi har glömt i NIS2, hur man hackar safety-system i kärnkraftverk, du får en inbjudan till Cybernoden och så kommer ett skepp lastat med mängder av larm. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nyhetsbrevet läggs inte ner! Jag fick en del oroliga frågor om nyhetsbrevets framtid efter att jag berättade på LinkedIn att jag skulle byta arbetsgivare. Men jag kan lugna alla som eventuellt är oroliga, min tanke är att nyhetsbrevet ska fortsätta precis som vanligt. Kanske till och med att det blir lite nytändning tack vare nya intryck och perspektiv i vardagen? Jag arbetar numera på svenska företaget Sectra , ett fascinerande företag som bland annat är känt runt om i världen för supercoola bildhanteringssystem inom sjukvården och för megasäkra kryptosystem . Jag finns i en grupp som jobbar med kritisk samhällsinfrastruktur och då i synnerhet kring en väletablerad tjänst för "Managed Detection and Response" (MDR eller "SOC-tjänst") som är byggd från grunden med OT-säkerhet i fokus. En annan orolig fråga som dykt upp är om jag inte kommer vara tillgänglig som rådgivare längre. Även där kan jag lugna dig om du är fundersam, konsultandet är en fantastiskt rolig del av mitt arbete som jag inte ger upp i första taget. Behöver du stöd, ett bollplank, lite utbildning eller kanske att någon agerar djävulens advokat i en workshop så är det bara att höra av dig! OT-säkerhet är hett just nu, inte minst kopplat till NIS2. Det är klokt att ha etablerat kontakten i förväg, redan innan man akut behöver det där stödet, så att vi kan bli snabba på bollen! En tredje vanlig fråga är "Varför just Sectra"? Det är en fråga som det finns många svar på, men det viktigaste svaret för mig personligen är att jag redan tidigare jobbat nära Sectras vassa medarbetare, så jag vet precis hur stimulerande det här kommer bli. Ett annat, och kanske lite mer grandiost svar handlar om att leva som jag lär. Det handlar om att jag söker mig mot lösningen på just det feltänk som jag tycker har varit allra vanligast hos mina kunder. Jag brukar ta hjälp av det välkända hjulet från NIST Cyber Security Framework för att illustrera vad jag menar. Det handlar helt enkelt om att många organisationer (medvetet eller omedvetet) lägger för mycket av sitt krut på tårtbiten "Protect", vilket ger en rejäl slagsida på säkerhetsarbetet. (Jag har skrivit om detta flera gånger förut, senast i nyhetsbrev 61 .) Sectra har förstås ett uppenbart fokus på att stötta både "Detect" och "Respond" med vår väletablerade MDR/SOC-tjänst. Det finns dessutom väldigt naturliga kopplingar från en bra SOC-verksamhet till att hålla hög kvalitet i asset-information ("Identify") och att ge "Recover" bästa möjliga förutsättningar att återställa en havererad produktion. För att allt detta ska bli effektivt och anpassat till varje verksamhets unika förutsättningar är förmågan att mäta och leda ("Govern") centralt och något som vi gärna stöttar som rådgivare! Nu får det räcka, det här var inte tänkt som en reklam för Sectra utan mer som en förklaring till varför min nya arbetsplats känns som ett väldigt naturligt steg framåt för mig. Det ska bli enormt roligt att utforska OT-branschen med Sectra-glasögon på och jag vet att jag kommer att lära mig massor! Om du är sugen på en riktig OT-SOC så berättar jag förstås gärna mer, oavsett om det är som potentiell kund eller kollega! Nej, det var inte en cyberattack! Du minns säkert den tragiska olyckan i Baltimore när containerfartyget Dali körde ner en bro vilket orsakade sex dödsfall. Genast efter händelsen cirkulerade en massa teorier om att avancerade OT-attacker mot fartygets system var orsaken till att man förlorade kontrollen över fartyget. Nu har U.S. Department of Justice lämnat in en stämning där man pekar på ganska avancerade felgrepp och slarv som ligger bakom att fartygets elsystem slogs ut upprepade gånger. Som synes har man gjort en del "intressanta" modifieringar av fartygets system... Nix! NIS2 kommer inte vid nyår! Det blir mer och mer uppenbart att den nya cybersäkerhetslagen, som skulle implementera NIS2 vid årsskiftet, inte kommer att bli klar i tid. Från källor "väldigt nära händelsernas centrum" har jag fått beskedet att riksdagen kommer få en proposition tidigast under våren 2025 och då lär det inte bli någon lag förrän om ett år. Samma besked ges nu också på MSB:s hemsida . Vi hör liknande signaler även från andra länder, exempelvis Danmark , Tyskland, Spanien och Nederländerna. Det här är förstås synd men betyder förmodligen väldigt lite i praktiken. Med tanke på hur långsamt implementationen går i de flesta organisationer som jag har kontakt med så är det kanske tur? En sak är klar för de flesta, det betyder inte att man kan ta det lugnt med NIS2-arbetet. Vill man ha lite stöd så har MSB precis uppdaterat sin text " Skydd av samhällsviktig verksamhet ". Den innehåller en vettig checklista med vad som kan vara bra att göra men ingenting om hur . En juridisk finess i sammanhanget är begreppet " EU-rättens direkta effekt " som jag ska vara väldigt försiktig med att tolka här med tanke på att jag inte pluggat juridik en enda sekund av mitt liv... Men som jag förstår det så har det slagits fast i rättsfall inom andra områden att ett EU-direktiv gäller som lag i ett land om landet inte har implementerat direktivet i tid. Det har dock en massa begränsningar och verkar framför allt handla om att privatpersoner kan hävda rättigheter som de får via exempelvis ett direktiv. Däremot får inte staten använda ett direktiv som krav på en privatperson. Här får gärna jurister i läsekretsen höra av sig med sina insikter! mats@ot-sakerhet.se Principer från down-under! ASD, Australian Signals Directorate , har publicerat ett kort dokument med 6 principer för OT-säkerhetsarbete. ASD är en myndighet som producerar väldigt bra material och det stämmer även i det här fallet! Man har dessutom förankrat materialet med motsvarande myndigheter i USA, Kanada, Storbritannien, Nya Zealand, Tyskland, Nederländerna, Japan och Sydkorea. I nyhetsbrev #51 skrev jag om ett liknande samarbete kring "Secure by design/default" och nu är det alltså OT-säkerhetens tur! Man kan tycka att det blir lite väl flummigt att komprimera det viktigaste till bara 6 principer men de har faktiskt gjort det riktigt bra och kommentarerna till respektive princip innehåller en del guldägg. Väl värt att titta på! Gratis pengar till säkerhet! Sveriges nationella samordningscenter för forskning och innovation inom cybersäkerhet (NCC-SE) är en del av MSB. De har just nu en utlysning där mindre företag kan få bidrag för cybersäkerhets-åtgärder. De har totalt 23 miljoner att dela ut och man kan få upp till 600 000 per sökande. Det kan handla om att öka kompetensen, att åtgärda risker eller att bättre möta nya krav från EU, exempelvis NIS2, CRA eller någon av alla de andra nya lagarna. Det bortglömda kravet i NIS2! Hysterin kring NIS2 och den kommande svenska cybersäkerhetslagen ökar för var dag som går. Det är förvisso bra med ordentlig uppmärksamhet, men tyvärr hamnar diskussionerna ofta på fel saker. Det tenderar att bli fokus på att uppfylla kraven på säkerhetsåtgärder, vilket i sin tur oftast beror på att diskussionerna startas av leverantörer som vädrar morgonluft. I direktivets artikel 21 finns 10 punkter med säkerhetsåtgärder som anses vara en nedre skamgräns för vad man ska ha på plats. Det nämns till exempel saker som kryptering, multifaktorinloggning och cyberhygien, men också mjuka frågor som incidenthantering, personalsäkerhet, riskanalys, leverantörskrav och katastrofhantering. Allihop är bra krav men de beskrivs extremt kort, i vissa fall bara ett ord (!), så exakt vad som krävs är verkligen inte speciellt tydligt. Det passar förvisso bra ihop med det allmänna kravtänket i NIS2 som kan sammanfattas under parollen "Tänk själv!". Bland dessa 10 punkter finns en som jag nästan aldrig hör diskuteras, men som jag tycker är fantastiskt viktig. Och svår... Det "Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet". Det vill säga, du ska mäta hur effektivt ditt säkerhetsarbete tar hand om dina risker. En bra effektivitet i det här sammanhanget bör ju rimligen betyda att risker sänks mycket i förhållande till vad säkerhetsåtgärderna kostar. Det betyder att vi behöver ha koll på riskerna och säkerhetsåtgärderna samt hur de relaterar till varandra. Det låter ju spontant som ett klokt och viktigt krav. Men vad betyder det i praktiken? Och vad behöver man för att klara det? Och det är här som det geniala med det här kravet blir tydligt! Det tvingar nämligen oss att ha riktigt bra ordning på alla de andra åtgärderna. Men det blir också tydligt att det kan bli väldigt omständligt och tungt... Vi behöver vi förstå vilka risker vi utsätter oss själva och samhället för Vi behöver förstå vilka åtgärder vi har på plats, deras verkliga nytta och vad de kostar Vi behöver förstå vilka åtgärder som i verkligheten påverkar vilka risker Vi behöver förstå vilka risker som orsakas av våra leverantörer och hur våra krav påverkar de riskerna I praktiken kan mätandet uppenbart bli en enorm börda i sig, och det är ju förstås inte meningen. Det finns säkert en massa genvägar man kan ta och förenklade uppskattningar som kan göras. Men vi kommer aldrig undan från att ha ordentlig koll på risker och åtgärder! Men det finns en väldigt stor nytta för den egna organisationen med det här. Om man lyckas väl med detta kan man plötsligt prioritera bland nya och existerande åtgärder baserat på vilken nytta de faktiskt gör. Det är precis det här som behövs när man ber om pengar till ett nytt säkerhetsinitiativ eller ska försvara sin budget! LARM! LARM! LARM! Ett område som på flera sätt angränsar till OT-säkerhet är genomtänkt larmhantering i kontrollsystem, alltså hur man hanterar situationer där ett system inte vet hur det ska bete sig och därför behöver larma en människa. Det här är något som sedan länge är känt som ett viktigt område, men som vanligt går inte teori och praktik alltid hand i hand. Inom sjöfarten har detta seglat upp (!) som ett allvarligt problem på senare år. I takt med att man drar ner bemanningen ombord på fartyg blir larmhantering, på gott och ont, allt viktigare. Lloyds Register har under ledning av Asger C. Schliemann-Haug undersökt situationen för att förstå om den är ohållbar och vad som kan göras för att förbättra den. De har analyserat erfarenheter från 65 vakthavande personer på 15 fartyg från 10 av världens största företag inom sjöfart. Summerat kan man säga att den 182-sidiga rapporten säger att det finns utrymme för förbättring... Om du föredrar det så finns det även en summering på 24 sidor. Jag har tidigare hört en presentation av innehållet på en träff med Maritime Cyber Guild och jag blev helt häpen över hur illa det står till i många fall och vilka skrämmande exempel man tar upp på hur det kan gå! Här finns mycket att lära även för andra branscher. Inte minst kring hur larmhantering inom själva OT-säkerhetsarbetet ska ske för att få snabba reaktionstider och detta utan att bränna ut personalen - något som tyvärr är ett vanligt problem. Det där med att tänka själv... En av höjdpunkterna i den kommande svenska cybersäkerhetslagen är hur man håller koll på säkerheten kring de leverantörer som man är beroende av. Det här är ju ett område där vi minns ett antal spektakulära attacker kopplade till exempelvis Solarwinds och Kaseya. Det är ett område där jag fortfarande hör missförstånd kring vad kraven i NIS2-direktivet egentligen säger. Det vanligaste är nog "Om du är leverantör till någon som omfattas av NIS2 så kommer du automatiskt också omfattas av direktivet". (Så är det ju alltså inte!) Om man vill djupdyka i det här området och de juridiska klurigheterna som hör till, så kan jag rekommendera Vendela Schörlings uppsats  på området. Om du läser noga så kommer du upptäcka att jag haft ett finger med i spelet under arbetet. Du hittar många kloka resonemang kring juridik, riskanalys och ansvarsfördelning. Mycket nöje med läsningen! En trio brandväggar i labbet! Det är knappast en nyhet för någon att bra nätverkssegmentering är grundstommen i de flesta OT-säkerhetsprogram. Om man ska segmentera "långt ut" i produktions-näten behöver man ha utrustning som överlever i sådana fysiska miljöer. Ofta vill man dessutom bygga brandväggsregler på detaljer i OT-protokollen och då behöver man förstås grejor som förstår dem... Det är här de ruggade OT-brandväggarna firar triumfer på egen hemmaplan. Monterade på DIN-skena, drivna med 24 Volt likspänning och fyllda med OT-specifika lyxfinesser är de perfekta att hantera de utmaningar som är vanliga i robotceller, maskiner och andra ställen med grupper av känsliga komponenter. Med rejäla kylflänsar och vibrationståliga komponenter tål de att bokstavligen sitta i händelsernas centrum. I labbet finns nu en spännande trio av dessa brandväggar. Den till höger på bilden känner ni kanske igen sedan tidigare, det är TxOne EdgeFire  som jag skrev om senast i nyhetsbrev #31 . En av mina favoriter, vars kanske starkaste sida är deras virtuella patchning baserad på sårbarhetsinformation från  ZDI, Zero Day Initiativ . I mitten ser du en riktigt spännande nykomling som egentligen "inte finns ännu", det är väletablerade svenska brandväggstillverkarna Clavister  som nu ger sig djupare in i OT-världen med brandväggen "NetWall 200R". Jag har ett förserie-exemplar med serienummer noll (!) som jag kommer att återkomma till i ett framtida nyhetsbrev. Till vänster på bilden sitter dagens huvudperson, en Anybus Defender 6004 DPI FW , en alldeles ny produkt på marknaden - på sätt och vis... Anybus  är ett av varumärkena inom svenska bolaget HMS Networks . HMS är ju något av ett doldis-bolag om man inte är i branschen själv, men du kanske vet att deras produkter går att hitta i fantastiskt många olika sammanhang, inklusive i produkter från andra produkttillverkare. En typ av produkt som HMS inte haft tidigare är OT-brandväggar, men det har de alltså åtgärdat nu. De har faktiskt gjort det på två sätt, dels köpte nyligen HMS Networks det amerikanska företaget Red Lion Controls  och fick då en väldig massa nya och spännande produkter under sina vingar. Men HMS nöjde sig inte där, de har också etablerat ett samarbete med amerikanska företaget Dynics och säljer deras trevliga brandväggar under Anybus-flagg. Det är en av dessa som nu dykt upp i mitt lilla labb, närmare bestämt en " Anybus Defender 6004 DPI FW "... Jag kan direkt avslöja att det här är en riktigt trevlig bekantskap, faktiskt en av mina absoluta favoriter i den här kategorin! I grunden liknar den de flesta produkter av den här typen; ett vettigt webb-gränssnitt där man konfigurerar alla aspekter av funktionaliteten. Har man lite fler enheter finns även programvaran "Anybus Cybersecurity Console" för enklare "mass-drift". Känslan i gränssnittet kan kanske beskrivas som "en avancerad hemmarouter", vilket jag menar som en komplimang och som jag verkligen tycker är bra i det här sammanhanget. Du kommer känna dig hemma oavsett om du är nätverksproffs eller automationsingenjör. Det är lätt att hitta i menyerna och hjälptexterna är extremt bra. De grundläggande funktionerna kring nätverket och de "normala" brandväggsfunktioner är kraftfulla och enkla att få till. Det finns gott om avancerade funktioner under "Advanced"-flikarna om man behöver göra något som är lite utöver det vanliga. I tillverkande industri är vettiga NAT-funktioner viktigt och det finns på plats. Så långt är det två tummar upp från min sida. Hur är det då med funktioner som både tilltalar OT-folket och säkerhetsnördarna? Brandväggsinställningarna har en sektion som heter "Industrial protocols" där man kan bygga regler, regelgrupper och profiler på ett smart sätt. Det finns en "Analysis"-funktion suger i sig inspelad nätverkstrafik och presenterar förslag på regler för att göra det enklare att genomskåda vad som faktiskt behöver ha regler. Riktigt elegant är att man hanterar de här reglerna separat från underliggande IP-regler. Se nedanstående exempel på en regel för MODBUS TCP som struntar i IP-adresser, portnummer etc och enbart filtrerar på ren MODBUS-information. Snyggt! Just nu finns det bara stöd för MODBUS TCP och EtherNet/IP (CIP) på den här detaljeringsnivån men ytterligare ett antal protokoll är redan på väg. Om du har en åsikt om vilka protokoll som vore intressantast att faktiskt kunna filtrera på så får du gärna höra av dig! mats@ot-sakerhet.se Den här produkten är baserad på opensource-brandväggen pfSense som i sin tur bygger på FreeBSD. Att den bygger på pfSense är förstås en stor del av förklaringen till den stora flexibiliteten i produkten. Men det ger också en annan riktigt spännande möjlighet! Genom "Packages" kan man enkelt lägga till väldigt avancerad funktionalitet. I den långa listan hittar du bland annat super-intressanta mjukvaror som: ArpWatch (Reagerar på exempelvis ARP-spoofing) Snort (IDS/IPS) Softflowd (Exporterar nätverksinformation via NetFlow) Squid (Webb-proxy) Suricata (IDS/IPS mm) Wireguard och Tinc (VPN) Zeek (Nätverksanalys) Möjligheterna som ges via Packages är nästan obegränsade och det ska bli spännande att se hur den här delen tas emot av marknaden. Hårdvaran är relativt kraftfull så den pallar att köra avsevärt mer än ren brandväggsfunktion! Om du redan använder det här i någon form av OT-sammanhang så vill jag gärna höra mer! mats@ot-sakerhet.se På det hela taget är det här en fantastiskt intressant produkt! De erbjuder extremt flexibla möjligheter att lösa dina utmaningar utan att gränssnittet känns förvirrande eller komplext. Förhoppningsvis kommer vi se stöd för fler OT-protokoll inom kort och ännu fler möjligheter med "Packages". En detalj som verkligen tilltalar mig är att licenserna är "eviga", alltså ingen oro att någon licens löper ut och stoppar någon viktig funktion! Säkerhetsuppdateringar ingår också på livstid. Vill du höra HMS själva prata om det här så finns exempelvis den här videon med Thomas Vasen på YouTube: En OT-avhandling! Sarah Fluchs är ett välkänt namn i branschen som har varit drivande på många spännande områden, exempelvis i projektet " Top 20 Secure PLC Coding Practices " som jag skrivit om tidigare. Nu har hon levererat sin avhandling som handlar om en visuell modell för att fatta, dokumentera och kommunicera beslut kring hur cyberfysiska system utformas. Vad är annorlunda med utbilda i OT-säkerhet? Ett spännande samarbete mellan ISAGCA, INL, Idaho State University och DOE har resulterat i ett dokument som innehåller en mycket stor mängd kunskaper som de bedömer behöver vara annorlunda i en cybersäkerhetsutbildning riktad mot OT-miljöer jämfört med "vanliga" cybersäkerhetsutbildningar. Och det är verkligen en diger lista de fått ihop, så man måste nog verkligen ta fasta på ordet "guidance" i titeln: "CURRICULAR GUIDANCE: Industrial Cybersecurity Knowledge". Med tanke på att ser ut att börja lossna även i Sverige kring denna typen av utbildningar, så finns det nog en hel del inspiration att hämta här! NIS2 handlar mest om OT-säkerhet! NIS2 trycker på två saker; dels starka nationella strukturer för cybersäkerhet, och dels ”cyber-robust” produktion i organisationer som är viktiga för samhället. Om vi funderar över den där robusta produktionen, så inser vi direkt att de flesta organisationer som ingår i NIS2 producerar något ”fysiskt”. Det är tillverkande industrier, energiproduktion, transporter, dricksvatten, avlopp, avfall, livsmedel och kemikalier. Det är dessutom sektorer som innehåller väldigt många organisationer och där den samhällsviktiga verksamheten är helt beroende av god OT-säkerhet. IT-säkerhet är förstås också viktigt, men samhället kommer inte bry sig så mycket om ert fakturasystem står still eller om din budgetrapport för oktober är otillgänglig. Men om produktionen stannar blir det snabbt problem! Inget ont om banker, kommuner, IT-driftleverantörer, DNS-tjänster och rymdtjänster – de är väldigt viktiga! Men de är betydligt färre och har i de flesta fall relativt moget säkerhetsarbete redan idag. Den stora utmaningen framöver finns därför i organisationer som behöver OT-säkerhet, både för att de tenderar av vara mer omogna och för att de är många fler! Just nu är det många som nyvaket ställer ganska grundläggande frågor kring NIS2 i diverse forum på nätet, exempelvis: ”Vad är det jag behöver göra egentligen?”. Det är förstås en väldigt bra fråga, egentligen precis den fråga som alla behöver ställa sig. Problemet är att man ofta får ett och samma svar tillbaka; ”Det är bara att implementera ISO 27001!”. Svaret är i sig inte fel. Men som nörd inom OT-säkerhet drar det direkt i gång några stora varningsflaggor i mitt huvud. Jag ska vara väldigt tydlig med att jag verkligen gillar ISO 27001 och att jag tror att det är rätt väg för nästan alla organisationer! De där varningsflaggorna hänger mer ihop med de typiska dikeskörningar som jag sett lite för många gånger i organisationer som gett sig på att bygga ett ledningssystem med hjälp av ISO 27001. Flera av dikeskörningarna blir dessutom lite extra allvarliga när det handlar om NIS2 i kombination med OT-säkerhet. En väldigt vanlig dikeskörning är att man fokuserar alldeles för mycket på Annex A i ISO 27001, alltså listan över säkerhetsåtgärder som kan vara relevanta enligt standarden. Jag hävdar att det är den minst viktiga delen av standarden och att den egentligen borde tas bort helt. Det viktiga finns tidigare i dokumentet, kapitel 4 till 10; att förstå organisationens förutsättningar, planering, styrning av säkerhetsarbetet, att löpande utvärdera hur det går och att jobba med ständiga förbättringar. De här dikeskörningarna är ett problem även utan NIS2 och OT-säkerhet, men det tenderar att göra problemet mycket större om man rusar i väg för att implementera klassiska IT-säkerhetsåtgärder. Riktigt bra kan det bli om man kombinerar kapitel 4 till 10 i ISO 27001 med del 2 av IEC 62443. Det kräver förstås lite extra jobb men resultatet kan bli riktigt välanpassat till både IT och OT. Samtidigt! Hur man skyddar ett kärnkraftverk Ruben Santamarta har just publicerat en riktig djupdykning i ett vanligt förekommande skyddssystem för kärnkraftverk. Eftersom jag är "uppvuxen" i kärnkraftsbranschen är jag förstås lite extra nördigt intresserad men det finns godis här för alla! Årets SCADA-Säkerhet har gått av stapeln! I mitten av september spenderade jag två dagar på konferensen "SCADA-Säkerhet" i Stockholm. Som man förstår av det lite ålderdomliga namnet är det en konferens som funnits i ett antal år nu och som samlar en trogen publik. Det var två dagar av föredrag, men kanske framför allt två dagar av riktigt roliga diskussioner med både nya och gamla bekantingar. Ett stort tack till alla jag träffade där för många inspirerande samtal! Favoriterna bland föredragen var nog: Björn Eriksson som är gruppchef komplexa cyberbrott (KCB) på Polismyndigheten som pratade om hur polisen arbetar vid cyberattacker. Hörde många kommentarer efteråt om att det var viktigt att få höra. Jimmy Persson som är utvecklings- och säkerhetschef på Svenska Stadsnätsföreningen pratade om robusthet och fysiskt skydd på ett sätt som jag tror många organisationer kan ha nytta av även i helt andra branscher. Du kan läsa deras anvisningar för fiber och för anläggningar . Anders Jonson som är medlem i ENISA AHWG – EUCS/AI pratade om hur framför allt NIS2 kommer påverka branschen. Ted Strandberg som är projektledare på RISE tog avstamp kring det uppdaterade Radiodirektivet från EU och vad som händer runt om det. Cybernoden! Har du koll på Cybernoden ? Om inte så tycker jag du ska titta närmare och om din arbetsgivare inte redan är medlem så är det faktiskt gratis! Den officiella förklaringen av vad Cybernoden är: " Cybernoden är Sveriges nationella kompetensgemenskap inom cybersäkerhetsforskning och innovation och drivs av RISE på uppdrag av NCC-SE inom ramen för ECCC, och är finansierat av Vinnova. " Det finns en lång radda temagrupper, så det finns garanterat någon som passar oavsett vilken typ av säkerhetsarbete du är intresserad av! Men den roligaste gruppen är förstås " Säkerhet i ICS/OT " som jag och Thomas Vasen leder! Hör av dig om du vill vara med och bidra till diskussionerna! ( mats@ot-sakerhet.se ) ENISA har inte så mycket fokus på OT? EUs cybersäkerhetsmyndighet ENISA har just publicerat " ENISA Threat Landscape 2024 ", deras analys av hotläget mot EU och världen. Rapporten är intressant i sig, men ännu mer intressant kan det tyckas att OT-säkerhet nämns exakt en enda gång i ett dokument på 131 sidor... Men? Vem är det som kör egentligen? Välkände profilen Joe Weiss har publicerat ett 24-sidigt dokument under rubriken "Who’s in charge of OT security?" där han skriver kloka saker kring den "eviga frågan" om hur vi ska få IT och OT att fungera bra tillsammans. NSSS24 och CRA I slutet av september gick konferensen Nordic Software Security Summit av stapeln i Stockholm, organiserad till största delen av Olle E. Johansson. Jag var inte där själv men har förstått att den var mycket uppskattad av deltagarna. Något som kan intressera läsarna av det här nyhetsbrevet var Filipe Jones Mourao från Europeiska Kommissionen som i sin keynote-dragning berättade om läget kring Cyber Resilience Act, CRA: Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du en rolig tävling, försäkringsbolagens nya fokus på OT-säkerhet, världsläget inom OT enligt SANS, dödsstöten för risk-management, Pentagon driver Zero Trust inom OT, beröringspunkter mellan olika standarder, vad ordet sårbarhet egentligen betyder, realtids-Linux, det senaste kring CRA/NIS2/Maskinförordningen och en lång radda andra spännande ämnen. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet ! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se . När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil , i dess egen LinkedIn grupp , i Facebook-gruppen Säkerhetsbubblan , på Mastodon , på Bluesky , på Twitter och på en egen Facebook-sida . Du kan också prenumerera via RSS på www.ot-säkerhet.se . Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades . Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Försäkringsbolagen är på G! I dessa dagar, när alla pratar om nya lagar som ställer krav på säkerhetsåtgärder i våra produktionsmiljöer får vi inte glömma en annan maktfaktor som redan arbetat med det här i många år. Jag tänker på försäkringsbolagen. Och jag ska säga direkt att jag inte tänker på cybersäkerhetsförsäkringar utan att försäkringsbolagen allt mer hanterar digital säkerhet i produktionsmiljöer på samma sätt som brandskydd och andra "klassiska" riskområden. Jag har deltagit som stöd till några av mina rådgivningskunder när deras försäkringsbolag kommer på "inspektion" med fokus på cybersäkerhet i produktionen. Mina intryck av hur försäkringsbolagen hanterar det här är väldigt positiva! Det har varit kunniga människor som ställer meningsfulla frågor och som drar mycket relevanta slutsatser om riskerna. Ett exempel på ett försäkringsbolag som jag har ett gott intryck av är FM Global. De är extra intressanta för att de dessutom publicerar en mängd texter kring vad som är bra att tänka på för att minimera risker i produktionen. Ett exempel, som nyligen uppdaterades, handlar om " Industrial Control Systems ". Som du kanske märkt är jag väldigt positiv till de ökade kraven från exempelvis EU, men jag måste säga att försäkringsbolagen kan komma att ha lika mycket effekt - även om de verkar lite mer "bakom kulisserna". Jämförelsen med att ha bra brandskydd haltar förstås lite men det tydliga ekonomiska tryck som försäkringsbolagen börjar sätta mot organisationer med dålig säkerhet i produktionen kommer ha effekt! Läget i OT-världen enligt SANS Jag är inte så förtjust i alla de där årsrapporterna som vänder och vrider på enkätsvar för att skapa något som liknar spännande insikter. Men välkända utbildningsföretaget SANS, som jag har mycket respekt för, släppte nyss sin " 2024 State of ICS/OT Cybersecurity ". Du får själv ta till dig vad du tycker är rimligt, relevant och intressant men jag noterade för min del att: Användningen av molnbaserade tjänster ökar snabbt nu. Det matchar för övrigt vad jag själv ser bland mina kunder. Förmågan att upptäcka säkerhetsincidenter och att hantera dem är fortfarande svag hos de flesta. Här hoppas jag att många påverkas av det fokus som NIS2 har på just detta - insikten att du oavsett hur mycket skydd du har, så behöver du fortfarande kunna upptäcka, hantera och analysera en produktionspåverkande händelse. Färre rapporterar ransomware-angrepp vilket matchar utvecklingen generellt. Förmågan att försvara sin OT-infrastruktur tycks fortfarande främst bygga på accesskontroll, backuper, EDR, IT/OT-separation och säker fjärråtkomst. En förvånansvärt stor andel har fortfarande ingen säkerhetsövervakning eller OT-SOC. Jag får ofta frågan om man ska ha en separat SOC för OT (särskilt nu när jag jobbar på Sectra). Svaret är som vanligt: "Det beror på!". I de fall OT-systemen verkligen liknar "vanliga IT-system" och produktionen faktiskt inte har annorlunda behov än resten av organisationen så är en kombinerad SOC definitivt rimlig. Annars finns det anledning att vara försiktig. Riktigt glädjande att se att så många tagit rejält tag i sin fjärraccess! 33% spelar in sessionerna och 55% kan övervaka och avbryta uppkopplingar om märkligheter upptäcks. Kul att fler inser de grava begränsningarna med vanlig VPN! Har du koll på 2024/2847? 2024/2847 blev det officiella dokumentnumret på CRA, Cyber Resilience Act , när lagen nyligen publicerades och därmed börjar gälla den 11:e december. Det betyder att nedräkningen mot full implementation den 11:e december 2027 har börjat. På vägen finns det ett antal "etappmål"; bland annat ska aktivt utnyttjade sårbarheter börja rapporteras redan 11:e september 2026 och från den 11:e juni 2026 gäller reglerna kring organisationer som granskar överensstämmelse. Senare samma år, från och med den 11:e december 2026, ska länderna ha sett till att det finns tillräckligt många sådana granskande organisationer inom EU. Det har verkligen gått inflation i lagar med ordet "Cyber" i titeln på senare tid. Det är faktiskt något av ett problem, i synnerhet om NIS2 verkligen kommer implementeras i Sverige under namnet "Cybersäkerhetslagen". NIS2 handlar i mina ögon främst om resiliens och CRA mest om säkerhet - vilket gör namnen väldigt förvirrande! Nu blir det tre bråda år för väldigt många produkt- och mjukvaruproducenter, även de mest mogna utvecklingsprocesser behöver i de flesta fall kompletteras. Det kommer kanske också bli en del intressanta kommersiella effekter, bland annat eftersom alla säkerhetsuppdateringar enligt lag måste vara gratis från och med 2027... Men? Vem är det som kör egentligen? Joe Weiss har publicerat ett dokument med den spännande titeln "Who's in charge of OT Security", som är tänkt att försöka reda ut många av de klassiska frågorna kring OT-säkerhet, exempelvis: Skillnader mellan IT och OT samt mellan IT-säkerhet och OT-säkerhet? Vad är Purdue-modellen egentligen tänkt att användas till? Inträffar det några OT-säkerhetsincidenter? Skillnaderna mellan nätverkssäkerhet och "Safety" i kontrollsystem? Hur ska man organisera och leda säkerhetsarbetet? Hur kommer vi framåt? Kluriga frågor som förtjänar kluriga svar! Den eviga frågan om risk! Ett område som jag personligen alltid har haft svårt för är "Risk management". Jag har aldrig känt mig riktigt bekväm i någon av alla modeller för riskidentifiering, riskanalys, riskprioritering, riskhantering osv som jag stött på genom åren. Det känns nästan alltid väldigt konstlat med noll eller inget fokus på att faktiskt skapa något slags verkligt värde. Ett intressant perspektiv hittade jag i ett LinkedIn-inlägg av Marinus de Pooter som egentligen är en utskrift av en presentation han genomförde under "Risk & Resilience Festival" på Nederländska Universiteit Twente. Den utmanande titeln är "Stop managing risks!". Han ifrågasätter precis som jag nyttan med sedvanliga metoder kring risk och vill istället sätta ett starkt nytto-fokus och ta ledningens perspektiv. Vi får på köpet en historisk beskrivning kring vårt sätt att se på risker. Jag kan inte säga att jag ser det som en komplett lösning, men han sätter definitivt fingret på intressanta poänger, exempelvis: Poängen med att använda begreppet "uncertainty" istället, det passar betydligt bättre med de förutsättningar som alla andra beslut i en organisation styrs kring. Med stöd i COSO kan man faktiskt söka upp mer risk för att uppnå mer prestanda och/eller andra vinster. Att regelbundet uppdatera listor med saker som kan gå snett hjälper oss inte nå våra mål under oklara förutsättningar. Fokus borde ligga på "future-proofing" och robusthet som ett sätt att uppnå de vinster som risk management var tänkta att skapa. Apropå detta, i synnerhet "future-proofing" och robusthet, så hade jag en intressant diskussion nyligen kring det som jag uppfattar som en tydlig trend i samhällets syn på säkerhetsarbete. Jag tycker det är intressant att fokuset på sannolikheter äntligen har börjat minska till fördel för ett konsekvens-drivet fokus som siktar på att bygga resiliens. Det som jag stöter på oftast väl: Det är allt mer populärt att använda metoder som Cyber-Informed Engineering (CIE) och Consequence-driven Cyber-informed Engineering (CCE) som båda på sitt sätt fokuserar åtgärder mot extrema konsekvenser oavsett sannolikhet. (Jag har skrivit om dessa tidigare, exempelvis här .) Det svenska säkerhetsskyddet är inget nytt och har alltid haft just det här fokuset. Däremot appliceras säkerhetsskydd på allt fler verksamheter (på gott och ont) och i synnerhet på verksamheter där skyddet av information inte står i centrum, dvs OT. Regelverket och våra myndigheter har verkligen inte kommit ikapp kring den här typen av resonemang, men det tar sig... I de kundkontakter jag har på min nya arbetsplats, Sectra, är det väldigt tydligt att intresset för riktig säkerhetsövervakning i OT-sammanhang ökar rejält. Det kommer ofta ur en insikt om att man vare sig kan förutse alla attacker eller kan ta bort alla sårbarheter. Samtidigt måste övervakningen då vara byggd från grunden för att förstå förutsättningarna i OT-verksamheter, vilket är lätt att missa eftersom OT-tekniken allt mer liknar IT-världens teknik. Initiativen från EU, i synnerhet NIS2, bygger också på den här typen av resonemang - att skapa tålighet i samhället genom att viktiga leverantörer tål att få en "cybersmocka" utan att gå ner för räkning. Hör gärna av dig med tankar kring detta kluriga ämne! mats@ot-sakerhet.se Pentagon satsar på Zero Trust för OT-säkerhet I en intressant liten artikel i "Breaking Defense" berättas att USAs Department of Defense nu kommer styra om fokuset på sitt arbete med Zero Trust mot OT-verksamheten. Python och honung i OT-nätet? Yuancheng Liu från Singapore har skapat "Python PLC Honeypot Project", en riktigt intressant honeypot med fokus på OT-världen. Fokus tycks vara att simulera ett antal olika PLC-typer och deras kommunikationsvägar för att på så sätt kunna identifiera och analysera angripares beteenden. Det finns även två artiklar av honom på LinkedIn. En om projektet i sig och en om uppsättning/detektion . Förvirrad av alla standarder? Det blir hela tiden fler standarder, lagar, ramverk osv som vi ska förhålla oss till! Det är lätt gjort att man känner sig lite vilse i den här djungeln. Andrew Ginter på Waterfall höll nyligen ett riktigt bra webinar där han sorterar upp ett tiotal av de mest kända, men den stora behållningen är att han också för ett resonemang kring viktiga kravområden som genomsyrar dem alla. Lyssna exempelvis på avsnitten om "Consequence boundaries" och "Risk-based approach", det här är viktiga resonemang för alla som jobbar med OT-säkerhet. Om du inte redan gjort det så missa inte att beställa Andrews senaste bok som är gratis! Massor av klokskap på ett och samma ställe! Vad menar du med ordet "Sårbarhet"? Att hålla koll på sårbarheter är viktigt inom både IT-säkerhet och OT-säkerhet. Det är också en av de saker som ofta lyfts fram som en viktig skillnad mellan just IT och OT. Tanken brukar vara att IT typiskt har mycket enklare att snabbt kunna patcha sårbarheter i system medan OT-folket behöver göra fler och svårare avvägningar mellan nytta och risk. Det här med att patcha är med rätta också något som har stort fokus i både standarder och myndighetskrav. För oss i OT-världen finns det en fälla som jag tycker många missar när de definierar sin sårbarhetshantering. Fällan bygger på att själva ordet "sårbarhet" har ganska olika definitioner beroende på om du lever i en verksamhet som lever efter ISO 27001 eller efter IEC 62443. ISO 27001 pratar just om svagheter i ett system eller en säkerhetsåtgärd. IEC 62443 har en betydligt bredare definition som även tar med brister i hur ett system utformades, hur implementationen gjordes och hur systemet sköts om. Det kan tyckas som en liten och oviktig skillnad men den kan få ganska stora konsekvenser... "Vulnerability" enligt IEC 62443-3-2: Flaw or weakness in a system's design, implementation or operation and management that could be exploited to violate the system's integrity or security policy "Vulnerability" enligt ISO 27000: Weakness of an asset or control that can be exploited by one or more threats Den vardagliga betydelsen har ofta en ännu smalare definition som bara handlar om mjukvaror. Med glimten i ögat skulle den bli något i den här stilen: "Vulnerability" i vardagligt språk: A mistake in software that stubborn vendors keep creating. It can be fixed by simply applying an patch before hackers can use it in some magical way. Det där med att 62443 tar med svagheter i hur ett system är designat är ju ganska naturligt i OT-världen med tanke på att vi använder en hel del "svaga" protokoll och system som inte är utformade för att vara robusta. Tyvärr finns det en tendens att det glöms bort, vilket skapar onödigt arbete. Ett påhittat exempel på vad jag menar är att vi har en applikation där en motor styrs via en "frekvensare", en VFD, från en PLC via MODBUS TCP. En eventuell angripare med tillgång till nätverket skulle enkelt kunna styra motorn direkt utan att PLCn har något att "sätta emot". Då blir det ganska konstigt om man bekymrar sig över en ny DoS-sårbarhet i PLCn och lägger ner mycket arbete på att patcha den när det finns mycket enklare sätt att störa produktionen... Det här är inget stort problem om man är medveten om det och verkligen ser till att alla i den egna organisationen använder samma tolkning. Däremot är det förstås viktigt att vara extra noggrann om man siktar på att certifiera sig mot en standard! Om man är en så pass mogen organisation att man har ett integrerat ledningssystem med inslag av både ISO 27001 och IEC 62443 blir det en lite klurigare balansgång att hantera detta. Men det går! Sinclair levererar igen! Vi är sedan länge bortskämda med att Sinclair Koelemij skriver superintressanta texter. Nu är det dags igen, den här gången en ganska detaljerad artikel om integritet som del i riskanalys inom petrokemisk industri. Vad är det jag missar? CIA-triaden, alltså den gamla välkända trion av ord: Confidentiality, Integrity och Availability, känner du säkert igen från Informationssäkerhet! Ett vanligt argument när "folk" försöker förklara skillnaden mellan säkerhetsarbete i IT och i OT är något i den här stilen: "Inom IT är Confidentiality och delvis Integrity viktigast. Man kan tänka sig att offra Availability för att skydda de andra två. Inom OT är Availability viktigast." Det brukar dyka upp som förklaring till att man inte vill patcha i OT-världen, eftersom det oftast kräver att system görs otillgängliga. Det här har jag alltid haft svårt för, och av minst två skäl. Dels så är det helt enkelt inte sant för alla typer av OT-verksamheter, ett vanligt exempel är tillverkande industri som, i många fall, relativt enkelt kan hantera planerad nertid. Men det som "stör" mest är att jag tror de flesta skulle säga att Integrity är viktigast i de flesta OT-sammanhang! Att vi tappar tillgänglighet är förstås aldrig bra men för de flesta verksamheter skulle det vara ännu värre om integriteten i styrningen av processen manipulerades! I synnerhet när vi talar om farliga verksamhet där Safety-system ska hålla koll på att inget farligt händer. I ett välbyggt system går det inte att missa att ett Safety-system blir otillgängligt, men om systemet i stället manipulerades så att det agerar utifrån fel förutsättningar - då kan det bli riktigt farligt! Jag tror att det här missförståndet kan ha sin grund i att man pratar om olika saker? Tillgänglighet av funktion kontra riktighet i funktionalitet kanske? Har du åsikter om detta vill jag väldigt gärna höra dem! mats@ot-sakerhet.se Guide för CIS Critical Security Controls Jag verkar ha missat att CIS i somras släppte en guide för hur man använder "CIS Critical Security Controls v8.1" i OT-världen. Dessa controls är ju väldigt populära i IT-världen, dels för att man begränsat sig till bara 18 huvudsakliga säkerhetsåtgärder och för att man vågar ranka dem genom att säga att control 1 är viktigast att göra först. Upplägget är tydligt! För var och en av de 18 får vi en översikt, en beskrivning av hur den passar inom OT-världen, speciella utmaningar för OT och lite referenser till andra dokument. Varje säkerhetsåtgärd har som vanligt ett antal "underrubriker", kallade "Safeguards" som beskrivs var för sig med OT-ögon. Ett mycket användbart dokument, i synnerhet om organisationen använder CIS Controls för fler saker. Kräv inte att dina leverantörer följer NIS2! Ett vanligt slarvfel som jag hör från "förståsigpåare" är "Om du levererar till ett NIS2-företag så omfattas du också av NIS2!". I synnerhet är det vanligt från säljsugna produktleverantörer som utlovar "NIS2-compliance som produkt". Men det finns ingen sådan regel, vare sig i NIS2 eller förslaget till cybersäkerhetslag! Däremot ska en NIS2-organisation se till att leverantörernas säkerhetsnivå inte ställer till det för dem själva som kund! En liknande tankevurpa hör jag från organisationer som omfattas av NIS2 när de ska ställa krav på sina leverantörer: "Om ni ska sälja till oss så måste ni uppfylla NIS2!". Det är förvisso helt möjligt att ställa ett sådant krav men du riskerar att skjuta dig själv i foten som kund. Varför då undrar du kanske och då svarar jag att: Med ett "flummigt uttryckt" krav riskerar du att orsaka mycket onödigt arbete och därmed onödiga kostnader för din leverantör, vilket i slutänden kommer att hamnar på fakturorna som de skickar till dig... NIS2 pratar mycket om proportionalitet i de säkerhetsåtgärder du väljer. Du ska ha vare sig mer eller mindre säkerhet än vad som faktiskt är meningsfullt för dig. Varför ska du då missa chansen att sätta din egen nivå på kraven mot leverantörerna? Vilka delar av deras leverans är viktigast och vad är dina krav? När cybersäkerhetslagen har satt sig om några år och vi fått föreskrifter från en rad olika tillsynsmyndigheter så blir det omöjligt för en underleverantör att veta vilka kravmassor de ska bry sig om för respektive kund. Det måste vara ditt jobb som kund att definiera! Glöm inte att riktigt kritiska leveranser kanske måste ha mycket högre krav på sig än de allmänna kraven i NIS2! Om du själv inte omfattas men är leverantör till NIS2-organisationer så kan du göra det mycket enklare för dig själv genom att redan nu sammanställa de krav du uppfyller åt dina leverantörer. Mindre jobb för dig och gladare kunder! Jag håller förvisso med de som säger att NIS2 egentligen inte kräver något speciellt säkerhetsarbete som inte alla organisationer redan borde ha på plats. Men i praktiken är det inte så enkelt och det behöver vi förhålla oss till! Leverantörer är helt avgörande för många verksamheter och då borde de få motsvarande uppmärksamhet i säkerhetsarbetet! (Den här texten publicerade jag på LinkedIn för ett tag sedan. Det märks att det är ett ämne som engagerar, det blev det i särklass mest lästa inlägg som jag någonsin gjort. Det finns en del godis att läsa bland kommentarerna .) Riktigt realtids-stöd i standard-Linux! I takt med att det blir allt populärare med olika typer av edge-produkter i OT-världen samtidigt som PLC:er baserade på "normala" operativsystem också får allt mer uppmärksamhet är det passande att nu den ordinarie Linux-kärnan fått stöd för realtids-hantering från version 6.12. Jag gissar att det firas hos företag som Beckhoff och WAGO nu? Nu blir det NIS2-smisk? EU har beslutat att agera formellt kring att majoriteten av länderna i unionen grovt har missat deadline för NIS2 och CER. Sverige är i "gott sällskap", det är totalt 23 länder som får ett brev på posten (!) som uppmanar dem att återkomma inom två månader med implementation eller en plan. CRA utreds i Sverige.... En utredning har tillsats för att titta på vad som behöver göras i Sverige kring EUs Cyberresiliensförordning, CRA. Arbetet leds av Anette Norman, som också drev NIS2/CER-utredningen. Arbetet ska vara klart 15:e december nästa år. Notera att det alltså inte är samma typ av uppdrag som NIS2/CER, där handlade det om att implementera två EU-direktiv i svensk lag, nu är det en EU-förordning vilket gäller som lag direkt - men däremot kan det behövas justeras i andra lagar för att det ska fungera bra. En tävling med ett pris som du bestämmer själv! Bland folk som sysslar med cybersäkerhet har det alltid varit många som tycker det är kul att klistra laptopens skärm full med märkliga klistermärken med anknytning till det man sysslar med. Av det skälet tänkte jag att det kunde vara kul att framöver trycka upp lite roliga klistermärken med koppling till OT och nyhetsbrevet, men jag behöver din hjälp att hitta riktigt bra idéer! Det kan vara något om OT-säkerhet som område och varför det är viktigt. Det kan vara för sajten ot-säkerhet.se . Eller det kan vara något annat som har med området att göra, kanske safety, robusthet eller produktion? Det vore riktigt kul med förslag till en smart logga för nyhetsbrevet! Skicka mig dina bästa och sämsta idéer, det behöver inte vara en bild utan kanske en bra text eller ett budskap att förmedla! mats@ot-sakerhet.se Jag är enväldig domare och vinnaren kommer förstås få sitt förslag upptryckt som klistermärke! Det finstilta: "Om du skickar in ett förslag så säger du att det är okej att jag använder det oavsett om du vinner eller inte." Här är några utkast jag lekte med själv, men låt inte mina försök begränsa din egen kreativitet: När jag ändå var igång så provade jag även text på reflexmaterial som monterades på varseljackan. Nu kan man visa upp sig på ett riktigt moderiktigt sätt igen! :-) Och så blev det förstås några broderade patchar för ryggsäckar som också blev riktigt bra. Kom gärna med alla möjliga kreativa förslag! Allt uppskattas! Vad skulle du själv vilja ha? Lås dörren inifrån! En insikt som IT-säkerhetsvärlden tog till sig för många år sedan verkar fortfarande inte ha "landat" fullt ut inom OT-säkerhet. Det handlar om hur man bygger brandväggsfunktioner som inte bara styr upp vad som får "komma in", utan även vad som får "komma ut". Eftersom många attacker så att säga uppstår inifrån så behöver man också ha koll på vad som kommunicerar ut. Ett typiskt hemmanätverk har någon form av brandvägg som ser till att allt elakt på Internet inte kan komma åt prylarna som är anslutna till hemmets nätverk; laptops, skrivare, tv-apparater och kylskåp. Inget konstigt så långt. De flesta har nog aldrig tänkt tanken att man skulle kunna begränsa vad man får komma åt på Internet. (Utom möjligen föräldrar som vill styra upp barnens åtkomst.) Många enklare IT-nätverk liknar ett sådant hemmanätverk, möjligen kompletterat med funktioner som försöker titta på trafiken för att hitta misstänkt skadlig kod eller liknande. Har man servrar som ska vara åtkomliga på Internet så släpper man fram bara rätt trafik till just dem. Men i stort är det fortfarande framförallt fokus på att begränsa vad som släpps in. IT-nätverk med högre krav på säkerhet har genom åren ägnat sig att även styra upp vad som släpps ut på Internet. Vanlig surfning släppte man typiskt ut men man höll ändå koll på att det faktiskt var rimlig trafik och kanske att krypteringen var korrekt. Men sedan började det ta stopp, typiska exempel var: De allra flesta servrar har inga eller väldigt begränsade behov av att fritt nå Internet. Uppdateringar och annat ska hanteras via de verktyg som hämtar hem sånt. DNS-trafik är väldigt lämpligt att både övervaka och filtrera. Då behöver man också begränsa vilka system som skickar ut externa förfrågningar. Trafik på ovanliga portar eller via ovanliga protokoll bör styras upp så att allsköns bakdörrar inte skapas. I takt med att allt fler IT-system blev "molnifierade" behövde man hantera det här annorlunda men behoven finns ofta kvar. I grunden handlar det om att bara det som behöver kunna prata på nätverket ska ha möjlighet att göra det. Lite besläktat på sätt och vis med "least privilege" och "Zero trust". För de allra flesta OT-nätverk är det här fortfarande extremt relevanta åtgärder i kommunikationen med IT-system. OT-nätverk som behöver fri åtkomst till vad som helst på "IT-sidan" är ovanliga och bred åtkomst direkt till Internet är rimligen extremt ovanligt. OT-nätverk (bör) kännetecknas av att förändringar sker sällan och bara i samband med planerat arbete. Det betyder att vi enklare kan styra upp vad som får prata ut från OT-nätverket och vi kan betrakta oväntad ny trafik med misstänksamhet. Glöm förresten inte det som Beacon från SensorFu kan hjälpa dig med! Jag skrev om den här fiffiga lösningen i nyhetsbrev #57 . Den upptäcker den alla möjliga spännande varianter på kommunikation som man kan använda att få kontakt med något utanför en brandvägg... Man behöver komma ihåg att OT är många olika saker, där alla OT-verksamheter är olika, så man behöver välja säkerhetsåtgärder efter sina egna förutsättningar. Några kloka åtgärder att överväga är: All trafik, både in och ut, från OT-nätet ska vara känd, dokumenterad och tillåten individuellt per system eller liknande. En del oväntade protokoll kan användas för att styra skadlig kod eller stjäla information. DNS är en sådan vilket gör det viktigt att se till att begränsa både vem som får skicka förfrågningar en också vilka frågor som får ställas. Ett specialfall är fjärruppkopplingar som förstås behöver lite extra uppmärksamhet. Välj något som faktiskt stöttar verksamheten på ett vettigt sätt och undvik att använda "en vanlig VPN". Alla andra former av tunnlar bör begränsas. Beroende på hur man arbetas med segmentering inom OT-nätet och hur man använder DMZ-liknande funktioner får man förstås anpassa regelverket för vad som får prata med vad. Ägna speciell uppmärksamhet åt system och nät som används för systemadministration. I många fall är det vettigt att inte blanda med IT-världen och det är definitivt vettigt att ha superkoll på system där exempelvis Domänadministratörer kan logga in. Glappet mellan Säkerhetsskydd och NIS2! Ska din organisation följa både Säkerhetsskyddslagen och den föreslagna NIS2-Cybersäkerhetslagen? Då vet du nog redan att det är tydligt att enbart Säkerhetsskyddslagens krav gäller för de delar av verksamheten där de båda lagarna överlappar. (I alla fall för de flesta verksamheter.) Det finns dock en klurighet som kan vara värd att fundera över, nämligen att de två lagarna adresserar olika hot! I NIS2, och därmed Cybersäkerhetslagen, säger man väldigt tydligt att riskanalyser ska göras ur ett "allriskperspektiv", dvs alla risker som kan påverka produktionen via någon form av cyberhot ska tas med. Säkerhetsskyddslagen däremot, är enbart inriktad på det som brukar kallas "antagonistiska hot". Där ska riskanalysen, som är en del av Säkerhetsskydds-analysen, enbart titta på medvetna mänskliga angrepp. Det är förvisso inte helt sant, lagen säger också att säkerhetskänslig information även ska skyddas på vissa andra sätt, exempelvis mot brister i dokumenthanteringen. I det här sammanhanget brukar man prata om Verksamhetsskydd när man tar hand om alla andra typer av risker, men det är inget som kravställs i lagen. Den utmaning jag ser är alltså att det, på sätt och vis, blir lägre krav på robust produktion via säkerhetsskyddslagen än via cybersäkerhetslagen! De risker som faller mellan stolarna är skador som orsakas av olyckshändelser, haverier, otur, naturkatastrofer, misstag, tekniska brister och liknande som ingen "elak" person orsakade med flit. Men jag har samtidigt inget förslag på hur lagstiftarna kunde gjort det annorlunda. Hanteringen av tillsyn och incidentrapportering skulle bli väldigt komplicerad om man försökte kombinera de två lagarna i samma verksamhet. Det här är inte tänkt som kritik mot säkerhetsskydd, även om mycket kan utvecklas i stödet kring de delar av säkerhetsskyddet som inte fokuserar på hemlig information. Vi får helt enkelt hantera det som saknas i kraven i ren självbevarelsedrift. Om det stora syftet med vårt säkerhetsskydd är att säkerställa att vi kan hålla igång vår verksamhet så är det precis det vi hela tiden måste ha i bakhuvudet! Målet med vårt arbete måste alltid vara en robust produktion oavsett om det handlar om el, vatten, fjärrvärme eller något annat område där rätt OT-säkerhet är avgörande för vår förmåga att producera. (Den här texten finns även på LinkedIn och har ett antal intressanta kommentarer som är värda att läsa.) Inget förtroende för Zero trust? ISA Global Cybersecurity Alliance (ISAGCA) är en sammanslutning av företag som hålls samman av organisationen ISA, som ju är en av organisationerna bakom 62443-standarden. De har publicerat ett white paper som tittar på Zero Trust ur ett OT-perspektiv. Zero Trust och OT-säkerhet är en lite klurig kombination som många leverantörer satt sin egen spinn på för att visa att de kan leverera "Zero Trust på burk". Det här dokumentet är ett samarbete mellan bland annat Nozomi Networks, Schneider Electric och Rockwell Automation vilket gör det lite mindre produktfokuserat. Det tar upp en del intressanta vinklar som kan vara värda att ta till sig om man siktar åt det här hållet i sitt säkerhetsarbete. Ett annat dokument på samma tema imponerade faktiskt lite mer på mig. Det är CSA, Cloud Security Alliance (!) som producerat " Zero Trust Guidance for Critical Infrastructure ". Här har man utvecklat resonemangen mycket mer och kombinerar många intressanta vinklar från både NIST, CISA, ISA, IEC 62443 och SANS Five ICS Cybersecurity Critical Controls . De kryddar alltsammans med citat från självaste John Kindervag och knyter ihop säcken snyggt. Nu ökar takten från EU! Det duggar allt tätare mellan viktiga utskick från EU. När det gäller Cyberresiliensförordningen CRA så har den kommit i en slutgiltig version . Här ställs alltså krav på säkerhet i utveckling och underhåll av alla former av digitala produkter. Apropå CRA så har Sarah Fluchs släppt en (som vanligt) bra och tydlig artikel om dokumentationskravet i CRA och dessutom en artikel om hur CE-märkningen i CRA fungerar . Hon har dessutom skrivit en artikel  där CRA och Maskinförordningen jämförs. Spännande eftersom de har en del intressanta överlapp... När det gäller NIS2 så har vi fått en skarp version av den genomförandeförordning som jag nämnde i ett tidigare nyhetsbrev . Från EUs cybersäkerhetsmyndighet ENISA finns också ett utkast till stöd kring förordningen ute för feedback. Här finns en del detaljer kring vilka typer av bevis som kan vara lämpliga vid en tillsyn kring dessa regler. Det finns också en del referenser till standarder som man kan ta hjälp av i de olika olika kraven, men eftersom kraven inte är inriktade på OT-säkerhet finns tyvärr inga referenser till 62443-standarden. Vi har också fått ett uttalande från Post och Telestyrelsen PTS som berättar att verksamheter som omfattas av "NIS1" och som träffas av genomförandeförordningen förväntas ta hänsyn till kraven där sedan den 7:e november. Den 27:e november höll Post och Telestyrelsen, PTS, ett webbinar kring NIS2 som dessutom finns inspelat . En rimlig fråga är då om OT-verksamheter verkligen är intresserade av de branscher som PTS har tillsyn över? Svaret är faktiskt ja, även om kopplingen mest är indirekt. Bland de branscher som PTS är tänkt att ha tillsyn för finns förutom kommunikationstjänster även IT/OT-drifttjänster och outsourcade säkerhetstjänster, exempelvis en OT-SOC eller patchningsuppdrag som man lägger ut på underleverantörer. Nytt (och gammalt) i labbet För den som är road av kul teknik så inför jag nu den här stående rubriken i nyhetsbrevet. Här kommer jag helt kort nämna saker som nyligen dykt upp i OT-labbet där hemma eller prylar som funnits där ett tag men inte har synts tidigare. Vissa av dem återkommer kanske lite senare med mer djuplodande analyser. Jag får erkänna att jag inte hade full koll på Indu-Sol och deras svenska representation Lindh Automation innan jag träffade dem på Scanautomatic-mässan i oktober. I vilket fall så imponerade deras prylar på mig direkt och de skickade med mig en " PROmesh B8 " hem. Det är en managerad 8-portars switch med utvecklat stöd för Profinet och EtherNet/IP. Så här långt verkar den mycket kompetent, men jag ska nyfiket prova lite mer utmanande saker. Det första blir nog att testa integration med PLCnexts engineeringverktyg via definitioner i en GSDML-fil. Snyggt och tydligt i alla fall! Indu-Sols övriga sortiment ser riktigt intressant ut för den som vill ha hjälp att bygga nät som går att diagnosticera och analysera. Jag rekommenderar en titt på deras övriga produkter också! Av en slump snubblade jag lite senare över Chris Chungs spännande blogg och YouTube-kanal . Här finns det mycket godis som du kan botanisera i, inte minst tre blogginlägg om Indu-Sols kraftfullare switch-serie PROmesh P10. Mycket nöje: Indusol#PROmesh P10+_Part01_Start up your network equipment! Indusol#PROmesh P10+_Part02_Let's Connect to Profinet! Indusol#PROmesh P10+_Part03_Let's access the SNMP Server! Tyskt vatten är säkrare! I Tyskland öppnades nyligen ett gemensamt säkerhetscentrum; "Lagezentrum CyberSec@Wasser" , för landets vattenindustri. Där finns en SOC, Security Operations Center tillsammans med centraliserad sårbarhetshantering och någon form av utbildningsverksamhet. I Sverige annonserades ju nyligen EnergiCERT som har likheter med det tyska initiativet. Jag tror vattenbranschen i Sverige skulle må väldigt bra av ett sådant här initiativ, det är typiskt verksamheter med mycket begränsade resurser som förvaltar en otroligt viktig resurs! Vad säger ni, ska vi starta en svensk motsvarighet? Läs förresten gärna den utmärkta sammanställningen som William och Joel på Svensk OSINT gjort kring de svenska dricksvattenincidenterna som vi sett nyligen. Det där med riskaptit? En person som jag regelbundet återkommer till i nyhetsbrevet är Phil Venables. Han levererar ideligen kloka texter där det finns mycket att lära. Nu senast hittade jag en text om floskelbegreppet "Riskaptit" som hjälper oss att se igenom det slarviga bruket av det här begreppet och istället hittar lite handfasta råd kring hur man kan skapa verklig nytta. Om inte annat så tydliggörs skillnaden mellan Riskaptit och Risktolerans... Sjöfart är alltid spännande! En förmån i mitt arbete är att jag får vara med i intressanta samverkansgrupper. En av dessa är " Maritime Cyber Guild " som träffas ett par gånger om året för att diskutera erfarenheter inom sjöfarten med fokus på OT-säkerhet. Nyligen träffades vi hos BIMCO i Danmark och det blev som vanligt en dag fylld med spännande diskussioner. Några av punkterna på agendan som jag själv tog med mig lite extra mycket från var: Resultat från övningar där erfarna besättningsmedlemmar "utsätts" för ovanliga situationer, orsakade av en hacker, i ett simulerat fartyg. De var utrustade med glasögon som registrerade hur de arbetade med felsökningen i fartygets system. Resultatet bekräftade tidigare insikter om att avancerad OT-hacking inte behövs om man på något sätt skaffat sig tillgång till samma system som personalen arbetar i. I exemplet ledde en liten börvärdes-ändring i kylsystemet för fartygets generatorer till att alla fyra generatorer slogs ut samtidigt. En felorsak som i praktiken är väldigt svår att hitta tillräckligt snabbt, även för mycket erfaren personal. Ett fartyg i skärgårdstrafik sitter då redan på klipporna. DNK, "Den Norske Krigsforsikring for Skib", berättade om cyberförsäkringar kring sjöfart. Försäkringar är ett spännande område som blir ännu klurigare när det handlar om fartyg. marcybersec.com är en intressant sajt där man bland annat samlar rapportering av sjöfartsrelaterade cybersäkerhetsincidenter. Diskussioner kring hur meningsfullt det är med penetrationstester tidigt under ett fartygsbygge med tanke på att det lätt blir något som man gör för att "få en bock i rutan" samtidigt som det tenderas att tas mängder med dåliga "genvägar" under tiden system installeras ombord. Om du är aktiv inom OT-säkerhet med koppling till sjöfart och vill vara med i gruppen så hör av dig. Det är gratis och alltid intressant! mats@ot-sakerhet.se Sugen på att hacka lite MODBUS? Pascal Ackerman är en välkänd profil i OT-säkerhetsbranschen, han har bland annat förekommit tidigare i nyhetsbrevet med några av sina välskrivna böcker. I två artiklar som publicerades nyligen gör han en djupdykning i hur man man sätta upp en eget MODBUS-labb för att experimentera i: Del 1: "Attacking MODBUS" Del 2: "Attacking Modbus, Act 2 - Using Scapy" Vem är Mats? Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se ! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se . Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du två spännande produkter som varit i labbet, jag bevisar att jag är en nörd, lite gnäll över hur Purdue används, vi hittar förändringar i NIS2, jag läser en gammal bok med nya ögon och så vill tydligen Rockwell att vi kopplar bort deras grejor från Internet! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Statistik och röster från verkligheten... Jag blir sällan imponerad av alla de statistik-rapporter som alla de stora produkttillverkarna tar fram för att visa hur farlig världen är och hur viktigt det är att vi köper just deras produkter. Ibland kommer det undantag... Jag hittade faktiskt en del intressant i "2024 Threat Report - OT Cyberattacks with physical consequences" från Waterfall och i "Security Navigator 2024" från Orange. Jag ska inte ge mig på att tolka deras analyser här, men kan exempelvis tipsa om när Dale Peterson intervjuar Andrew Ginter från Waterfall: Det verkar förresten som att lyckade attacker som inleds via "elaka länkar" i mejl tydligen nästan helt har upphört? Jag hör från folk som sysslar med incidentstöd till organisationer som drabbats att så gott som 100% av ransomware-fallen de senaste månaderna inleds genom attacker mot vanliga VPN-tjänster. Det har ju onekligen varit en strid ström av allvarliga sårbarheter i just sådana senaste året. Det här är förstås ett superstarkt argument för att skaffa något annat än "en vanlig VPN". I OT-världen vill man ju ofta dessutom ha lite funktionalitet som inte finns i IT-världens lösningar. För ett bra exempel se min text om Cyolo i Nyhetsbrev #59. Och på sjön... Ett av mina specialintressen är OT-säkerhet inom sjöfarten. Jag har skrivit tidigare om de kommande regelverken som klassningssällskapen tar fram och som börjar gälla fullt ut i sommar. Nu börjar även certifierade produkter dyka upp, exempelvis gav DNV nyligen tumme upp till "Vessel Insight" från Kongsberg Digital baserat på DNV Cybersecurity Profile Level 1 (SP1) och IACS UR E27. Det här är en spännande utveckling inom ett väldigt roligt område av OT-säkerhet där säkerhetsarbetet har ytterligare lite fler utmaningar jämfört med "vanlig" OT-säkerhet på landbacken... NIS2 har ändrats! NIS2-direktivet finns, precis som de flesta viktiga EU-dokument, översatta till 24 olika språk. Det betyder förstås att det alltid dyker upp språkliga missar efterhand. För vårt kära NIS2-direktiv är vi just nu uppe i 4 uppdateringar som ändrar på små, och ibland större saker, i texten. Den svenska versionen fick en intressant ändring i uppdatering nummer 4 och berör outsourcade verksamheter. Notera att det alltså är olika ändringar på de olika språken även i samma uppdatering. Uppdatering 1 (Italienska och Nederländska) Uppdatering 2 (Nederländska) Uppdatering 3 (Slovenska) Uppdatering 4 (Tyska, Estniska, Engelska, Italienska, Ungerska och Svenska) Apropå uppdateringen kring outsourcing... Det här med att alla former av MSP- och MSSP-tjänster i sig omfattas av NIS2, är ett bra exempel på en av de branscher där det inte känns som polletten har trillat ner hos alla. Om du sysslar med drift eller säkerhetsövervakning av någon form av IT- och OT-prylar åt andra organisationer så omfattas du av NIS2. Det finns fler polletter som inte ramlat ner överallt, exempelvis att man inte löser utmaningar kring NIS2 med produkter. Inte heller att det kommer en checklista med saker du måste göra. Det hindrar inte att många påstår detta, vilket fick mig att nyligen skriva det här inlägget på LinkedIn: Det kommer bli intressant att se hur tillsynsmyndigheterna väljer att utforma sina föreskrifter. Personligen hoppas jag att man inte "förstör" chansen som direktivet och Cybersäkerhetslagen ger oss där man kan fokusera åtgärderna där de gör mest nytta för den egna organisationen men förstås då också tvingas tänka lite själv och att bygga upp kompetens kring risk- och säkerhetsarbete... En gammal goding... Jag får regelbundet frågor i stil med "Varför gillar du inte Purdue-modellen?" och mitt svar brukar lika regelbundet bli något i stil med "Jag har inget emot Purdue, men väldigt många har missförstått den." Jag har varit inne på detta många gånger förut i nyhetsbrevet. Den bästa förklaringen kring det här som jag hört är fortfarande från Ralph Langner: Jag rekommenderar verkligen att du ser videon, det tar under 10 minuter. Om du sedan inte håller med vill jag verkligen höra varför! mats@ot-sakerhet.se Några personliga kommentarer: Segmentering är inte bara en nätverksfråga. Se upp med hur applikationer sträcker sig över segmenteringsgränser. Ett vanligt exempel är Active Directory som lätt blir en kortslutning mellan separata zoner som delar samma AD-tjänster. "Utvecklade" versioner av Purdue-modellen har en DMZ-nivå mellan IT och OT. Det är absolut en bra idé att undvika direkt kommunikation mellan dessa världar. Men, på samma sätt som att "Nivå 2" inte ska uppfattas som ett stort nätverk är inte DMZ-nivån heller ett enda nätverk! System i ett DMZ är extra utsatta och ska definitivt inte kunna prata med varandra i onödan! Min rekommendation är att använda något slags variant på "Zones & Conduits" enligt IEC 62443. Man måste inte nödvändigtvis använda den komplexa metoden för riskanalys som beskrivs i del -3-3 av standarden! Notera förresten också att Purdue-modellen inte existerar i 62443-standarden, mer än som ett exempel på möjliga arkitekturer. Något som sällan diskuteras i det här sammanhanget är nätverk och system som "måste" ha kontakt med många andra komponenter. Varifrån administreras dina switchar? Hur tas backuper? Administration av hostar och lagring för virtualisering? Kan säkerhetssystemen bli en risk i sig själva? Sist men inte minst... Den ultimata kortslutningen i många segmenterade nätverk, remote access! Här vill det verkligen till att tänka hela vägen! Vilka risker kan vi stå ut med? Hur ska vi göra nu när vi insett att en vanlig VPN är direkt olämplig? Hur bevisa att man är en nörd? Med tanke på hur mycket i mitt arbete som kretsar kring NIS2 just nu, så kunde jag inte låta bli att skicka in ett personligt remissvar till försvarsdepartementet kring förslaget till den nya "Cybersäkerhetslagen"! Remisstiden gick ut den 28:e maj! Jag misstänker att inte alla håller med om mina åsikter, så ta chansen att säg emot! Eftersom jag inte formellt är ombedd att svara på remissen så går det inte att se mitt svar på Regeringskansliets hemsida, men du hittar min text i ett inlägg på LinkedIn. Det finns mycket bra att säga kring både NIS2-direktivet och den föreslagna Cybersäkerhetslagen. I mitt svar fokuserade jag på 6 saker som jag tycker kan förbättras men som inte fått den rätta uppmärksamheten: Lagen sägs syfta till hög cybersäkerhet vilket jag tycker är ett lite inavlat sätt att se problemet. Det borde handla om att hantera samhällets risker som orsakas av brister i cybersäkerheten. Säkerhet har sällan något egenvärde! Den svenska utredningen tog bort den viktiga poängen att säkerhetsåtgärder måste vara lämpliga för sitt användningsområde. Otroligt viktigt inom OT att vi inte använder åtgärder som är farliga för verksamheten! En av mina stora käpphästar är att kemikaliesektorn definierats som att den inkluderar alla verksamheter som använder kemikalier för att producera andra varor. Det blir väldigt många industrier det! Stora organisationer som till 99.99% inte omfattas av Cybersäkerhetslagen men som har 0.01% av sin verksamhet som gör det måste uppfylla lagens krav i hela verksamheten. (Skaffa inte solceller!) Känns inte riktigt rimligt... En annan av mina käpphästar är att orden "tak" och "trösklar" anses betyda samma sak när man definierar övre och undre gränser för storlekar. Så var det inte på mina svenska-lektioner... Vissa sektorer får tillsyn och föreskrifter från fyra olika länsstyrelser. Vore ju snyggt om det blev lite samordning där... Några av dem (3 och 5) är problem redan i direktivet men skulle möjligen kunna tydliggöras i den svenska lagen. Spanskt besök i labbet! Jag har märkt att många läsare är lite extra intresserade när jag får chansen att berätta om mina äventyr med roliga saker i OT-labbet. Det tar ju förstås en hel del tid, så det blir lite långt mellan gångerna jag har något att skriva om. Den här gången är det lite extra roligt... Det är inte varje dag jag får chansen att testa en spansk OT-säkerhetsprodukt, men idag är en sådan dag! Det är företaget Opscura som med produkten Lunaria löser utmaningarna kring att segmentera och övervaka OT-nätverk på ett nytt och spännande sätt! Deras mjukvara tar utgångspunkt helt och hållet i begreppen "Zones" och "Conduits" som vi känner igen från vår favoritstandard IEC 62443. Deras grepp bygger på att man kan låta sina nätverksprylar vara kvar mer eller mindre utan förändring. Istället stoppar man in en liten ruggad dator på de platser i nätet där det ska finnas en eller flera Zoner. Dessa datorer som kallas för "VIA" och administreras i ett samlat gränssnitt. Till en början kan man låta trafik fortsätta flöda helt utan påverkan genom Viorna och i administrationsgränssnittet analyserar den verkliga trafiken i nätet. Sedan definierar man sina zoner och hur dessa får kommunicera med varandra genom Conduits. Opscura har på det här sättet lyckats skapa något som i praktiken är ett slags Software Defined Network, men utan att nätverksutrustningen behöver ha stöd för det. Switcharna kan till och med vara omanagerade om man nu tycker det är trevligt med sådana. Deras lösning ger en massa fina finesser som annars kan bli tråkiga överraskningar när man driftsätter en sådan här lösning i OT-sammanhang: Om man vill kan man släppa fram broadcast-trafik, "Layer 2", vilket gör det möjligt för programmeringsverktyg och annat som ofta använder just broadcast för att exempelvis hitta nya PLC:er på nätverket redan innan de konfigurerats. I och med att man definierar en Conduit mellan två Zoner så definierar man också brandväggsreglerna som ska gälla för den kommunikationen. Det betyder att filtreringen sker ute på varje Via och inte behöver involvera vanliga brandväggar. Om man vill samla in trafik i nätet för att skicka till exempelvis en IDS, såsom Nozomi Guardian, blir det oftast svårt att få tag på trafik "långt ut i nätet". Opscura kan aggregera trafik som samlas in ute på de olika Viorna och presentera det som en samlad kopia på ett lämpligt ställe där IDS:en kan suga i sig trafiken. Med samma funktion som samlar nätverkstrafik till en IDS kan man också spela in nätverkstrafik någonstans i nätet och sedan ladda ner den som en pcap-fil som går att titta på i Wireshark eller något annat verktyg. Helt ovärderligt för både felsökning och när man planerar segmentering. För att testa om det här fungerar i verkligheten drog jag igång en test-process som jag skrivit om förut i bland annat Nyhetsbrev #54, en PLCnext från Phoenix Contact som styr en hiss och några transportband som simuleras i Factory IO via ett remote IO över MODBUS TCP. Via-funktionerna körs på två fysiska datorer, som i det här fallet kommer från Schneider Electric och management-servern körs på en annan liten PC. I labbet står de intill varandra men i praktiken finns de kanske på helt olika platser med någon form av nätverksförbindelse mellan dem. Inkopplingen av de två Viorna mellan PLC:n och IO:t i labbuppställningen var helt odramatisk. Det blir förstås ett avbrott när man drar ut en sladd men sedan flödade funktionen som vanligt trots att nätverkstrafiken passerade fram och tillbaka genom de två Viorna. I det här läget kan man välja att manuellt skapa Zones och Conduits i administratörsverktyget, under förutsättning att man vet vilken typ av kommunikation som behövs. Annars drar man igång Opscuras inbyggda analys av all nätverkstrafik som direkt listar vilka enheter som pratar på nätet, vem som pratar med vem och sedan ritar upp detta tydligt. De blå rutorna i bilden är Viorna och visar vilken Via som hanterar vilka enheter på nätet. Zoomar man in närmare så ser man vad som är vad: När man har sina Zones och Conduits så ber man Viorna att sluta bete sig som en "Wire" och istället börja skydda trafiken. Jag slog på skyddet medan "tillverkningsprocessen" var igång och det fungerade utan störningar! När man tittar på trafiken på nätet ser man tydligt att det istället för MODBUS-paket enbart skickas krypterad trafik mellan Viorna. Före: Och efter: Ja, trafiken som går genom en Conduit är alltså automatiskt krypterad. Då kanske någon tänker: "Men kryptering kan ju vara lite klurigt i OT-världen?". Ja, så är det men i det här fallet ser jag faktiskt ingen nedsida: Systemet sköter om all nyckelhantering själv Det gör inget att trafiken blir "osynlig" eftersom Lunaria kan erbjuda en kopia av all trafik till IDS:er och liknande säkerhetslösningar. Krypteringen gör att man kan skicka trafik genom nätverk som man inte litar fullt ut på även om man förstås inte löser risker med avbrott orsakade av angrepp mot nätverket. Även om kryptering alltid introducerar en liten extra fördröjning så verkar lösningen verkligen vara trimmad på ett sätt som gör påverkan minimal. Jag kanske inte skulle använda den på väldigt tidskritiska lösningar men annars så... Om du läst tidigare nyhetsbrev så vet du kanske att jag har stort hopp om att SDN, Software Defined Networking, ska bli en vanlig lösning för OT-nätverk. Opscura infriar väldigt mycket av den nytta som SDN ger, men på ett sätt som inte påverkar den underliggande nätverksinfrastrukturen. Det blir förstås extra intressant i sammanhang där utrustningen finns på olika fysiska platser och kommunicerar mellan nätverk som kanske hanteras av olika grupper. Är man på jakt efter en lösning som gör det enkelt att bygga nät baserat på Zones och Conduits tycker jag absolut man ska överväga Opscuras lösning! Vem vill ha ett trasigt nätverk? I det här nyhetsbrevet får du faktiskt två tester i labbet! Jag har lyckats få fingrarna på en väldigt "udda" men rolig produkt från Keysight som simulerar "dåliga" nätverk, NE2 - "Network Emulator 2". Det är ju inte helt ovanligt att ett system fungerar bra när man testar det under perfekta förhållanden, men sedan fungerar mycket sämre efter driftsättning när nätverket tappar enstaka paket eller det blir fördröjningar på grund av långa avstånd. Med NE2 kan man bli väldigt kreativ med elakheterna som man vill introducera under tester! Som vanligt när det är en Keysight-produkt så är det väldigt välgjort och kompetent! Jag kom snabbt igång och kunde simulera en dålig förbindelse mellan de två Viorna i Lunaria-lösningen i föregående text. Trots ett något blygsamt utseende är det en riktigt kraftfull manick! Du har möjlighet att manipulera upp till fyra separata nätverksförbindelser samtidigt som valfritt kan vara koppar eller fiber, var och en upp till 16 Gb/s. Det finns en rejäl arsenal med påverkan som man kan kombinera för att simulera utmanande nätverk. Vad sägs exempelvis om att: Rena bit-fel, där en eller flera slumpmässiga bitar i huvudet eller innehållet för vissa paket blir fel. Slumpmässigheten styr du själv och kan baseras på olika statistiska fördelningar: Periodic, Uniform, Gaussian och Poisson. Trasig laser för fiberförbindelser där lasern helt enkelt stängs av slumpmässigt. Påverka hur paket fördelar sig över tid, exempelvis skapa "Bursts". Låtsas vara en asymmetrisk förbindelse, typ DSL eller satellit, som har olika hastigheter i de båda riktningarna. Maximera bandbredden som kan användas. Påverka olika typer av trafik på olika sätt. Skapa IPv4-fragmentering genom att automatiskt hugga sönder paket och dela upp dem i flera mindre paket. "Tappa bort" paket på valfritt slumpmässigt vis. Manipulera innehållet i paket men återställa checksummor så de stämmer. Fördröjningar som kan vara konstanta eller slumpmässiga. Byta ordning på nätverkspaket så de kommer fram till mottagaren i "fel" ordning. Slumpmässigt skapa kopior av paket så att det kommer flera av samma till mottagaren. En del av dessa elakheter kan dessutom utföras på Fibre Channel om man har sådana förbindelser. Det här är en riktigt cool pryl som definitivt platsar om man är riktigt seriös i sina tester av systemlösningar. Mina tester med Lunaria visade tydligt att Opscura klarar "dåliga" nätverksförbindelser, men man kan tyvärr inte säga samma sak om min PLC-programmering som spårade ur rejält när jag var elak mot den... Det vanligaste problemet för OT-lösningar som man kan komma åt med NE2 är nog system som kommunicerar över långa avstånd eller via media som drabbas av en del störningar. Att kunna hitta lösningar på sådan påverkan redan under testerna blir mycket enklare än felsökning när man väl är ute i fält! Som vanligt gillar jag Keysights sätt att leverera solida lösningar på ovanliga utmaningar! Snyggt jobbat! Ett boktips från förr! Man kan tycka att det är en bok som jag borde ha läst för länge sedan, men jag har alltid tänkt att jag redan hört alla historier kring NotPetya, Sandworm, Projekt Aurora, Industroyer och 74455 - hur mycket mer kan Andy Greenbergs klassiska bok "Sandworm" tillföra? Det visar sig - en hel del! Det var en del pusselbitar som föll på plats och att läsa om händelserna i Ukraina 2017 fick förstås lite extra tyngd. En bok som alla som sysslar med OT-säkerhet bör läsa men också alla som någonsin uttalat orden "Varför skulle någon vilja hacka oss?". Stark läsrekommendation helt enkelt! Passar utmärkt som semesterläsning... Jag har inga sårbarheter kvar - kan jag ta ledigt då? I IT-världen innebär aktivt säkerhetsarbete ofta att man spenderar mycket tid på att jaga nyannonserade sårbarheter i mjukvara, CVE:er. Ni vet hur det är... "Oj! Titta på den här nya sårbarheten i vår webbserver, nu måste vi genast patcha!". Det innebär en ständig jakt mot något slags perfekt tillstånd där man inte har några sårbarheter. Om det är svårt för IT-folket så blir det genast ännu värre i de flesta OT-miljöer på grund av alla möjliga viktiga begränsningar i hur vi vill ändra i våra system. Det innebär att målet "Noll sårbarheter" blir så gott som omöjligt att uppnå. Dessutom blir det som jag skrev i Nyhetsbrev #59 så krävs trots det väldigt mycket arbete för att analysera vilka sårbarheter som verkligen är viktiga för oss ur den fullkomliga floden av sårbarhetsannonseringar som flödar över oss! Nästa insikt kommer när man börjar fundera över så kallade "Zero Days", alltså sårbarheter som de elaka hackarna känner till, men som ännu inte upptäckts av oss andra. Vi kommer alltså sannolikt aldrig ha "Noll sårbarheter", utan bara "Noll av oss kända sårbarheter". Det är en väldigt jobbig tanke i IT-världen, där man ofta är väldigt exponerad för omvärlden. Men för OT-folket blir det också en jobbig tanke men av delvis andra skäl, vi är ju vana att vi ska bygga robusta system som tål att något går snett i den fysiska processen. Varför kan vi inte göra samma sak när händelsen orsakas av en cyberbrist? Ett koncept som vi borde diskutera mer är "Cyberrobusthet". Alltså tanken att våra system exempelvis ska tåla en oväntad sårbarhet som utnyttjas utan att något allvarligt inträffar och att vi dessutom alltid ska upptäcka att det hänt. Det finns förstås många olika sätt att närma sig den här frågan. Jag har tidigare skrivit om metoder som CCE, "Consequence-driven, Cyber-informed Engineering" där man just fokuserar på att bygga bort allvarliga konsekvenser med fysiska åtgärder. Lite på samma tema kan man tänka kring potentiella sårbarheter som man inte känner till ännu. I Nyhetsbrev #49 skrev jag om MITREs nya version av CWE-ramverket som nu mappar mot några av delarna i IEC 62443. Om man tar den kopplingen och använder den för att göra analysarbetet jag skrev om i Nyhetsbrev #59 så kan man bygga ett försvar som gör ännu så länge teoretiska sårbarheter harmlösa genom att förekomma dem med andra åtgärder än patchning. Man resonerar alltså kring typer av sårbarheter snarare än en viss specifik sårbarhet, vilket är svårare men också mer meningsfullt! Det här gör att vi också får ett annat bra resultat på köpet, vi slutar resonera om sårbarheter i betydelsen "Buggar i mjukvara" och byter till att prata om det som ordet "Sårbarheter" egentligen betyder - nämligen svagheter i våra systems robusthet. Blir systemen så robusta att de tar hand om mjukvarubrister så har vi ju ingen sårbarhet! Jag tror det här är ett mycket vettigare sätt att spendera säkerhetsresurserna än att syssla med brandsläckning. Det är lätt av avfärda resurser som MITRE CWE med "Det där är för utvecklarna", men då missar man riktigt viktiga poänger. Det är lite likt hur man kan använda MITRE ATT&CK för att analysera sina försvarsförmågor. Vi kanske inte får ta extra semester men vi får i alla fall vara ifred för sårbarhetslarm på semestern. Samtidigt är det här förstås inte svaret på alla våra problem. Vi kan inte alltid utforma våra system på det optimala sättet för god cybersäkerhet, eftersom det skapar andra typer av risker som vi tycker är värre! Begreppet "insecure by design" används ibland lite skämtsamt för detta. Allt detta är dessutom beroende av ett aktivt säkerhetsarbete så att systemens förmågor inte förfaller över tid. På samma sätt måste vi också se upp så att vi över lite längre tid inte börjar kompromissa bort alltför mycket av vårt säkerhetstänk. Marco Ayala pratade om precis detta på årets S4-konferens, tänkvärt... Den bäst bevarade hemligheten inom svensk industri! Jag spenderade nyligen några dagar på Elmia Produktionsmässor i Jönköping. En verklig högtid för alla med koppling till tillverkande industri, massor med automationlösningar, verktygsmaskiner och annat kul att titta på. Mindre kul var att jag hade samma upplevelse som tidigare år, nämligen att det inte finns något som helst fokus på säkerhetsfrågor. Kunderna frågar inte efter det och leverantörerna skryter inte om att de har det. Bland alla föredrag och presentationer under mässdagarna så var det (nästan) bara jag som pratade säkerhet. Dessutom var det väldigt tydligt att industrin inte har förstått att NIS2 och den nya Cybersäkerhetslagen även berör många tillverkande industrier. Det kommer bli ett hårt uppvaknande för många framåt hösten... MSB svarar på frågor! Ett steg i rätt riktning är att MSB och vissa av tillsynsmyndigheterna börjat ha informationsevent kring NIS2. MSB har annonserat att man kommer svara på de vanligaste frågorna den 18:e juni. Öppen antagonistisk hotbild för svensk elförsörjning Svenska Kraftnät släppte nyligen dokumentet "Öppen antagonistisk hotbild för svensk elförsörjning" som kan vara väldigt intressant även om man inte är i elbranschen. Säkerhetskrav för elnät? Jag har ärligt talat inte hängt med på det sätt som jag kanske borde när det gäller EUs nya förordning för "gränsöverskridande elflöden". Det låter ju inte vansinnigt relevant för så speciellt många verksamheter, eller hur? Nu i mars släpptes så den slutgiltiga versionen och när jag nu läser så noterar jag en del intressant ändå: Lite på samma sätt som exempelvis CER-direktivet ska man inte själv avgöra om den egna organisationen omfattas, man blir utpekad av en myndighet. Inte bara elföretag kan omfattas utan även exempelvis MSSP - Managerade säkerhetstjänster, IT-outsourcingleverantörer, elbilsladdare mm Det är väldigt många kopplingar till NIS2-direktivet För den som ligger nära sådan verksamhet eller har kunder som gör det bör nog följa med vad som kommer framöver kring den här kravmassan! Kanske en kurs hos Svenska Kraftnät? Jobbar du i en verksamhet som påverkar elnätets stabilitet som producent eller förbrukare? Då har Svenska Kraftnät en kurs för dig! På deras utbildningssida står: Svenska kraftnät arrangerar sedan en tid tillbaka en kurs för personal inom elsektorn där deltagarna får bekanta sig med ett brett spektrum av risker och hotscenarier kopplade till cybersäkerhet och industriell styrning (ICS). Under 2023 har runt 200 personer antagits och genomgått kursen. Kursen är en elberedskapssatsning och målgruppen är personer som direkt eller indirekt arbetar med elnätsdrift, it-stöd eller säkerhet på svenska elnätsföretag, hos vissa större förbrukare eller i andra organisationer vars verksamhet kan påverka nätstabiliteten. Kursen genomförs i internatform under tre dagar (lunch-lunch) och är anpassad för att underlätta deltagande från hela Sverige. Anmälan sker efter inbjudan från Svenska kraftnät. Intresseanmälan kan skickas till icskurs@svk.se. Här behövs också en kurs! Jag kan tyvärr inte säga att jag är förvånad... Runt om i världen fortsätter det inträffa hacker-incidenter där OT-utrustning som placerats direkt på Internet blir saboterade. Å andra sidan ska man definitivt inte tro på siffrorna i Shodan och andra scanningsverktyg, det är sannolikt minst 80% honeypots bland de OT-prylar som dyker upp där. Men ändå... Jag fick nyligen ett mejl från Rockwell Automation som skickade ut en advisory med den fantastiska rubriken: IMPORTANT NOTICE: SD1672 – Rockwell Automation Reiterates Customer Guidance to Disconnect Devices from the Internet to Protect from Cyber Threats Att det kan hända av misstag ska man naturligtvis tänka på och försöka upptäcka som del i sitt säkerhetsarbete. Jag är nyfiken att höra om dina erfarenheter, har du hittat tokigt installerade prylar? Ska vi höras? I ett tidigare nyhetsbrev öppnade jag min kalender för alla som vill diskutera något kring OT-säkerhet. Gensvaret blev fantastiskt så jag kommer repetera den här texten framöver. Jag har redan haft ett antal kul samtal med roliga människor från spännande verksamheter av alla de slag. Du behöver förstås verkligen inte vara proffs på just OT-säkerhet för att det ska bli ett intressant utbyte av erfarenheter och tankar! En av de saker jag uppskattar allra mest med mitt jobb är att jag får kontakt med så många intressanta organisationer. Mina uppdrag är typiskt antingen korta alternativ långa och "lågintensiva", vilket öppnar för fler kontakter. Det kan vara som tillfälligt expertstöd i ett projekt, som rådgivare till en IT-chef eller som coach till en säkerhetschef under lång tid, som granskare av kravunderlag eller kanske som "djävulens advokat" när det behövs någon som utmanar lite. Det är verkligen en förmån att få lite insyn i så vitt skilda verksamheter och att få träffa människor med intressanta utmaningar! Det är märkligt att det kan vara så många likheter mellan OT-säkerhetsutmaningarna i robotceller hos en tillverkande industri, fastighetsautomationen i en extremt känslig byggnad, dricksvattenproduktionen i en liten kommun, en gruvas komplexa värld, de medicintekniska system på det lilla sjukhuset, maskinrummet på riktigt stora fartyg eller någon av alla andra spännande verksamheter som jag kommer kontakt med. I princip 100% av gångerna kan jag dela med mig av något jag lärt mig från en tidigare erfarenhet till nästa kontakt. Normalt sett sker dessa kontakter som en del av ett uppdrag vilket förstås begränsar vilka människor jag kommer i kontakt med. Jag tänkte att det skulle vara kul att komma i kontakt med fler verksamheter, spännande eller vardagliga, även utan ett aktivt uppdrag, för att se vad vi kan lära av varandra. Som ett experiment provar jag att öppna kalendern för alla som vill höras för att bolla någon intressant fråga. Vad som helst som har med OT-säkerhet att göra! Du får naturligtvis själv avgöra vad du kan dela med dig av eftersom det formellt sett inte finns några sekretessavtal på plats. Plocka åt dig en timme här! Vad vill du prata om? Segmentering? NIS2? Samarbete IT & OT? Cool teknik? Ladder Logic kontra Structured Text? Active Directory? Hemmalabbet? Incidentövningar? Du väljer! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du (nästan) en ursäkt från mig, MSBs åsikter om NIS2-lagen, nytt kring sjöfartens säkerhet, positiva tankar från Dale Peterson, lärdomar kring hantlar och dödsfall, ENISA kopplar CRA till IEC 62433 och så funderar jag på att strunta i Radiodirektivet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Jag ber om ursäkt! Eller? Nä... Egentligen inte... Om du av någon anledning inte är intresserad av NIS2, CER, CRA, RED eller någon av alla de andra regleringarna som EU pytsar ur sig just nu så börjar det nog bli lite tjatigt med all uppmärksamhet som detta äntligen börjar få. Det här nyhetsbrevet är definitivt inget undantag, proppen har verkligen gått ur för de här frågorna sedan nyår! Men jag tycker mig ha bra anledningar till att lyfta detta så mycket just nu. Om du läst tidigare nyhetsbrev vet du att jag är väldigt positiv till den effekt som jag tror att framför allt NIS2 och CRA kommer få på OT-säkerheten i Sverige. Jag tillhör inte alls dem som tycker det är synd att det behövs lagstiftning för att organisationer ska ta ansvar för samhällets cybersäkerhetsrisker. Tvärtom, det är ganska naturligt att det behöver finnas tydliga ekonomiska drivkrafter för det här! En effekt som jag tror vi kommer se tydligt är hur det här också kommer "smitta av sig" på företag som inte är direkt berörda av av NIS2. Producerar man digitala produkter så blir det självklart något av en revolution för många organisationer när CRA ska implementeras, det är ju uppenbart. Men effekten av fokuset på supplychain-säkerhet i NIS2 tror jag kommer ha en enorm effekt på vad som betraktas som en "normal" förväntansnivå på cybersäkerheten hos alla former av leverantörer. I och med att NIS2 har produktion som fokus kommer bra och tydlig OT-säkerhet bli helt avgörande för väldigt många organisationers affärsmässiga framgångar eller haverier. Så du får nog räkna med att jag, och många med mig, fortsätter att tjata om det här ett tag framöver! Och oavsett vad du tycker om det så tror jag att du kommer kunna dra nytta av effekterna, vare sig du vill eller inte... Är faran över? Nej, så långt gick han inte, Dale Peterson, i hans keynote-tal på årets S4-konferens, men han gav en mycket mer positiv och hoppfull bild jämfört med den vi normalt föds med från branschens alla olyckskorpar. Under parollen "Believe", som i att vi ska tro på att vi faktiskt löser våra utmaningar rätt bra, gav han oss sin ljusare framtidsversion där halva lösningen är att inte ge upp innan vi ens försökt... Det här fick en lätt chockad Ralph Langner att publicera en egen video där han kommenterar Dales något oväntade och väldigt positiva presentation: Ingen (inte ens Ralph Langner) förnekar att det förekommer OT-säkerhetsincidenter. Vi kan förstås alltid diskutera hur vi definierar en sådan incident, vilket kan vara roligt, men egentligen inte så viktigt. Om vi tillfälligt struntar i eventuella farliga situationer som kan uppstå i vissa branscher, så är ju det viktiga faktiskt att vår produktion inte drabbas av störningar, oavsett om det är dricksvatten, legobitar eller diesel vi skapar. Vår verksamhet finns där för att producera, i det flesta fall är den primära produkten ekonomisk vinst, som vi skapar genom att först producera något annat med ekonomiskt värde som vi säljer. Kan vi inte producera så tjänar vi inga pengar, och då spelar det mindre roll varför vi inte kunde producera! Vi har alla hört diskussionerna om OT-säkerhetsincidenter som "egentligen" är IT-incidenter. Attacker som drabbar fakturasystem, logistik eller orderhantering men som gör det omöjligt att bedriva produktionen på ett meningsfull och säkert sätt. Lite för ofta hör jag åsikten att den här typen av incidenter mindre viktiga eller intressanta jämfört med en riktig "Stuxnet-liknande attack". Jag håller med om att de är mindre coola, men för att skydda produktionen är de väl egentligen viktigare? De inträffar ju faktiskt relativt ofta och dessutom med allvarliga konsekvenser! Eftersom jag sällan sysslar med stöd kring redan inträffade incidenter blir jag ibland rädd att jag drabbas av en slags "survivor-bias", där jag inte fullt ut hör om de OT-incidenter som faktiskt inträffar. Man hör ibland historier om mindre händelser, ransomware på HMI:er och sånt, men sällan något större. Om du kan tänka sig att dela med dig att dina war-stories så är jag förstås väldigt intresserad av att prata mer om det under strikt tystnadslöfte. Även händelser som var "nära ögat" är superintressanta. Hör av dig på mats@ot-säkerhet.se eller skapa ett möte här. Jag tror precis som Dale att vi kan hantera OT-säkerhetshotet enklare än vi ibland tror. De stora utmaningarna är, som vanligt, att verkligen förstå vad verksamheten är beroende av och att använda våra begränsade resurser där de gör mest nytta. Vi kommer aldrig få alla de resurser som skulle krävas för att ta bort alla risker - men det är inte meningen heller. De flesta verksamheter existerar inte för att du och jag ska vinna VM i OT-säkerhet utan för att skapa produktion till rätt kostnad! Glöm inte Radiodirektivet! Eller borde vi göra just det? Kan det vara så att i allt ståhej kring NIS2 och CRA så har EUs Radiodirektiv "RED" blivit lite bortglömt! Det här är inte ett nytt direktiv, det kom i en första version 2014. Fokus är, precis som namnet indikerar, på alla former av radioutrustning, både sändare och mottagare - oavsett om det är en telefon, en walkie-talkie eller en GPS. Genom ändringar och genom tillägg till direktivet omfattar det numera en rad saker som inte var påtänkta från början. Den kanske mest kända är beslutet att tvinga fram USB-C som standard för laddare av mobil utrustning, I oktober 2021 kom ytterligare en så kallad "Commission Delegated Act" som lägger till en massa cybersäkerhetskrav till Radiodirektivet. Implementation i augusti i år, 2024, var det tänkt. Men det visade sig lite för jobbigt så förra sommaren kom ett nytt beslut som sköt fram införandet till augusti 2025. Det man lägger till är i huvudsak tre saker som har med cybersäkerhet att göra: Radioutrustning som kan "kommunicera på Internet" ska omfattas av ett redan existerande krav som lite slarvigt sammanfattat säger att utrustningen inte ska skada eller störa nätverket. Radioutrustning som kan hantera personlig information eller platsinformation ska skydda den informationen om utrustningen är Internetansluten, avsedd för barn eller kan bäras på kroppen(!). Radioutrustning som kan hantera något slags pengar ska uppfylla krav för skydd mot bedrägerier. Jag är verkligen ingenting annat än en total amatörjurist, även om jag erkänner att jag har en smått perverst nöje av att läsa lagtext. Det här tillägget till RED tycker jag faktiskt är lite märkligt. Det blir nog framför allt konstigt för att man bakar in detta i ett direktiv som jag tycker egentligen handlar om något annat. Det är inte helt tydligt för mig vad de nya kraven siktar på och framför allt har man inte definierat vad ordet "Network" betyder. Ordet användes tidigare i betydelse radionät men ingen ny definition finns nu när det rimligen borde inkludera även Internet? Min tolkning som amatörjurist är att det fortfarande krävs att radiovågor skickas eller tas emot eftersom ordet radioutrustning är definierat så. Det här gäller i så fall inte prylar som bara kommunicerar via en ethernet-kontakt! Ur ett OT-perspektiv tillkommer lite mer förvirring kring formuleringen som säger att saker omfattas om de kan kommunicera på Internet. Vad betyder det för protokoll som inte är baserade på IP? Det hela blir ju faktiskt lite extra fånigt när vi vet att CRA är på gång och liksom kommer ta över de här kraven och det med råge! Det finns dock ingenting som säger att kraven i RED kommer försvinna. Det vore intressant att höra från någon klok person som dykt djupare i det här och kan reda ut begreppen lite mer... mats@ot-sakerhet.se Inspelningar från S4! De första inspelningarna från årets S4-konferens har nu börjat släppas i en separat spellista på YouTube. Efterhand kommer det mesta att släppas utspritt under året. Ta chansen och lyssna på ett stort antal att de stora hjärnorna i OT-säkerhetsvärlden! Det finns massor av godbitar, en av dem är den alltid lika intressanta paneldiskussionen som avslutar hela konferensen. Den är faktiskt inte släppt som video än men du kan tjuvlyssna på en ljudversion så länge. Ni har gjort fel! En av medlemmarna i ovanstående S4-panel är den ständigt underhållande och utmanande Ralph Langner. I en text sammanfattade han nyligen sin kloka syn på hur man bygger en robust OT-plattform. Mycket nöje! Baksidan av NIS2? En av de saker som jag verkligen gillar och tror på kring NIS2 (och den kommande Cybersäkerhetslagen) är att man tvingar alla som omfattas av lagen att ställa motsvarande krav på sina leverantörer. Det skapar ju verkligen ett affärstryck för alla som vill kunna vara en leverantör till NIS2-organisationer - och de blir ju väldigt många! Men vad är baksidan då? Jo... Det är ju jobbigt att ställa krav på sina leverantörer, åtminstone om man ska göra det ordentligt - för då ingår ju förstås att följa upp att de faktiskt brytt sig om dina krav... Relationen mellan leverantörer och kunder är ju alltid "Många-Till-Många", det vill säga kunder måste följa upp många leverantörer och leverantörer måste hantera krav från många kunder. Dessutom kommer förstås alla kunder göra detta "på sitt sätt"... Här finns förstås en fin affärsmöjlighet för den som vill göra det här åt andra företag. Man tar betalt av en leverantör för att göra något slags assessment av säkerhetsarbetet, vilket är trevligt för leverantören som bara behöver göra det här en gång. Sedan tar man betalt av alla kunder till den leverantören för att sammanställa hur leverantörens förmågor kring säkerhet ser ut. Perfekt även för kunden eftersom man kan gå till ett ställe och ta reda på allt om alla sina leverantörer.... Så långt - inget problem! Eller? Jag har sett ett gäng Internet-baserade tjänster som försöker lösa detta, men det är inte alla som inger förtroende... Mina invändningar är framför allt: Vilken leverantör kommer någonsin avslöja något negativt till en sådan mellanhand utan att det finns mycket starka avtal upprättade mellan dem som reglerar sekretessen? Mellanhanden hamnar i en spännande position där man skulle kunna få tillgång till otroliga mängder ytterst känslig information. Börjar man tänka i begrepp som "ackumulerad och aggregerad information" så gissar jag att man snabbt hamnar i nivåer där säkerhetsskydd är aktuellt ur ett svenskt perspektiv? Ovanstående två punkter kommer i bästa fall leda till att ingen kommer berätta sanningen vilket i sin tur gör resultatet från arbetet helt meningslöst. Jag säger inte att det här är omöjligt att göra på ett bra sätt, jag har bara inte sett någon göra det ännu... De varianter som passerat framför mina ögon än så länge har verkligen inte gjort ett solitt intryck! Jag vill gärna bli överbevisad och då vill jag förmodligen dessutom investera i det företaget direkt! Däremot kanske våra branschorganisationer har en fin möjlighet här? Då kan man tänka sig att kravställningen blir relevant, uppföljningen fokuserar på rätt saker och hanteringen sköts av en organisation som man kanske redan litar på. Jag tror just branschorganisationer kommer ha en viktig roll att fylla generellt, både på kund- och leverantörssidan. Vad kan vi lära av en hantel? I en artikel av Dale Peterson refererar han till den ekonomiska strategin "Barbell strategy". Det är tanken att man har en enkel med trygg basplattform som man kompletterar med något som tar hand om oönskade händelser. Översatt till OT så tänker han sig att man kommer relativt långt med enkla och billiga säkerhetsåtgärder som kompletteras med åtgärder som säkerställer något slags drift trots att vissa incidenter inte kan förhindras. Själv brukar jag använda hjulet från NIST Cyber Security Framework för en liknande poäng. Där är min tanke att det lätt blir slagsida till fördel för preventiva åtgärder inom området "Protect", men att man missar Recover som är nödvändigt för att kunna hantera när incidenten är ett faktum. På samma sätt springer många och handlar IDS-system, som är tänkta att användas inom Detect men organisationen har inte resurser att agera på larm från IDS-systemet, dvs Respond. Istället blir resultatet i bästa fall att man får förbättrad information om sin anläggning, dvs lite åt Identify-hållet, med bättre asset-information. Att lära av ett dödsfall? Som vanligt när Sinclair Koelemij skriver blir det intressant och utmanande. I en text med rubriken "Strategic Decision-Making in Cyber-Physical Risk Assessments and Cyber Ethics" beskriver han flera klurigheter som är specifika för vår vardag som OT-säkerhetsmänniskor. Intressant nog är det delvis ett svar på Dales artikel om hanteln som jag skriver om här ovanför. Han utmanar bland annat användningen av modeller där man lägger mycket krut på att uppnå tålighet genom att vara snabb i återställningen av redan havererade system. En svårighet med det (som jag hintar om i rubriken ovan) är om konsekvenserna kan bli riktigt allvarliga, till den grad att inte allting är möjligt att återställa på ett rimligt sätt, som människoliv, miljöskador eller kritisk utrustning som har mycket långa leveranstider. Läs och begrunda! En bra påminnelse om att våra riskanalyser inte får fokusera för mycket OT-systemen om de stora konsekvenserna uppstår utanför systemen! MITRE kopplar CWE till IEC 62443 CWE skrev jag senast om i nyhetsbrev #49. CWE, Common Weakness Enumeration, är ett systematiskt sätt att beskriva svagheter i mjuk- och hårdvaror. Nu har MITRE lagt till en vy som heter "Weaknesses Addressed by ISA/IEC 62443 Requirements" där namnet ganska väl beskriver vad tanken är. Snyggt upplägg som gör CWE ännu mer användbart för OT-folket! Om du är road av detta så finns även en uppdaterad dashboard hos "ICS Advisory Project" där du kan filtrera registrerade Sårbarheter/CVE:er mot vilka CWE-koder de orsakas av med koppling till respektive krav i de olika standarderna inom IEC 62443. Nu kan man verkligen gå helt bananas i att analysera dessa sårbarheter! Mycket nöje! Ännu mer på gång från MITRE! Om man läster MITREs plan för ATT&CK: "ATT&CK 2024 Roadmap" ser man att de har mycket på gång för OT-folket. Det blir mer detaljer kring attacker, man gör om asset-informationen och mycket annat. Den som väntar på något gott... ENISA kopplar CRA till IEC 62443 Lite på samma tema som det MITRE gjort för att koppla CWE till standarden har nu EUs cybersäkerhetsmyndighet ENISA publicerat en mappning mellan CRA-förordningen och en rad olika standarder. Det hela är på en väldigt hög nivå men kan ändå vara en väldigt praktisk startpunkt om man ska ta tag i sitt CRA-arbete! Det man dessutom får på köpet är att de sammanställt de krav som de anser att CRA formulerar kring säkerhet och hantering av sårbarheter. Det är 13 + 8 krav som annars inte är helt enkla att hitta i den massiva förordningen. Dessa krav mappas sedan mot en rad olika standarder med ett resonemang om hur respektive standard tar hand om kravet och eventuella gap som man behöver ta hänsyn till. Allt är på ett ruskigt hög nivå, resonemangen är enbart för en hel standard, exempelvis: De standarder man har med är en rejäl lista, så oavsett vad du är i för bransch så finns nog flera relevanta med: ISA/IEC: 62443-3-2, 62443-4-1, 62443-4-2 ISO/IEC 9796 2-3, 9797 1-3, 9798 ISO/IEC 13888, 14888 ISO/IEC 15408-2, 15408-3 ISO/IEC 18031, 18033, 18045 ISO/IEC 19249 ISO/IEC 22237 ISO/IEC 24760 ISO/IEC 27002, 27005 ISO/IEC 27034, 27036 ISO/IEC 27701 ISO/IEC 29100, 29147 ISO/IEC 29146, 29147 ISO/IEC 30111 ETSI 103 485, 303 645 ITU-T X.805, X.812, X.814, X.815, X.1214, X.1253, Y.4810 Jag hittade också en bra översikt gjord av Steffen Zimmermann: Från teori till praktik Som du kanske minns från nyhetsbrev #46 så använder jag ibland programvaran Factory IO i mitt kära hemmalabb för att illustrera fysiska processer. Det visar sig att det finns fler som gillar den här produkten, i en två-delad artikelserie beskriver nämligen Team82 från Claroty deras användning. I del 1 kan vi läsa om hur de satt upp sitt labb och i del 2 beskriver de ett antal praktiska attacker som leder till ett härligt kaos i processen. Följetongen om EUs språkhantering... I förra nyhetsbrevet skrev jag att ryktet om att CRA skulle bli framskjutet tydligen var fel eftersom texten klubbades i Europaparlamentet. Nu visar det sig att jag kanske inte var så fel ute i alla fall, senaste budet är att en slutgiltig version sannolikt inte blir klubbad förrän framåt oktober. Nå ja, vi får se... Om du producerar digitala produkter fick du några extra månader på dig, det kommer bli tajt ändå för det flesta... Lustigt det där... Som jag nämnde i nyhetsbrev #59 så har VMware annonserat att gratisversionen av ESXi ska försvinna, ett tungt slag för många hemmalabbare som använt det som bas för virtualisering. Det här ökar förstås intresset ännu mer för andra alternativ och då kanske i synnerhet min egen favorit Proxmox VE. Som av en händelse annonserade nu Proxmox nytt stöd just för att automatiskt migrera virtuella maskiner från ESXi direkt in i Proxmox VE... Lustigt det där... Det har förstås tekniskt varit möjligt även tidigare men krävt lite mer handpåläggning. Nu ansluter Proxmox VE direkt till ESXi-server och "suger i sig" systemen. Smidigt! Välkommen över till den ljusa sidan! Var är klockan? I nyhetsbreven #59 och #60 skrev jag om utmaningarna kring GPS/GNSS-störningar. För den som vill lära sig mer finns ett bra dokument från kanadensiska företaget NovAtel som ingår i välkända svenska Hexagon-koncernen. Där beskriver man både störning och spoofing tillsammans med deras egna lösningar för att minska problemen. De refererar även till en artikel i "Inside GNSS" som tittar på samma ämne. Äntligen någon som tycker som jag! Om du lyssnat på någon av mina föredrag kopplat till NIS2 så har du sannolikt hört mig fundera högt kring den märkliga definitionen av kemikalie-sektorn. Jag skrev också om det i ett nyhetsbrev nyligen. Nu har jag hittat tecken på att fler ifrågasätter om den extremt breda definitionen (alla verksamheter som använder "kemikalier" för att framställa något slags vara) verkligen är rimlig! Den tyska juristfirman reusch law har publicerat dokumentet "Working Paper on ANNEX II No. 3 NIS2 Directive, NIS2 and REACH" skrivet av Steffen Zimmermann från VDMA and Stefan Hessel där de verkligen går till botten med den här frågan. Förslaget från den svenska utredningen kring NIS2 och CER har inte tagit alls i den här frågan utan för vidare samma definition som i direktivet. Något annat var i och för sig inte att vänta sig eftersom man som land inte kan göra så stora ändringar i omfattningen hos ett direktiv. Det ska bli väldigt intressant att se hur Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län kommer hantera den här nöten, de är nämligen föreslagna som ansvariga för föreskrifter och tillsyn i den här sektorn... Jag har en känsla av att man inte räknat på det här sättet när man uppskattade hur mycket resurser Länsstyrelserna kommer behöva... Ett skepp kommer lastat... Attacker mot GNSS-system är en av alla populära diskussionsämnen i området säkerhet inom sjöfarten. Det här med potentiella attacker mot fartyg fick lätt bisarra proportioner nyligen, när fartyget Dali kraschade in i Francis Scott Key Bridge i Baltimore vilket resulterade i att stora delar av bron rasade. Genast dök en lång rad olyckskorpar upp som kraxade om att det minsann kunde vara en cyberattack. Personligen tycker jag det är direkt pinsamt och korkat att försöka skaffa sig poänger genom att presentera vilda teorier som helt saknar faktisk grund. Det här beteendet är verkligen ett av skälen till att vi säkerhets-människor inte tas på allvar när vi varnar för risker. I det här fallet så kan det förstås visa sig att det faktiskt var en cyberattack, men den diskussionen tar vi när det är klarlagt! Däremot är det definitivt så att cybersäkerhet i sjöfarten är spännande och viktigt, speciellt kanske OT-säkerhet ombord på fartyg! Jag har haft förmånen att vara insyltad i några fartygsprojekt och det är en fascinerande men utmanande värld! I nyhetsbrevet har det tidigare funnits nyheter om att det kommer skarpare krav på området och nu är det flera intressanta sådana på gång igen. Framför allt är det klassningssällskapens organisation IACS som från och med 1:a juli sätter kravdokumenten UR E26 och UR E27 i skarp verkan. De skulle ju ha gällt redan från 1:a januari, men i sista minuten drogs de tillbaka och reviderades. Samtidigt släpper man en uppdaterad version 3 av UR E22 som handlar om utformning, konstruktion, driftsättning och underhåll av alla datorbaserade system ombord som krävs för att få fartyget klassat. Dessutom är FN:s sjöfartsorganisation IMO på gång att godkänna en uppdatering av deras riktlinjer för cyberriskhantering inom maritima verksamheter. (Länken kräver ett gratis konto.) Som skäl uppger IMO att man bland annat vill adressera förändringarna i hotlandskapet, sätta en tydligare basnivå för säkerheten samt tydligare referera till standarder och ramverk. Det man refererar till är förutom ISO 27000 och nya NIST CSF även tre specialiserade kravmassor: "The Guidelines on Cyber Security Onboard Ships" som underhålls av en rad organisationer ICS, IUMI, BIMCO, OCIMF, INTERTANKO, INTERCARGO, InterManager, WSC och SYBAss Samlingsrekommendationerna från IACS Riktlinjerna kring hamnar och hamnsystem från IAPH På samma tema kan man också notera att kustbevakningen i USA nyligen släppte ett förtydligande för en "Executive order: Executive Order on Amending Regulations Relating to the Safeguarding of Vessels, Harbors, Ports, and Waterfront Facilities of the United States" som president Biden skrev under i februari. Det här är definitivt ett område som väcker mycket intresse och dessutom välförtjänt! En riktigt intressant rapport kommer från norska organisationen NORMA Cyber. De tittar på den aktuella hotbilden och tar upp GNSS/AIS-spoofing, OT-säkerhet, ransomware med mera. Vad tycker MSB om NIS2? När detta skrivs är förslaget till ny Cybersäkerhetslag (som ska implementera NIS2-direktivet) ute på remiss. En nyckelspelare kring dagens NIS-direktiv är MSB, vilket för övrigt utredningen föreslår ska fortsätta. MSB har publicerat sitt eget svar på remissen vilket var intressant att läsa. Jag ställer upp på i princip allt som de tycker till om, inklusive behovet av att samordna baskraven enligt lagen med de åtgärder som krävs när Säkerhetsskydd är aktuellt. Ska vi höras? I ett tidigare nyhetsbrev öppnade jag min kalender för alla som vill diskutera något kring OT-säkerhet. Gensvaret blev fantastiskt så jag kommer repetera den här texten framöver. Jag har redan haft ett antal kul samtal med roliga människor från spännande verksamheter av alla de slag. Du behöver förstås verkligen inte vara proffs på just OT-säkerhet för att det ska bli ett intressant utbyte av erfarenheter och tankar! En av de saker jag uppskattar allra mest med mitt jobb är att jag får kontakt med så många intressanta organisationer. Mina uppdrag är typiskt antingen korta alternativ långa och "lågintensiva", vilket öppnar för fler kontakter. Det kan vara som tillfälligt expertstöd i ett projekt, som rådgivare till en IT-chef eller som coach till en säkerhetschef under lång tid, som granskare av kravunderlag eller kanske som "djävulens advokat" när det behövs någon som utmanar lite. Det är verkligen en förmån att få lite insyn i så vitt skilda verksamheter och att få träffa människor med intressanta utmaningar! Det är märkligt att det kan vara så många likheter mellan OT-säkerhetsutmaningarna i robotceller hos en tillverkande industri, fastighetsautomationen i en extremt känslig byggnad, dricksvattenproduktionen i en liten kommun, en gruvas komplexa värld, de medicintekniska system på det lilla sjukhuset, maskinrummet på riktigt stora fartyg eller någon av alla andra spännande verksamheter som jag kommer kontakt med. I princip 100% av gångerna kan jag dela med mig av något jag lärt mig från en tidigare erfarenhet till nästa kontakt. Normalt sett sker dessa kontakter som en del av ett uppdrag vilket förstås begränsar vilka människor jag kommer i kontakt med. Jag tänkte att det skulle vara kul att komma i kontakt med fler verksamheter, spännande eller vardagliga, även utan ett aktivt uppdrag, för att se vad vi kan lära av varandra. Som ett experiment provar jag att öppna kalendern för alla som vill höras för att bolla någon intressant fråga. Vad som helst som har med OT-säkerhet att göra! Du får naturligtvis själv avgöra vad du kan dela med dig av eftersom det formellt sett inte finns några sekretessavtal på plats. Plocka åt dig en timme här! Vad vill du prata om? Segmentering? NIS2? Samarbete IT & OT? Cool teknik? Ladder Logic kontra Structured Text? Active Directory? Hemmalabbet? Incidentövningar? Du väljer! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.