Search Results

Dags för en riktigt välfylld upplaga av nyhetsbrevet kring OT-säkerhet! Några höjdpunkter den här gången är en gratis bok som är riktigt bra, en modell för hur ransomware kan drabba PLC:er, vettig prioritering av sårbarheter, EU ger oss stöd kring supply chain, lite mer detaljer kring såväl CER-direktivet som CRA-förordningen, en ny version av NIST CSF, en djupdykning (!) i sjöfartens regelverk, en NATO-utbildning från MSB och så berättar jag vad jag hållit på med för roligheter i mitt labb! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Alla pratar om Supply Chain! Om du inte levt under en sten de senaste åren har du märkt att fokuset på säkerhet i relationen med leverantörer har fått massor med fokus. Inte minst på grund av stora incidenter som NotPetya, Solarwinds och Coop/Visma/Kaseya. NIS2-direktivet trycker väldigt hårt på det här, likaså den nya versionen av NIST CSF. (Som du kan läsa mer om längre ner i nyhetsbrevet...) Ett bra stöd för att sortera sina tankar på området är en ny rapport från EUs cybersäkerhets-myndighet ENISA, "Good practices for supply chain cybersecurity". Förutom en introduktion till området och en analys av nuläget får vi en radda ganska handfasta förslag till åtgärder med tydliga mål för var och en av dem. Uppdaterat från IIC Industry IoT Consortium, IIC, har kommit med en uppdaterad version 2 av sitt dokument "Industry Internet of Things Security Framework", (IISF) som kom ut första gången 2016. Det här är ett dokument som det har refererats till i lite olika sammanhang, inte minst kring begreppet "Trustworthiness". Och just detta begrepp, Trustworthiness, är lite extra intressant när man ska försöka förstå vad det populära buzzordet (!?) "Convergence" egentligen betyder. IIC reder ut skillnader mellan IT och OT när det just gäller Trustworthiness och hur de två världarna kan mötas i den punkt som de kallar IIoT. De bygger begreppet Trustworthiness på de fem grundpelarna Security, Safety, Resilience, Privacy och Reliability. Tillsammans ska de motverka Attacks, Disturbances, Errors och Faults. Personligen är jag lite allergisk mot alla former av buzzord, inte minst "Convergence". Men jag måste säga att IIC åtminstone reder ut begreppets alla sidor på ett tydligt och bra sätt. De arrangerar begrepp som förtroende, assurans, krav och förmågor i kombination med berörda roller på ett sätt som känns väldigt användbart även om det i sig inte ger några magiska svar på svåra frågor. Det här är i alla delar ett ramverk och inget annat, dvs det är riktigt bra att hänga upp resonemang och planer på, och även om man inte får några svar på de svåra frågor man måste ställa sig själv så är det ändå stor hjälp. Rekommenderas! Klokskap från de sju haven Som jag skrev om i förra nyhetsbrevet så har jag på senare tid haft förmånen att vara insyltad i ett par projekt kring OT-säkerhet ombord på nybyggda fartyg. Det här är fantastiskt intressanta verksamheter med väldigt speciella utmaningar, inte minst när fartygen ska användas i mycket känsliga verksamheter. I den här världen har de så kallade klassningssällskapen mycket att säga till om, det är organisationer med välkända namn som Lloyd's Register, DNV och Bureau Veritas. Det här är verksamheter som i vissa fall funnits sedan tidigt 1800-tal och som sätter regler för hur man konstruerar, bygger och underhåller fartyg för att de ska vara säkra i alla betydelser av ordet "Säkerhet". På senare år har förstås cybersäkerhet och inte minst OT-säkerhet fått stort fokus. Ett godkännande från ett klassningssällskap innebär att fartyget får en så kallad Klassnotation inom ett visst område, exempelvis cybersäkerhet. För att få behålla fartygets notation sker regelbundna återkontroller av både tekniken och organisationens förmågor. Precis som vilken certifiering som helst! Som vanligt när OT-säkerhet är relevant baseras numera de flesta krav på en kombination av ISO 27001/27002 och IEC 62443. De klassningssällskap jag tittat på kombinerar på ett snyggt sätt krav på den tekniska utformningen med krav på organisationens arbetssätt och förmågor. Jag har personligen ett gott öga till DNV och deras kravmassa kopplat till OT-säkerhet på fartyg. Det är dokument som dessutom kan vara väldigt användbara även om man inte är i fartygsbranschen! Kravdokumenten från DNV är gratis att komma åt men en personlig inloggning krävs. Om man är intresserad av OT-säkerhet så är dokumenten DNV-CG-0325, DNV-RU-SHIP Pt.6 Ch.5 (Section 21) och DNV-RU-SHIP Pt.7 Ch.1 (Section 36) speciellt intressanta. Det finns också en recommended practice DNV-RP-0496 som är värd att titta på. Ett dokument som jag verkligen tycker alla borde ta en titt på har egentligen inte OT-säkerhet i fokus, utan dyker ner i utmaningarna kring hur man bygger bra styr- och övervakningssystem: DNV-RU-SHIP Pt.4 Ch.9. Läs exempelvis Section 2 om principer för utformning av dessa system! Väldigt många kloka principer för att bygga robusta lösningar i känsliga miljöer! Man får förstås ersätta begrepp och system som är unika för fartyg med motsvarande utmaningar i den egna miljön. Larm, safety och felhantering är otroligt viktigt att tänka på och det är ofta insikter i dessa områden som man saknar om man kommit över till OT-säkerhetsvärlden från IT-sidan. En annan sida av säkerhet till havs har sammanställts av ett Nederländskt universitet, NHL Stenden University of Applied Sciences. Det är en interaktiv karta med information om kända attacker mot fartyg, hamnar och annat sjöfartsrelaterat. Jag kan inte avgöra hur tillförlitlig eller komplett deras sammanställning är men det är en väldigt intressant illustration av ganska annorlunda utmaningar jämfört med "på land". Död mans PLC! Ransomware och andra liknande typer av utpressning är inget nytt inom IT-världen. Däremot har jag, och många med mig, undrat när vi ska börja se motsvarande angrepp mot OT-system. Idag drabbar de flesta OT-incidenter egentligen främst IT-system som "råkat" bli lite för viktiga för produktionen. Med undantag för Stuxnet, Triton och några få till, så är det extremt ovanligt med skadlig kod riktad direkt mot PLC:er och deras fysiska processer. Alla faktiska exempel jag känner till har handlat om sabotage i olika former snarare än utpressning. Det kan vara på väg att ändra sig snart... Richard Derbyshire, Benjamin Green, Charl van der Walt och David Hutchison har publicerat ett intressant papper med den lovande titeln "Dead Man’s PLC: Towards Viable Cyber Extortion for Operational Technology". Extremt sammanfattat så beskriver de en metod att hålla en verksamhet gisslan genom att utöka det klassiska ransomware-tänket med modifierad PLC-kod som upptäcker försök att kringgå attacken och då slår ut den fysiska processen på ett sätt som "förhoppningsvis" orsakar fysisk skada. Det har gjorts ett par liknande försök tidigare som de diskuterar och bygger vidare på. Namnet "Dead Man's PLC" associerar förstås till begreppet "Dödmansgrepp", men i det här fallet är det inte ett skydd utan en avtryckare! De tänker sig att angreppet börjar med en ingenjörsstation där man samlar information om nätverkets uppbyggnad, vilken programmerbar utrustning som finns där, deras programmering och hur de kan kommunicera med varandra. De beskriver en stegvis metod för att, baserat på den informationen, modifiera de aktiva programmen på ett sätt som kommer bevaka att ingen komponent återställs eller stoppas. Offret får en viss tid på sig att betala lösensumma innan samtliga komponenter slås ut och den fysiska processen aktiveras på ett så felaktigt sätt som möjligt. På det här sättet tar man inte en enstaka PLC gisslan utan samtliga i samma system. (Vilket är den stora skillnaden mot tidigare beskrivna metoder.) Ingenjörsstationen drabbas av något som liknar klassisk ransomware medan övrig utrustning enbart programmeras om utan att man behöver någon speciell access till systemen. Det är fortfarande en metod som kräver att man kan hantera och förstå de aktuella ingenjörs-verktygen men med lite vidareutveckling kan det säkert göras enklare. Jag rekommenderar att du läser hela pappret, det är bara 12 sidor text. Än så länge är det bara en teoretisk metod som beskrivs även om de genomfört "skarpa" attacker i testmiljöer. Det här känns som ett första steg mot en riktigt jobbig utveckling. Några spontana tankar kring kloka säkerhetsåtgärder för att möta det här är att satsa på en bra balans mellan förebyggande, upptäckande och återställande förmågor, exempelvis: Använd skyddet du redan betalt för! Moderna PLC-system har massor av enkla men bra skydd. Bra lösenord och kryptering hjälper mycket mot sånt här! Se till att du förstår dina system bättre än angriparen! Aktiv insamling av inventarie-information tillsammans med automatisk löpande riskanalys av nätverkets och komponenternas konfiguration ger dig möjlighet att ligga steget före. Angriparen behöver nätverksaccess till ingenjörsstationen eller den plats där den lagrar sina projekt. Skydda och härda ingenjörsstationen. Skaffa en riktig lösning för fjärråtkomst, dvs inte en vanlig VPN. Blanda inte lagring mellan IT och OT! Se till att du upptäcker förändringar i systemen, styr upp din ändringshantering och kombinera det med ett verktyg som övervakar nätverk och komponenter efter förändringar. Slarva inte med separationen av Safety-PLCer från övrig utrustning så behöver i alla fall inga farliga situationer uppstå. (Du är väl inte en av dem som bygger sådana funktioner i samma system som styr processen?) Backup, backup, backup! Precis som i IT-världen är bra (dvs testade och separerade) backuper helt avgörande för att få igång verksamheten när det värsta händer. På samma tema är det förmodligen en bra (men dyr) idé att också ha extra exemplar av all utrustning på hyllan i det fall angriparen lyckas helt "bricka" prylarna. NATO och civil beredskap MSB har släppt en webbutbildning kring NATO med fokus på civil beredskap. Jag tycker det var en riktigt bra sammanfattning av allmän information kring NATO och en väldigt nyttig insyn i den icke-militära sidan av NATO. Intressant att se hur mycket av tankarna kring allriskperspektiv för resiliens i samhället går hand-i-hand med EUs satsningar via exempelvis NIS2 och CER. Utbildningsmaterialet släpptes i mars så det saknar de senaste händelserna kring Sveriges medlemskap men det gör ingenting. Rapport från labbet! Jag är tekniker i själen! Men i min roll som rådgivare är det mer sällan som jag numera får nörda ner mig ordentligt i tekniken och få rejält med "skit under naglarna". Trots det är tekniken är något som jag är noga med att fortsätta mig hålla nära för att inte tappa kontakten med "verkligheten". Och dessutom för att det är roligt, inte minst programmering som jag tycker är en väldigt kul del! Det är väldigt lärorikt och dessutom roligt att prova nya kluriga säkerhetsupplägg som jag inte vågar/får/kan/vill göra i kunduppdrag - och i synnerhet att angripa dem förstås! En utmaning när man vill labba med sånt här är att OT handlar om fysiska processer, vilket förstås är både jobbigt och dyrt att bygga testmiljöer för. Då är verkligen det portugisiska företaget Real Games lösning Factory I/O en superelegant möjlighet! De har tagit en vanlig spelmotor för 3D, men istället för att fylla den med monster och vapen har man skapat en virtuell värld med komponenter och maskiner som man kan använda för att bygga ihop en tillverkande anläggning med enkel drag'n'drop. Alla sensorer och ställdon dyker sedan upp som ett remote I/O på nätverket som du kan ansluta till din PLC med MODBUS, OPC UA eller något annat protokoll som du vill ha. Riktigt smidigt och snyggt är att du sedan kan gå runt i anläggningen medan den kör. Du kan trycka på knappar på "riktigt" för att styra processen. Nyligen satte jag upp en ny labb-uppställning och drog igång några småprojekt för att kombinera teknik som jag inte blandat förut. Först ut blev en uppställning med en PLC (PLCnext 2152 från Phoenix Contact), ett par omanagerade switchar, ett par EdgeIPS 102 från TxOne och en virtuell tillverkningsprocess baserad på Factory I/O. Mitt super-simpla "experiment" gick helt enkelt ut på att utforska kombinationen PLCnext, OPC UA, EdgeIPS och FactoryIO: Koppla PLCn till ett virtuellt remote I/O i Factory I/O via OPC UA (Och det blev även motsvarande övning med Modbus TCP av bara farten) Programmera PLCn att köra processen Attackera kommunikationen för att störa processen, gärna med underhållande konsekvenser Skydda kommunikationen mellan PLCn och Factory I/O med en EdgeIPS Det är alltid roligt och lärorikt att "labba" lite. Ett återkommande intryck är hur kapabel och enkel modern teknik är! Som den där PLCn från Phoenix Contact. Den kan inte bara agera klassisk PLC och då programmeras enligt IEC 61131-3, utan även har stöd för alla möjliga moderna programmeringsspråk, nätverksprotokoll, Docker-containers och som har en egen "app-store". Vill du köra Node-RED, MQTT, Python eller något annat "modernt" så är det antingen installerat vid leverans eller enkelt (och gratis) att installera. Extra elegant är att deras programmerings-mjukvara, "PLCnext Engineer", är gratis. Om du inte har en fysisk PLC kan du istället skapa en virtuell PLC! (Om du är nyfiken så har Nisse Eriksson på Phoenix Contact skapat en radda bra lektioner kring PLCnext på YouTube.) Factory I/O har jag inte så mycket erfarenhet av ännu men det är en imponerade mjukvara med riktigt snygg simulering av både remote I/O och fysiska processer! Den fysiska processen blev i det här fallet en hisslösning, delvis baserad på ett av de scenarier som man får med i programvaran. Komponenter ska matas fram på tre rullband på tre våningar som sedan ska samlas upp fem åt gången i en plastback med hjälp av en hiss. När backen är full ska den skickas iväg på en lastpall och en ny back plockas in. På ytan kan man tycka att det är en ganska enkel process, men att få till programmeringen tog en stund! Men i slutänden blev det riktigt bra och jag passade på att lära mig att programmera med Structured Text i funktionsblock vilket jag inte gjort förut. Jag har däremot jobbat ganska länge med grejorna från TxOne, men slås fortfarande varje gång av hur smidiga de är. Smidiga både i betydelsen att de är enkla att arbeta med men också att de tar upp väldigt lite plats på skenan. En EdgeIPS styr enkelt upp nätverkstrafiken utan att man riskerar att påverka den i onödan. Medan processen sedan snurrar är det en barnlek att låta en EdgeIPS automatiskt lära sig trafiken på nätverket och föreslå brandväggsregler som kommer stoppa eller larma på annan trafik! Ja, och jag får väl säga att min lilla övning var framgångsrik... Det blev som vanligt tydligt att det kan behövas lite skydd för verksamheten! Mina angrepp mot den oskyddade hissen via OPC UA fick väldigt "fysiska" konsekvenser och resulterande i ett lätt kaos på "fabriksgolvet"... Vi får se vad nästa projekt blir i Factory IO? En av komponenterna i Factory IO är en vattentank som ska nivåregleras, så kanske att det blir att testa en PID-funktion? Men jag är nog mest sugen på ett lite mer komplext scenario där man kopplar ihop flera olika komponenter till ett långt produktionsflöde och kanske även styr med flera olika PLC:er. Jag ska också se om jag kan komplettera min labbuppställning med mer roliga prylar. En riktig HMI-webbpanel skulle vara kul för att bygga användargränssnitt på "riktigt" med Phoenix Contacts eleganta HTML5-baserade lösning. En mer sofistikerad nätverkslösning står också högt på önskelistan och förstås fler PLCer med tillhörande remote IO. En nätverkstapp eller två skulle vara praktiskt också. Det är kul med leksaker - men dyrt! Jag tar tacksamt emot stöd till nyhetsbrevets laboratorium om du tycker att nyhetsbrevet tillför någonting. Om du har avvecklad begagnad utrustning så är det väldigt intressant att få ta över, hör gärna av dig, mats@ot-sakerhet.se ! Säkerhetsmässigt finns det förstås mycket annat att utforska vidare. Nära till hands ligger angrepp mot HMI-kommunikation, labba med krypteringen i OPC UA, använda lite mer "udda" nätverksprotokoll än Profinet, OPC UA och Modbus TCP, men förstås också alla möjligheterna att låta TxOne styra vad som är tillåtet på nätet ner till en löjligt detaljerad nivå - typ: "PLC A får manövrera coil 1 men inte coil 2". Än så länge har jag bara använt enkla omanagerade switchar så där finns mycket kvar att utmana kring segmentering och fjärranslutningar. Man kan lära (och lära ut) så länge man lever! Apropå OPC UA Jag har tidigare berättat om Clarotys utmärkta artikelserie kring OPC UA. Nu är del 5 ute där de förklarar hur de forskar kring sårbarheter, generellt och hur de gjort kring just OPC UA. De avslutar med att gå igenom resultaten så här långt, ganska imponerande! I del 6 släpper de dessutom ett attackverktyg som är fritt fram att använda om man vill jaga nya sårbarbarheter eller granska sin egen installation. Det ser riktigt användbart ut! Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på. De länkar också till en presentation på samma tema som Eran Jacob på OTORIO gjorde 2021, väl värd att läsa om man är nyfiken! En riktigt bra bok! ...och gratis! Vi är inte bortskämda med jättemånga bra böcker kring OT-säkerhet. Det finns några lysande stjärnor på den här bokhimlen som jag skrivit om i tidigare nyhetsbrev, men dagens boktips är lite annorlunda... Det kan vara en av de bästa - och den är gratis! Marina Krotofil är ett känt namn i våra kretsar. Hon är en av de där få men ack så viktiga personerna som verkligen förstår processautomation på riktigt och samtidigt förstår säkerhet. Om jag skulle manipulera en tillverkningsprocess så att ordentligt farliga situationer uppstår så skulle jag ta hjälp av henne... Här hittar ni inga dåligt förklädda IT-attacker utan ett resonemang som utgår från den fysiska processen. Hon kallar det ett Technical White Paper, men jag skulle personligen gärna betalat bra pengar för det här innehållet om det hade dykt i bokform! Du hittar det på hennes sajt och på GitHub. Vi får 133 sidor som är både välfyllda och välskrivna. Hon börjar med en genomgång av hur en ingenjör ser på kontrollsystem. En kort beskrivning av den exempelprocess hon använder är intressant på många sätt, framställning av vinylacetat av etylen och ättiksyra. Det här är en vanlig, välkänd och framför allt väldokumenterad kemisk process med en massa "spännande" möjligheter att skapa farliga situationer om kontrollen över processen blir angripen. Nästa kapitel är "Cyber-Physical Attack Lifecycle", den centrala delen i texten, där hon går igenom de steg som en angripare behöver ta i en systematisk attack. Igen med ett primärt fokus på tillverknings-processen snarare än system och infrastruktur. Naturligtvis finns även de delarna också med, men de är bara redskapen som angriparen kan använda för att uppnå de fysiska syften som man råkar vara ute efter. Därefter kommer ett kort avsnitt med hennes slutsatser. Om du inte orkar läsa hela dokumentet så tycker jag ändå att dessa två sidor är värda din uppmärksamhet! Som en bonus får vi några appendix. Jag rekommenderar speciellt appendix A där hon går igenom Donn Parkers Hexadmodell. (En utökning av den klassiska CIA-modellen. Ni som tagit en CISSP-certifiering har garanterat redan läst om den.) Här möts klassisk informationssäkerhet och information som används i kontrollsystem på ett sätt som är viktigt att förstå! Som du förstår rekommenderar jag varmt att du läser Marinas papper! Det är inte trivialt att ta till sig i alla delar men det ger en lång rad fantastiskt viktiga insikter! Styrelsen pratar om fel saker! En artikel i Harvard Business Review tar upp ett ämne som jag verkligen känner igen mig i och som jag håller med om; att styrelser tenderar att fokusera alldeles för mycket på förebyggande säkerhetsåtgärder istället för att bygga upp en robust och tålig organisation. Visst är det bra att säkerhet numera diskuteras på styrelsenivå, men det sänder fel signaler ut i organisationen! Samma tendens finns ju för övrigt på alla nivåer i många organisationer som jag stöter på, alltså att man lägger lite för stor andel resurser på förebyggande arbete och mindre på de förmågor som krävs för att upptäcka och hantera incidenter som trots allt inträffar. När styrelsen dessutom spär på detta genom att ha samma slagsida i sitt intresse blir saken än värre. Jag brukar använda den klassiska cirkeln från NIST CSF för att visa att vissa segment tenderar att få alldeles för lite intresse och resurser. "Protect" är populärast. I takt med att många OT-verksamheter skaffat IDS:er (Nozomi, Dragos etc) så skulle man kunna tro att "Detect" börjar växa till sig men tyvärr är det många verksamheter som i slutändan mest använder sin IDS för att försöka samla inventarieinformation (dvs Identify). Tyvärr är passiv inventering i praktiken inte så effektiv som tillverkarna hävdar. Vill du få bättre resultat krävs aktiv insamling. (Vilket inte är samma sak som IT-världens nätverksscanning!) Respond och Recover får oftast minst fokus trots att det är helt avgörande för organisationens robusthet. Ett nytt sätt att skära kakan! Framöver kommer jag få visa en annan bild från NIST CSF än den jag nämnde ovan. Som jag skrev om i nyhetsbrev #52 och nyhetsbrev #49 har NIST version 2.0 på gång av deras Cyber Security Framework, NIST CSF. Nu har de tuggat i sig all feedback de har fått och annonserat en formell draft av det nya ramverket. Vi har också fått en ny version av det välkända "hjulet" som förutom lite ändrade färgtoner, också har fått det nya sjätte området, "Govern". Vi har alla till den 4:e november på oss att komma med återkoppling - så börja läsa bums! Ett annat sätt att utforska det nya ramverket är via det nya verktyget "NIST Cybersecurity Framework (CSF) 2.0 Reference Tool" som också lanserats, om än i en ännu så länge begränsad version. Här kan du vända och vrida på ramverket samt ladda ner valda delar i ett antal olika format. De kommer lägga till mer funktionalitet efter hand. Mycket nöje! Vi kommer att ses... ...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e september. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2. Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare! Exklusivt och gratis! Vi på AFRY organiserar en nordisk konferens kring OT-säkerhet och kritisk infrastruktur den 27:e september. Tillsammans med några av våra partners erbjuder vi en exklusiv heldagskonferens i Solna, som trots att den är gratis kommer att vara väldigt "osäljig"! Skynda att anmäla dig, det kommer bli fulltecknat! Förutom att lyssna på klokskaper kring OT-säkerhet direkt från ledande personer inom olika industrigrenar kommer det bland annat bli: En trio före detta högt uppsatta militärer (Fredrik Robertsson, Yair Attar och Inge Kampenes), från tre olika länder, som alla tre numera arbetar i näringslivet. De kommer diskutera hur man håller sin verksamhet robust i en orolig omvärld. Välkände OT-säkerhetsprofilen Sinclair Koelemij besöker oss för att presentera kloka tankar om försvar i djupled. En panel där riktigt erfarna OT-säkerhetsmänniskor, Robert Valkama från Fortum, Björn Löfgren från Hitachi Energy och Gjert Tronstad från Elkem diskuterar utmaningar och möjligheter inom OT-säkerhet Johanna Parikka Altenstedt kommer hjälpa oss få rätsida på alla EU-krav som är på väg och hur de påverkar arbetet med OT-säkerheten. Adam O'Gorman och Oscar Gumaelius presenterar ett helhetstänk kallat "Secure Site" som tar ett helhetsgrepp kring säkerheten i alla sorters producerande verksamheter! Och en massa annat som är inte är officiellt ännu. Bland annat kommer våra partnerföretag skicka sina vassa tänkare för att dela med sig av sina insikter snarare än att visa trötta produktslides! Redan klar är Kevin Kumpf från Cyolo men det blir fler tunga namn! Jag kommer förstås vara där och ser fram emot många spännande möten och diskussioner. Du har förstås även chansen att träffa en massa av mina oerhört kloka och erfarna kollegor, inte bara inom OT-säkerhet utan även säkerhetsskydd, NIS2, penetrationstestning, produktsäkerhet, safety, säker utveckling och en massa andra områden! Välkommen till en riktigt rolig dag! Det är sannolikt ganska osannolikt! Det där med att risk skulle vara lika med sannolikhet gånger konsekvens, det är klurigt på många sätt... Dels är ju inte verkligheten så enkel att varje risk är en punkt i ett diagram. En annan stor utmaning som risk- och säkerhetsarbete kring all modern teknik måste stångas med, är att man ska skydda mot mänskliga angrepp. Mänskligt beteende är svårt att sätta en sannolikhet på och hur ska man då bedöma risker? Saker som går sönder av sig själva är det enklare att räkna på men hur sannolikt är ett visst mänskligt beteende? Ett område där detta är extra jobbigt är om man vill jobba med att åtgärda kända sårbarheter. Vilka sårbarheter är viktigast att fixa först? Rimligen de som får störst konsekvenser och som är mest sannolika att bli använda. Konsekvenserna är förhållandevis enkla att ta räkna på men hur bedömer vi sannolikheten att en sårbarhet får en exploit? Vi vet att kända sårbarheter bedöms enligt CVSS-systemet från FIRST. (Jag skrev om version 4 i Nyhetsbrev #50.) Vi vet också att CVSS är omdiskuterat och att modellen inte ger hela bilden av en sårbarhet. Ett annat, och nyare, initiativ från FIRST är EPSS, Exploit Prediction Scoring System. Det är viktigt att förstå att det här inte är ett alternativ till CVSS, utan är ett försök att bedöma sannolikheten för att en viss sårbarhet omvandlas till en exploit inom 30 dagar! Du får läsa FIRSTs utmärkta egna förklaring till detta för mer detaljer. EPSS är definitivt ingen exakt vetenskap men kan nog bli en väldigt viktig pusselbit i många verksamheter. Hur viktigt det kommer bli inom just OT-säkerhet är en diskussion i sig, som nog mer handlar om hur man ser på jakten på sårbarheter i OT-produkter. Jag har i alla fall sett att EPSS har börjat användas i allt fler IT-säkerhetsprodukter och vi kommer helt säkert se och höra mer kring detta framöver. Om det här är ett ämne som intresserar dig kan jag även verkligen rekommendera en serie dokument från Cyentia Institute och Cisco (före detta Kenna Security), där del 9 precis släpptes. Del 9 tittar på initiativet KEV, "Known Exploited Vulnerabilities" från amerikanska CISA. De tidigare dokumenten i serien verkar gå att hitta här numera. En del av de resultat som presenteras i del 1 var det som triggade aktiviteter som till slut ledde till att EPSS togs fram! Du kan också läsa Fortinets rapport "1H 2023 Global Threat Landscape Report" som tar upp en del intressant statistik kring EPSS, citat: Our analysis shows that the top most exploitable vulnerabilities, as identified by EPSS, are 327 times more likely to be attacked within a week than others on your radar. Det är inte självklart att motsvarande siffror för OT-området är lika imponerande, men på klassiskt Pareto-manér tycker jag personligen att man ska hitta enkla lösningar för 80% av sina utmaningar - så man kan lägga 80% av sina resurser på den svåra återstoden. Det här känns som en sådan lösning... Inspiration kring risker? Britterna kommer till din räddning om du har svårt att komma på "bra" risker i dina riskanalyser eller som händelser i dina krisövningar. Deras sprillans färska "National Risk Register" är den publika versionen av en nationell riskanalys. Du får en lång radda intressanta händelser, allt från cyberattacker, elaka drönare och djurpandemier till krig och vulkanutbrott. Om du vill ha en svensk version finns exempelvis MSBs riskkatalog som har ett lite annorlunda stuk och en del andra risker. Mycket nöje! USB-minnen är fortfarande en utmaning! Kaspersky annonserade nyligen en rapport kring en metod för angrepp mot system utan nätverksanslutning via USB-minnen. Intressant i sig men framför allt en påminnelse om att alla former av bärbara medier fortfarande är ett mycket relevant hot, speciellt om man använder luftgap som en säkerhetsåtgärd. För, som vi vet, det finns inga helt isolerade system! Se till att ha bra rutiner och någon form av saneringsverktyg för bärbara media. Lite nya detaljer kring CER-direktivet Europeiska Kommissionen har släppt en delegerad förordning med en något utförligare lista över vilka typer av verksamheter som ska inkluderas när EUs stater bedömer vad som är samhällsviktigt enligt CER-direktivet. Jag ser inga direkta överraskningar i den, men det är å andra sidan inte tänkt att vara en uttömmande lista, staterna kan själva lägga till vad de vill. Jag skrev senast om CER-direktivet i nyhetsbrev #52 om du vill läsa på lite. Är du mer orolig över NIS2 så kom ihåg att alla verksamheter som bedöms omfattas av CER-direktivet automatiskt också blir "Väsentliga verksamheter" enligt NIS2... För vissa branscher är det väldigt viktigt, kanske framför allt livsmedelsbranschen. ...och CRA-förordningen rullar vidare... Under sommaren publicerade Europeiska Rådet sitt förslag till kompromisser för den väldigt omdiskuterade CRA-förordningen tillsammans med en önskan om att dra igång förhandlingar baserat på förslaget. Sista ordet är långt ifrån sagt kring CRA och det ska bli spännande att se vad som händer härnäst. Alltid retar eller glädjer det någon? Microsoft är inte kända för att vara speciellt aktiva kring PLC-nära säkerhet, förutom när det är kopplat till deras Defender for IoT. På senare tid har de dykt upp i lite annorlunda sammanhang, nu senast när de tillsammans med CODESYS annonserade ett antal ganska allvarliga sårbarheter i CODESYS SDK. Extra allvarligt i och med att CODESYS finns till väldigt många tillverkares plattformar. Inom OT-säkerhet (precis som många andra säkerhetsområden) finns en massa "sanningar" och "självklarheter" som man fått lära sig att hålla med om. Som vanligt finns det sällan en enda sanning som alltid gäller och som man religiöst kan följa, även om det förstås oftast är väldigt bra tumregler att utgå ifrån! En lite extra känslig sanning att utmana är om/hur man kan/bör använda moln-teknik i OT-sammanhang. Jag snubblade över en artikel från förra året där Microsoft beskriver en högnivå-design, där den del av infrastrukturen som ibland beskrivs som "Nivå 3" enligt Purduemodellen byggs som en hybridlösning mellan on-site och Azure. Jag tycker att jag ser fler och fler organisationer som börjar utmana etablerade sanningar, men även stora samarbetsorganisationer (som OPAF, Open Process Automation Forum) som driver fram nya sätt att bygga automationssystem. Microsoft utvecklar också ett intressant opensource-verktyg för forensik i PLC:er. Än så länge med stöd för Siemens S7 och CODESYS version 3. Du får hjälp att analysera anropsgrafer mm. Riktigt användbart för den som vill kunna göra handgripliga analyser av PLC:er som misstänks vara manipulerade. Känner du dig mogen? IIC, Industry IoT Consortium och ISA, International Society of Automation har uppdaterat sitt gemensamma dokument "IoT Security Maturity Model: ISA/IEC 62443 Mappings for Asset Owners, Product Suppliers and System Integrators". Här möts IICs mognadsmodell SMM och de olika delarna av 62443-standarden genom att olika krav i standarden mappas mot de fyra mognadsnivåerna i SMM. Ett riktigt användbart dokument även om mappningstabellerna tyvärr blir onödigt svåra att läsa på grund av formatet de valt. (Som inte riktigt passar med de långa referenstexterna.) Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för en sommarutgåva av nyhetsbrevet kring OT-säkerhet! Några höjdpunkter den här gången är segmentering i små verksamheter, OT-säkerhet i sjöfarten, slutet på OT:Icefall, spännande konferenser och mina egna tankar kring lathet och vanliga feltänk om sårbarheter. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Att dela upp små saker... NIST har kommit med ett litet (27 sidor) papper som är tänkt att hjälpa små tillverkande verksamheter igång med segmentering. Det är ett komplext område, men jag tycker nog att de lyckats skapa något som kan ge bra värde för den här typen av verksamheter. Det går nog även att läsa med bra behållning även om man sysslar med annat än tillverkning! Ett skepp kommer lastat... ...med vad då? Jo, med en intressant rapport från DNV kring läget för cybersäkerhet inom sjöfarten. Läs gärna även om du inte är i branschen! Du får dessutom en motsvarande syskon-rapport för energi-branschen "på köpet"! Det kommer förvisso inte som någon nyhet för de flesta i branschen, men det är på sätt och vis ändå tråkigt att rapporterna tydligt visar att den främsta drivkraften för investeringar i säkerhet fortsätter vara myndighetskrav och compliance. Som säkerhetsperson önskar man ju förstås att världen skulle fungera på ett annat sätt, men det bekräftar å andra sidan att EU sannolikt är på rätt väg med NIS2 och alla andra nya regleringar som är på väg! Jag tyckte nog personligen att det var lite extra intressant eftersom jag har haft förmånen att vara involverad i ett par mycket speciella fartygsprojekt på sistone. Ett modernt fartyg innehåller en vansinnig mängd spännande OT-system och det behöver förstås ställas en del tuffa krav på säkerheten för att garantera att båten och dess besättning inte råkar ut för tråkigheter... Om jag någon gång ska fundera över vad jag ska bli när jag blir stor, så ligger nog OT-säkerhet kring fartyg bra till. Roligt och utmanande! Även om man inte är intresserad av sjöfart och fartyg så finns det väldigt mycket bra material från klassningssällskap som DNV och Lloyd's Register, men även från samarbets-organisationer som IACS och BIMCO. Här kan man hitta mycket klokskap som är applicerbar även i andra branscher, inte minst för att man är väldigt duktig på att basera sina resonemang kring OT-säkerhet på IEC 62443! Precis som inom många andra områden ökar beroendet av digitala lösningar samtidigt som hoten också upplevs som större. För att möta det kommer en rad krav från olika håll. DNV och en rad andra klassningsorganisationer samverkar i organisationen IACS och därifrån kommer gemensamma OT-säkerhetskrav som blir betydligt tuffare vid det kommande årsskiftet. NIS2 är också en brutal kravmassa som berör den här branschen på många sätt! Förutom fartygen själva ska en rad tuffa säkerhetskrav på hamnar kunna hanteras och förstås alla krav som ramlar in via kunderna. Säkerhets-branschen känns som en stabil arbetsmarknad framöver... Spotlight på säkerhet i DCS och SCADA OTORIO är en firma som jag har stor respekt för. Deras produkter har fått mycket uppmärksamhet på sistone (välförtjänt tycker jag), inte minst för deras OT-anpassade sätt att göra analyser av attackgrafer. Det kommer även en del läsvärt från dem, ett nytt exempel på det är en text som tittar närmare på hur DCS- och SCADA-system kan skyddas. De gör en hel del intressanta poänger med jämförelser mellan olika tillverkare. Dessutom ett antal länkar till riktigt användbara resurser! Ett annat exempel var en rapport kring ett antal sårbarheter som OTORIO hittat i en lite udda typ av utrustning, en väldigt högteknologisk momentnyckel från Atlas Copco. Det är första gången jag stött på den här typen av utrustning i det här sammanhanget, spännande! Årets rapport från Verizon Verizon har släppt sin årliga rapport DBIR, "Data Breach Investigations Report". Väldigt lite OT-säkerhet men ändå intressanta bitar. OT nämns bara specifikt under "Assets" där de bekräftar min personliga åsikt att det fortfarande är väldigt ovanligt med "riktiga OT-attacker" där OT-prylar faktiskt drabbas direkt. Därmed inte sagt att OT-säkerhet inte är extremt viktigt, så länge produktionen påverkar eller farliga situationer uppstår behöver vi jobba med OT-säkerheten! (Även om det på grund av dålig arkitektur egentligen är IT-system som drabbats... Scopet skiljer ofta mellan vad "OT" omfattar och vad som ingår i "OT-säkerhet"!) Var drar vi gränsen? Är folk lata? Jag hör ofta att man slarvigt pratar om "OT-säkerhet" som "OT". En fundering som jag diskuterat i lite olika sammanhang på sistone är vad som egentligen ingår i området "OT" och om det i så fall skiljer sig från vad som ingår i "OT-säkerhet"? Det kanske låter som en väldigt akademisk fråga som det inte finns någon verklig nytta med att reda ut? Men kanske inte... Min preliminära tanke bygger i alla fall på tre observationer från verkligheten: OT, "Operational Technology", "Operativ Teknik" - borde rimligen alltid definieras som alla de system som någon med flit valt att låta styra eller mäta en fysisk process av något slag. OT-säkerhet - borde utgå från något slags riskanalys där risker kring de fysiska processerna i verksamhetens bedöms och diverse åtgärder (både tekniska och andra) vidtas för att hålla de faktiska riskerna under kontroll. De flesta incidenter som uppfattas som "OT-incidenter" orsakas i praktiken av incidenter i system som inte borde kunna påverka den fysiska processen om man bara hade gjort vettiga val. Oftast system som enligt alla modeller är "IT-system" eller som ligger högt upp i modeller som ISA-95 eller Purdue. Det verkar bekräfta att "OT" och "OT-säkerhet" oftast har olika scope. Ett av våra problem verkar alltså vara att OT-säkerhetsarbetet behöver hantera alla risker som kan påverka den fysiska verksamheten, även om det inkluderar system som inte är tänkta att vara "OT-system". Som vanliga exempel kan vi nämna: Ett gemensamt Active Directory som används både av "kontoret" och "fabriken" Dålig segmentering av nätverket som gör att IT och OT har samma skydd och därmed utsätts för samma hot Ogenomtänkta integrationer mellan system som kortsluter uppdelningen av applikationer eller nätverkssegmenteringen Gemensamma lösningar för systemadministration, virtualisering, lagring osv... För att kunna få en effektiv OT-säkerhet behöver vi alltså helt enkelt sträva mot att "OT" och "OT-säkerhet" får samma "scope"? Exakt vad det betyder beror förstås väldigt mycket på hur verksamheten och organisationen ser ut. Åtgärderna känner vi säkert redan till men det här kan kanske vara en mental modell som gör det enklare att förstå eller förklara riskerna kring en producerande verksamhet? Nu tycker jag förvisso att man ska försöka ha så mycket samverkan mellan OT-säkerhet, IT-säkerhet och Informationssäkerhet som möjligt. Men det ska förstås inte uppfattas som att det är samma sak! Om OT-säkerhet får fokusera på OT-system så blir det garanterat enklare för alla! Å andra sidan... Det finns förstås ingen lag som förbjuder att man väljer att lägga IT-äggen och OT-äggen i samma korg. Vill man ha ett gemensamt AD och designar det utifrån de förutsättningarna så går det garanterat att göra ganska bra! Men då får man nog vara extra noggrann med att reda ut hur ansvaret för olika delar av säkerhetsarbetet fördelas! Slutet på isfallet! En forskargrupp på Forescout, Vedere Labs, har gett oss en kavalkad av sårbarhetsrapporter under samlingsnamnet "OT:Icefall". Det blev totalt drygt 60 sårbarheter i hundratalet produkter från 13 olika leverantörer. Du hittar mina tidigare texter kring detta i nyhetsbrev #44 och #47. Nu har de släppt den tredje och sista rapporten där de sammanfattar lärdomar och släpper information om de tre senaste sårbarheterna. Sårbarheterna är inte speciellt intressanta i sig, men om du använder WAGO eller Schneider Electric kan det vara värt att titta på. De lärdomar de dragit sammanfattar de i tre punkter: Tillverkarna saknar grundläggande förståelse av begreppet "Secure-by-design". Vedere hittade massor med "nybörjarmisstag", som tyder på att det finns stora förbättringar att göra med ganska små medel. Tillverkarna har en tendens att släppa dåliga säkerhetspatchar. Alldeles för ofta löser man bara delar av problemet eller skapar nya av misstag. Tillverkarna behöver bättre testrutiner. En stor andel av sårbarheterna är omöjliga att missa om utvecklarna använder grundläggande testverktyg. Vedere noterar att flera av tillverkarna har certifierade utvecklingsprocesser vilket förstås väcker en del frågor... Rapporten är riktigt välskriven och pekar på ett antal intressanta gemensamma drag hos många av de problem som hittats under arbetet med OT:Icefall. En av poängerna som de pekar på är att det tyvärr mörkas en del kring sårbarheter, som rättas i tysthet. Djupare in i OPC UA Jag har tidigare berättat om Clarotys utmärkta artikelserie kring OPC UA. Nu är del 3 och del 4 ute. I del 3 tittar de bland annat på de inbyggda möjligheterna till krypterad kommunikation och i del 4 är det olika implementationer som hamnar i fokus. Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på. CVSS 4.0 I nyhetsbrev #50 berättade jag om den kommande nya versionen av CVSS, version 4. Finite State har skrivit en artikel som berättar mer. Intressant är det ökade fokuset på egenskaper som är intressanta inom OT-säkerhet, exempelvis "Safety". För den som är intresserad kan man lämna kommentarer och feedback på innehållet fram till den 31:e juli. SDN för IR i OT? :-) Jag är (som du kan ha förstått i tidigare nyhetsbrev) positiv till användningen av SDN, Software Defined Networking, inom OT-världen. Det finns som vanligt inga perfekta lösningar, allting har uppsidor och nedsidor, men det ger många nya spännande möjligheter! I en artikel som publicerades i "International Journal of Critical Infrastructure Protection" skriver en grupp från ett spanskt universitet om hur SDN kan användas för att hantera intrångsförsök. Det är en intressant vinkel som utnyttjar några av de starka sidorna hos SDN! SDN i sig kanske inte hjälper oss upptäcka intrång, det finns det andra verktyg för, men det kan definitivt vara en stark komponent för att agera vid intrång. Att sedan SDN skapar väldigt bra möjligheter till närmast extrem mikrosegmentering lägger ju förstås en bra grund för att undvika incidenter helt! Jag ska inte försöka återberätta texten, utan rekommenderar en genomläsning! Förutom dynamisk filtrering mm tittar de även på andra spännande möjligheter som "Moving Target Defense" som har blivit i ropet på sistone och även på hur klassiska deception-tekniken "Honeypots" kan kombineras med SDN! När påverkar ett beslut säkerheten? Sarah Fluchs är ett välkänt namn i OT-säkerhetsbranschen. En av hennes hjärtfrågor just nu är skapa sätt att arbeta med "Security by design", vilket ju är en helt avgörande princip för robust säkerhet. Senaste delen i det arbetet är en artikel som hon varit delaktig i, som tittar på hur man kan sätta bättre säkerhetsmål även om man inte är en "säkerhetsperson". En hel del intressanta tankar! Allt är remote... Artiklar riktade till "IT-folk" som försöker sammanfatta varför OT är så annorlunda går det minst 13 på dussinet av. Den här var inget undantag men en liten poäng hade dom som jag inte hade tänkt på förut... Tanken att all access till många OT-miljöer ska ses som "remote". Resonemanget är att systemen i första hand är där för att "sköta sig själva" och därmed kan man se oss som kopplar upp oss som främmande även om vi fysiskt är i närheten. Intressant tanke och kanske ett bra sätt att resonera! SANS ICS Security 2023 SANS körde sin årliga ICS Security Summit i maj. Jag var inte med själv men på de videos som släppts fanns det mycket intressant att ta del av. Här är några exempel: Emulering av angripare i OT-miljöer med hjälp av MITRE Caldera OT: Effektiva riskanalyser kring OT-säkerhet: Förstå hur hoten mot IT och OT överlappar: Har vi tid? I förra nyhetsbrevet nämndes forskning för att upptäcka attacker mot TSN, Time Sensitive Networking. För den som är intresserad kan även denna artikel från en radda kloka norrmän vara relevant, den beskriver ett sätt att attacker PTP-protokollet som just används för att synkronisera tiden i den här typen av nätverk. Mycket uppsägningar... På senare tid har det varit något av en våg av uppsägningar av personal från en rad framträdande OT-säkerhetsföretag, även här i Sverige. Dale Peterson har skrivit en kort artikel som ger en bra bakgrund till det som händer. Just nu kan det vara ett utmärkt tillfälle att hitta personal med kompetenser som annars brukar vara svåra att få tag på... Vi som aktivt söker folk försöker förstås "plocka åt oss av godbitarna"! Säkerhetspolitik! Försvarsberedningen har släppt en rapport kring det säkerhetspolitiska läget som naturligtvis talar en hel del om "Cybersäkerhet". Väl värd att läsa! Vi kommer att ses... ...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e september. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2. Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare! Dessutom kommer vi på AFRY att organisera en nordisk konferens kring OT-säkerhet och kritisk infrastruktur den 27:e september. Tillsammans med några av våra partners erbjuder vi en exklusiv heldagskonferens i Solna som trots att den är gratis kommer att vara väldigt "osäljig"! Skynda att anmäla dig, det kommer bli fulltecknat! Förutom att lyssna på klokskaper kring OT-säkerhet direkt från ledande personer inom olika industrigrenar kommer det bland annat bli: Tre före detta generaler (Fredrik Robertsson, Daniel Bren och Inge Kampenes), från tre olika länder, som alla tre numera arbetar i näringslivet, kommer diskutera hur man håller sin verksamhet robust i en orolig omvärld. Välkände OT-säkerhetsprofilen Sinclair Koelemij besöker oss för att presentera kloka tankar om försvar i djupled. Johanna Parikka Altenstedt kommer hjälpa oss få rätsida på alla EU-krav som är på väg och hur de påverkar OT-säkerheten. Adam O'Gorman och Oscar Gumaelius presenterar ett helhetstänk kallat "Secure Site" som tar ett helhetsgrepp kring säkerheten i alla sorters producerande verksamheter! Och en massa annat som är inte är officiellt ännu. Bland annat kommer våra partnerföretag skicka sina vassa tänkare för att dela med sig av sina insikter snarare än att visa trötta produkt-slides! Redan klar är Kevin Kumpf från Cyolo men det blir fler tunga namn! Avslutningen med pizza och mingel är nog inte så dum den heller... Jag kommer förstås vara där och ser fram emot många spännande möten och diskussioner. Du har förstås även chansen att träffa en massa av mina oerhört kloka och erfarna kollegor, inte bara inom OT-säkerhet, utan även säkerhetsskydd, NIS2, penetrationstestning, produktsäkerhet, safety, ackreditering, säker utveckling och en massa andra områden! Välkommen till en riktigt rolig dag! Vänd och vrid på sårbarheter och på ordet "sårbarheter"! "ICS Advisory Project" har levererat en ny version av sitt verktyg med några nya funktioner. Man kan definitivt ha åsikter om hur meningsfullt det är att jaga sårbarheter i de flesta OT-miljöer men det ger definitivt en massa intressanta möjligheter att studera sårbarhetsinformation i många vinklar om man ändå är intresserad av det. Det jag personligen kan tycka är lite tråkigt, eller till och med oroväckande, är att ordet "Sårbarhet" har tappat några viktiga betydelser. Nuförtiden verkar det bara vara betydelsen "teknisk brist i en enskild komponent" som finns i våra medvetanden, oavsett om vi sysslar med IT-säkerhet eller OT-säkerhet. Jakten på den typen av sårbarheter får väldigt mycket uppmärksamhet även i OT-världen, trots att det är väldigt få OT-miljöer som har någon större nytta av den jakten. Det som jag antar är den ursprungliga betydelsen av ordet kommer väl från traditionell riskanalys, där en sårbarhet är allting som kan utnyttjas av en hotaktör för ett angrepp. Alltså inte bara i en viss komponent utan i ett helt system eller till och med en hel arkitektur! Speciellt inom OT-världen kan jag tycka att det här har blivit ett problem. Alla klagar på att de har för lite resurser, men trots det så läggs mycket tid på detaljer när den stora bilden egentligen behöver hanteras först. Innan vi tar hand om nålarna i höstacken kanske vi ska fundera på om våra höstackar är en bra idé... Därmed inte sagt att vi ska sluta bry oss om tekniska brister i komponenter, men vi ska först ta ett par steg tillbaka för att se var sådana sårbarheter är meningsfulla att jaga. Då behöver vi först titta på den andra typen av sårbarheter, vilka är de genomgående svagheterna i våra arkitektur, vårt sätt att arbeta med säkerhet och vårt sätt att utforma våra system. När vi löst de problemen kan vi titta lite mer närsynt på tekniska sårbarheter i enskilda prylar! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för nyheter och annat spännande kring OT-säkerhet! Den här gången kan du läsa om den alldeles nya Maskinförordningen, tramsiga utmärkelser, nya versioner av NIST CSF och MITRE ATT&CK, ett oväntat samarbete mellan säkerhetsleverantörer, ett nytt men bortglömt EU-direktiv och så frågar jag varför vi har bromsar på våra bilar? Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vi har fått en maskinförordning! Då har till slut efterträdaren till Maskindirektivet klubbats i EU vilket innebär att vi kommer få Maskinförordningen. Att det är en EU-förordning betyder att den gäller som lag direkt i alla medlemsländer utan att man i varje land måste implementera den lokalt som nationell lag. NIS2 är ju exempelvis ett direktiv... Det där med ordet "förordning" är förresten en klurighet om man (som jag) är total amatör inom juridiken. I Sverige är en förordning något som är underställt en lag, men inom EU är en förordning den "kraftfullaste" typen av rättsakter. På engelska är motsvarande ord "regulation", vilket jag kan tycka är lite tydligare. Apropå ord, var försiktig när du läser den svenska versionen, de använder bara ordet "säkerhet" i betydelsen "safety". Om det handlar om cybersäkerhet, IT eller OT, så använder ordet cybersäkerhet. Enklast är att läsa den engelska versionen. Jag har skrivit om Maskinförordningen tidigare, senast i Nyhetsbrev #48. Jag har inte hunnit titta igenom vilka förändringar som smugit sig in i sista minuten, men det lär knappast vara något avgörande. Nu har vi 42 månader på oss att förbereda oss på allt nytt. Arbetsmiljöverket sammanfattar det så här på sin informationssida: Förordningen omfattar bland annat risker med ny teknik. Det kan till exempel vara artificiell intelligens, det vill säga maskiner som har ett helt eller delvis självutvecklande beteende och som använder metoder för maskininlärning. Bland övriga nyheter kan nämnas att: • det blir tillåtet med digitala bruksanvisningar • en tredje part måste göra en bedömning av ett antal produkter om de uppfyller kraven • maskiner som byggs om med väsentliga ändringar omfattas av förordningen • det ställs krav på importörer och distributörer. – I stort har det inte skett några stora förändringar, man kommer att känna igen sig i de flesta delarna från dagens regler, säger Eva Bernmark, projektledare för revideringen av maskindirektivet. Nu har förhoppningsvis de flesta process- och industriföretag kommit igång med att analysera hur de berörs av NIS2-direktivet. (Det känns så med tanke på den strida strömmen av konsultuppdrag jag upplever.) Väldigt många är nog tyvärr fortfarande omedvetna om att NIS2 även omfattar lite "oväntade" branscher. Lite längre ner i det här nyhetsbrevet skriver jag om det lite "bortglömda" CER-direktivet. Nu läggs även Maskinförordningen till den stora mängden krav som måste kokas ihop till egna rutiner av varje organisation. Det är viktigt att man gör sitt eget regelverk utifrån alla yttre krav som kommer, det kommer bli hopplöst att försöka jobba efter dem var för sig. Efter det väntar vi för att se vart det mest kontroversiella utspelet från EU, CRA - "Cyber Resilience Act", tar vägen. Varför har vi bromsar på bilen? Nyligen dök frågan "Ska vi verkligen digitalisera? Är det inte säkrare och bättre att låta bli?" upp i ett event. Det är ju förståeligt (och klokt) att man ställer sig den frågan och i vissa sammanhang är det kanske faktiskt vettigt att låta bli. Mitt standardsvar på en sådan fråga blir en motfråga: "Varför har du bromsar på bilen?". Svaret brukar kunna bli något i stil med "Öh? För att kunna köra långsammare!". Min comeback är: "Nix! För att kunna köra snabbare!". Utan bromsar (alltså säkerhetsutrustning) måste vi köra långsamt hela tiden, men om vi har bromsar kan vi hantera att det dyker upp farliga situationer. De flesta verksamheter kan inte existera utan att ständigt försöka öka farten, så det finns inget alternativ är att uppgradera bromsarna och köra ännu fortare... Det bästa säkerhetsarbetet är när nya möjligheter skapas av att säkerheten blir bättre! Men vi ska komma ihåg, att även med de allra bästa bromsarna på bilen och med den allra bästa föraren bakom ratten, så får man trots det sladd ibland och åker eventuellt ner i diket ändå. Då vill det till att vi har tränat på incidenter och har vårt katastrofskydd (bilbältet) på plats... Sluta med tramsiga utmärkelser! Jag inser att jag riskerar att göra mig till ovän med vissa företag, men jag måste ändå lyfta fram det underbara initiativet "Silly Security Awards"! Det handlar om alla de märkliga utmärkelser som dyker upp varje år, där till stolta företrädare för olika typer av leverantörer tar emot priser i fantasifullt namngivna kategorier. Jag har själv blivit erbjuden att köpa mig ett fläskigt pris från en av de organisatörer som pekas ut. För det handlar alltså om utmärkelser där man får betala rejält för möjligheten att nominera sitt eget företag (eller sig själv som person), med tillhörande exponering i media utlovad! Det behöver förstås inte alls betyda att företaget som "vinner" eller dess produkter är dåliga, men det ger en dålig bismak att marknadsföra sig så här. Dessutom finns det (nog?) bra tävlingar där priset faktiskt betyder någonting... NIST CSF 2.0! Som jag förvarnade om i ett tidigare nyhetsbrev har NIST påbörjat arbetet med att uppdatera det populära ramverket "NIST Cyber Security Framework", NIST CSF. Nu finns en väldigt tidig version ute som de ber om feedback på. En väldigt synlig skillnad är att de fem kategorierna "Identify", "Protect", "Detect", "Respond" och "Recover" har utökats med ytterligare en kategori: "Govern". Jag har ännu inte sett hur den klassiska cirkel-symbolen för version 1 kommer se ut när det blir ett fält till i den, personligen tycker jag nog att en ny cirkel runt de fem gamla sektorerna vore väl lämpligt så att Governance "klär in" alla de andra kategorierna? Vi får väl se hur det blir? Den nya kategorin "Govern" innehåller några helt nya underkategorier men de flesta har flyttats dit från "Identify" och någon från "Protect". Spontant tycker jag det ser lovande ut men det kommer nog bli en del ändringar innan vi har en slutgiltig version. Det är fortfarande ett helt generellt dokument, helt utan fokus på OT - förutom att "industriella system" nämns några gånger. Industriell automation är allt! En av mina hjältar, Jonas Berge, har publicerat en artikel kring hur automationsvärlden förändras runt om oss och om hur begreppet "Industriell automation" växer snabbt. Hans fokus är inte alls säkerhet, men han återkommer ändå till säkerhet flera gånger. Som vanligt lyckas han sätta ord på många av mina egna tankar som jag själv inte riktigt lyckats uttrycka. Automation is changing. It has become clear that digitalization, digital transformation (DX), or IoT in the plant simply means an expanded scope of automation. The terms ‘digital’ and ‘internet’ got us distracted at first. Many didn’t see it is simply new expanded automation solutions. Jag rekommenderar verkligen en genomläsning! Det är naturligtvis helt avgörande att vi OT-säkerhetsmänniskor förstår vart de verksamheter som vi försöker skydda är på väg. Jag hör fortfarande alldeles för ofta hårda principuttalanden från förståsigpåare i säkerhetsbranschen som försöker skapa en bild av att vissa saker inte kan ändras och att vissa andra saker absolut inte hör hemma i OT-världen. Den typen av beteende förstärker bara den gamla vanliga bilden av säkerhetsfolk som bara ett hinder man behöver ta sig runt eftersom de försöker skjuta utvecklingen i sank. Istället behöver vi se till att skapa ännu fler möjligheter genom minskade risker och genom att skapa säkra möjligheter att göra helt nya saker! MITRE ATT&CK i ny version! Vi har fått version 13 av MITRE ATT&CK! En massa spännande förändringar, inklusive en hel del kring OT-säkerhet. Du kan läsa mer i deras blogginlägg. Ethos! En rad stora spelare i OT-säkerhetsbranschen annonserade nyligen det gemensamma initiativet "Ethos", Emerging Threat Open Sharing. Tanken är att de tillsammans ska skapa en plattform där man öppet ska dela hot-information. Som synes är de tre stora tillverkarna av IDS-produkter (Nozomi, Dragos och Claroty) med bland de organisationer som ligger bakom initiativet och de är förstås direkta konkurrenter med varandra, vilket gör det hela lite extra intressant! Man säger att man kommer öppna dörrarna för fler medlemmar i juni. Det här kommer bli extremt intressant att följa framöver och kan potentiellt flytta fram vår bransch rejält! Dale Peterson gör några tidiga men intressanta reflektioner kring gruppens utmaningar och möjligheter i ett inlägg. S4 fortsätter att leverera! S4-konferensen fortsätter att släppa inspelningar efterhand. Här är två exempel där den första är handlar om SDN, Software Defined Networking. SDN är inget nytt men att det börjar användas allt mer inom OT är riktigt roligt! Det passar inte för alla situationer men har en lång rad fördelar jämfört med traditionella metoder. Döm själva när Jeff Smith berättar om sina praktiska erfarenheter: Den andra videon är avrapporteringen kring "the SBOM Challenge" som gick av stapeln för första gången. Dales marknadsanalys kring OT detection Dale Peterson har sedan länge publicerat träffsäkra analyser kring produkterna för "OT detection" och nu är det dags igen. Jag har inte några siffror men för mig personligen känns det som att det för Sveriges del i praktiken handlar mycket om Nozomi, lite spridda skurar av Claroty och så allt mer den spännande uppstickaren OTORIO. Jag ser också att en och annan prövar Microsoft Defender for IoT (oftast som en följd av att man bytt till Defender på andra områden), återstår att se hur det kommer utveckla sig. Men CER-direktivet då? Samtidigt med NIS2 klubbade EU även CER-direktivet, "Critical Entities Resilience Act". NIS2 börjar få en del uppmärksamhet nu, men CER pratas det sällan om. De båda direktiven har en massa likheter och överlapp, men även subtila skillnader, vilket orsakar en del frågetecken hos vissa av mina kunder som börjat ta tag i frågorna kring NIS2. En snabb sammanfattning av vad som skiljer NIS2 och CER från varandra och hur de hänger ihop: NIS2 ställer krav på att "Samhällsviktiga tjänster" jobbar aktivt med risker och säkerhet kring beroendet av IT och OT. CER handlar om "Samhällsviktiga verksamheter", oavsett eventuella beroenden till teknik, utan fokuserar bara på att dessa verksamheter ska fungera även under ansträngda förhållanden. NIS2 har två "klasser" av organisationer som berörs, "Viktiga entiteter" och "Väsentliga entiteter", där vissa krav skiljer lite grand mellan klasserna. I CER finns "Kritiskt entiteter" och "Kritiska entiteter av särskild europeisk betydelse" där de senare får extra stöd och uppmärksamhet. Listan med de verksamhetstyper som potentiellt omfattas av CER är nästan identisk med den som gäller för "Väsentliga entiteter" i NIS2. Det som skiljer är att MSP/MSSP inte omfattas av CER samt att livsmedelsproduktion ingår i CER. Det finns många referenser mellan de båda direktiven. Ett exempel är att om man omfattas av CER så blir man automatiskt också en "Väsentlig entitet" i NIS2. Att just livsmedelsproduktion skiljer mellan NIS2 och CER är en klurighet eftersom det "bara" betraktas som en "Viktig entitet" i NIS2, men man blir uppgraderad till "Väsentlig" om man också omfattas av CER. Båda direktiven ska vara implementerade i nationell lag senast den 17:e oktober 2024 och börjar tillämpas dagen därpå. Det normala i NIS2 är att man själv ska avgöra om man omfattas av regelverket eller inte. I CER är det myndigheterna i respektive EU-land som bestämmer och pekar ut vilka verksamheter som omfattas baserat på en riskbedömning som myndigheten gör. Länderna har till mitten av 2026 på sig att bli klara med den bedömningen, vilket skiljer sig från NIS2 som ju tar praktisk effekt direkt i Oktober 2024. Om man blir utpekad har man 10 månader på sig att följa regelverket - inte mycket tid... En artikel i CER öppnar för att länderna kan definiera rätten för CER-organisationer att göra bakgrundskontroller på sin personal. Jag gissar att det kan bli något som liknar den registerkontroll som idag utförs av personer som placeras i säkerhetsklass baserat på säkerhetsskyddslagen. Det här ska bli riktigt intressant att se hur det implementeras! Det kanske också kan minska inflationen som jag ser i överdriven användning av säkerhetsskydd. I CER finns inga sanktionsnivåer definierade utan varje land får bestämma. I NIS2 är det som högst det högsta av 2% av global omsättning eller 10 MEUR. Jag gissar personligen att CER kommer implementeras på ett sätt som är ganska likt det MSB gör redan idag kring "Samhällsviktiga verksamheter". Vill man börja förbereda sig så finns det en del att inspireras av där. Ännu mer på gång från EU! Förutom CER och NIS2 är det verkligen högtryck i EUs författarstugor och det är sannerligen inte lätt att hänga med i svängarna, inte ens för oss som jobbar med precis det här! Nu hjälper MSB till med att skapa lite översikt med en policyöversikt för cyberområdet. Det verkar som att planen är att hålla det här dokumentet uppdaterat efterhand som saker och ting utvecklas, den första uppdateringen kom redan efter en månad! På det nationella planet har SÄPO något liknande, "Aktuellt inom säkerhetsskydd" där de har korta artiklar som tar upp aktuella frågor kring säkerhetsskydd. MSBs NIS-konferens Om du missade MSBs NIS-konferens finns inspelningarna här. Det är lite oklart hur länge de kommer fortsätta vara tillgängliga så titta snabbt! Mer om OPC UA! Som jag skrev om i förra nyhetsbrevet har Team82 på Claroty dragit igång en serie artiklar om OPC UA, "OPC UA Deep Dive". Nu har del 2 släppts där de går igenom hur OPC UA kan användas plus lite kring datatyper och syntax. Kopplat till artiklarna finns också en text, "OPC UA Deep Dive: A Complete Guide to the OPC UA Attack Surface", som också är värd att titta på. Bra diskussioner! ABB och Industry IoT organiserade nyligen ett webinar med det fiffiga namnet "Ransom-Aware OT Defense Summit" som jag rekommenderar att du tar en titt på. En inspelning är tillgänglig om du registrerar dig. I mina ögon var den stora behållningen de två paneldiskussionerna, en kring hur riskerna egentligen ser ut idag och en kring "Response and Recovery". En imponerande uppsättning vassa hjärnor delar med sig av en hel del klokskap och fritt tänkande! Lite ironiskt är det... ... med tanke på ovanstående nyhet att just ABB själva var ett av de lite mer uppmärksammade offren för ransomware under de senare veckorna. Det började genast spekuleras i att attacken mot ABB kunde vara starten på en riktigt otrevlig supplychain-attack mot ABB-kunder, men än så länge har jag inte hört något som bekräftar de ryktena. Däremot har ABB tagit riskerna för kunderna på allvar och ser över alla mjukvaror som distribuerats på senare tiden så att de inte manipulerats. I vissa fall har man uppmanat till att tillfälligt sluta använda den senaste versionen av vissa mjukvaror. I vilket fall som helst är det här en påminnelse om att alla organisationer kan drabbas och om att man måste vara förberedd på att hantera sådana situationer så att man är snabb och tydlig i sin kommunikation! Jag kan inte direkt säga att jag tycker ABB lyckades fullt ut med tanke på den väldigt sena och tama kommunikationen... Något som också kunde ha blivit otrevligt var attacken mot säkerhetsleverantören Dragos som ju är kända i OT-världen. Det var en riktigt intressant attack där en nyanställd fick sin personliga mejl hackad vilket angriparna använde för att låtsas vara personen ifråga. De lyckades inte speciellt bra men valde ändå att försöka utpressa Dragos vilket de hanterade extremt snyggt. Inte minst var deras fullständiga transparens kring det inträffade ett föredöme! Kanske inte riktigt kopplat till OT-säkerhet, men ändå väldigt intressant, var avslöjandet att Toyotas lösning för positionsinformation i bilarna varit hackat i tio (10!) år innan det upptäcktes. Om inte annat är det en bra påminnelse att attacker som inte leder till synliga konsekvenser kan vara riktigt svåra att känna igen! Alla attacker är inte ransomware! Grattis OTORIO! Ett par av mina personliga favoritlösningar, OT-riskanalysmjukvarorna RAM2 och spOT, från OTORIO har fått amerikanskt patent beviljat för sin användning av en digital tvilling för Breach and Attack Simulation. Grattis! Det som patenterats är ju nämligen precis den smarta lösningen som gör det möjligt för dem att koka ner alla sårbarheter och risker tillsammans med faktiska brandväggsregler och annat som påverkar den verkliga risken till en kraftfullt prioriterad lista över åtgärder. Rekommenderas till alla som insett begränsningarna i klassiska IDS-lösningar. En europeisk ATT&CK i rymden? Europeiska rymdorganisationen ESA har skapat sin egen variant av MITRE ATT&CK för rymdsystem kallad SPACE-SHIELD. Kan ju passa bra nu när den här viktiga branschen börjar få sin rättmätiga uppmärksamhet av exempelvis NIS2. Vi kommer att ses... ...om du deltar på konferensen "SCADA-säkerhet" i Stockholm, den 19:e och 20:e September. Jag är där för att prata om vad som händer i skärningspunkten mellan OT-säkerhet och NIS2. Hugg mig gärna under dessa dagar och diskutera vad du vill! Det vore roligt att träffa dig och att få ansikten på några av mina läsare! Solarwinds! Tidningen Wired har en artikel skriven av Kim Zetter om Solarwinds-hacket. Som vanligt när det gäller Kim är det välskrivet och intressant! Fler kompisar! Något vi alla är överens om "i branschen" är att det saknas tillräckligt med kunnigt och erfaret folk. Riktigt kul att se att Myndigheten för yrkeshögskolan nu har godkänt lite nya kurser som kan bidra till att minska problemen. En intressant nyhet är exempelvis "Cybersäkerhet i elkraftsystem" som tydligen ska ges "här hos mig" i Västerås. En annan som låter spännande är "Cybersäkerhet inom kritisk infrastruktur". Introduktion till OT-anläggningar Det är alltid svårt att "lära upp" skickliga IT-säkerhetspersoner inom OT. Det är en väldigt annorlunda värld på många sätt, inte minst är det väldigt annorlunda verksamheter med speciella förutsättningar som inte alltid är helt uppenbara. Nu har Dietmar Marggraff dragit igång en blogg som verkar väldigt lovande. Han går igenom olika typer av anläggningar på en detaljerad nivå men stannar upp emellanåt för att reflektera över säkerhetsutmaningar i olika sammanhang. Det här tror jag kan vara ett bra sätt att introduceras till de skillnader som uppstår i en viss typ av anläggning. Det finns förstås andra, framför allt "mjuka", skillnader också, men det kanske dyker upp framöver. I vilket fall som helst vill jag rekommendera den här bloggen! Sveriges risker och sårbarheter MSB har producerat ett dokument med titeln "Nationell risk- och sårbarhetsbedömning (NSRB)" och det är precis vad det låter som. Det är intressant läsning i sig ur ett nationellt perspektiv men det kan vara användbart även i mindre sammanhang som inspiration eller underlag för egna bedömningar. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt nyhetsbrev kring OT-säkerhet. Den här gången får du vinnaren i jubileumstävlingen, ett riktigt spännande boktips, det senaste kring NIS2 och CRA, konsekvens-prioritering, en hackad pipeline i Kanada, olika syften med segmentering, lögnen från Oldsmar, robusthet kontra tålighet, säker utveckling av IoT, MITREs syn på leverantörer, Nytt från SÄPO och Energimyndigheten, OPC UA, Livsmedelsverkets turné och så har jag lärt mig ett nytt ord! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vi har en vinnare! För att fira utgåva 50 utlyste jag en tävling där man kunde skaffa sig större chans att vinna genom att se till att sprida nyhetsbrevet till fler läsare. Jag kan nu glatt meddela att vinnaren heter Mikael Brolin. Mikael gick så långt att hans kollegor på Seco Tools i Fagersta bad mig avsluta tävlingen så att Mikael skulle sluta gå runt och jaga folk att läsa nyhetsbrevet... Snyggt jobbat Micke! Nu får du jaga dem att spela spelet istället! Nyhetsbrev 50 slog precis som jag hade hoppats ett tydligt rekord i antal läsare under sin första vecka. Tack till er alla som hjälpte till att sprida det! En inspirerande bok! Jag läser boken "Industrial Cybersecurity - Case studies and Best Practices" av Steve Mustard. Jag avvaktar med en full recension tills jag har läst färdigt den, men jag är redan imponerad och kommer skriva en del reflektioner över intressanta delar som jag lärde mig av eller som jag kanske inte håller med om. Redan från början märker man att Steve, i motsats till många andra som skriver om OT, verkligen förstår både IT och OT. Han kan jämföra dem utan att fastna i de vanliga fällorna där kreativ OT-säkerhet bara handlar om att rita om Purdue-modellen på ett nytt sätt. Han tar oss igenom många viktiga ämnen och gör det på ett sätt som ändå håller boken nere på en rimlig tjocklek, 250 sidor. Det kan faktiskt vara så att det här är den boken som jag många gånger själv funderat på att skriva. Nu behöver jag inte det... Dale Peterson intervjuade nyligen Steve i podden "Unsolicited Response" och de kommer in på en hel del intressanta ämnen: Ett exempel på en intressant reflektion i boken är skillnaden i säkerhetskultur mellan IT-utvecklare och OT-ingenjörer. Där IT idag i väldigt stor utsträckning lutar sig mot någon variant av agilt arbetssätt, håller OT emot och stannar i ett vattenfallsliknande tänk och med ett strukturerat arbete enligt principerna i Systems Engineering. Det kan förefalla trögt och bakåtsträvande men beror förstås på de annorlunda förutsättningarna kring risk. Agilt arbetssätt har "Fail Fast" som ett av sina ledord, vilket är möjligt eftersom man kan dra nytta av ett utforskande arbetssätt. Misslyckas man så har man "bara" förlorat arbetstid för ett gäng utvecklare. Inom OT kan konsekvenserna vara att fysisk utrustning måste byggas om eller i värsta fall blir förstörd vilket leder till helt andra förluster i arbetstid och kalendertid. Där "Safety" är avgörande tappar man ju dessutom i någon mån den rigorösa analysen av konstruktionen. Personligen har jag på senare tid delvis ändrat uppfattning kring detta, efter att ha sett de makalösa saker som kollegorna på AFRY skapar med hjälp av digitala tvillingar. Tack vare att man nu kan prova sig fram i emulerade fysiska miljöer tidigt i projektet fångar man feltänk tidigt. Man sparar dessutom massor med tid under driftstart eftersom alla irriterande småbuggar redan hittats under simulerade igångsättningar. Det passar inte i alla sammanhang men i väldigt många! Glada tillrop från myndigheterna! Ett ovanligt brett internationellt samarbete presenterades nyligen under rubriken "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". Det är CISA, FBI och NSA från USA tillsammans med cybersäkerhetsmyndigheter från Australien, Kanada, Storbritannien, Tyskland, Nederländerna och Nya Zeeland som tagit fram materialet. Man kan se det som en uppmaning till både tillverkare och köpare att fokusera på säkerhet tidigt i utvecklingsprocesserna så att komponenter och system utformas på ett säkert sätt redan från början och "automatiskt" blir säkra vid en normal installation. Man har ungefär samma syfte som EUs kommande CRA, "Cyber Resiliency Act". Det är inget speciellt fokus utan man siktar på både "IT" och "OT". Det är just nu oklart för mig om det kommer något slags fortsättning på detta eller om man nöjer sig med de bra och tydliga referenser man ger till "Secure Software Development Framework" (SSDF), också känt som NIST SP 800-218. Det börjar röra sig kring NIS2! Men sakta... Det är roligt att se hur mycket intresse de kommande utmaningarna kring NIS2 har börjat väcka. Gensvaret när jag talar om det här på konferenser och i andra sammanhang är starkt. Jag har sedan länge kunder i en massa spännande branscher, men intresset för NIS2 har givit mig möjligheten att få stoppa in huvudet i en radda nya spännande världar! Det som verkligen förvånar och oroar mig, är att det ändå är så många av de företagsledare som jag träffar som fortfarande aldrig ens hört talas om NIS2, även när det är helt uppenbart att deras verksamhet faller in under direktivet. Det känns som att det i synnerhet gäller tillverkande industri och definitivt alla verksamheter som faller under det luddiga begreppet "Tillverkning, produktion och distribution av kemikalier"... Vanliga kommenterar är något i stil med "...men vi är ju så små?" eller "Hur kan vi anses vara samhällsviktiga?" Här finns det verkligen en utmaning kring att få ut informationen! De som inte kan föreställa sig att de är samhällsviktiga tenderar nog inte heller att lyssna till den här typen av information... Behöver du hjälp att förstå hur ni berörs av NIS2 är det förstås bara att höra av dig! Du kommer igott sällskap, I nästan alla mina uppdrag agerar jag rådgivare eller coach till säkerhetschefer, ledningsgrupper, systemarkitekter, IT-chefer, produktionschefer eller någon annan roll med direkt ansvar för en stabil och säker produktion. När det kommer till att möta kraven i just NIS2 är det extremt viktigt att få ihop ett samlat säkerhetsarbete tvärs igenom alla verksamhetsdelar och inte minst säkerheten nära produktionen som nästan alltid fått "sköta sig själv" tidigare. Två riktigt lovande tendenser som jag tycker mig se kring NIS2, är dels att intresset på styrelsenivå har ökat, förmodligen tack vare att NIS2 pekar så hårt på ledningens ansvar och dels att den löjliga inflation i användning av säkerhetsskydd som finns inom vissa kommunala verksamheter kanske börjar dämpas lite av att NIS2 "räcker till". Debatten kring CRA fortsätter! EUs förslag "Cyber Resilience Act", CRA, fortsätter att skapa debatt. Ett intressant inspel kommer från Python Software Foundation, som ligger bakom Python-språket. De kommer med en ganska brutal varning: The risk of huge potential costs would make it impossible in practice for us to continue to provide Python and PyPI to the European public. Det har även skickats ett öppet brev från en rad viktiga organisationer inom området. Även de varnar för konsekvenserna: If the CRA is, in fact, implemented as written, it will have a chilling effect on open source software development as a global endeavour, with the net effect of undermining the EU’s own expressed goals for innovation, digital sovereignty, and future prosperity. Alla, inklusive Python-folket, ställer sig bakom nyttan som CRA försöker skapa. Utmaningen är att organisationer inom open-source inte har de intäkter som krävs för att kunna riskera de enorma böter som CRA kan orsaka kring eventuella säkerhetsproblem. Vi får se vart detta tar vägen. Med tanke på hur mycket öppen källkod som används i alla kommersiella produkter är det här en oerhört viktig fråga! EU trycker ännu mer på gasen! Precis när detta skrivs kommer en annonsering från EU om en ny kravmassa som i alla fall jag inte hört om tidigare: "EU Cyber Solidarity Act". Det verkar vara en gemensam satsning på att hantera hot mot kritisk infrastruktur och andra gemensamma viktigheter. Det här får vi nog anledning att återkomma till... Hjälp att prioritera! Ett intressant inspel kommer från Danielle Jablanski, som normalt jobbar på Nozomi. Det är en beskrivning av en metod för att snabbt och grovt göra en bedömning av hur allvarliga konsekvenser som kan uppstå i en organisation. Det intressanta är att den försöker sätta en standardiserad och gemensam skala så att man kan jämföra även mellan helt olika verksamheter och organisation. Ryssar i Kanada? Det har varit en hel rubriker på senare tid angående ett påstått hack av en kanadensisk gas-pipeline. Alltid pålitlige Sinclair Koelemij ger oss en rejäl analys av de fakta som är kända och hans bedömning av det som kan ha hänt. Det här är en viktig påminnelse för de röster (vilket ibland inkluderar min) som pekar på att det verkar vara väldigt få framgångsrika "riktiga" OT-attacker, alltså attacker mot process-nära utrustning som faktiskt får något slags fysisk konsekvens. Påminnelsen är att en framgångsrik attack inte behöver märkas! I relationen mellan länder kan det vara mycket intressantare att "spara" och "vårda" den makt man skaffat sig över exempelvis kritisk infrastruktur för att sedan använda den vid ett taktiskt fördelaktigt tillfälle... Tänk som en OT-person när du segmenterar! Jake Brodsky påminner oss om en väldigt viktig poäng kring nätverkssegmentering. En fälla som "IT-säkerhetsfolk" lätt faller i är att man ser segmentering enbart som ett sätt att minimera åtkomst och därmed minskar möjligheten till angrepp. Jake trycker på att Tillgänglighet ofta har högre prioritet än andra säkerhetsaspekter (förutom Safety då...) vilket också betyder att en extremt viktig del av segmentering är att minimera påverkan av felsituationer. Men det finns alltid minst två sidor på varje mynt! Som vanligt finns det inga enkla svar på svåra frågor och sällan ett facit som passar alla. Det kan definitivt vara helt rätt att bygga sitt nät på stora switchar eller att använda "Software Defined Networking", som vanligt behöver man förstå produktionens förutsättningar och dess risker för att kunna välja en klok väg! Tänk också på att vi nu främst pratar om "horisontell segmentering" där separata processdelar ska hållas isär. Att segmentera "på höjden", i stil med klassiskt Purdue-tänk, brukar inte leda till samma utmaningar även om jag ibland stöter på verksamheter som blandar kontors-IT och tillverknings-OT i samma nätverksswitchar eller använder samma management-verktyg! (Och det måste inte alltid vara fel!) Det här med hur man logiskt ska skära kakan när man segmenterar är ofta klurigare än man kan tro. IEC 62443 beskriver en bra modell där man bygger "Zones" och "Conduits" baserat på riskprofiler i produktionen, men deras metod är lite omständlig att följa i praktiken. NIST har precis släppt en intressant skrift "NIST CSWP 28 - Security Segmentation in a Small Manufacturing Environment" som beskriver en betydligt enklare tankemodell som passar bra i lite mindre verksamheter. Den är skriven för tillverkande industri men tänket kan nog ses som ganska bransch-oberoende. Av en slump snubblade jag över ett dokument som ENISA släppte förra året kring hur man kan göra segmentering i järnvägsbranschen. Det är ett intressant dokument som bygger på metodiken från IEC 62443 och som garanterat är användbart även om man inte är i tåg-branschen. Det som jag fastnade för det här citatet: Hint: zoning is similar to a puzzle with 10 000 parts. After emptying the box, you turn all the parts bottom down to see the surface. Then you separate and group together the parts such as persons, buildings, walls, background. Sky also a functional grouping such as edge parts or notches. Then you build up the first island, try to locate it in the frame and move the islands to other places as necessary. Lastly, you connect the islands. Vi har blivit lurade! Jag misstänker att de flesta av mina läsare redan är medvetna om att en av de mest omskrivna OT-attackerna på senare år, den mot dricksvattenförsörjningen i lilla Oldsmar, var en bluff. Som jag förstått det var det någon form av misstag eller slarv som med en snabb lögn skylldes på elaka hackers för att slippa ta eget ansvar. Det här var ju en av de få attacker mot OT-system som fick verklig uppmärksamhet hos "gemene man" och som därmed skapade en del insikter om hur illa det kan gå. I övrigt är det ju onekligen fortfarande så att de flesta attacker som drabbar OT-verksamheter ytterst sällan drabbar "den riktiga OT-utrustningen" utan diverse "IT-prylar" som produktionen är beroende av för att fungera. Fortfarande dåligt men viktigt att hålla isär! Den stora lärdomen är väl (som vanligt) hur viktigt det är att ha en bra säkerhetskultur även om det i det här fallet var omvänt mot det vanliga, där man ska våga erkänna säkerhetsmisstag. Sedan är ju fortfarande en del kloka tankar kopplat till exempelvis fjärruppkopplingar fortfarande sanna oavsett om Oldsmar var en lögn. Robust eller tålig? Robusthet ("Robustness") eller Tålighet ("Resilience") är två begrepp som är viktiga när man arbetar med processer som ska fungera under jobbiga förutsättningar. Sinclair Koelemij har som vanligt kloka tankar att dela med sig av kring både likheter och skillnader mellan de två begreppen! Modernisera utan att köra i diket! En av höjdarna på årets S4 var Marianne Bellotti som berättar om sina erfarenheter kring utbyte av gamla system mot nya och utbytet av gammal teknik mot ny teknik. Om du bara har tid för höjdpunkterna så rekommenderar jag det hon säger vid 19:52 om hur man lätt hamnar i samma situation igen efter ett moderniseringsprojekt. Ska man byta ut teknik mot ny, så är det ett gyllene tillfälle att se över hur man sköter om sin teknik också! Vill du ha en till så titta i början vid 1:25 för den självklara men jobbiga sanningen att gamla system är framgångsrika system! Det är lätt att fnysa åt gammal teknik som överlevt men det finns ofta viktiga skäl till att de finns kvar! Utveckling av säker IoT? På Elektronikmässan i Göteborg deltog jag i en "expertpanel" den 19:a April som arrangerades i samband med att en handbok för cybersäker utveckling inom IoT lanserades. (Som jag gjort ett pyttelitet bidrag till.) Boken är gratis och du kan hämta den här, men den finns även att få tag på i bokform! Det finns mycket tänkvärt i boken även om du inte tycker att du sysslar med "IoT" eller att du inte sysslar med produktutveckling. Det finns många referenser till OT-säkerhet och många resonemang kring IEC 62443 som är viktiga för alla! En speciellt bra sak som boken trycker på är att utmaningarna kopplat till livscykelhantering av utrustning som driftsatts och hur viktigt det är att se till att lösningar som man väljer/utformar har stöd för det. Det är definitivt relevant för både OT och generellt kring IoT! Framtidens utveckling för IoT och OT? Ett riktigt tankeväckande föredrag från årets S4 kom från Colin Breck på Tesla som verkligen slog ett slag för WebAssembly som en plattform för helt andra saker än dess ursprungliga användningsområde. Det här är verkligen "bleeding edge" och inget som har börjat användas brett, men är du intresserad av programmering eller vart processnära programmering är på väg kan jag verkligen rekommendera hans presentation. Det är också ett underbart exempel på varför S4 är en så unik konferens i och med att de är så framåtlutade i sitt val av presentationer. Missa inte frågestunden på slutet som lyfter några viktiga poänger, exempelvis hans syn på att IoT-området rör sig bort från molnet! Vettiga mål! Amerikanska CISA har publicerat en uppdatering av CPG, "Cross-Sector Cybersecurity Performance Goals". Uppdateringen innebär bland annat att den synkar bättre mot NIST CSF. CPG är en ganska användbar lista med handfasta åtgärder som man kan prioritera och välja bland för att ständig förbättra sina säkerhetsförmågor. För varje åtgärd bedöms komplexitet, kostnad och hur effektivt den förbättrar säkerheten. Oerhört vettigt är att det finns ett antal OT-specifika punkter som hjälper mycket. Det är tre delar, en kort rapport som beskriver upplägget, en checklista för praktiskt arbete och en excelfil med alla detaljer. Jag har inte haft möjligheten att använda den praktiskt ännu men jag kan definitivt se nyttan med den, både för att mäta att man rör sig framåt och för att ge stöd i prioriteringar. Håll ögonen på MITRE och dina leverantörer! Något som är väldigt i ropet på senare tid är säkerhet kopplat till våra leverantörskedjor. Det var en läxa som vi lärde oss den hårda vägen när Kaseya/Visma/Coop drabbade oss så tydligt. Det är ju också något som EU trycker väldigt hårt på i NIS2 och i det kommande CRA! MITRE är ju som säkert bekant en källa till många kloka systematiska sätt att närma sig svåra säkerhetsutmaningar. De har nu sakta börja lansera delar av sitt "MITRE System of trust" som handlar just om risker kopplat till leverantörer. Det finns inte så mycket som är praktiskt användbart ännu men det kommer säkert utvecklas snabbt och det kan definitivt redan användas för inspiration! Nytt från SÄPO och Energimyndigheten! För den som berörs av säkerhetsskyddslagen så är det förmodligen intressant att SÄPO precis (och till slut...) har kommit med uppdateringar till en del av sina vägledningar. Det ska främst vara justeringar till förändringarna i lagen som kom för något år sedan. Ungefär samtidigt kom Energimyndigheten med en vägledning kring säkerhetsskydd för fjärrvärme. Väldigt grundläggande nivå kan jag tycka men eftersom mognaden inom säkerhetsskydd varierar mycket är det ändå ett viktigt och bra initiativ. Allt om OPC UA! Clarotys forskningsgrupp "Team 82" har publicerat första delen i en serie artiklar som ska handla om säkerheten i OPC UA. De brukar producera bra material och den första delen kring historiken bådar gott inför kommande delar. Den första delen handlar till största delen INTE om OPC UA, utan om föregångaren "OPC Classic" som ju egentligen består av flera delar: OPC DA, OPC AE, OPC HDA, OPC XML DA och OPC DX. Det byggs (tyvärr) fortfarande nya anläggningar baserat på OPC Classic men det är verkligen dags att börja styra om mot OPC UA. (Eller något annat modernt sätt att kommunicera.) Intressant nog drog TXOne nästan samtidigt också igång en serie artiklar kring säkerheten i OPC UA. Vi får väl läsa dem parallellt framöver och se vilken som är intressantast! I vilket fall som helst är det väldigt positivt att OPC UA och dess säkerhet lyfts fram mer! I grunden skapar OPC UA en massa bra nya möjligheter, men som vanligt kan man strunta i att implementera alla fina säkerhetsfunktioner och då blir förstås resultatet därefter... Jänkarna jobbar också på! Det är mycket fokus på NIS2, CER, CRA och alla de andra regelverken som EU raddar upp nu, men det händer intressanta saker även på andra marknader. Nozomi har gjort en bra sammanfattning av vad USA nyligen gjorde för utökningar och förändringar i kraven kring medicintekniska system. Kan nog säkert vara intressant även om man inte är i branschen. Livsmedelsverket är på turné! Ett av de mest eftersatta områdena som jag själv sett när det gäller OT-säkerhet är den svenska dricksvattenförsörjningen. Både skrämmande och tråkigt att se hur illa det ser ut på vissa ställen. (Men det ska sägas att det finns också en hel del exempel där man sköter det riktigt bra!) Jag får nog passa på att ändå ge Livsmedelsverket en liten guldstjärna, de har gjort ett bra jobb utifrån det nuvarande NIS-direktivet och verkligen fått upp intresset på många håll. Nu lanserar de "Handboken för krisberedskap och civilt försvar för dricksvatten" och då ger de sig ut på en utbildningsturné. Det är inte fokus på OT-säkerhet utan informationssäkerhet och krigsorganisation men allt som lyfter säkerhetsmedvetenheten är bra i mitt tycke! Fjärranslutna leverantörer... Amerikanska myndigheten FERC har reviderat NERC CIP-003 till nya versionen 9 där man trycker på att fjärruppkopplingar från leverantörer ska hanteras på ett strukturerat och säkert sätt. Även om du inte är i el-branschen kan det finnas en del inspiration kring det viktiga och kluriga området fjärrsupport. Glöm inte säkra huset! TXOne har gett ut en liten text kring utmaningarna med säkerhet inom fastighetsautomation, ett område som vanligen dessutom är väldigt eftersatt. Det här är något som många glömmer bort eller helt enkelt tänker att de litar på att fastighetsägaren tar sitt ansvar. Eftersom konsekvenserna kan slå väldigt hårt mot den egna verksamheten är det förstås viktigt att kravställa eller på annat sätt se till att detta hanteras bra! Tiden är ur led! Från universitetet i Hamburg har vi fått ett dokument skrivet av Doganalp Ergenc, Robin Schenderlein och Mathias Fischer kring hur man kan identifiera attacker mot TSN-nätverk. TSN, "Time Sensitive Networking", är ett pågående arbete inom IEEE 802.1 för att standardisera hur man ska säkerställa att verksamheter som är känsliga för att leveransen av nätverkstrafik störs tidsmässigt kan få bra stöd i "normala nätverk". Det börjar finnas stöd för det här i diverse kommersiella produkter. Med dokumentet kommer diverse utökningar till den välkända IDS-mjukvaran Zeek för att den ska kunna identifiera händelser som är unika för TSN-nätverk. Det här är ett första steg mot att implementera säkerhet kring detta intressanta område. IIoT och IEC62443? Jag berättade i nyhetsbrev #48 om ISA-TR62443-4-3 "Application of the 62443 standards to the Industrial Internet of Things" som jag tycker verkar bli ett bra och användbart dokument. En av presentationerna på årets S4 gjordes av Ryan Dsouza från AWS som pratade just om utmaningarna att kombinera IIoT med IEC 62443. Jag håller kanske inte med om allt han säger och man får förstås vara medveten om att det är något av en partsinlaga med tanke på hans arbetsgivare, men det är ändå viktiga infallsvinklar han belyser. Jag har lärt mig ett nytt ord! Jag har just sett den första användningen av det ny-engelska ordet "Phygital" i ett OT-sammanhang! Det här är tydligen ett begrepp som används inom marknadsföring för att sätta ord på när man närmar sig kunden både digitalt och i den fysiska världen. Ska vi gissa att det kan bli ett alternativ till "Cyber-Physical" och "Cyberfysisk" framöver? Kanske även det svenska "Fygital"? :-) Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för det femtionde nyhetsbrevet kring OT-säkerhet! Det firar jag med en jubileumstävling där du kan vinna spelet "Backdoors & Breaches". Läs mer lite längre ner. Den här gången tittar vi på mina intryck från årets S4-konferens, funderar över var alla OT-attacker egentligen tog vägen, rotar bland alla årsrapporter som nu landat hos oss, diskuterar vidare kring CRA, tittar på threat hunting med OT-fokus, funderar över vad tålighet kan innebära för organisationen, applåderar intåget av Rust i inbyggda system, navigerar med MITRE, funderar vad ost från Schweiz har med OT-säkerhet att göra och så blir vi krigsplacerade. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, på Mastodon, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vinn ett spel i jubileumstävlingen! Det här är den femtionde utgåvan av nyhetsbrevet, vilket ska firas med både en tävling och ett nytt rekord i antalet läsare! Du kan vinna OT-versionen av det smått legendariska spelet "Backdoors & Breaches", som helt enkelt går ut på att träna incidenthantering inom OT! Reglerna är enkla: Hjälp till så att nummer 50 av det här nyhetsbrevet får fler läsare under dess första vecka än något av mina tidigare utskick. Gör något kreativt! Tipsa dina kollegor! Dela på LinkedIn! Tvinga dina barn att läsa! Spela in en TikTok-video! Skriv insändare i lokaltidningen! Annonsera på blocket! Tatuera din partner! Skriv en låt! Berätta för mig på mats@ot-sakerhet.se att du vill vinna. (Din email-adress kommer inte missbrukas för någonting annat!) Berätta gärna vilka stordåd du gjort för att sprida nyhetsbrevet till fler lyckliga läsare! Kreativitet belönas - det kan förbättra dina odds att vinna! Jag kommer vara en massivt självsvåldig, extremt maktfullkomlig och 100% egenmäktig jury samtidigt som jag är en oanat stenhård men också löjligt egotrippad och fullständigt mutbar domare. Jag ska fundera vidare på reglerna in i det sista och det kan vara så att om det går riktigt bra så skickar jag med en D20-tärning också till vinnaren. Vi får se... Intryck från S4x23! Det snurrar väldigt många tankar och intryck i huvudet efter årets S4-konferens! Precis som tidigare håller den extremt hög kvalitet, det är verkligen ingen tvekan om att det är den främsta OT-säkerhetskonferensen i världen! Intresset är helt uppenbart enormt för denna typ av frågor och de tusen biljetterna såldes helt slut i år. 75% av deltagarna är från USA men det var folk från 28 länder på plats, inklusive 13 från Sverige. S4 håller verkligen stilen, det finns en uttalad strategi att enbart ha presentationer som är framåtlutade och utvecklande. Man är extremt hård mot sponsorerna, även de som betalat mest får ingen automatisk tid på scen utan får komma med relevanta idéer till presentationer som alla andra. Det betyder att nästan alla presentationer är riktigt intressanta och tänkvärda! Vill man ta del av sponsorernas säljargument får man gott om tillfälle till det vid sidan av presentationerna... Riktigt roligt att se att man fått riktigt bra gensvar på de satsningar man gör på att locka kvinnor till konferensen genom att skänka bort 100 extra biljetter och att en lång rad icke-vinstdrivande organisationer helt utan kostnad fick framträdande platser i konferensanläggningen. Organisatören Dale Peterson gick ut hårt i sin keynote och ifrågasatte vad vi egentligen vet om effektiviteten i alla våra säkerhetsåtgärder - hur mycket hjälper eller stjälper de verksamhetens försök att vara mer stabil, effektiv och tålig? Han gjorde en smart jämförelse med gamla kartor där man hade ett ord för oviljan att lämna vita fläckar, "Horror Vacui", och istället fyllde i med gissningar om allt mellan floder och mystiska monster. Han vände det till en uppmaning aldrig glömma vad det egentliga målet med vårt säkerhetsarbete är - en bättre och starkare verksamhet! Dale följdes av Andrea Jones-Rooy, professor i Data Science och - skulle det visa sig - ståuppkomiker och cirkusartist! Det är första gången jag sett någon byta kläder under sin keynote-presentation och jag har definitivt aldrig sett någon göra volter under ett, i övrigt, väldigt seriöst anförande! Otroligt roligt! Hon lärde oss att man inte bara måste tänka utanför boxen utan även GÅ utanför den i jakten på bra sätt att hantera en extremt komplex tillvaro! Sedan följde tre dagar fyllda med otroligt lärorika presentationer och inspirerande möten med imponerande människor. Jag kommer säkert återkomma efter hand till många av dem och jag rekommenderar verkligen att du håller koll på S4 på YouTube där många av presentationerna släpps efter hand under året. Några som stack ut lite extra var: Dales intervju av Michael Fischerkeller som är en av författarna till en väldigt spännande bok kring "Cyber Persistence Theory". Enkelt uttryckt har de gjort en trovärdig definition av hur annorlunda Cyber-hotet är mellan stater jämfört med konventionella hot och krigshandlingar. Jag kommer läsa boken och återkommer med mina tankar! Du kan också höra intervjun i Dales podd. Lesley Carhart, som är Director of incident response på Dragos, berättade hur man göra framgångsrika tabletop-övningar i OT-världen. Det här är ju ett ofta underskattat verktyg för att utveckla beredskapsförmågor, underskattat både i betydelsen att det ger mycket mer än de flesta tror men också underskattat i mängden erfarenhet som krävs för att det ska bli riktigt bra. Roni Gavrilov på OTORIO berättade om deras vansinnigt imponerande forskning kring processnära utrustning. Jag har skrivit en separat artikel om det här lite längre ner i nyhetsbrevet. Jos Wetzels på Forescout berättade också om forskning, i deras fall har de visat hur en angripare kan hoppa mellan utrustning med hjälp av fältbussar! Både detta och OTORIOS forskning uppmärksammades nyligen av DarkReading. Jeff Smith på Dynics berättade om erfarenheter från SDN, Software Defined Networking i OT-nätverket. Det är värt att påpeka att vi alltså talar om nätverk "långt ner", nära de fysiska processerna. Den som läste mina noteringar efter förra årets S4 minns att jag var entusiastisk kring SDN. Det här är en teknik som är mogen och som börjar användas i stora implementationer, vilket kommer vända upp och ner på mycket framöver. Visst kommer det ta tid men eftersom fördelarna är så stora tror jag att det kommer gå oväntat fort ändå! Rafael Maman från Sygnia hade en presentation baserad på den rapport jag skrev om i förra nyhetsbrevet, om hur han och många med honom tror att framtidens automationssystem kommer se ut. Det är en radikal skillnad och det kommer förstås även förändra säkerhetsarbetet i grunden! Vissa branscher kommer vara mycket snabbare än andra på den här bollen men det ska bli väldigt intressant att se hur snabbt det går! I många sammanhang kom diskussionerna in på bristen på folk med kompetens inom området. Många kloka tankar från många håll. Andrea Kittelson från Rockwell Automation som pekade på möjligheterna att utveckla människor från lite oväntade bakgrunder och vikten av att kunna förklara varför OT-säkerhet är ett intressant område att utvecklas inom. Ralph Langner påpekade att vi måste tänka annorlunda, branschen växer alldeles för snabbt för att vi ska ha en chans att komma ikapp, det måste bli fokus på att automatisera rutinmässigt säkerhetsarbete och samtidigt säkerställa att vi faktiskt jobbar med åtgärder som har meningsfulla effekter i verkligheten. Tävlingen Pwn2Own avgjordes som vanligt under konferensen. Vinnarna var Team82 från Claroty som kammade hem drygt 120 000 dollar. Som en extra knorr använde de ChatGPT för att utveckla en av sina exploits, vilket sannolikt är första gången i en sårbarhetstävling. I motsats till en del sporter så delas inte vinnarkavajer ut utan istället varseljackor och ruggade laptops, mer passande i vår bransch... Grattis! Avslutningspanelen bestod i år av förutom Dale själv, även Megan Sanford, Zach Tudor och den alltid vasse Ralph Langner. Om du bara ska se en inspelning från årets S4 så är det nog den, det sägs oerhört mycket klokt på kort tid! Men än så länge finns inte så många videos tillgängliga, men vill du se en mer teknisk presentation kan kanske Reid Wightmans dragning kring sårbarheter i kompilerad PLC-logik vara något: Inte fullt lika tekniskt blir det i Michelle Jewells presentation kring hur man kan använda verktyg och information från verksamheter inom organisationen: Hur gick det egentligen med SBOM Challenge då? En spännande del från S4x23 som jag inte lyckats hitta så mycket material kring var utmaningarna kring SBOM. Jag har inte lyckats hitta något material från INL som arrangerade det hela och ingenting från konferensen, det närmaste jag kommer är en text från Finite State som var en av de deltagande företagen. Övningen tycks ha varit nyttig om än något av ett anti-klimax, delvis på grund av att de olika deltagarna hade väldigt olika sätt att ta sig an uppgifterna och i vissa fall tydligen inte hade funktionalitet som täckte vad (åtminstone jag själv tycker) som är grundläggande funktioner. Det här är fortfarande en extremt ung bransch om än väldigt het. Vi får se om det kommer ut fler slutsatser efter hand? Korpen berättar! Det har drällt in en massa årsrapporter från alla möjliga myndigheter och företag men just nu kan väl knappast få kännas lika relevanta som den från MUST. Många viktiga insikter och tankar som förstås domineras av kriget i Ukraina men även Kina tar en framträdande plats. Några sidor får vi specifikt om cybersäkerhet och samhällskritisk infrastruktur. Fler årsrapporter? Förutom årsrapporten från MUST så finns det mycket material att läsa från en lång rad källor som tittar både bakåt och framåt: SÄPO MSB TXOne Dragos SANS Nozomi Armis Waterfall MITRE ATT&CK MTS-ISAC Sedan finns det en del leverantörer som fortfarande envisas med oskicket att kräva dina kontaktuppgifter för att få läsa deras material. Jag väljer att inte länka till dem... Debatten fortsätter om CRA! Debatten kring EUs förslag till "Cyber Resilience Act", CRA, fortsätter - framför allt kring hur Open Source världen påverkas. På EUs site kan man läsa de 131 inskickade texterna som gav feedback på det då liggande förslaget. Orkar man inte så har Simon Phipps valt ut delar från 18 av dem som representerar helheten väl. Personligen följer jag detta med stort intresse. Vi får se vad som händer härnäst... Jaga dina hot! Dean Parsons har publicerat en tre-delad och riktigt bra genomgång av Threat Hunting i OT-världen under titeln "They're shooting at the lights". (Vilken film refererar titeln till?) De första två delarna är artiklar och den tredje en webcast. Första delen fokuserar på safety-aspekter, nyttan med TH, gratiskällor för hotinformation och hur man knyter ihop människor, processer och teknik. Andra delen tittar på prioriteringar, datakällor och hur man bygger sitt upplägg. Den tredje delen är en webcast som knyter ihop säcken: Du är speciell och dina sårbarheter också! I förra nyhetsbrevet skrev jag om SSVC, Stakeholder-specific Vulnerability Categorization, en metod från CISA och SEI som ska hjälpa organisationer analysera vad en viss sårbarhets betyder för dem utifrån den egna organisationens förutsättningar. För den som är intresserad av att lära sig mer finns en timmes utbildningsvideo från CISA: Men var är alla attacker?! Ric Derbyshire har skrivit en riktigt bra artikel som sammanfattar det lite motsägelsefulla nuläget kring oron för attacker mot viktiga OT-system samtidigt som vi i praktiken ser väldigt få sådana i verkligheten. Jag ska inte ge mig på att sammanfatta artikeln utan rekommenderar verkligen en genomläsning! Jag håller med om alla hans slutsatser inklusive tanken att det kommer "börja hända saker framöver..."! Men! Det är ju å andra sidan verkligen inte NOLL attacker som är framgångsrika. En bra sammanställning finns att läsa här i ett papper från Lancaster University som publicerades 2021. De har med en rad historiska händelser inklusive några som jag har missat sedan tidigare. Trådlöst och cloud-management sänker djupledsförsvaret! OTORIO var välrepresenterade på S4 där Roni Gavrilov också presenterade deras tankeväckande forskning kring sårbar OT-utrustning som är exponerade helt öppet via trådlösa protokoll eller på Internet. Det finns många varianter på hur man segmenterar OT-nätverk i flera lager, oftast inspirerat av en gammaldags Purdue-modell. Tanken är att använda klassiskt djupledsförsvar så att känslig utrustning skyddas bakom flera lager av säkerhetsåtgärder. Något som man ser alldeles för ofta är att trådlös utrustning placeras "långt ner" i modellen, på ett sätt som tar bort alla de skyddande lagren om angriparen fysiskt finns i närheten. Det kan exempelvis vara en accesspunkt för WiFi eller en 4G-router som erbjuder åtkomst till ganska känsliga nätverk om man kan "ta sig in" trådlöst. Ganska uppenbart om man tänker efter, och det kan förstås vara tillräckligt säkert i många fall. Problemet blir när man lurar sig själv genom att ha ett välskyddat nätverk och tänker att den där trådlösa manicken därmed är välskyddad... Speciellt illa blir det förstås om man råkar konfigurera någonting fel så att exempelvis management-gränssnittet exponeras på Internet. Och det är precis här som en av poängerna i OTORIOs forskning ligger, de hittade hundratusentals industriella enheter uppkopplade mot mobilnätverk, där tre av fabrikaten dessutom hade sårbara administrationsgränssnitt exponerade... De har tittat på flera andra jobbiga varianter, exempelvis enheter som använder administrationstjänster på Internet. I ett speciellt tråkigt exempel kunde de länka ihop tre olika sårbarheter och på det sättet få root-rättigheter i tusentals routrar genom att angripa deras administrationstjänst som är avsedd att vara på Internet! Läs gärna deras rapport, den är välskriven och kan säkert vara tankeväckande om man inte funderat i dessa banor tidigare. Tankar kring nya ISA TR84! I förra nyhetsbrevet skrev jag om den nya versionen av ISA TR84. Jag snubblade över en liten artikel av John Powell från Optiv som skriver om förändringarna och hur de påverkar säkerhetsarbetet men han ger också bakgrunden till Safety-frågor generellt och hur Safety relaterar till Security. Viktiga frågor för de flesta som sysslar med OT-säkerhet och/eller Safety. Cyber-fysisk risk! En av mina hjältar i branschen, Sinclair Koelemij, talade på S4 i år. Som uppföljning till sin presentation om riskbedömning har han nu även skrivit en liten artikel kring just risk i Cyber-fysiska system. Han berör semi-kvantitativa metoder och "Rings of Protection Analysis", ROPA. Väl värt att läsa för den som är intresserad av detta viktiga ämne och när videon med hans dragning på S4 släpps så är den definitivt värd att se. Inte omöjligt att du ser mig långt fram i publiken. Tålighet! En annan av mina hjältar är Richard Seiersen som skrivit böcker som "The Metrics Manifesto: Confronting Security with Data" och "How to Measure Anything in Cybersecurity Risk". I dessa dagar är det mycket tal om "Resilience", alltså ungefär "tålighet" på svenska. I en artikel nyligen pekar han på behovet av att få olika metoder för att adressera risk att dra åt samma håll, istället för att i någon mån förstöra för varandra. Han pekar på man var för sig sparar in på säkerhetsåtgärder och försäkringar vilket tillsammans skapar en ohållbar situation. Han beskriver hur vi ska skapa "Cyber Resilient Leaders". Många kloka ord. Som vanligt! Det mesta verkar rosta! Den som är det minsta intresserad av programmering eller programmeringsspråk lär inte ha missat uppståndelsen kring språket Rust på senare tid. Det ska vara säkert, snabbt och bra på att hantera Samtidighet vilket gör det väldigt intressant för alla former av inbyggda system och i förlängningen OT-prylar. Kanske lite off-topic än så länge i det här nyhetsbrevet men ändå intressant! Jag läste nyligen om ramverket Embassy som tillför asynkron hantering till Rust vilket förstås är en väldigt viktig del i inbyggda system. Se gärna Christopher Hunts presentation kring hur de byggde ett nytt laddsystem för elbilar från grunden i Rust: Hantering av sårbarheter i NIS2 och CRA? EUs cybersäkerhetsorganisation ENISA har släppt en rapport kring framtidens sårbarhetshantering inom EU. NIS2 ställer ju krav på medlemsländerna att ha etablerat en nationell policy för koordinering av sårbarhetsannonsering till den 17:e oktober nästa år. Förutom NIS2 kommer ju dessutom många besläktade krav via CRA. (Som jag skrev om i Nyhetsbrev #48.) Med tanke på att ENISA kommer ha stor påverkan på hur länderna implementerar sina lösningar är det en viktig och intressant rapport. Det här är ju som jag skrivit om tidigare ett område som man snabbt märker att tillverkarna idag hanterar väldigt olika. Även om jag definitivt tycker att det finns viktigare saker att fokusera på än att jaga sårbarheter i en typisk OT-miljö så tycker jag samtidigt att det är enormt bra att det här styrs upp! Det är inte okej hur vissa tillverkare år efter år låtsas som att de inte har fixat en enda sårbarhet i sina produkter. Jag noterar att Sverige tillhör den minoritet av länder som idag helt saknar en policy kring detta. Rimligt att det blir lite extra utmanande för oss då samtidigt som vi kan lära av andra. Rapporten verkar bygga på ett rejält arbete. De tar upp ämnen som exempelvis: Utmaningar kring att ha en nationell policy för detta Juridiska klurigheter som uppstår Hur open-source ska hanteras Bug bounty program Tekniska utmaningar kring prioritering och automation av åtgärder Jag rekommenderar en genomläsning om man är det minsta intresserad av någon av ovanstående punkter! Enkelriktad video! Nu är del två av mitt samtal med Advenica ute. Den här gången är det datadioder och deras användning inom OT som står i fokus. Den förra videon hittar du här. Jag skrev även en gästblogg hos dem nyligen kring utmaningarna i att hitta enkla svar på svåra frågor, i synnerhet när man sysslar med OT-säkerhet. Navigera med MITRE! MITRE har släppt något man kallar "Cyber Resiliency Engineering Framework Navigator" eller "CREF Navigator". Det är en grafisk representation som gör det möjligt att "klicka runt" i NISTs SP 800-160 och SP 800-53 för att utforska hur man bygger tåliga system med kopplingar till MITRE ATT&CK och andra bra underlag. Tror det kan vara en både lärorik och användbar tjänst! Navigera bland hotaktörer och sårbarheter! Sedan tidigare finns "ICS Advisory Projekt" där man kan navigera runt bland leverantörer, sårbarheter och produkter. Det har varit en väldigt användbar tjänst i vissa situationer! Nu har projektet utökats med en liknande tjänst för APT-hot som bygger på MITRE ATT&CK v12, MITRE D3FEND, och LOLBAS. Förmodligen riktigt användbart när man ska komma igång med hotanalys och threat hunting. Prova! Missbrukat CVSS kommer i ny version! I förra nyhetsbrevet hade jag ett par texter kring CVSS som används för att försöka sätta en allvarlighetsgrad på sårbarheter. För den som tycker att det är ett spännande område finns en lista med planerade förändringar i version 4 av CVSS. Det ser ut att vara en del vettiga förbättringar på gång men man får förstås komma ihåg att i de flesta fall är det viktigare att ha koll på hur den aktuella produkten används i den egna verksamheten. För den analysen kan man få en del hjälp av de olika komponenterna som bygger upp det slutgiltiga betyget. Hos FIRST finns både all dokumentation och en praktisk kalkylator. Daniel Stenberg (mest känd som skaparen av cURL) skrev nyligen en svavel-osande artikel kring hur NVD, National Vulnerability Database, tydligen skapar sina egna tolkningar av hur allvarliga vissa sårbarheter är. Att den här hanteringen var snurrig, subjektiv och lättmanipulerad hade jag förstått sedan tidigare, men det här sätter alltihopa i ytterligare ett nytt och jobbigt ljus. Jag vet inte riktigt vad jag ska tycka längre... Det är nära mellan skratt och gråt! Legenden och provokatören Ralph Langner delade den här bilden nyligen på alla världens sociala medier. Med hjälp av den klassiska cirkeln från NIST CSF pekar han på slagsidan i väldigt många säkerhetsprogram. Det är förstås med glimten i ögat och säkert delvis för att promota hans utmärkta mjukvara OT-BASE men det finns definitivt väldigt mycket sanning i detta också. Hade jag gjort min egen version så hade jag kanske lagt till "Firewall made of swiss cheese bypassed by Active Directory" vid "Protect". Detta för att illustrera det vanliga fenomenet att man på pappret gjort ett försök till separation av IT och OT, men i praktiken blir brandväggen bara en onödigt dyr router, eftersom man misslyckats med integrationerna mellan de två världarna och skapat enorma mängder av brandväggs-öppningar. Den slutgiltiga dödsstöten för separationen mellan IT och OT är att man använder samma Active Directory på båda sidorna om brandväggen och därför kortslutit den på ett extremt effektivt sätt. Men en viktig sanning i Ralphs budskap, som stämmer med min egen upplevelse, är att många går och köper en IDS-lösning när de i första hand är ute efter att inventera nätverken och få hjälp att bedöma risker. Vissa blir besvikna, men det är också extremt vanligt att man redan från början vet att man inte kommer kunna reagera på larm från IDS-funktionen. Ta nu inte detta som att jag är kritisk mot IDS-system, för det är jag verkligen inte. Nozomi, Dragos mfl är fantastiska system! Men som vanligt gäller det att fokusera på de problem man faktiskt vill prioritera! Klarar du inte att hantera larm från en IDS själv men ändå vill ha intrångslarm så finns det riktigt bra SOC-tjänster för OT att köpa. Det finns några dåliga också så se upp att du inte fastnar i olämpliga teknikplattformar. Här vill det till att tänka till i förväg! Vill du ha riktig riskanalys och inventering i första hand så kanske inte en enkel IDS är det första du ska köpa, utan något annat som har rätt fokus för dig. Trogna läsare vet att jag exempelvis gillar OTORIOs lösningar, RAM2 och spOT. Det börjar dyka upp bra tjänster och produkter kring "Respond" och "Recover" också. Jag har för liten egen erfarenhet av dem så jag ska inte peka på något speciellt, men automatiska backuplösningar för OT-utrustning, snabbåterställningshårdvara för Windows och andra delvis nyskapande produkter är kul att se. Tänk på att "Identify" inte bara handlar om att inventera tekniken utan också att förstå verksamheten, de fysiska processerna och de risker som är viktigast! Debatten kring CRA fortsätter! Debatten om förslaget till ny EU-förordning "Cyber Resilience Act", går vidare. De mest ifrågasättande synpunkter jag sett har kopplingar till hanteringen av Open Source. Det har kommit remiss-yttranden från alla möjliga håll. Netnod och Internetstiftelsen publicerade sitt remiss-svar som innehåller en hel del kloka synpunkter medan Konsumentverket valde att inte ha en enda synpunkt. Men jag har sett både omfattande och korta svar från Teknikföretagen, DIGG, Tullverket, PTS, Energiföretagen, Vetenskapsrådet, TechSverige, SOFF och en massa andra organisationer. Medan NIS2 rullade igenom förhållandevis enkelt kommer CRA att bli en klurigare nöt att knäcka... En liten artikel av Daniel Appelquist på Snyk sätter fingret på varför vissa ord inte fungerar så bra längre. I det här fallet "Supply Chain" i kombination med Open Source. Rita upp säkerheten! I en lång artikel av Sarah Fluchs, Rainer Drath och Alexander Fay utforskar de hur man med hjälp av ett visuellt språk skulle kunna få hjälp att utforma och besluta kring säkerhetsåtgärder i OT-system redan när de utformas. Jag har inte landat i någon egen åsikt kring detta ännu, men tanken verkar klok. Läs och berätta vad du tycker! Gör det enklare för säkerhetsingenjörer! Sarah Fluchs talade på årets S4-konferens om hur vi kan göra det enklare att bygga in säkerhet redan när en anläggning designas. Videon är inte ute ännu men Sarah har publicerat en artikel med samma innehåll. Som vanligt med Sarah är det en massa kloka insikter som är bra att ta till sig! Några event... Nu börjar planeringen för årets events komma igång. Om du är på plats på några av dessa tillställningar kommer vi kanske ses där? Jag kommer köra ett pass kring kopplingen mellan NIS2 och OT-säkerhet på den spännande konferensen "Cyber security: Kritisk Infrastruktur" i Stockholm den 28:e mars. På Elektronikmässan i Göteborg den 19:a April kommer jag delta i en "expertpanel" som arrangeras i samband med att en handbok för cybersäker utveckling i IoT lanseras. (Som jag gjort ett pyttelitet bidrag till.) Återkommer med mer detaljer kring detta. Den 10:e Maj håller MSB för tredje gången sin NIS-konferens i Stockholm. Den här gången lär det kunna bli lite extra intressant med tanke på att NIS2 är aktiv och nedräkningen tickar på tills de olika delarna träder i kraft. Det är fler på gång men som fortfarande diskuteras. Det kan väl inte "SCADA" att vara med på en viss OT-konferens i Stockholm till hösten eller några stora leverantörs-event? Tack! Ett varmt tack till de som hört av sig så här långt angående mitt lilla tiggarbrev i förr-förra nyhetsbrevet, det uppskattas verkligen! Önskemålet finns kvar men nu är det framför allt automationsprylar som saknas, har du en gammal PLC, DUC, VFD, remote IO eller något annat kul liggande så kan det få ett lyckligt hem hos mig! Gamla demonstrations-uppsättningar är förstås väldigt intressant! Det behöver verkligen inte vara nya saker eller i perfekt skick - tvärtom så är det ju ofta de äldre sakerna som är mest intressanta och utmanande i OT-världen. Kriga på jobbet? MSB har uppdaterat sitt stöd kring framtagning av krigsorganisationer så att även privata organisationer och företag finns med på ett bra sätt. Med tanke på hur beroende många verksamheter är av sina OT-system och av att system hålls säkra vill det förstås till att de redan sällsynta människorna med rätt kompetens fortsätter vara tillgängliga vid höjd beredskap eller krig! Visualisera mera! På sajten csf.tools får vi en rolig möjlighet att visualisera hur olika krav-ramverk relaterar till NIST Cyber Security Framework. Än så länge finns inte OT-ramverken IEC 62443 eller NIST SP 800-82 med men jag har sett att det är ett antal som önskat sig det så det kommer nog. Tills dess är även de mer generella delarna också intressanta! Nya infall kring riskanalys! Allt säkerhetsarbete handlar i grunden om att bedöma och hantera risker. Jag snubblade nyligen över två artiklar på ämnet som utforskar lite nya vinklar i ämnet. De är verkligen helt olika inbördes sett, men gav i alla fall mig lite att fundera över. Den ena har titeln "A Threat-Intelligence Driven Methodology to Incorporate Uncertainty in Cyber Risk Analysis and Enhance Decision Making", skriven av Martijn Dekker och Lampis Alevizos. Titeln beskriver ganska väl vad den handlar om. Den andra är skriven av Mark F. Witcher och heter "Principles of Relational Risk Analysis (ReRA) - An alternative approach to understanding your risks". Ingen av dem fokuserar på OT-säkerhet men riskarbete är som sagt alltid relevant! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt nyhetsbrev kring OT-säkerhet men jag ser redan fram till nästa gång eftersom det kommer att bli ett jubileum då, det är den 50:e utgåvan av nyhetsbrevet! Nytt är också att nyhetsbrevet även annonseras på Mastodon. Den här gången funderar jag över framtiden i automationsbranschen, vi läser både en bok om Threat Hunting och vägledningar från Energimyndigheten, vi tittar på uppdateringar från MITRE, ser fram emot S4 och ett ny version av NISTs ramverk, jämför Common Criteria med IEC 62443, lyssnar på kloka tankar kring EUs CRA, funderar på om sårbarheter är viktiga, bestämmer oss för att vara aktiva, pekar på vägar för den som vill in i OT-säkerhetsbranschen, vi hittar en tidsmaskin i Linux och vi konstaterar att information vill vara fri på samma sätt som entropi är kung! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, på Mastodon, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Ut på jakt! Sqrrl, som sedan några år tillbaka ägs av Amazon, skapade för några år sedan en gratis bok: "Hunt Evil, Your practical guide to Threat Hunting" som jag tycker beskriver Threat Hunting på ett extremt bra sätt. Jag blev påmind om detta för ett tag sedan i samband med en diskussion om just detta ämne, som ju det finns väldigt många onödiga missförstånd kring. Dokumentet har verkligen ingenting specifikt med OT-säkerhet att göra men jag tycker de sätter fingret på väldigt många viktiga punkter. Med tanke på att just jakten är en av de absolut viktigaste delarna i vilken SOC som helst, så är det avgörande att vi har så få missförstånd som möjligt! Och utan en fungerande SOC skulle för övrigt jag säga att det nästan är omöjligt att bedriva ett vettigt säkerhetsarbete idag... Jag har varit inne på ämnet Threat Hunting tidigare i lite olika sammanhang om du vill läsa mer. Grundläggande krafter! Trogna läsare vet att jag pekat på kloka texter av Phil Venables emellanåt. Nu har han formulerat "De 6 grundläggande krafterna hos informationssäkerhet" som jag gillade och jag kunde förstås inte låta bli att reflektera över dem i ljuset av OT-världens förutsättningar. Hans 6 krafter är: 1. Information wants to be Free 2. Code wants to be Wrong 3. Services want to be On 4. Entropy is King 5. Complex Systems break in Unpredictable Ways 6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational) 1. Information wants to be Free Data leaks unless managed, access degrades without rules, and information is ethereal. You can think of this force in both senses of the word free, that is it innately wants to escape its boundaries as well as in the original context of the term, from Stewart Brand: “Information wants to be free. Information wants to be expensive....that tension will not go away”. Man brukar ofta höra att OT inte innehåller någon känslig information, men märkligt nog brukar informationen som pumpas ut ur OT-systemen efter att man "digitaliserat" ändå betraktas som känslig... I takt med att många OT-miljöer växer sig närmare sitt syskon IT-världen uppstår förstås en massa nya sätt för information att "läcka". Dessutom kan konsekvenserna av att information om OT-miljöns utformning läcker ut och kommer i fel händer, bli värre efter att IT och OT växt ihop genom att det kanske är enklare för en angripare att ta sig via "IT" till "OT". 2. Code wants to be Wrong Bugs are inevitable, in all their forms, across the spectrum of requirements, design, and implementation. Some bugs are security vulnerabilities and exploitable bugs can become a realized risk. I first heard this from Bob Blakley many years ago. Precis samma sak gäller förstås även i OT-världen, möjligen med skillnaden att felaktigheter tenderar att vara kvar längre eftersom man drar sig för att uppdatera "i onödan". För de som programmerar PLC:er vill jag påminna om projektet "Top 20 Secure PLC Coding Practices" som verkligen tar hand om många säkerhetsproblem genom kloka sätt att programmera. 3. Services want to be On Unless positively constrained, attack surfaces grow. Risk is proportional to attack surface. Unknown services are never checked. There is a Murphy’s Law corollary of this which could be stated as: services want to be on, unless you really want them to be on and then they often fail. I OT-världen tror jag att detta oftast uppstår under felsökning, när man i lätt panik provar att slå av och på alla möjliga funktioner i något slags mer eller mindre ostrukturerad blindbock-variant av analys. Ett annat vanligt sammanhang är helt säkert vid tester och uppgraderingar när man gärna slår av säkerhetsfunktioner "tillfälligt". 4. Entropy is King Unchecked controls fail over time, untested resilience fades gradually and then suddenly. Constant counterbalance is needed. Everything degrades unless countered with a force to keep it in place. This is why continuous control monitoring and, in effect, “control reliability engineering” is so essential. Den här kan vara extra lurig när det kommer till OT. Det är vanligt att man har som viktigaste prioritet att inte råka "störa" produktionen, vilket tenderar att gå ut över regelbundna tester av redundanta funktioner, backup-återläsning och annat som är till just för att produktionen inte ska "störas" och som bara förväntas fungera någon gång i framtiden när de plötsligt behövs. Manuella rutiner är ett annat klurigt område, då det är lätt att missförstånd eller tidsbrist gör att den manuella rutinen inte utförs längre. 5. Complex Systems break in Unpredictable Ways Simple systems that work may still collectively fail when composed together - and will often do so in unpredictable and volatile ways. Det gäller förstås även när säkerheten fallerar. En vinkel på detta inom OT är att man väldigt ofta inte har full kontroll över hur komplex den egna OT-miljön faktiskt är. Ett mycket vanligt utfall när man testar en inventeringslösning är att mängden komponenter plötsligt "ökar" väldigt mycket. Men det är klart, känd komplexitet är 100 gånger bättre än okänd komplexitet, alla dagar i veckan! 6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational) The macro/micro economics of information security are important to align incentives. This can help to ensure we reduce the right risks in prioritized order factoring in opportunity and productivity cost. Att vi ska sätta rätt mätvärden och belöningar vet alla, problemet är att vi sällan kan definiera riktigt bra mål. Det är väldigt sällan jag träffar på en verksamhet som mäter sina produktionsenheter på både produktionsutfall och risk/säkerhet. Och om jag hade det perfekta svaret på hur man formulerar det på ett bra sätt hade jag varit en rik konsult... Bottom line: new issues and risks surface all the time. The more we can resolve those to some basic forces, and counter (or use) those forces - the less likely we will be surprised by those new issues. Precis så! Inom OT är det tyvärr vanligt att man försöker jaga ikapp sårbarheter med samma metoder som IT använder. Det handlar ofta om att man fokuserar på att förebygga och därmed minska sannolikheten för att något jobbigt kan hända. I de flesta sammanhang är det vettigare att istället först ta hand om de värsta konsekvenserna och bygga robusthet i den fysiska processen. Linux innehåller en tidsmaskin! Med tanke på hur länge OT-utrustning tenderar vara i drift kan det vara hög tid att fundera på nästa "År 2000-problem" som drabbar oss 2038. I mitten av Januari 2038 kommer nämligen alla system som bygger på tideräkningen från Linux att plötsligt åka tillbaka i tiden till december år 1901! Med tanke på hur mycket utrustning som innehåller olika varianter av Linux-system så står vi inför jobbiga tider... Att det här ska vara löst kan det vara dags att börja ta med som krav när ni köper system framöver? Wikipedia har en bra genomgång. Nybörjare inom OT? Jag får emellanåt frågor kring hur man bäst tar sig in i OT-säkerhetsbranschen. Personligen tror jag man har enorm nytta av att ha arbetat med något annat i verksamheter där OT är viktigt - inte för att lära sig om OT-säkerhet utan för att det ger en bra förståelse för fokuset på Safety-frågor, hur viktig stabil produktion är och vad som är typiska utmaningar i vardagen. Till det måste man förstås lära sig en massa kring automationsteknik hur den används i processautomation. Och så måste man förstås lära sig en massa om själva säkerhetsarbetet inom OT. Här kan jag tipsa om två artiklar (Artikel 1 och Artikel 2) av Manjunath Hiregange där en massa bra resurser raddas upp! Han publicerade förresten också nyligen en sammanställning över metoder för assessments. En annan resurs skriven av Dieter Sarrazyn innehåller också mycket godis! Mycket nöje! Vi har fått vägledning! Energimyndigheten har publicerat 47 sidor vägledning till den NIS-föreskrift som kom förra året. Som de flesta föreskrifter innehåller den "Allmänna råd" som inte alltid är är så hjälpsamma som man kan tro av namnet. Därför är en vägledning av det här slaget väldigt användbar för att det ska bli lite tydligare hur kraven ska tolkas i praktiken. Som en liten extra bonus får man referenser till standarder och ramverk som är relevanta för respektive krav. Snyggt! Att vägledningen är användbar för de organisationer som berörs av tillsyn från Energimyndigheten är ju uppenbart men jag tror den kan vara bra som hint om ungefär vad vi kan vänta oss från övriga tillsynsmyndigheter framöver. Nu har Energimyndigheten satt nivån, upp till bevis övriga myndigheter! MITRE uppdaterar CWE! MITRE som kanske är mest känt för sitt ATT&CK-ramverk har fler strängar på sin lyra. En av dessa är CWE, Common Weakness Enumeration, som är ett systematiskt sätt att beskriva svagheter i mjuk- och hårdvaror. De annonserade just att de gjort ett ganska omfattande lyft i CWE för att få detta att passa ännu bättre i OT-världen. Du kan ha stött på CWE i sårbarhetsannonseringar, ofta tillsammans med akronymerna CVE och CVSS. CWE beskriver vad det är för svaghet som orsakar sårbarheten, CVSS försöker beskriva allvarlighetsgraden på en skala som går upp till 10.0 och CVE är ett löpnummersystem som hjälper oss att referera till rätt sårbarheter. CWE kan kännas lite akademiskt och överarbetat, men personligen gillar jag att det hjälper mig att tolka sårbarhets-annonseringar enklare. Det blir ett enhetligt sätt att beskriva problemet, istället för att varje leverantör eller säkerhetsforskare ska hitta egna ord. Hur blir framtiden? Rafael Maman från Sygnia har publicerat ett riktigt roligt, bra och vasst formulerat papper som tar avstamp i vad som historiskt ligger bakom många av dagens sätt att arkitekturellt jobba med OT-säkerhet och ställer det mot initiativ som de tänker sig kan vara framtidens sätt att bygga automationssystem. Man pekar främst på O-PAS från OPAF (Open Process Automation Standard från Open Process Automation Forum) som vår bästa chans och med NAMURs NOA (NAMUR Open Architecture) som ett tänkbart alternativ. Jag ska inte ge mig på att återberätta innehållet, det är väl värt att läsa för sig. Jag håller med om det mesta som de skriver om även om jag inte har någon stark åsikt om hur framtidens automations-system kommer se ut. Om du läst mina texter förut vet du att jag gillar NAMURs NOA-arkitektur, åtminstone när det handlar om hur man får in IIoT-teknik på ett bra sätt om man envisas med en klassisk Purdue-liknande modell. Ska man gissa så blir det förmodligen en blandning av de ledande tankesätten som till slut "vinner". Jag skulle gärna höra från dig som har erfarenhet och åsikter om bra och dåliga sätt att bygga automationssystem idag och i framtiden. Oavsett hur det blir så blir det intressant och den riktigt stora utmaningen blir väl det enorma skifte i kompetenser som kommer behövas för att ta oss i en ny riktning. Snart smäller det i Miami! Den 13:e februari drar årets S4-konferens igång och det blir fullsatt. Nu är alla biljetter slutsålda! Riktigt kul också med stort deltagande från vårt håll i världen, vi är tretton deltagare från Sverige och nästan lika många vardera från Danmark, Finland och Norge. Många bekanta namn och en hel del nya också. Ska bli riktigt roligt! Också roligt är att arrangörerna lägger väldigt mycket kraft på att hjälpa "worthy causes", dvs organisationer som på olika sätt arbetar för att stötta samhället. De får alldeles gratis de bästa utställarplatserna. Räkna med att jag återkommer i nästa nyhetsbrev med en väldig massa nya intryck! Blir det bara hälften så bra som sist så kommer jag ändå vara nöjd. Jag passar på att bjuda på en inspelning av en draging som Joe Slowik höll förra året: NIST Cybersecurity Framework 2.0! NIST har dragit igång arbetet med en uppdaterad version av sitt användbara ramverk CSF. I ett "Concept Paper" beskrivs vad målen är och hur man tänker sig att detta ska gå till. Enligt planen ska allt vara klart om ungefär ett år. En stor skillnad verkar bli att man bryter ut alla delar som har med Governance att göra (främst från Identify) och lägger då till en ny funktion "Govern" till de gamla fem (Identify, Protect, Detect, Respond och Recover). Jag tror det kan vara ett bra sätt att komma åt säkerhetsarbete som bara går ut på att kunna bocka av kravlistor. Det verkar också bli mycket fokus på Supplychain-säkerhet och på att mäta säkerhetsförmågor. Jag gillar det nuvarande ramverket och tycker att NISTs tankar om nästa version låter vettiga. Det ska bli spännande att se hur kommande utkast ser ut! Vilken är bäst? Apropå ramverk och standarder så snubblade jag över en rapport från UL nyligen som jämför Common Criteria med ISA/IEC 62443, vilket är en jämförelse som jag inte stött på så ofta. För att de ska vara jämförbara så får man fokusera på del 4 av 62443 som ju också handlar om krav på produkter. Det här är förvisso ett område som kan tänkas bli mycket mer intressant framöver med tanke på EUs kommande krav på certifiering av produkter inom EUCC, "EU Cybersecurity Certification", som vad jag förstår är tänkt att bygga på Common Criteria. EUCC är i sin tur kopplat till CRA (som jag skrev om i förra nyhetsbrevet) där alla "kritiska produkter" ska certifieras. Det är verkligen mycket på gång från EU samtidigt! Mer om CRA! Om du blev nyfiken efter min text om de nya CRA-regleringen från EU i förra nyhetsbrevet och vill höra mer om detta kan jag rekommendera en inspelning från en riktigt bra dragning som Dataföreningen hade. Per-Erik Eriksson och Olle E. Johansson berättade om det liggande förslaget och framhåller en rad viktiga poänger. Inte alls inriktad på OT-säkerhet men väldigt intressant! Dataföreningen kommer köra fortsatta diskussioner kring CRA en gång i månaden även framöver och träffarna är öppna även för dig som inte är medlem. Första gången var i slutet av Januari då man fokuserade på utmaningarna för Open Source-världen. Just CRA och Open-Source var ämnet för ett debatt-inlägg på "The Register" nyligen, där Rupert Goodwins ondgjorde sig över hur detta kan påverka FOSS, "Free and Open Source Software". Många bra argument och en del intressanta kommentarer också, där den här blev en favorit: Apropå EU-regelverk så siktar vår svenske minister för civilt försvar, Carl-Oskar Bohlin, enligt en intervju mot att NIS2 kommer bli svensk lag redan i år! Det är i så fall imponerande snabbt om det är ett korrekt citat! De 21 månader som EU pekat på är ju förvisso maxgränsen för implementation i respektive land! Sedan vill det förstås till att nya och gamla tillsynsmyndigheter hinner bygga upp tillräckligt med kompetens och resurser för att möta den tidplanen. Spännande! Klokskaper från ISA GCE! Hos ISA GCE, ISAs Global Cybersecurity Alliance, har man dragit igång en artikelserie i tolv delar om hur man bygger ett OT-säkerhetsprogram skriven av Muhammad Yousuf Faisal. Än så länge finns fyra delar ute och jag tycker det ser riktigt lovande ut, det är mycket klokskap utan att bli långrandigt. De fyra första delarna handlar om: Säkerhetsanalyser och granskning. Policies och governance. Nätverksarkitektur och segmentering. Intrångsdetektering och anomalianalys. Kritisk infrastruktur med WEF i Davos World Economic Forum hade i mitten av Januari sitt stora årliga möte i Davos. En intressant diskussion kring kritisk infrastruktur mellan Øyvind Eriksen VD för norska Aker, Robert M. Lee som grundade OT-säkerhetsföretaget Dragos, Josephine Teo som är minister för cybersäkerhet i Singapore, Albaniens premiärminister Edi Rama och ledd av James Harding sätter fingret på en rad viktiga poänger. Tack! Ett varmt tack till de som hört av sig så här långt angående mitt lilla tiggarbrev i förra nyhetsbrevet, det uppskattas verkligen! Önskemålet finns kvar och det behöver verkligen inte vara nya saker eller i perfekt skick - tvärtom så är det ju ofta de äldre sakerna som är mest utmanande i OT-världen. Siffror, träd och sårbarheter! Man kan ha många åsikter om kring sårbarhetsforskning inom OT-världen. Är det meningsfullt eller till och med viktigt? Vad är i så fall viktigast och varför? Om man tycker att sårbarheter ändå är lite meningsfulla att hålla koll på så har SynSaber i en rapport tittat närmare på några aspekter av alla OT-sårbarheter som rapporterades under andra halvan av 2022. Det finns en del att fundera kring i materialet! Nyligen släppte amerikanska CISA sin guide "CISA Stakeholder-Specific Vulnerability Categorization Guide" som just beskriver en träd-liknande metod för att prioritera sårbarheter utifrån hur den egna organisationen påverkas. Att metoden fick ett namn som förkortas "SSCV" är förstås ingen slump utan en skämtsam koppling till "CVSS" som ju är den förhärskande metoden att ge sårbarheter en allvarlighetsgrad mellan 1 och 10. Basversionen av CVSS är i grunden per definition helt opåverkad av enskilda organisationers förhållanden och tittar bara på sårbarheten i sig själv istället för att väga in faktisk exponering, svårighet att åtgärda och verkliga konsekvenser som andra metoder ibland väger in. Någon som definitivt tycker att det fokuseras för mycket på att jaga sårbarheter är grundaren av Dragos, Robert M. Lee. I en artikel jag läste nyligen ger han uttryck för detta. Han är noga med att påpeka att det inte är oviktigt, men att det inte hör till de viktigaste åtgärderna och att man måste titta på helheten kring vilka risker man utsätter sin anläggning för. Jag håller verkligen med om att sannolikheten att råka störa en verksamhet via en OT-patch ofta är större än att sårbarheten man åtgärdar faktiskt utnyttjas av en hacker! Jag tittade förresten nyligen på formlerna som ligger bakom uträkningen av en sårbarhets CVSS-poäng sedan version 3.1. Jag får erkänna att jag blev lite chockad över den oväntade komplexiteten, man hittar en del sådana här uttryck. Ja, det är "upphöjt till femton"! Nytt från ISA! För den som rör sig i gränslandet mellan "Security" och "Safety" kan draft-versionen av utgåva 3 av ISAs tekniska rapport "ISA-TR84.00.09-2023 Part 1: Cyber Security Related to the Safety Lifecycle" vara riktigt intressant. ISA tar tacksamt emot kommentarer ett tag till. Alltid kloka Sarah Fluchs har gjort sin analys tillgänglig på LinkedIn. Att ta sig från IT till OT... Clarotys forskargäng Team82 har publicerat en artikel kring hur sårbarheter i en Historian-mjukvara från GE skulle kunna användas som språngbräda för en angripare som vill ta sig från ett IT-nätverk in i ett någorlunda välskyddat OT-nät. De aktuella sårbarheterna publicerades i mitten av januari men det är inte sårbarheterna i sig som är intressanta. Det viktiga är att det trycker på hur viktigt det är att skydda systemen som sitter mellan IT- och OT-världarna. Ett extremt vanligt exempel är just Historian-system som sitter där för att samla in information från OT-sidan och göra den tillgänglig på IT-sidan. Det här illustrerar väldigt tydligt att det inte räcker med att bara göra grunderna i säkerhetsarbetet, i det här fallet ha ett DMZ-nät och dubbla brandväggar, för att känna sig "färdig". Exempelvis är aktiv övervakning av trafiken viktig och förstås att man har designat kommunikationen mellan de olika systemen på ett sätt som begränsar exponering och attackytor. Våga vägra vara passiv! En gammal "sanning" som jag personligen inte ställer upp på längre är att det är omöjligt att köra aktiva skanningar i nätverk med ömtåliga OT-produkter. Visst finns det saker att se upp med och man kan definitivt inte bete sig som "IT-folket" gör i sina nätverk. Men med en OT-anpassad produkt får man generellt mycket bättre resultat än att enbart förlita sig på att passivt lyssna på existerande nätverkstrafik. Jag tycker att RunZero (före detta Rumble, grundat av HD Moore) formulerade det bra i en text nyligen. Visst, de är verkligen part i målet, men jag håller definitivt med i princip. Nu kan jag inte uttala mig om just deras produkt, den har jag för lite erfarenhet av, men aktiv skanning är definitivt något som man har nytta av i insamlingen av fullständig inventarie-information med hjälp av OT-anpassade verktyg som OTORIOs RAM2, Claroty eller Nozomis Guardian. Ett botemedel mot panik! OT-säkerhetsbranschen är svår att navigera med väldigt mycket buzzwords och med extremt mycket skrämselpropaganda. Om du vill ha lite blodtrycksdämpande intryck så rekommenderar jag nedanstående video med Ralph Langner. Den har förvisso ett par år på nacken så detaljerna stämmer inte fullt ut längre, men i grunden har han (som vanligt) några riktigt bra poänger. Några event... Nu börjar planeringen för årets events komma igång. Om du är på plats på några av dessa tillställningar kommer vi kanske ses där? Jag kommer köra ett pass kring kopplingen mellan NIS2 och OT-säkerhet på den spännande konferensen "Cyber security: Kritisk Infrastruktur" i Stockholm den 28:e mars. På Elektronikmässan i Göteborg den 19:a April kommer jag delta i en "expertpanel" som arrangeras i samband med en lansering. Jag återkommer med mer detaljer kring detta. Det är fler på gång men som fortfarande diskuteras. Det kan väl inte "SCADA" att vara med på en viss OT-säkerhetskonferens till hösten eller några roliga leverantörs-event? Orolig för DCOM och OPC Classic? I ett nyhetsbrev nyligen skrev jag om Microsofts tvingande förändringar och/eller förbättringar i DCOM som slår igenom snart och då riskerar att störa en rad applikationer som exempelvis använder OPC Classic. Vännerna på OTORIO har nu släppt ett gratisverktyg som kan hjälpa till att hantera utmaningarna kring detta. Det är ett PowerShell-skript som du hittar på Github. OT-fiske? Mandiant har gjort en intressant studie kring phishing-mejl med innehåll som kan tänkas vara fokuserade på att lura mottagare i "OT-världen". Det här är ju något som är värt att fundera på. Personligen tror jag vi kommer börja se mycket mer phishing framöver som är skruvade mot OT-folk. Det går ju rimligen att göra dem riktigt bra med tanke på hur lätt det är att ta reda på vilken typ av verksamhet man sysslar med. En variant på detta är förstås vattenhål-attacker där angriparen sprider intressanta länkar i ett användarforum eller någon annan plats där man tenderar att lita mer på innehållet. Kranar! Amerikanska myndigheter har dragit igång en undersökning kring en rad typer av säkerhetshot kopplade till kranar i hamnar. Det verkar vara en komplex historia som inkluderar fysisk övervakning via kameror, störningar i GPS-system och mystiska containers ombord på fartyg. Kranar i hamnar är förstås en känslig komponent, dels för att de är viktiga för väldigt leverantörskedjor men också för att de kan ha en del oväntade integrationer till både IT- och OT-världen. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången har jag två världspremiärer! Dels berättar jag om den första krypto-attacken någonsin mot en OT-komponent. Det är också premiär för en gästskribent, min kollega Johanna skriver om likheter mellan hållbarhetsarbete och det som många organisationer står inför kring NIS2. Du får också en djupdykning i nya regelverket CRA från EU, säkerhet i både fartyg och brandbilar, SANS-utbildning i Sverige, ett nytt dokument i 62443-standarden och vad man borde tänka på när man tar bort en säkerhetsåtgärd. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Be careful what you wish for... Tänk om bara någon kunde börja ställa krav på ett bra säkerhetsarbete i tjänster som är viktiga för samhället! ...och om någon kunde kräva att tillverkarna tar ansvar för säkerheten i alla IT- och prylar! ...och att alla som bygger potentiellt farliga maskiner funderar på riskerna med modern teknik! ...och att även "svåra" branscher kräver cybersäkerhet i komplexa produkter, typ för fartyg och bilar! Man får vara försiktig med vad man önskar sig. Det kan bli sant - och vad gör vi då? Det är fantastiskt att se att flera tunga och tonsättande organisationer just nu och nästan samtidigt utvecklar riktigt kraftfulla krav på säkerhetsarbete inom påverkar OT-säkerhet enormt mycket. EU har verkligen kommit igång, i det här nyhetsbrevet skriver jag om efterträdaren till maskindirektivet, den nya CRA-förordningen och vår favorit NIS2-direktivet. Dessutom är det ju en radda andra kravmassor på gång från EU kring finansmarknaden, AI, radioutrustning och samhällsviktig verksamhet för att nämna några. Bilbranschen är mitt uppe i att implementera FN-kraven UN R155 och R156. Och som jag skriver om lite längre ner, fartygsbranschen får nya krav från klassningsorganisationerna som börjar gälla 1:a Januari 2024. Personligen tycker jag det är fantastiskt! Men visst kommer många få det lite kämpigt och det kommer innebära att spelreglerna på marknaden ändras en del! Än så länge är det fortfarande ganska lugnt i media och bland konsultköpare (förutom i bilindustrin) men vänta ett år eller två... Säkerhetsbranschen är definitivt rätt ställe att vara på framöver! En djupdykning i CRA! Nu när du har börjat (?) arbeta med förberedelserna inför NIS2, CER och DORA så är det ju dags att titta vidare på nästa spännande EU-krav, CRA, "Cyber Resilience Act". Eller som den heter i det officiella förslaget: "regulation... on horizontal cybersecurity requirements for products with digital elements..." Det är viktigt att notera att detta inte är ett direktiv utan en förordning ("regulation"), vilket i EU-världen betyder att den gäller direkt i alla medlemsländer utan att det behövs någon nationell lag. NIS2 är ju ett exempel på ett direktiv, vilket innebär att kraven implementeras som en lag i varje enskilt land. Att man valt att göra CRA till en förordning är säkert för att det är så viktigt att den hanteras precis på samma sätt i alla länder. Vad handlar CRA om då? Det är helt enkelt att EU kräver att man ska kunna visa att tekniken är cybersäker för att man ska få lov att sälja den. Skulle det visa sig att den inte är det så har man dels ett ansvar att lösa problemet och man kan dessutom få böter om man missköter sig. Och det är inget dåligt scope, kraven omfattar alla typer av teknik som man vill kunna sälja inom EU! Scopet är definierat som "products with digital elements", vilket ju är ganska omfattande! Det handlar alltså inte bara OM-prylar utan om allt, även babymonitors och uppkopplade kylskåp. Det kallas för en horisontell kravmassa och med det menar man att den är tänkt att vara gemensam för så många olika områden som möjligt. Man undantar dock medicintekniska system, flygplan och motorfordon som redan har egna kravdokument. Även militär utrustning och produkter som är enbart avsedda för nationell säkerhet kommer undan. Vad betyder då "products with digital elements"? Här pekar man på både hårdvara och mjukvara men även "remote data processing solutions", dvs molnlösningar som ingår/stöttar i en produkt. Däremot exkluderar man exempelvis SaaS, "Software as a Service", och pekar istället på NIS2 som omfattar den typer av tjänster. Man har också ett tydligt undantag för gratis mjukvara, inklusive open-source och produkter som av andra skäl inte är kommersiella. På samma sätt undantar man test-versioner och liknande. Man använder det existerande begreppet "CE-märkning" för att indikera att man som tillverkare garanterar att man uppfyller kraven även på det här området. I kraven trycker man på områden som: hur man får tillhandahålla produkter design, utveckling och produktion av produkter hur ansvaret fördelas mellan alla parter som är inblandade krav på hantering av sårbarheter under hela produktens livscykel Om man är OT-intresserad så märker man direkt att det är ett väldigt fokus på området. Man använder inte begreppet "OT" så mycket utan pratar om IACS ("Industrial Automation and Control Systems"), vilket är det begrepp som exempelvis 62443-standarden använder (än så länge). Men man kryddar även med andra begrepp för att budskapet ska gå fram, exempelvis "PLC", "SCADA", "DCS", "CNC", "Robot controllers", "Smart meters" och "Industrial Internet of Things". Man gör en direkt koppling till det nya maskindirektivet och säger att produkter som man deklarerat som att de uppfyller CRA därmed ska ses som att de uppfyller motsvarande krav i maskindirektivet. Det finns direkta hänvisningar till NIS2, vilket exempelvis gör att en PLC som ska kunna användas av en verksamhet som faller under den högre graden av känslighet i NIS2, "Essential" direkt hamnar i den näst högsta kravnivån i CRA, "Critical product - Class II". Lite snärjigt att förstå men det är bra att det hänger ihop! Det finns som sagt flera kravnivåer, närmare bestämt fyra stycken. "Product" - Alla prylar som inte hamnar i en högre klass. Här ställs det en massa krav på produkten och på leverantören för att man ska få sälja produkten. "Critical product - Class I" - I ett appendix till förordningen finns en lista med produkttyper som gör att den är "Critical". Här räknas lite allt möjligt upp som är viktigt för säkerheten, exempelvis lösenordshanterar, SIEM-system, nätverksövervakning, remote access, brandväggar osv. Den lägre klassen "Class I" är allt som inte är "Class II". "Critical product - Class II" - Den högre klassen är exempelvis operativsystem, virtualiseringsplattformar, PKI-lösningar, microprocessorer, HSM-system, kryptoprocessorer, smartcards med läsare och robotar. Produkter som är avsedda för "industrial use" pekas ut speciellt: Brandväggar, IDS/IPS, mikroprocessorer och switchar. Om de ska användas av "Essential entities" enligt NIS2 ingår även PLC:er, SCADA, DCS, CNC-maskiner (!) och IIoT-prylar. "Highly critical product" . Här krävs en certifiering av produkten enligt "The EU cybersecurity certification framework" för att den ska vara godkänd att sälja. Just nu är det oklart vilka typer av produkter som är tänkta att hamna här men det hintas om att verksamheter som är "Essential" enligt NIS2 skall använda den här typen av produkter! Ramverket för certifiering är inte heller färdigt ännu. En sak som exempelvis skiljer mellan "Class I" och "Class II" av Critical produkts är att man behöver anlita en extern granskare i den högre nivån. Några exempel på krav som gäller i alla nivåer är "security by default", skydd mot obehörig användning, skydd av information, tålighet mot attacker, minimerade attackytor och loggning av säkerhetshändelser. När åtgärder för en sårbarhet publicerats måste leverantören offentliggöra detaljerad information om detta! Uppdateringar för sårbarheter måste dessutom vara gratis och tillgängliga utan fördröjning. Leverantören ska kunna säkerställa att sårbarheter kan åtgärdas med uppdateringar under den kortaste tiden av fem år eller produktens förväntade livslängd. Leverantören ska dokumentera sårbarheter och komponenter vilket inkluderar en maskinläsbar "Software Bill Of Materials", SBOM. Om du läste mitt förra nyhetsbrev så ondgjorde jag mig där över att vissa leverantörer vägrar offentliggöra sårbarheter och rättningar. CRA kommer alltså att styra upp det beteendet ganska ordentligt och dessutom tvinga leverantörerna att tillhandahålla rättningarna gratis! Bra där! Här och där trycker CRA på ett av favoritämnena från NIS2, nämligen säkerhet i leverantörskedjorna. Exempelvis ska man utöva "due dilligence" när man inkluderar komponenter från tredje part, dvs man kan inte skylla på sina underleverantörer om något går snett... Får man smisk om man inte sköter sig enligt kraven? Ja, det får man väl säga... De exakta nivåerna sätts per land i nationell lag men förordningen sätter följande högsta nivåer: Det högsta av 15 MEUR eller 2.5% av global omsättning om man bryter mot de grundläggande tekniska kraven. Det högsta av 10 MEUR eller 2% av global omsättning om man bryter mot något annat krav. Det högsta av 5 MEUR eller 1% av global omsättning om man vilseleder myndigheterna. Viktigt är också att ovanstående även gäller privatpersoner! Det är alltså inte bara företag som kan få böter i det här sammanhanget. Det är också här som en stor källa till kritik mot CRA finns. Olaf Kolkman har beskrivit det bra i sin artikel där han bland annat pekar på risken att den viktiga Open Source världen påverkas negativt av kraven i CRA. Även om det finns undantag för Open Source så finns det ofta en kommersiell del av stora projekt för att finansiera arbetet. Det skulle också kunna tänkas slå mot plattformar som GitHub eftersom de kan betraktas som distributör av mjukvara, vilket ger dem ett ansvar för dess säkerhet. Att CRA kommer bli något av en revolution är ganska klart. Men det finns mycket att fundera på, inte minst inom OT-världen. Hur ska man exempelvis se på grundkravet "Products with digital elements shall be delivered without any known exploitable vulnerabilities" när vi vet att många nätverksprotokoll som vi använder helt saknar säkerhetsfunktioner? Man pekar också uttryckligen på leverantörens ansvar för skador som uppstår om "Security-brister" leder till "Safety-brister" som i sin tur drabbar kunden. Något som förvånar mig är att man begränsat ansvaret till 5 år för att tillhandahålla säkerhetsrättningar. Med tanke på typiska livslängder på OT-utrustningar är det väldigt kort! Existerande produkter omfattas bara om man gör "stora förändringar" i deras design eller användningsområde. Detta gäller dock med ett viktigt undantag! För existerande produkter får tillverkaren omedelbart ett ansvar att meddela ENISA om sårbarheter som aktivt utnyttjas och också att meddela om säkerhetsincidenter som påverkar produktens säkerhet. Förslaget lades i september och har nu börjat manglas genom EUs kvarnar. Du hittar grunddokumentet och bilagorna på EUs fina web, där du även kan följa arbetet. När det är klart ska det börja gälla efter 24 månader förutom kravet på att meddela ENISA om utnyttjade sårbarheter och säkerhetsincidenter som gäller redan efter 12 månader. Mer forskning tack! Apropå kontroversiell sårbarhetsforskning inom OT-världen som jag skrev om i förra nyhetsbrevet och nu igen i texten ovan om CRA, så skrev Michael Yehoshua från SCADAfence nyligen en intressant artikel där han beskriver varför den typen av forskning är viktig. Det finns ju en del grupper som hävdar att det är meningslöst vilket varken Michael eller jag håller med om. Vad tycker du? Maskindirektivet är dött! Länge leve Maskinförordningen! Maskindirektivet har funnits i många år och är tänkt att ställa krav på potentiellt farliga maskiner. Om nu CRA är tänkt att styra upp "Cybersäkerheten" i alla IT/OT/IoT-prylar så tar Maskindirektivet hand om den där delen av säkerheten som heter "Safety" på engelska. Men eftersom även potentiellt farliga maskiner numera innehåller en massa modern teknik så finns det ett stort överlapp mellan de två. EU har identifierat en radda problem med det nuvarande maskindirektivet som de vill komma till rätta med genom att göra en rejäl uppdatering, exempelvis: Modern teknik hanteras inte på ett bra sätt. Man lyfter en rad exempel som co-bots, uppkopplade maskiner, mjukvaruuppgraderingar, autonoma maskiner och andra utmaningarna med att göra riskanalyser av applikationer som använder AI och machine learning. Oklart språk som leder till leder till juridiska oklarheter och gap i safety-tänket. Det har gått 15 år sedan man gjorde listan över vad som betraktas som högrisk-maskiner, mycket har ändrats sedan dess. Det nuvarande direktivet kräver dokumentation på papper! Bara här har man uppskattat en kostnadsbesparing på 16 Miljarder Euro per år genom att gå över till digital lagring. Direktivet är ett direktiv vilket gör att det implementerats olika i olika länder. I det nya förslaget är maskindirektivet inte längre ett direktiv, utan precis som CRA, en förordning (regulation). Det kommer bli jobbigt att tänka om och börja säga "Maskinförordningen"! Men det är bra att reglerna implementeras mer lika i alla EUs länder! Värt att notera är att både nuvarande och kommande regler inte bara definierar en lägsta nivå och utan säger också att länder inte får ställa högre krav! Maskinförordningen och CRA är väldigt lika på många sätt. Inte minst verkar man ha liknande tänk kring ansvarsfördelningen mellan tillverkare, importörer och andra som ser till att en produkt finns på marknaden. Däremot skiljer det exempelvis på så sätt att länderna själva styr över böter och sanktionsavgifter som kan drabba en organisation om man bryter mot regelverket. Jag har tittat närmare på en text från i somras som är något slags arbetsdokument, fyllt av ändringar och tillägg. Man gick nyligen ut och sa att man har kommit överens politiskt men det betyder ju inte att detaljerna är klara... Det verkar som det kommer bli ytterligare en del förändringar så jag avvaktar med en djupdykning i detaljerna ett tag. Vi får se när texterna blir färdigförhandlade. I den senaste texten jag sett pratar man om 36 månader som startsträcka för dem som omfattas. Helt klart är att det kommer ställas en hel del nya och utmanande krav på er som bygger maskiner i olika former! Här vill det till att stå på tå när kraven börjar klarna! Slutgiltig NIS2 på svenska! Jag tog mig en liten stund för att läsa den slutgiltiga versionen av NIS2, speciellt nu när den är tillgänglig på svenska. Här är lite snabba punkter som jag inte hade uppfattat fullt ut tidigare: Länderna får själva bestämma om NIS2 ska appliceras "offentliga förvaltningsentiteter på lokal nivå", vilket jag tolkar betyder att Sverige själv kan bestämma om NIS2 ska gälla för kommuner och kommunala verksamheter. På samma sätt kan länderna bestämma att reglerna gäller högskolor som utför "kritisk forskningsverksamhet". Ett land får fritt besluta om högre krav än de som finns i direktivet. Ett väldigt starkt krav på att ledningen för berörda organisationer är utbildade och tar aktivt ansvar för riskarbetet kring cybersäkerheten. Ledningen ska kunna ställas till svars om det inte sker på ett tillräckligt bra sätt. Både länderna och EU-kommissionen får peka ut verksamheter och typer av verksamheter som måste använda tekniska lösningar som säkerhetscertifierats enligt EUs kommande regler. Tillsynsmyndigheter har rätt att tillfälligt förbjuda en VD eller ett juridiskt ombud för en organisation att utöva ledningsfunktioner i väsentliga organisationer. Det vill säga att en VD som inte ser till att säkerhetsarbetet sker på tillräckligt bra sätt får sitta i skamvrån! Länderna har 21 månader på sig att skapa de bestämmelser som krävs för att implementera NIS2. När bestämmelserna finns på plats ska reglerna börja gälla direkt! Av dessa är kanske punkten om att det kan komma bestämmelser om att man måste använda certifierade tekniska lösningar allra mest intressant! Det kan förstås göras på väldigt många olika sätt så det är svårt att förutse hur det kommer att slå. Att det kommer bli en rejäl utmaning är helt klart och i synnerhet för OT som ju extremt ofta baseras på teknik som med flit är utformad för att prioritera driftsäkerhet över skydd mot angrepp. Vill du läsa mina tidigare tankar om NIS2 så rekommenderar jag nyhetsbrev #44, #36 och #32. Hållbarhet och NIS2 - En gästspaning! Jag har det stora nöjet att släppa in min kära kollega Johanna Parikka Altenstedt som gästskribent. Hon har ett rikt och imponerande förflutet som gör att hon kan dela med sig av spännande spaningar kring likheterna mellan det hållbarhetsarbete som många organisationer är på väg igenom och det säkerhetsarbete som samma organisationer står inför tack vare NIS2. Tack för spännande vinklar på ämnet, Johanna! Vi bör lära oss av hållbarhetsresan inför arbetet med NIS2 När EU-direktivet NIS2 om cybersäkerhet träder in med full kraft, kommer en organisation som inte har gjort sin hemläxa inom cybersäkerhet få det hett om öronen, om den drabbas av en incident som skapar risker eller skada. Bristerna i säkerheten kommer att skugga organisationens branding och minska trovärdigheten inför kunder, klienter, intressenter, ägare och aktieägare samtidigt som man utsätter sig för stora ekonomiska risker i form av möjliga straffavgifter och eventuellt ogiltiga försäkringar. Allt på grund av bristande risk- och sårbarhetsanalyser samt på grund av onödigt risktagande. Men genom att studera hur hållbarhetsarbetet har utvecklats under det senaste decennium kan man faktiskt ta itu med säkerhetsutmaningar på ett effektivt sätt. Stora krav på gång Den som sätter sig in i det kommande nya direktivet om säkerhet i nätverk och informationssystemet, NIS2, kan lätt drabbas av en viss utmattning när man inser vilken ambitionsnivå och vilka krav direktivet för med sig till medlemsländerna i EU. NIS2 ska implementeras i hela unionen inom 21 månader från att slutlig fastställd text publicerats i EU:s offentliga tidning. Direktivet gäller från det datumet och träffar såväl privata som offentliga verksamheter enligt en klassificering baserad på deras storlek och verksamhetens nationella betydelse. De flesta större företag och alla offentliga organisationer kommer förmodligen att träffas av någon del av direktivet, och därmed blir de skyldiga att uppnå en hög säkerhetsnivå i sin verksamhet såväl gällande sin produktion och sina processer. Ansvaret för detta läggs uttryckligen på ledningen oavsett hur organisationsformen ser ut. Vidare blir verksamheterna ansvariga för hela sin värdekedja såväl nedströms som uppströms. Hållbarhetsresan som förebild Den som var med på hållbarhets- och CO2-resan från början ser en hel del likheter mellan den och den stundande säkerhetsresan. Ifrån att ha betraktat hållbarhetsanalyser som något som hålls internt i den egna organisationen och som man inte velat kommunicera så mycket om, har det idag blivit normaliserat arbete; effektiva hållbarhetsstrategier och policyn på plats, livscykelanalyser (LCA) görs från början av värdekedjan ända från ”cradle to grave” vilket innebär en identifiering av alla delarna från råvaruproduktionen, logistiken, energiförsörjningen, produktionen av varor och tjänster, expedieringen och konsumtionen/användningen, samt återanvändningen eller avfallshanteringen. En LCA räknar på data från varje del i processen för att få fram miljöpåverkan totalt. Vidare kopplas det sociala ansvaret och samhällsnyttan på detta genom Agenda 2030 målen. För detta har det skapats effektiva datahanteringssystem, avvikelsesystem och ledningssystem. Ansvaret för hållbarheten har också seglat upp från sakkunniga djupt inne i organisationer till ledarna i styrelserna och ledningsgrupperna. Inom PR, kommunikation och marknadsföring har man identifierat riskerna med att inte kommunicera om sitt hållbarhetsarbete som görs (som kan ju vara börspåverkande!) men även riskerna på green wash. Kommunikationscheferna har slitit med att lära organisationer att dumpa ordet ”miljövänlig” eftersom det som görs är inte för miljöns bästa, men i bästa fall neutralt och icke belastande. Idag är hållbarhetstänkandet, CSR-kommunikation och socialt ansvar main stream både inom medier, politiken och bolagsstyrelserna, och vi kan på riktigt följa hur arbetet fortskrider, vad som fungerar och diskutera nya utmaningar. Inspiration inför NIS2 Det är den här resan som skyddssarbetet har framför sig: att förankra säkerhetstänkandet och utbilda organisationer, lära nyckelpersoner förstå riskerna med utebliven cybersäkerhet, få styrelserna och direktörerna analysera de ekonomiska och brandingvärdena som finns förknippade med såväl välgjort säkerhetsarbete som med dåligt säkerhetsarbete. För detta behövs ett klokt arbete med strategier och policyn. Vidare behöver vi få kommunikationsenheterna att prata om säkerhet på ett relevant sätt och få HR att lägga rimliga utbildningskrav på organisationerna angående detta. Därtill behövs en utveckling av rapporteringssystem och ledningssystem som bidrar till att organisationer genomför ändringarna som krävs, och kan även följa kvaliteten i sitt arbete. Detta inkluderar rimligen alla certifieringssystem och ISO-kvalifikationerna. Sist men inte minst behövs ett gediget system för att få in data och synpunkter såväl från leverantörerna som entreprenörerna, och från kunderna, medborgarna och klienterna angående cybersäkerhetsarbete, risker och åtgärder. Och för att kunna göra det måste man identifiera vilka som träffas av NIS2. Det kan vara en idé att börja 2023 med ett inspirationssamtal med hållbarhetschefen och hitta synergierna mellan hållbarhetsarbetet och cybersäkerhetsarbetet. Det viktiga i båda är ju att man lever som man lär! Johanna Parikka Altenstedt, Senior konsult, AFRY Men sjöfarten då? Jag hade nyligen förmånen att delta i HAT-tester på ett sprillans nytt och väldigt speciellt fartyg. (Ja, HAT var ett nytt begrepp för mig också - FAT och SAT är man ju van vid, "Factory Acceptance Test" och "Site Acceptance Test". HAT är "Harbor Acceptance Test", vilket följs av SAT, men i det här fallet står det för "Sea Acceptance Test"!) I vilket fall som helst var det väldigt intressant att se hur långt fram sjöfarten ligger kring kravställning på OT-säkerhet. När jag tittade lite närmare på vilka regelverk som finns var det ytterligare en förkortning som fick en ny betydelse, IACS står i den här världen inte för "Industrial Automation and Control Systems" som vi är vana vid från IEC 62443 utan istället för "International Association of Classification Societies". Det är den organisation av tolv stora klassningssällskap, alltså organisationer som ställer krav på fartyg och "andra offshore-installationer" samt granskar att kraven uppfylls. Några kända namn är "Lloyd's Register", "Bureau Veritas" och "DNV", Det Norske Veritas". Det här är traditionstyngda organisationer där Lloyd's är äldst eftersom det grundades redan 1760! Deras ålder hindrar dem inte det minsta från att hänga med i sin tid, exempelvis genom att ställa krav på säkerheten i de tekniska systemen ombord. I våras släppte IACS två kravdokument E26, "Cyber resilience of ships" och E27, "Cyber resilience of on-board systems and equipment" som ställer krav på precis det som deras namn indikerar. Båda dokumenten gäller för nya fartyg som beställs från och med nästa nyår, 1:a Januari 2024, vilket verkligen inte gav någon lång startsträcka för de verksamheter som berörs! Mitt första intryck är att jag verkligen gillar hur man skrivit dessa dokument. Till en början pratar man om "tålighet mot cyberrisker", dvs man inser att det inte går att bygga bort att risker men fartyget ska kunna fortsätta fungera även om det utsätts för en cyberincident. Det är också positivt att man hållit nere omfånget på dokumenten, de är bara 32 respektive 14 sidor! Man har också snott bra koncept från andra etablerade ramverk och standarder, exempelvis NIST CSF och IEC 62443, vilket gör det lättare att hitta bra kompetens. Jag skulle till och med kunna gå så långt som att säga att de här dokumenten är perfekta underlag om man vill skriva en OT-säkerhetspolicy för vilken typ av verksamhet som helst! IACS har också en rad andra kravdokument kring exempelvis safety som man skulle kunna inspireras av när man vill bygga sitt eget regelverk. På S4x22 höll Dennis Hackney från ABS group ett riktigt bra föredrag om säkerhets-utmaningarna inom sjöfarten. Är du nyfiken på området så tar han upp många intressanta områden. Ett skamlöst tiggarbrev! Det har varit lite stiltje kring produkttester i nyhetsbrevet på senare tid men det hoppas jag kunna ändra på framöver. Precis som tidigare kommer jag bara ta upp saker som är värda att lyfta fram för att jag själv tycker de är bra och intressanta. Du kommer aldrig läsa en text där jag rackar ner på en produkt. De lösningar som jag inte gillar kommer inte synas här och möjligen kan du dra dina egna slutsatser kring vad du inte läst om här. Jag vill vara noga med att påpeka att nyhetsbrevet och dess texter är något jag står för helt själv utan någon som helst koppling till min arbetsgivare. (Förutom att jag även i den professionella rollen som säkerhetsrådgivare självklart gärna rekommenderar lösningar som jag gillar själv.) All tid och alla kostnader kring nyhetsbrevet står jag för själv. Som du kanske noterat kör jag heller inga reklambanners på sajten eller i texterna. För att kunna göra roligare och bättre teknik-tester framöver är jag nu på jakt efter alla sorters avlagda OT-prylar för att bygga upp nyhetsbrevets experimentverkstad hemma i källaren. Gärna äldre, men förstås är även modern utrustning av stort intresse! Både hårdvara och mjukvara! Hör väldigt gärna av dig om du har något som kan avvaras! mats@ot-sakerhet.se Säkra brandbilar! MSB och FOI har tagit fram en vägledning kring Cybersäkerhet i tunga räddningsfordon. Det kanske låter väldigt specialiserat men det finns dessutom en hel del råd som är väldigt allmängiltiga och som borde vara användbara, både för andra typer av fordon och i helt andra verksamheter. Det här är dessutom bara en liten del av ett stort arbete kring cybersäkerhet i fordon där vi bland annat hittar ett Faktablad, en kartläggning av elektroniska styrsystem, men också rapporter om både cyberfysiska sårbarheter i tunga fordon och om cybersäkerhet i smart vägtrafik. SANSlöst bra utbildning! I slutet av maj kommer SANS till Stockholm med ett utbildningsevent där en av kurserna är den uppdaterade ICS515: ICS Visibility, Detection, and Response. Som vanligt när det gäller SANS-kurser är det en riktigt bra och utmanande kurs. Sex dagar med massiv träning, som förvisso kostar en rejäl slant, men det är det värt! Jag har personligen bara bra saker att säga om SANS och deras certifieringsgrupp GIAC. För några år sedan extraknäckte jag som granskare av deras utbildningsmaterial och skrev även certifieringsfrågor, så jag kan verkligen intyga att man har ett unikt tänk, som verkligen ger riktig hög kvalitet på materialet och ovanligt meningsfulla certifieringar. Rekommenderas! Apropå SANS! SANS och Dean Parsons har just släppt del 2 av deras "ICS Cybersecurity Field Manual". Det är ett stycke extremt komprimerad kunskap om allt möjligt som är bra att ha koll på inom OT-världen! Missa inte att hämta del 1 också, båda är gratis! När du ändå är på deras sajt finns mycket annat bra material att hämta, både kring OT-säkerhet men också inom en väldig massa andra områden! Nytt på www.ot-säkerhet.se! På www.ot-säkerhet.se där du, precis som tidigare, hittar alla tidigare nyhetsbrev finns numera även en sökfunktion. Undrar du hur många gånger jag egentligen skrivit om NIS2, när jag senast testade något från Advenica eller om Slartibartfast och hans fjordar någonsin dykt upp så är det lite enklare att ta reda på nu. En världspremiär i Belarus? GhostSec, en av de hacktivistgrupper som jag skrev om i förra nyhetsbrevet. har annonserat på sin Telegram-kanal att de utfört världshistoriens första krypto-attack mot en RTU, Remote terminal unit. Som du kan se i texten nedan, verkar det vara en del av en attack mot utrustning i Belarus. I vissa analyser av detta har det slagits upp som en ransomware-attack men det verkar det ju alltså utan det tycks "bara" bara vara avsett att förstöra funktionalitet och/eller utrustning. Med tanke på ändelsen som läggs till på de krypterade filerna är det inte direkt någon oklarhet i vem de kämpar mot... Oavsett varför attacken utfördes så är den förstås väldigt intressant eftersom, vad jag vet, har de helt rätt i att det är första gången en RTU förstörts genom en krypto-attack. Det är fortfarande väldigt oklart för mig hur en "kommersiellt gångbar" ransomware-attack mot den här typen av utrustning skulle se ut men det får vi nog se, tids nog... Min egen tolkning av skärmdumparna är att det är en 3G-router från ryska firman Teleofis som de hackat. Lite udda RTU kanske men den sägs ha digitala in- och utgångar, stöd för MODBUS RTU och TCP, det kommer säkert mer information om detta framöver. De verkar för övrigt inte ha uppskattat intervjun med Matan på OTORIO som jag hade med i förra nyhetsbrevet. OTORIO fick en alldeles egen "hälsning"... Uppdatering: I en artikel från SynSaber kommer man till ungefär samma slutsatser som jag men drar dem lite längre. Här är text och bilder från GhostSecs inlägg från den 11:e januari: Apropå ransomware i en RTU... Apropå den ovanstående texten om krypterade RTU:er i Belarus, så tänkte jag på den här videon som Ralph Langner spelade in för något år sedan, på temat ransomware i OT-världen. Som vanligt en sansad och klok röst i en bransch som lätt blir lite hysterisk! USB finns fortfarande kvar! Honeywell Forge har släppt sitt årliga "USB Threat Report" för 2022. Det är en kompakt liten rapport som bland annat konstaterar att hotet från USB-ansluten utrustning mot OT-världen fortsätter vara stort och dessutom växer ganska kraftigt. Vanligast är olika former av lagringsmedia men en del av problemet är att USB-bussen är så flexibel att även andra varianter på attacker är viktiga! De har även en separat rapport som går igenom detta område på ett bra sätt. Andelen malware som är fokuserade på spridning via USB ökar rejält från år till år. Det är något som vi kanske lätt glömmer av i dessa dagar när allt fokus ligger på uppkoppling, konvergens och IIoT! Forensik och incidenthantering inom OT? Jag hade missat det här fina dokumentet som NIST släppte i somras. Forensik och incidenthantering är klurigt redan i IT-världen men kliver vi över på OT-sidan tillkommer några aspekter till. Jag har inte dykt i detaljerna men tycker nog spontant att NIST verkar ha skapat en bra bas att stå på när man tar sig an den här typen av utmaningar. Som vanligt handlar det om att ha förberett sig innan incidenten, sedan är det försent! IIoT + OT = SANT! Jag har läst en preliminär version av ISA-TR62443-4-3 "Application of the 62443 standards to the Industrial Internet of Things". Det här är ju ett klurigt område eftersom mötet mellan IIoT och OT innebär att två väldigt olika världar med olika förutsättningar eventuellt behöver samsas säkerhetsmässigt. Ett avsnitt jag gillar är just att man lite grand "gör upp" med Purdue-modellen som ju många baserar sin nätverksarkitektur på och trycker på att den aldrig var tänkt att användas som en nätverksstruktur. I och med att IIoT slutgiltigt skjuter sönder det klassiska Purdue-upplägget krävs ett nytt tänk för att hantera den nya situationen. Andra intressanta områden som man åtminstone kort tar upp är hur man integrerar molnbaserad funktionalitet i sin OT-arkitektur, hur man gör riskanalyser av IIoT baserat på 62443-3-2, "Trustworthiness" kontra "Zero Trust Architecture" och ansvarsfördelning mellan Saas, Paas och IaaS. Observera att detta är ett "TR"-dokument, dvs en "Technical Report". Det innebär att det i nuläget inte kommer resultera i en standard, utan är mer att betrakta som stöd-text. På det viset blir man nog besviken om man letar efter svar i dokumentet när man snarare får hjälp att ställa rätt frågor. Arbetet pågår i en arbetsgrupp inom ISA99 och materialet är inte offentligt ännu så jag kan inte dela med mig ännu. Jag återkommer så snart det ändras! "Jag förstår inte nyttan!" En pålitlig källa till riktig klokskap är Phil Venables som jag har haft med förut i nyhetsbrevet. Den här gången får du två artiklar - en ny och en gammal. Den nya handlar om att vi gärna fokuserar på ceremonier i säkerhetsvärlden, alltså när vi börjar utföra bleka kopior av det som egentligen är vettigt säkerhetsarbete. Han har bra exempel kring exempelvis riskacceptans, lösenordskrav och budgetar. Den äldre (2020) är kanske ännu bättre, både träffsäker och klok, där tittar han på vad som borde krävas för att ta bort en säkerhetsåtgärd som inte längre verkar meningsfull. Läs de här två artiklarna tillsammans, så har du blivit en mycket klokare säkerhetsmänniska. Robusta säkerhetslösningar En intressant artikel av Tony Turner som tittar på hur man kan bygga robusta säkerhetslösningar genom göra FMEA-analyser på dem och på så sätt identifiera kritiska förbättringsmöjligheter. FMEA ("Failure Mode and Effects Analysis", "Feleffektanalys") är en känd metod om du är utbildad inom Six Sigma. Ett intressant grepp som har den viktiga sidoeffekten att man inte bara tittar på sannolikhet och konsekvens utan även "Upptäckbarhet". Dvs man går ifrån tankesättet att säkerhet är svart eller vitt, att alla risker måste förebyggas helt, dvs antingen är det lugnt eller så är det full incident. Nu värderas även hur lätt det är att upptäcka en incident som är på väg att hända, dvs "Detect" om man pratar använder begrepp från NIST CSF. I ett modernt säkerhetsarbete kommer man snart till en punkt där det lönar sig bättre att jobba med "Detect" än att skaffa ännu mer "Protect". Det är ju exempelvis därför fokuset på logganalys och SOC-tjänster blir så stort! I slutändan så är ju det viktiga att man förebygger skadan innan den uppstår oavsett hur det går till. Alltid retar det någon... Cisco har publicerat ett white paper där de slår ett slag för moln-hybrida varianter av den traditionella DMZ-lösningen som många organisationer har mellan "OT-världen" och "IT-världen". Det här är förstås en het potatis i många läger där man inte vill se någon som helst relation mellan OT och moln. Men å andra sidan har ju tåget i många fall redan gått i takt med att fler och fler IT-infrastrukturer luckras upp - kalla det zero-trust, cloud-first eller vad du vill. Det här är ett spännande område oavsett vad man tycker om att orden "Cloud" och "OT" skrivs på samma nätverksskiss. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du nyheter kring både NIS2 och NIS1, hacktivism, en ny möjlighet att öva upp dina OT-hackingskills, leverantörskedjor, 20 år gamla webbservrar, att Microsoft tvingar ut patchar, nedräkning till S4 och en massa bra videos att titta på i jul. Jag funderar på om det verkligen finns enkla svar på svåra frågor och varför vissa leverantörer aldrig någonsin haft en sårbarhet i sina produkter? Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nu kör vi! Snart... NIS2 har nu accepterats av Europaparlamentet och EUs ministerråd och är därmed helt klart. Den slutgiltiga texten går att läsa på exempelvis svenska eller engelska. Det är drygt 200 sidor som är väl värda att ta till sig! Det betyder att någon gång om knappt två år kommer denna ganska rejäla utökning jämfört med dagens NIS-direktiv träda i kraft. Som jag skrivit om tidigare kommer detta ställa krav som kommer uppfattas som ganska tuffa av många organisationer. Den största överraskningen kommer nog bli när polletten trillar ner för alla de företag inom tillverkande industri och kemiindustri som också omfattas. Jag har fått frågan om det kommer bli konsult-panik på samma sätt som det var kring GDPR. Även om det är tusentals organisationer bara i Sverige som berörs så är det ju förstås fortfarande betydligt färre än vad GDPR "drabbade". Men, å andra sidan, är tillgången på kompetens kring risk- och säkerhetsarbete i den här sektorn riktigt tunn - inte minst inom OT-säkerhet som kommer vara en stor del av arbetet! Här vill det till att komma igång med det egna arbetet snabbt, långt innan det finns några översatta och specificerade krav från tillsynsmyndigheterna i Sverige! Om du är nyfiken på hur det går till i Europaparlamentet får du betänkandet och delar av debatten här. I verkligheten så var det faktiskt lite mer dramatik eftersom en grupp i parlamentet motsatte sig de delar av direktivet som berör krav på organisationer som hanterar domänregistrering på Internet. Deras förslag fick inget gehör, röstades snabbt ner och därmed gick NIS2-direktivet igenom utan problem. Men hur går det med nuvarande NIS då? EUs cybersäkerhetsmyndighet ENISA publicerade nyss sin årliga rapport kring investerings-trender runt de organisationer som redan idag berörs av dagens NIS-direktiv. Man kan hitta en hel del intressanta insikter, inte bara om OT: En tredjedel av alla organisationer säger att ingen av deras kritiska OT-processer hanteras av en SOC. Personligen hade jag nog trott att det skulle vara ännu värre, det är fortfarande allt för vanligt att man ignorerar aktivt säkerhetsarbete och enbart förlitar sig på preventiva tekniska åtgärder... Inom energibranschen har hälften av alla organisationer en hybrid-SOC som hanterar både IT och OT medan bara 16% har en dedikerad OT-SOC. Det förvånar mig att det är så lågt som 16%, men det framgår inte hur de övriga adresserat de enorma skillnaderna mellan en IT-SOC och en OT-SOC. Det är extremt stora skillnader mellan länderna i hur mycket organisationerna säger sig satsa på OT-säkerhet. Sverige ligger mycket lågt. Personligen tycker jag det ser konstigt ut men det verkar hänga ihop med att vissa länder har en större andel stora organisationer. Stora svårigheter att få tag på kunnig säkerhetspersonal är ett genomgående tema som vi nog alla känner igen. 28% säger sig ha haft minst en ransomware-attack och snittkostnaden för en sådan attack vad drygt 540 000 Euro. Här finns fina siffror för den som vill motivera investeringar i bättre skydd! På den intressanta frågan "Har implementationen av NIS-direktivet hjälpt er minska konsekvenserna av incidenter?" svarade enbart 6% Nej vilket ju bådar gott inför NIS2! Åsså maskindirektivet! Vi verkar också vara på väg att få ett nytt maskindirektiv som jag tror kommer vara väldigt intressant för alla som bryr sig om OT-säkerhet! Det verkar i alla fall finnas politisk enighet kring det liggande förslaget. Jag återkommer när jag har mer information... Upp till kamp! Vedere Labs på Forescout har skrivit ett intressant litet blogginlägg kring hacktivism med mycket fokus på OT. Grupper med tjusiga namn som GhostSec, Team OneFist, Gonjeshke Darande, SiegedSec, AnonGhost, Network Battalion 65 och Anonymous har gett sig på olika former av OT-system och OT-komponenter i samband med politiskt laddade angrepp runt om i världen. I en artikel och video med Matan Dobrushin, som är forskningschef på OTORIO, belyser man just gruppen GhostSec på ett intressant sätt. Vill du bli en OT-hacker när du blir stor? En gammal sanning inom många former av säkerhetsarbete är "Know your enemy!". I vår värld kan det exempelvis betyda att det kan vara en bra idé att lära sig lite hackar-metoder även för dig som ska skydda dig mot hackers. Inom den klassiska IT-världen finns det gott om möjligheter att lära sig och att träna praktiskt. Inom OT-området har det har varit sämre med den saken. Det har ändrat sig nu! Under namnet ICSRange har nu den välkände danske OT-säkerhetsprofilen Mikael Vingaard och hans kollegor dragit igång en lösning där du kan öva och testa dig fram bland en massa mer eller mindre offensiva uppdrag riktade mot riktig OT-utrustning och riktiga OT-protokoll. Jag har fått tillfälle att prova lösningen under några timmar och tänkte dela med mig av vad jag upplevt! En väldigt intressant skillnad mot många andra så kallade "Ranges" är att du får tillgång till både "måltavlor" och till de verktyg du behöver för arbetet. Det betyder att det blir mycket enklare att använda detta i en för utbildning i en företagsmiljö där man vare sig vill eller får koppla upp sig mot externa tjänster med VPN. Du kan alltså ta upp detta i din utbildningsplan på jobbet utan att behöva fundera på att installera en massa nya grejor - en webbläsare och åtkomst till Internet är allt du behöver! När man anmält sig får man inloggnings-uppgifter skickade till sig tillsammans med ett informationspaket kring hur man ska bete sig. Eftersom allt sker i en vanlig webbläsare är man väldigt snabbt igång. Man väljer sina uppdrag i en webbtjänst och gör själva arbetet i ett annat. Du får helt enkelt upp en installation av Kali-Linux direkt i webbläsaren vilket gör det extremt enkelt att börja "hacka". Är man ovan att arbeta i Linux kommer det kanske vara något av en tröskel men man får hjälp att komma igång även där. Från Kali-systemet kommer du åt olika OT-utrustningar som behövs i vissa av utmaningarna. Uppdragen har lite olika inriktningar, det är inte bara hackande utan även en del Quizar kring allt möjligt med koppling till OT-världen vilket gör det hela ganska omväxlande. En sektion handlar exempelvis om att analysera nätverkstrafik där man ska identifiera olika typer av system eller hitta hemliga meddelanden i MODBUS-trafik. Svårighetsgraden är också väldigt varierande vilket gör att både nybörjare och mer erfarna användare kommer få utmaningar direkt. Eftersom det fortfarande är en relativt ny tjänst finns det inte enorma mängder uppdrag på plats men det växer hela tiden! Som sig bör finns det förstås en Scoreboard så att den som känner sig tävlingssugen kan mäta sina skills mot andra. Perfekt om man är flera på jobbet som deltar! Min spontana känsla är att Mikael & Co har lyckats skapa något som redan är bra och som kan växa vidare till något mycket starkt! Jag kom igång väldigt snabbt och har inte stött på ett enda problem som stört mig i jakten på fler poäng! Nu har jag förvisso inte kört mer än några timmar men tycker mig nog ändå våga rekommendera att du testar om du är det minsta nyfiken på området! Själv tyckte jag det var väldigt roligt att damma av mina gamla hacker-skills lite! Det finns inga enkla svar på svåra frågor! Jag fascineras hyggligt ofta av att OT och OT-säkerhet betraktas som ett enhetligt område som är lätt att sammanfatta och där säkerhetsarbetet enkelt kan förklarar med några snabba ord. Det är märkligt nog lika vanligt att det kommer från "IT-folk" som från "OT-folk"... Generellt tycker jag man underskattar skillnaderna mellan helt olika verksamheter som på något vis använder sig av "OT". Kan man verkligen dra många likheter mellan säkerhetsarbetet för reaktorstyrningen i ett kärnkraftverk och för en robot som staplar skokartonger på en lastpall? Eller för fastighetsautomationen på ett fängelse? Eller för produktionen av läsk enligt ett hemligt recept? Eller för skeppsövervakningen på ett av flottans fartyg? När man tänker så känns det ganska uppenbart att det finns ganska stora skillnader i både prioriteter, risker, hot och tekniska förutsättningar? Den absolut vanligaste förenklingen är förmodligen att man ska vända på CIA-triaden (Confidentiality, Integrity och Availability. På svenska Hemlighet, Riktighet och Tillgänglighet). Alltså tanken att inom IT är det alltid hemligheter som är det viktigaste att skydda och inom OT är det alltid tillgänglighet. Den där stackars riktigheten får aldrig vara viktigast. Jag brukar invända resonemanget inte ens stämmer inom IT och Informationssäkerhet så varför skulle OT vara så mycket simplare? Och även om det vore sant så talar vi oftast om information i första fallet och en fysisk process i det andra, alltså två företeelser som är ganska svåra att jämföra. En annan klyscha brukar vara att inom OT handlar allt om Safety, alltså att det inte ska uppstå konsekvenser som är farliga för människor eller miljö. Och visst, i och med att vi hanterar fysiska maskiner och processer så finns det en poäng i att sätta skyddet av medarbetare högt. MEN! Det är sällan de flesta allvarliga riskerna i en OT-riskanalys handlar om Safety eller att mycket fokus i OT-säkerhetsarbetet hamnar där. I många verksamheter är det ganska enkelt att bygga bort Safety-risker, speciellt om man tänker lite utanför boxen. Mitt favoritexempel är styrningen av en pump som, om den skulle bli hackad, skulle kunna köras baklänges och därigenom skapa en farlig situation. Istället för att lägga enorma resurser på att skydda all potentiellt sårbar utrustning kan ju lösningen vara att sätta en backventil på rörledningen! Därmed inte heller sagt att Safety är oviktigt. Tvärtom är det tyvärr också lite för ofta jag, högst personligen, kan tycka att man glömmer bort den typen av frågor i riskarbetet. På sistone har jag börjat få frågan från mina läsare varför jag inte gillar Purdue-modellen? Jag förstår att man kan tolka det så men jag har egentligen ingenting emot modellen i sig själv, den är en bra metod för att beskriva system och flöden. Där det brukar gå snett är när man tänker sig att bygga segmentering inom nätverk och system längs nivåerna i modellen. I de flesta typer av verksamheter blir inte det en meningsfull segmentering! När jag trycker emot lite brukar man landa i att det är viktigt att dela på "IT" och "OT", och där har jag förstås inga invändningar. Men det behöver man ingen Purdue-modell för att förstå... Vi ska förstås jobba med segmentering, men då föredrar jag det riskbaserade tänket från IEC 62443 där man bygger sina säkerhetszoner lite friare. Om man absolut vill ha en snygg modell vill jag gärna slå ett slag för en släkting till Purdue-modellen, nämligen NOA-modellen från NAMUR, som är en elegant lösning på att hantera den allt större mängden "IIoT"-enheter som dyker upp i allt fler verksamheter. Att berätta sanningen eller inte? På senare tid har jag haft anledning att djupdyka i hur olika tillverkare av OT-prylar annonserar (eller inte annonserar) sårbarheter. Man kan ju ha många spännande filosofiska diskussioner kring hur viktigt det är är, eller inte är, att jaga sårbarheter i OT-miljöer som ju ofta bygger på i grunden osäkra protokoll och lösningar. Personligen tycker jag att det är både meningsfullt och viktigt att förstå helheten om man ska bedöma risker. Ett användbart verktyg är den här sidan där man kan vända och vrida på alla sårbarheter som annonserats via amerikanska CISA. Det som blir uppenbart väldigt snabbt är att vissa tillverkare helt saknas i listan, vilket i min värld betyder att de, av någon anledning, mörkar sina sårbarheter. Än så länge har jag aldrig stött på ett företag som helt lyckats undvika sårbarheter i sina produkter och jag tror sannolikheten är låg att jag någonsin kommer göra det. Om du frågar mig tycker jag att det är viktigt att man som tillverkare av säkerhetskritiska produkter ger en tydlig bild av vilka rutiner man har för att hantera sårbarheter när de upptäcks och helst också att man är öppen med vilken typ av sårbarheter som åtgärdats i de egna produkterna. När jag tar upp detta med leverantörer så får jag ofta argumentet att de inte vill att gamla sårbarheter används mot dem i samband med upphandlingar och andra jämförelser. För tiden är väl förbi när någon vettig säkerhets-människa tror att ett företag som har åtgärdat många säkerhets-problem automatiskt därmed har produkter som är mer osäkra? Förmodligen är det nog oftast tvärtom! Personligen tycker jag att det är dags att det betraktas som en stor brist att man inte är öppen om sina åtgärder. Visst är det bra att man bara kommunicerar sårbarheter direkt till sina kunder, och därmed minskar exponeringen för dem, men i längden tror jag alla förlorar på hålla hemligheter. Det här är märkligt nog ett ganska outforskat område som jag misstänker att jag kommer få anledning att återkomma till. Klarar du dig utan DCOM? För ett och ett halvt år sedan publicerade Microsoft en sårbarhet i DCOM men lämnade patchen avstängd eftersom man hade identifierat stor påverkan på en rad OT-mjukvaror. Från och med i somras ändrade man så att uppdateringen automatiskt läggs på och man inte aktivt stänger av den. Men! Från och med 14:e Mars kommer patchen inte längre gå att stänga av längre vilket kan få "spännande" konsekvenser. Den mest kända användningen av DCOM är "gamla" OPC, alltså föregångarna till OPC UA. OPC-Foundation har en bra artikel på ämnet. Jag kan väl tycka att det här är ytterligare ett bra skäl att gå över till OPC UA om man inte gjort det vid det här laget... TXOne och Velta kände sig kreativa och har föreslagit att man helt stänger av uppdateringar tills man hinner lösa problemet och istället använder Stellar-produkterna från TXOne som kompenserande åtgärd. En smart tanke som ju har en del andra fördelar också... Det där med svagaste länken i kedjan? Det är mycket fokus på säkerhet i leverantörskedjor numera. Vi har en massa exempel på spektakulära attacker som på olika sätt använt leverantörer som väg till slutmålet. NotPetya, Solarwinds, Coop/Visma/Kaseya och till och med Stuxnet är välkända exempel som definitivt satt det här hotet på kartan. Nu har amerikanska CISA, NSA och ODNI släppt en serie råd kring det här utmanade området, de är riktade mot utvecklare, mot leverantörer och mot kunder. De är inte tänkta för OT specifikt men råden är så generella att de passar alldeles utmärkt även i det här området. Det här är ett riktigt utmanande område att arbeta med och vi kommer behöva alla goda idéer vi kan samla ihop! Förutom att det är ett viktigt område på egna meriter så kommer det börja ställas krav från många håll. Exempelvis är detta en stor del i NIS2. Bu för Boa! En variant (och en ganska extrem sådan) på ovanstående utmaningar kring leverantörs-kedjor beskrivs i en rapport från Microsoft. En open-source webserver kallad Boa lades ner 2005 men sprids fortfarande i en massa OT- och IoT-produkter. Enligt uppgift finns 1 miljon sårbara Boa-server åtkomliga på Internet och hur många mer som finns längre in i nätverken kan vi bara gissa. Sårbarheterna i Boa har nu kopplats till angrepp mot Indiska energiföretaget Tata Power. Microsoft gör mer väsen av sig i OT-världen! Microsoft har släppt en rapport kring riskerna som uppstår när OT och IoT närmar sig varandra. Det här är en av alla "Convergence"-rörelser som vi ser globalt. Ofta är det IT och OT man är orolig över men motsvarande funderingar kan man ha kring alla kombinationer av IT, OT och IoT. Man ska förresten inte glömma bort att convergence mellan OT och OT ibland är en utmaning, alltså när olika OT-världar i samma organisation av olika skäl närmar sig varandra, exempelvis om man både har Process-OT och Tillverknings-OT som behöver börja kommunicera mer. Microsofts rapport har fått en hel del uppmärksamhet som både ger ris och ros. Personligen vet jag inte om rapporten ger så mycket för den som redan är införstådd med de typiska utmaningarna inom OT-världen men den kan nog vara en ögonöppnare för många som har en mer IT-fokuserad bakgrund. Personligen tycker jag det är väldigt positivt att Microsoft börjat bli lite mer tydligt engagerad i OT-världen och jag hoppas att det kan vara ett första steg mot mer lösningar för att komma runt många av de problem som uppstår när teknik utformad för IT-användning hamnar i verksamheter som lever under lite annorlunda förutsättningar. På senare tid märker jag också ett ökat intresse från företag att titta närmare på Microsofts "Defender for IoT", som ju bygger på OT-säkerhetslösningen CyberX som de köpte för några år sedan. Rapporten diskuteras också i en YouTube-video: Massor med bra videor från SANS! SANS är känd för utbildningar med väldigt hög kvalitet, även inom OT-säkerhetsområdet. Jag har själv extraknäckt som granskare av utbildningsmaterial och som författare av certifierings-frågor och kan ärligt vittna om hur noga man har varit med att utbilda oss innan vi fått "börja jobba". Tyvärr något som inte alla organisationer gör på samma nivå! Ett annat område där SANS har mycket bra grejor är informations- och utbildningsmaterial kring OT-säkerhet på YouTube. Här finns mycket att välja på och för att peka på typiska exempel lyfter jag fram tre videos kring hur man kan tänka när man samlar in nätverkstrafik för olika typer av analyser, en kring skillnaderna mellan SPAN-portar i switchar kontra TAPar, den andra fokuserar på hur viktigt det är att veta vad man inte får med i sin insamlade nätverkstrafik och slutligen med vilken detaljeringsgrad man kan samla information! ISA kan också! En annan organisation som också är känd för hög kvalitet på många områden är ISA. Även de har börjat satsa mer på YouTube-material. En intressant samling är "IACS Cybersecurity for Chief Information Security Officers (CISOs)", dvs introduktion till denna speciella värld för folk med bakgrund inom informations- och IT-säkerhet. Det finns en playlist på YouTube som går igenom allmänna frågor, historik och lite extra fokus på det kluriga området patchning: Inte nytt - men bra! Jag vet att detta ska vara ett nyhetsbrev men jag kan inte undanhålla det här dokumentet från 2018, "History of Industrial Control System Cyber Incidents! Det är utgivet av INL, Idaho National Laboratories, och innehåller beskrivningar på en radda OT-relaterade säkerhets-incidenter från 1903 till 2017. Den från 1903 (Marconis hackade telegraf) är lite på skämt, men de andra är extremt intressanta att ha koll på! Dale är klok! Dale Peterson säger väldigt ofta både insiktsfulla och framsynta saker. Även så den här gången, där han pekar på hål i resonemanget "Du kan inte skydda det som du inte vet om". Detta är något man ofta hör i samband med diskussioner om SBOM, Software Bill Of Materials eller IDS, Intrusion Detection Systems. Men som Dale mycket riktigt påpekar finns det situationer där det inte är helt sant eller där det finns annat som är mer akut! Har du koll på Stuxnet? Man måste nog verkligen kalla Stuxnet den (hittills) viktigaste OT-attacken, både på grund av det enkla faktum att den satte OT-säkerhet på kartan men också för att det är det mest känd "Cyber-vapnet" någonsin! Det finns en del riktigt bra böcker skrivna på ämnet men du kan också få historien berättad av OT-säkerhetspersonligheten Ralph Langner: Pålitliga system? NIST har släppt en uppdaterad version av NIST SP 800-160, "Engineering Trustworthy Secure Systems". Dokumentet är tänkt som ett stöd vid användningen av Systems Engineering-standarden ISO/IEC/IEEE 15288, "Systems and software engineering — System life cycle processes". Väl värt att titta närmare på om man sysslar med denna typ av ingenjörsarbete. OT:ICEFALL fortsätter att leverera Jag skrev om OT:ICEFALL i somras, nyhetsbrev #44 och det är en källa som fortsätter att leverera intressanta sårbarheter, nu senast har Festo och CODESYS varit synliga i annonseringar av sårbarheter. Den senare är ju kanske allvarligast eftersom biblioteken från CODESYS används i en lång rad produkter från kända leverantörer av OT-produkter. Vi har nog inte hört det sista i den här långköraren ännu. Vedere Labs, som är en del av Forescout, har skrivit mer i ett blogginlägg nyligen. Skynda dig att köpa din biljett! Det preliminära programmet för nästa års S4-konferens är ute och det finns oerhört mycket intressant där. Jag blev väldigt imponerad och upptäckte sedan att jag bara tittat på den första dagen av tre! Så här långt har jag noterat att vi kommer vara minst fyra svenskar på plats och jag hoppas att fler tar chansen att uppleva detta unika event live i Februari. Det finns fortfarande ganska billiga biljetter kvar även om hotellen kostar skjortan! Förutom själva konferensen körs som vanligt också en CTF, Capture the Flag, där man kan vara med och tävla/träna på att hacka OT-system. För de riktiga proffsen arrangeras som vanligt Pwn2Own som är en tävling i att hitta och bevisa nya sårbarheter i OT-produkter. Den arrangeras tillsammans med ZDI, Zero Day Initiative (som ägs av Trend Micro), som står för prispengarna och hanteringen av resultatet. (Förra året delades 400 000 dollar ut i prispengar!) Nytt för i år är "S4 SBOM Challenge" där nya och heta branschen "Software Bill of Materials" skall sättas på prov! Tävlingen drivs av INL, Idaho National Laboratory, som ju är en riktig auktoritet inom alla möjliga sorters säkerhet kopplat till kritisk infrastruktur. Det kommer bli väldigt intressant att se vad som skiljer mellan pionjärerna på området! DNS är inte ett luftgap! En lite udda artikel från Pentera handlar om hur misstag i DNS-konfigurationen kan leda till att "air-gappade" system blir åtkomliga från Internet. (Udda inte minst därför att användning av DNS inte direkt skriker "Luftgap" men jag har å andra sidan sett en del märkliga lösningar i verkligheten som matchar den här problematiken...) Inte direkt relaterat till OT, men det är ju fortfarande ganska vanligt att man lever i tron att man har isolerade (och därmed säkra) OT-system. Och att det är lätt att klanta till en DNS-konfiguration, det kan jag personligen skriva under på. DNS är definitivt ett underskattat problemområde på många sätt, inte minst när man förbereder ö-drift av en produktionsenhet, dvs att man ska kunna gå till "luft-gap" som en nödåtgärd under en pågående säkerhetsincident. Väl värt att läsa för den som går i sådana tankar! Ännu mera Mats? Om du inte redan fått nog av mig så finns lite spretiga citat i en intervju kring NIS2 som tidningen "Vi Bilägare" gjorde med mig. Det finns också en video med en diskussion/intervju från Advenica där vi hinner med många spännande ämnen. Det är en man i mitten! En rapport av Pascal Ackerman på GuidePoint beskriver en Proof-of-Concept attack där en angripare kan manipulera mätvärden som skickas mellan en PLC och någon form av HMI. Tekniskt sett är det egentligen inget nytt, man skapar en "klassisk" Man-In-The-Middle-attack genom att manipulera ARP-protokollet som används i alla IP-baserade nätverksprotokoll. Intressant är dock hur man använder det för att ändra värden "i farten". Läsvärt för den som är nyfiken på hur klassiska IT-attacker kan uppdateras för användning i OT-protokoll! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du ett troligt datum för NIS2, certifiering av produktleverantörer enligt 62443, ny information om TRITON, hotet mot den svenska energisektorn och så berättar jag att jag har ändrat mig! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! NIS2 har aldrig varit så nära som nu? Vi var väl ett gäng som både trodde och hoppades att NIS2 skulle vara klubbat vid det här laget. Nu verkar det dock börja röra sig igen. Den 10:e November planeras ett betänkande att läggas fram av Bart Groothuis i Europaparlamentets Plenum. Jag har inte studerat detaljerna men mitt intryck (som fullständig amatör när det gäller att läsa EU-texter) är att planen är att parlamentet nu ska ge tummen upp och skicka texten vidare för implementation. När det väl är klubbat skall det bli extremt intressant att se om media slutligen vaknar och om det i sin tur får alla tusentals svenska företag och organisationer som berörs att förstå vad man står inför? Min, högst personliga, uppskattning är att vi exempelvis talar om många hundra svenska industriföretag bara inom tillverkning och kemi! Full koll på NIS2? Nu kommer CRA också! Jag har skrivit mycket om NIS2 på senare tid. Men det är bara ett i en rad av initiativ som ingår i EUs cybersäkerhetsstrategi. CRA, eller "Cyber Resilience Act" är en utökning av CE-märkningen som EU definierar. Det handlar gravt förenklat om att prylar som kan ha en digital koppling till någonting annat ska uppfylla en radda säkerhetskrav för att få säljas inom EU. Dessutom finns det en koppling till NIS2 eftersom det ställs högre krav på prylar som är tänkta att användas i verksamheter som är "Essential entities" enligt NIS2. Några av kraven är exempelvis: Riskanalyser under utvecklingen "Secure by default" - dvs man ska inte behöva "slå på säkerheten" Härdning Möjlighet till loggning och övervakning Tillgång till säkerhetsuppdateringar via en dokumenterad metod. Sårbarheter ska fixas och kommuniceras snabbt. Maskinläsbar SBOM, alltså en innehållsförteckning över vilka mjukvaror som ingår. Jag ska inte skriva någon lång text om detta eftersom jag hittade en jättebra text av Sarah Fluchs. Det här är superintressant, sannolikt jättebra och påverkar både IT- och OT-världen i grunden! ...och så CER förstås! Men det räcker inte med NIS2 och CRA. En tredje är CER, Critical Entities Resilience. Det handlar om att verksamheter som är viktiga för samhället ska arbeta systematiskt med riskhantering för att förbygga störningar i verksamheten. Det gäller alltså inte bara IT/OT-säkerhet utan alla former av risk- och säkerhetsarbete. Mitt första intryck är att det påminner en del om det vi i Sverige (via MSB) kallar "Samhällsviktig Verksamhet", även om det verkar vara olika scope för vilka verksamheter som omfattas. Men glöm inte maskindirektivet! Jag har skrivit om det nya Maskindirektivet tidigare och nyligen såg jag att Phoenix Contact publicerat en bra text i NyTeknik. Om CER handlar mindre om teknik så handlar förstås Maskindirektivet desto mer om prylar och, framför allt, hur de ska utvecklas och underhållas för att förbli säkra (i betydelsen "Safe") för de som använder dem. Omfattningen är väldigt bred och man kan läsa en detaljerad definition i förslaget av vad som avses med var och en av dessa: machinery interchangeable equipment safety components lifting accessories chains, ropes, slings and webbing removable mechanical transmission devices partly completed machinery Det finns också en koppling till de krav och regler som är på gång inom EU för Artificial Intelligence, speciellt när det gäller Safety-funktioner i autonoma utrustningar. Det där med leverantörskedjan... Något som är extremt "hett" just nu (och det med rätta) är säkerhet i leverantörskedjorna. NIS2 är ett väldigt tydligt exempel på att det här är något man måste ta tag i oavsett om man själv berörs av föreskrifterna eller är leverantör till en organisation som omfattas. Här kan man skaffa sig enorma fördelar som leverantör om man är snabb på bollen! Man måste ju förstås komma ihåg att vi pratar om en kedja, dvs det finns fler än en länk som man är beroende. Så som vi fick lära oss av COOP så är det inte nödvändigtvis den närmaste länken i kedjan som är problemet. Det vill till att både ställa krav på sina leverantörer men också att ställa krav på att de ska ställa krav i sin tur! Den spännande firman OTORIO, som är mest känt för deras analysverktyg för OT-säkerhet, RAM2, annonserade nyligen att de har slagit till och blivit certifierade enligt ISA/IEC 62443. Mer exakt handlar det om att det finns oberoende bevis på att deras utvecklings- och underhållsprocesser följer 62443-4-1. Jag ser generellt en stor ökning i intresset för att arbeta enligt standarden 62443-3-3. Ofta vill man mäta sina risker och hur väl man implementerat standarden, så då vore det ju nästan konstigt att använda verktyg som själva inte utvecklats i linje med standarden! I och med att det här är system som ansluts direkt till känsliga OT-miljöer så vill man ju verkligen inte att säkerhetssystemet själv skapar försämringar i säkerheten! Förutom att det är en kvalitetsstämpel så är det ju förstås också ett bevis på att de tar säkerheten på så stort allvar att man genomför en så pass stor manöver som en certifiering är. Jaha? Är det så viktigt med certifiering kan man fråga sig? Ja, faktiskt! Krav på just den här typen av certifieringar skulle jag tro blir väldigt vanligt framöver i takt med att fokuset på leverantörskedjorna ökar. Inte minst via NIS2! Personligen tror jag någon form av certifiering av utvecklings- och underhållsprocesser kommer vara ett självklart krav i upphandlingar framöver. Det måste ju inte vara just 62443-4-1, men det gör det förstås lite extra tydligt att man satsat just på OT. Med bra timing kom även en vägledning från amerikanska NSA och CISA kring leverantörskedjor inom mjukvara, riktad mot leverantörer. Den är förstås skriven ur ett strikt amerikanskt perspektiv men kan nog vara väldigt användbar oavsett om man levererar till USA eller inte. Dags för regelverksanalys? Med tanke på alla kommande nya och utökade regelverk, inte minst från EU och som dessutom slår lite oväntat är det dags för väldigt många verksamheter att göra en regelverksanalys! (Det som tidigare ofta kallades författningsanalys!) Vissa regelverk kommer "slå" mot verksamheter som inte alls förväntar sig att omfattas, så första steget är att hitta alla föreskrifter, lagar och andra regler som man berörs av. Nästa steg är att förstå kraven som ställs från de olika källorna och att sedan kombinera dem för att skapa sitt eget regelsystem. Till det kommer numera allt oftare även indirekta krav, där man i en utökad regelverksanalys förmodligen bör titta på vilka krav verksamhetens kunder kan förväntas tvingas ställa framöver. Ofta vill man beskriva de regler man tar på sig i någon form av ledningssystem. Här är det ju förstås väldigt lämpligt att basera det på ISA/IEC 62443, främst delarna 2-1, 3-2 och 3-3. Det går alldeles utmärkt att göra ett integrerat ledningssystem där man blandar åtgärder för att möta 62443 och krav från regelverk med åtgärder kopplat till exempelvis informationssäkerhet och ISO 27001! Personligen kan jag tycka att det är väldigt klokt att börja med detta så tidigt som möjligt, helst redan när det finns ett förslag till kravtext framme. Det blir sällan några större ändringar... Jag har ändrat mig! I förra nyhetsbrevet skrev jag om vännerna på Claroty "Team82" som hade släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskrev ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmerings-verktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker. Vid första anblicken tyckte jag ärligt talat att det var en lite väl teoretisk attack, men efter att ha funderat lite mer på det där så insåg jag att det var mer intressant än vad jag först insåg. Det är nog fortfarande mest en teoretisk attack men den belyser minst tre viktiga och omdebatterade ämnen: Luftgapet! Att den gamla idén om att "luftgap" skulle vara ett vettigt skydd håller få med om. (Alltså att att system blir säkrare av att sakna nätverksanslutning eller anslutning till externa nätverk.) Det är absolut inte en meningslös åtgärd men man måste förstås vara medveten om att det finns många andra kommunikationsvägar som kan användas för attacker. Här är ju "Evil PC" ett tydligt exempel på en sådan attack som, åtminstone teoretiskt, skulle kunna ställa till ganska stor skada i system som inte går att attackera via ett nätverk! Zero Trust! Om du läst mina tidigare texter vet du att jag tycker Zero Trust är ett viktigt men också väldigt missförstått ämne inom OT-säkerhet. Här är "Evil PC" ett underbart exempelvis på att man inte ska ha några som helst implicita Trust-förhållanden. Inklusive att en engineering workstation eller andra programmeringshjälpmedel inte ska lita på de PLC:er som man ansluter sig till! Backuper! Att ha vettiga backuper av projektfiler och konfigurationer är de flesta överens om även om det är något som sällan sköts perfekt i verkligheten. Den här attacken belyser definitivt vikten av att ha bra backuper men också det vettiga i att utgå ifrån lagrade filer när man ska göra ändringar istället för att ladda ner den aktiva konfigurationen från PLCn! Jag kommer nog ha med det här som ett lite utmanande scenario i framtida riskworkshops! Vill du dyka i detaljer så finns alltid en dragning från DEFCON som Sharon Brizinov gjorde. Intryck från SPS-mässan! Jag spenderade en dag på SPS-mässan, en stor automations- och produktionsmässa i Nürnberg som arrangerats sedan 1990. Med nästan 14 hektar golvyta och 1700 företag som ställer blir det verkligen en enorm och tuff utmaning att ta in allt spännande som visas upp. Många fascinerande montrar med otroligt cool teknik inom alla möjliga områden. Men... Det är fortfarande väldigt lite fokus på säkerhet i det man lyfter fram kring sina produkter och när man frågar om säkerhet får man oftast bara en inövad harang som inte säger så mycket. Bland de rena säkerhetsleverantörerna var det förstås betydligt bättre där exempelvis TXOne hade en riktigt bra monter med vassa medarbetare på plats! Vem bryr sig om säkerhet i CNC-maskiner? Jag hittade en intressant rapport från Trend Micro kring säkerheten i CNC-maskiner. De har gjort en riktig djupdykning i det här området som jag själv inte sett speciellt mycket forskning inom. Förutom att man får lära sig mer om dessa spännande och oanat avancerade maskiner, så inser man hur utsatta de är på grund av att riskerna kring dem så sällan diskuteras! Här finns mycket att ta tag i för många! Ny information om TRITON! Joe Slowik, som numera arbetar på Gigamon, har tittat djupt i det som är känt kring hur den så kallade TRITON-attacken organiserades. TRITON (eller TRISIS som vissa analytiker kallar den) betraktas som den första kända attacken som riktade in sig på safety-system med avsikt att framkalla ett spektakulärt haveri på det Saudiska raffinaderiet Petro Rabigh 2017. Hade man lyckats hade sannolikt resultatet blivit ett stort antal dödsfall men på grund av en bug i den skadliga kod som användes misslyckades man lyckligtvis. Det finns ett papper att läsa och en video från Joes presentation på VirusBulletin-konferensen i september. Dessutom hörde jag en bra intervju med Joe på Clarotys podcast "Aperture". Fastighetsautomation skapar information! SKR har givit ut en skrift om informationssäkerhet för fastighetsvärlden, som tagits fram i samarbetet "Offentliga fastigheter". Den talar förvisso inte ett enda ord om OT-säkerhet men den tar upp ett besläktat problem som automations-folket ofta inte är så vana vid. När vi digitaliserar och "kopplar upp" våra fastigheter sker ju ofta det med syftet att kunna mäta vad som händer i fastigheten. "Baksidan" med det är att vi tar fram en massa ny information som då förstås ska skyddas på lämpligt sätt. Just i gränslandet mellan OT-säkerhet och informationssäkerhet uppstår det lätt missförstånd och med det kommer säkerhetsproblemen! Här behöver säkerhetsfolk från olika discipliner bli duktiga på att hantera risker tillsammans. Det låter enkelt men är i praktiken ofta riktigt svårt att få till bra! MITRE ATT&CK for ICS fyller 12 versioner! MITRE ATT&CK for ICS har kommit i version 12. Den största och viktigaste förbättringen är att man lagt till "Detections", på samma sätt som finns i "vanliga" MITRE ATT&CK sedan version 11. Vi kan nu referera till vanliga sätt att upptäcka de olika typerna av tekniker som angripare använder. Om det inte redan var det innan så börjar "MITRE ATT&CK for ICS" verkligen bli ett ovärderligt redskap för den som arbetar med systematiskt OT-säkerheten, oavsett om det är säkerhetsarkitektur, threat hunting eller något annat. Hårt arbete! Phil Venables har skrivit en text om "hårt arbete", på engelska "grind" inom säkerhetsarbetet. Precis som vanligt får vi en massa kloka ord om detta osexiga, men viktiga, område - kryddade med geniala citat. Uppdatering från britterna Brittiska NCSC har kommit med en ny version av sitt CAF, Cyber Assessment Framework, som ju vänder sig till brittiska verksamheter som lever under den brittiska NIS-regleringen. Som vanligt när NCSC är i farten finns det gott om goda tankar som man kan inspireras av även om man inte formellt lyder under regelverket. Runda klossar i fyrkantiga hål? Joe Weiss levererar i en artikel nyligen som vanligt kloka synpunkter på OT-säkerhetsvärlden med utgångspunkter som är väldigt nyttiga, speciellt för dem som har sitt ursprung i IT-världen. Jag håller verkligen med honom om att många bra vanor i IT-världen förvandlas till riktigt dåliga idéer när de återanvänds utan eftertanke i OT-världen. Därmed inte sagt att man inte kan uppnå samma goda resultat om man bara fokuserar på vad som egentligen är målet med riskreduktionen och i många fall ser över hur man närmar sig problemet och vilka verktyg man föredrar. Just verktygsfrågan är förstås lite extra känslig i och med att det finns ekonomiska vinster i att återanvända verktygen från IT-världen. Min högst personliga åsikt är att det viktigaste är att få till genomtänkta lösningar som går att underhålla och som håller över tid. Även om du har en obskyr utrustning eller en riktigt gammal version av Windows så innebär inte det automatiskt att det är omöjligt att hitta säkerhetslösningar som är fullt supportade! Med det fokus som är på OT-säkerhet nu har det verkligen börjat dyka upp tekniska lösningar som är byggda från grunden för att passa i våra förutsättningar, oavsett om du vill ha virusskydd, sårbarhetsanalys eller brandväggar! En helt vanlig dag på jobbet... För några veckor sedan hade vi en intern "Cyber Security Summit" på jobbet för alla som arbetar inom området "Cybersäkerhet". En punkt på agendan var en paneldiskussion där vi bjöd in fyra organisationer för att diskutera deras utmaningar på säkerhetsområdet med tonvikt på OT-säkerhet. Den spelades in så att fler skulle kunna få ta del av alla klokskaper som våra gäster delade med sig av. Enjoy! Nytt jobb eller kanske ett exjobb? Nu är ju nyhetsbrevet min privata skapelse men jag kan inte låta bli att droppa lite roliga AFRY-nyheter ibland! Det är nästan sanslös medvind för säkerhet på oss som jobbar på AFRY! Om du lyssnar för mycket på mig kan du få för dig att det bara handlar om OT-säkerhet men så är det verkligen inte. Det finns ett antal annonser ute precis som vanligt, men även om du vill syssla med någon annan kategori av säkerhetsarbete så finns det förmodligen ett behov även av det! Hör av dig! Dessutom är det fri placering på något av våra 100 kontor i hela landet - eller i något av de andra 40 länderna där vi håller till... Konsulter inom Cybersäkerhet Konsulter inom Samhällssäkerhet OT-säkerhetsspecialister Om man tittar på just OT-säkerhet så har tung kompetens verkligen börjat samlas hos oss. Nu senast, som du kanske sett på LinkedIn, välkomnade vi Anastasiya, Ove och Oscar, som alla tre kommer från en branschkollega. Så om du är junior kan du lära dig mycket och om du är senior får du verkligen stimulerande kollegor! Fantastiskt roligt! Nu söker vi dessutom en radda examensarbetare också! Vad sägs om Utveckla MITRE ATT&CK för användning kring fordon NIS2 är EUs senaste direktiv, hur kan vi göra det enklare att förstå och uppfylla? Social Engineering är ett ständigt hett ämne - hur kan vi ta nya tag där? OT Security - Finns det några nya spännande sätt att arbeta med detta? OT Security Laboratory - Gör något intressant i vår storsatsning på ett "Levande Labb" för OT-säkerhet och automation. Och om du har en ännu bättre idé själv så har vi även en öppen kategori, så kom med din egna spännande idé! Att testa säkerhet på smarta sätt! Ett papper med den spännande titeln "ICSSIM - A Framework for Building Industrial Control System Security Simulation Testbeds" finns på Arxiv. Författarna Alireza Dehlaghi-Ghadim, Ali Balador, Hans Hansson och Mauro Conti är knutna till RISE, Mälardalens Universitet och University of Padua. En spännande text som kan vara användbar i många sammanhang, varav ett mycket väl kan bli det OT-säkerhetslabb som finns med i texten ovan om examensarbeten. Läget i Sverige! Vännerna på Truesec och Radar har släppt en intressant rapport om säkerhets- och incident-läget i Sverige med fokus på energi-sektorn. De pekar på en radda saker som stämmer helt med min egen uppfattning om hur det står till med OT-säkerheten i svenska organisationer. I förbigående noterar de exempelvis en uppgång i mängden incidenter hos organisationer som saknar aktiv incidentdetektering. Det här misstaget stöter jag på överallt, tanken att man tror sig kunna förebygga angrepp genom enbart preventiva åtgärder som brandväggar, virusskydd, flerfaktorinloggning, utbildning osv. Det här är verkligen att försöka bygga ett hårt skal runt sin organisation men när skalet till slut spricker så faller hela säkerhetsupplägget samman. Vill man resonera med begreppen från NIST CSF så har man lagt alla sina ägg (ursäkta ordvitsen...) i korgen "Protect" men struntat helt i korgarna "Detect" och "Respond". Det är oerhört viktigt att ha ett aktivt operativt säkerhetsarbete! Hjälp kring flytande naturgas och biogas! NIST ber om kommentarer till ett regelverk kopplat till LNG-industrin (Liquefied Natural Gas). Det är en så kallad profil till NIST Cyber Security Framework, där man anpassar det generella ramverket till de specifika behov som en viss bransch har. Jag har inte dykt i detaljerna men misstänker att det kan vara väldigt användbart om man sysslar med förvätskning av biogas eller naturgas. Alla får kakor? I kölvattnet av NotPetya-attacken 2017 fick vi vår första stora dispyt kring vilka händelser cyberförsäkringar egentligen täcker. Det var Mondelez som drabbades av enorma störningar men som fick nobben av sitt försäkringsbolag som hävdade att attacken var en "Act of war", vilket gör att de flesta försäkringar, som har undantag kring Force Majeure, slutar gälla. Nu verkar det ha blivit något slags uppgörelse i alla fall, vilket tyvärr gör att läget kring detta inte klarnat, läs mer i en artikel från Darkreading. Hotlandskapet kring industrin i EU ENISA, EUs cybersäkerhetsfunktion, har släppt sin rapport kring hotlandskapet 2022. Väl värd att läsa, med en hel del fokus på de ökade attackerna mot OT och industrin i allmänhet. Kloka ord från Pascal! Pascal Ackerman, en välkänd profil inom OT-säkerhetskretsar, har skrivit en bra artikel som beskriver varför OT-säkerhet är viktigt. Han knyter ihop ett antal trådar på ett bra sätt som kan fungera som bra introduktion för den som är ny inom området! Fler kloka ord från Kungliga Krigsvetenskapsakademien Det må stå väldigt lite om OT-säkerhet specifikt i skriften "Cyberförsvaret - En introduktion", men den är väldigt intressant ändå. Rekommenderar starkt en genomläsning! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du tålighet, riskaptit, convergence i järnvägsbranschen, elaka PLCer, FAT/SAT-tester och lektioner i både anatomi och danska. Jag spekulerar också hejdlöst kring Zero Trust, som, trots att det tyvärr blivit ett hysteriskt buzzword, ger en massa viktiga möjligheter i OT-säkerhetsarbetet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Sugen på lite risk? Begreppet "Riskaptit" brukar folk ofta slänga sig med utan att riktigt fundera på vad det egentligen betyder och definitivt utan att veta hur man bäst använder det i praktiken. Bo Thygesen har skrivit texten RISIKOAPPETIT – HVORFOR OG HVORDAN? där vi får en riktigt bra genomgång av hur man faktiskt kan definiera sin riskaptit med hjälp av kvantitativa metoder. Om du tycker det är jobbigt att läsa danska så är Google din vän! Tålighet får man inte av planer! Ibland hittar jag texter som jag önskar att jag själv skrivit och Phil Venables har skrivit en oproportionerligt stor del av dem. Ett exempel är den här artikeln om vad som skapar verklig tålighet i en organisation. Det finns ingenting OT-specifikt i den men den gäller i allra högsta grad även för OT-säkerhet! Han pekar på en radda problem med att bygga sin beredskap för krissituationer på planering och ger i stället ett rejält argument för att bygga verkliga förmågor. Jag ska inte ge mig på att återberätta hans resonemang utan rekommenderar att du läser texten själv. En anatomi-lektion! En annan person som också är överrepresenterad bland de texter jag önskar att jag själv skrivit är Sinclair Koelemij. En sådan text är "The anatomy of plant design and the OT cyber-attack – Part 1" och "... Part 2". Det är en fantastisk genomgång av hans tänk kring hur man bygger en ny anläggning. Del ett pratar om anläggningsdesign och riskanalys. I del två får vi insikter om hot- och riskanalys kopplat till OT-attacker. Mycket nöje! Danmark reder ut begreppen! Danska ENERGICERT skriver om den analys de gjort kring framgångsrika angrepp mot kritisk infrastruktur i Europa, baserat på enbart öppna källor. När det gäller OT trycker de bland annat hårt på den välkända problematiken att separationen mellan IT och OT ofta saknas eller är gjord på fel sätt. Allt för många attacker mot IT-system får fysiska konsekvenser för verksamheten som gör att ett angrepp mot OT-systemen inte "behövs". Det är tyvärr väldigt vanligt att man ser segmentering som en ren nätverksfråga och då blir det så här... IT och OT i järnvägsbranchen Mark Gibbs från Westermo, den svenska tillverkaren av nätverksprodukter ger oss en artikel kring Convergence i järnvägs-branschen. Ett intressant inlägg i debatten om "Convergence" verkligen existerar och vad det i så fall är. Jag ser många tecken på att järnvägs-branschen verkar vara i ett väldigt spännande läge just nu med snabb utveckling och med ett extremt fokus på att kombinera Safety och Security på ett bra sätt. Hur får man med säkerhet i FAT och SAT? Jag hade missat den här presentationen från SANS ICS Summit förra året där Dieter Sarrazyn säger en massa kloka saker kring utmaningarna med att få med säkerhet under FAT- och SAT-tester. I min egen erfarenhet är detta något som fortfarande ofta glöms bort, inte minst att ställa säkerhetskrav tidigt som ska vara möjliga att verifiera under testerna. Hur elak kan en PLC vara? Vännerna på Claroty "Team82" har släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskriver ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmeringsverktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker. Intressant och åtminstone teoretiskt intressant. Det har kommit en del mothugg, exempelvis från J-D Bamford som pekar på att det är tveksamt om det finns några realistiska scenarier där denna attack faktiskt skulle användas. Singapore visar vägen! Singapores cybersäkerhetsmyndighet CSA släppte under sommaren en uppdatering till deras redan välskrivna "Cybersecurity code of practice for Critical Information Infrastructure". Det är ett bra kravdokument men det som kanske är speciellt intressant för oss OT-människor är hur de vävt ihop Safety-krav med Cybersäkerhetskrav på ett sätt som både tar med teknikkrav för SIS-system och krav på analyser av påverkan på Safety. Biljetter till S4 och detaljer kring OPC UA! Nu släpps biljetterna till S4x23! Av alla de konferenser jag själv varit på är S4 verkligen i en klass för sig om man är intresserad av OT-säkerhet. Programmet släpps i mitten av Oktober men kommer garanterat vara lika framåtlutat som vanligt. En nyhet är "OT SBOM Challenge", en tävling mellan leverantörer av den just nu allra hetaste produktkategorin, "Software Bill Of Materials". En av attraktionerna på S4 är OT-versionen av Pwn2Own. Nyligen släpptes detaljerna kring en av "vinnarna" från årets upplaga som var DoS-attacker mot en OPC UA Server. Väl värt att titta på om man är beroende av OPC UA! Fler konferenser på gång! Den 8:e och 9:e November går "SCADA-säkerhet" av stapeln i Stockholm och verkar ha en del spännande ämnen på programmet. Veckan därpå kör "Industrial Security Conference" i Köpenhamn med en dag på danska och två på engelska. ISA har sin "Cybersecurity Standards Implementation Conference" den 26:e Oktober. Är du intresserad av ISA 62443 kan det finnas mycket intressant att hämta där. Gratis online-deltagande även om du inte är medlem i ISA! FIN11 och OT? Mandiant har skrivit ett blogginlägg där de visar hur de genom att imitera metoderna som en typisk hotaktör, ransomware-gruppen FIN11, använder även kan angripa ett OT-system. Inga sensationer i sig självt egentligen men en relevant och intressant jämförelse mellan angrepp mot IT-världen och våra OT-system. Vad betyder väl en gammal bug? Så här ett halvår senare har Dragos gjort en analys av vad Log4j-buggen betydde och betyder för OT-världen. Vi får tre olika scenarier som förklarar varför den här buggen var så jobbig. De förklarar också varför den är besvärlig att hantera i en typisk OT-miljö. Bara drygt tio sidor som är väl värda att läsa. En liten påminnelse om risker... Jag brukar ibland visa den här lilla videon som påminnelse om att ta säkerhet på allvar. Det är en fabrik i Spanien som extruderar aluminium och som får ett litet brott på en hydraulledning, vilket får spektakulära följder... Händelsen har inte ett smack med OT-säkerhet att göra, även om man kan fantisera ihop något liknande som utlöses av ett OT-system. Det viktiga är att vi behöver påminna oss själva om sånt här emellanåt, så vi inte tror att vi jobbar i IT-branschen. Några saker att fundera över: Hydraulvätska brukar inte betraktas som en brandrisk men i spray- eller pulverform är det många saker som plötsligt blir eldfängda eller explosiva. När saker händer vid fel tillfälle eller på fel sätt kan oväntade saker hända. Har vi tillräcklig fantasi i våra riskanalyser? Det går väldigt fort tills innertaket rasar ner i ett eldinferno. Förmodligen en kombination av risker som ingen funderat på. Du vill inte vara killen som överlever på ren tur när han hämtar sin mobiltelefon sekunder innan elden flammar upp. Den andra killen släcker däremot noggrant skärbrännaren som han precis tände. Jobba med säkra beteenden hos medarbetarna utöver normala säkerhetsåtgärder. De verkar ha en tålig övervakningskamera... Mats spekulerar... Det har varit mycket prat om Zero Trust på sistone, inte minst från min sida. Tyvärr är det mesta man hör en massa säljsnack från produktleverantörer som presenterar sina prylar som "Zero Trust på burk". I praktiken behövs sällan någon magisk teknik för att implementera Zero Trust, den stora utmaningen är (som vanligt) att få till en kulturförändring i organisationen. Extremt förenklat kan man säga att Zero Trust handlar om "Default deny" och "Least privilege", alltså att ingenting är tillåtet som inte uttryckligen tillåtits och att det som faktiskt tillåts görs med så lite behörigheter/åtkomst som möjligt. För att klara det behövs också bra koll på identiteter, på både personer och prylar. Så långt låter det ju enkelt. Utmaningen i en typisk OT-miljö är att ingen har den koll som behövs för att kunna avgöra vad som behöver tillåtas. Här finns utmaningen och den har mindre med tekniska lösningar att göra och mer med kulturen kring design och ändringshantering. OT-världen ligger lite efter IT-världen i att både förstå och implementera Zero Trust. Det beror förstås till en stor del på att förutsättningarna är annorlunda och att vi behöver etablera OT-världens "best practices". I ett försök att få lite mer ordning i mitt eget huvud, och i förlängningen även kunna förklara för andra, ritade jag upp en modell kring vad jag tycker är viktigt. Jag har inga ambitioner om att få något nobelpris i Zero Trust men några intressanta tankar tycker jag ändå att jag fick ner... Det enda bilden egentligen är tänkt att försöka illustrera är hur man mentalt kan "gå bakåt" från "Zero Trust" via etablerade principer för att sedan landa i vad man behöver börja med i form av policyer, design och kunskaper kring sin OT-miljö. Några insikter som jag själv tyckte var intressanta är: Zero Trust i OT-världen bör även titta på den fysiska processen och det av två skäl. Dels för att man behöver hantera fysiskt tillträde till anläggningarna och dels för att man behöver inkludera händelser i den fysiska processen i säkerhetsövervakningen. Ett komplett säkerhetsarbete behöver ge bra resultat oavsett om angriparen är digital eller om den är helt/delvis kan påverka anläggningen på plats. Möjligen har den typiska OT-miljön en viss fördel gentemot IT-världen eftersom man fortfarande ofta använder okrypterade kommunikationsprotokoll. Eftersom Zero Trust till stor del bygger på att man kan analysera och reagera på händelser i Lager 7 av OSI-modellen slipper man utmaningen med att man inte kan se kommunikationen. Man måste vara väldigt försiktig när man definierar vad som är "pålitligt" och "normalt" eftersom många fysiska processer behöver kunna fungera rätt i onormala driftsituationer. Det duger förstås inte att en nödstopp eller ett överfyllningsskydd blockeras eftersom det "inte brukar kommunicera"! Säkerhetsfunktionerna behöver fungera väl ihop med rutinerna för tillfälliga och permanenta förändringar i anläggningen. Det är lätt att säga men klurigt i praktiken! En viktig funktion som också behöver bra integration med säkerhetslösningarna är styrningen av fjärråtkomst. (Både intern och extern). Tar man in en expert på distans för att lösa ett akut problem behöver man säkerställa att säkerhetssystemen inte "stör" men att de ändå bevakar att experten och hens dator inte ställer till det i anläggningen. Personligen gillar jag lösningarna från Cyolo. Precis som inom IT måste man tidigt inse att åtgärderna inte går att hantera manuellt utan att man behöver automatisering av analys och i många fall även åtgärder. Det behövs förstås vettig utrustning, exempelvis: Någon form av centralt administrerad brandväggslösning med automationsstöd- Den ska ge möjlighet att styra OT-protokoll ner på hög detaljeringsgrad. Eftersom OT-miljöer ofta inte kan bli lika tydliga på identiteter som vi är vana vid från IT-världen, så får vi i någon mån försöka kompensera med att bättre styra vad som är möjligt att göra. En personlig favorit är Edge-serien från TXOne. Tillsammans med brandväggsfunktionen behövs IDS och IPS efter vad som är lämpligt med tanke på den fysiska processen. En vanlig utmaning är att få tillräcklig synlighet i nätverkstrafiken, speciellt om man har en väldigt distribuerad nätverksmiljö. Bra stöd för mirrorportar i nätverket alternativt distribuerade brandväggar med bra stöd för att upptäcka anomalier i OT-protokoll är viktigt. Det finns många vettiga leverantörer även om mina personliga favoriter just nu är Fortinet och Moxa. Eller varför inte en aggregerande nätverkstap, exempelvis från Keysight/Ixia. Någon form av stöd för löpande analys av hur väl vi lyckats "täppa till" i vår "Zero Trust"-miljö. Att regelbundet försöka manuellt granska brandväggsregler tillsammans med listor över kända sårbarheter i komponenter gentemot vilken kommunikation som behövs respektive faktiskt finns är inte ett kul jobb! Jag tänker på något i stil med RAM2 från OTORIO. Längre ner i nyhetsbrevet nämner jag Stephen Paul Marsh som redan 1994 nämnde Zero Trust i sin doktorsavhandling, om än i ett delvis annat sammanhang. Han pratar också om skillnaden mellan avsaknaden av förtroende (noll förtroende) och misstroende (negativt förtroende). Det där tyckte jag var intressant så en variant kom med i min modell för att illustrera Threat Hunting som i min värld är den praktiska jakten på saker som vi kan bevisa misstroende för och därmed vill ha bort. En slags bakvänd konsekvens av föregående punkt är också att vi inte ska ha 100% förtroende för "Zero Trust" utan lämna utrymme för att saker går snett i alla fall. Här kommer Threat Hunting in på banan som en möjlighet att testa hypoteser kring vad som redan kan gått snett. Min syn på bra Threat Hunting är att varje enskild "jakt" är något man bara gör manuellt en gång, för att testa en hypotes om hur ett angrepp skulle kunna gå till. Sedan gör man om det till en automatisk regel i ett SIEM-system eller liknande. Här är inte OT annorlunda även om det finns mycket att diskutera kring hur man bäst får till en SOC-funktion för just OT. Ett mothugg man hör ibland är att Zero Trust inte fungerar i OT-världen eftersom man måste ha mänskliga identiteter att utgå ifrån. Det är helt klart en skillnad (och inte helt sant) men man ska komma ihåg att det finns mycket annat att basera aktiva policyer på för att ta sig bort från implicit förtroende. Jag hittade några bra exempel men det finns säkert fler: User identity and type of credential (human, programmatic) Credential privileges on each device Normal connections for the credential and device (behavior patterns) Endpoint hardware type and function Geo location Firmware versions Authentication protocol and risk Operating system versions and patch levels Applications installed on endpoint Security or incident detections including suspicious activity and attack recognition Det finns ofta tekniska begränsningar i OT-utrustning som gör det svårt att fullt ut implementera Zero Trust mellan alla enheter. Jag tycker personligen att en viktig möjlighet är att kombinera tänket från Zero Trust med begreppen "Zones and Conduits" från ISA/IEC 62443. En riktigt snygg möjlighet blir då att använda Zero Trust för att begränsa kommunikationen i en "Conduit" mellan två "Zones". Elegant men utan att röra till tekniken i detaljerna! Det här var som sagt inte tänkt att vara något perfekt upplägg men det gav i alla fall mig själv en del nya insikter. Jag vill väldigt gärna höra din feedback, antingen till mats@ot-sakerhet.se eller på det sociala medium där du kanske hittade nyhetsbrevet. Threat hunting? Jag nämner Threat Hunting i texten kring Zero Trust. För den som vill vässa sina skills på det området finns det fantastiska materialet "HUNTPEDIA" att tillgå helt gratis. Inte ett enda ord om OT men det behövs inte med så mycket generell klokskap samlad på ett ett ställe! Happy hunting! Skadlig kod i OT Brittiska nationella cybersäkerhetscentret, NCSC, har sin vana trogen publicerat en riktigt vettig artikel med många bra referenser kring hur skadlig kod kan påverka OT-system. Onödigt vetande? Varför inte avsluta nyhetsbrevet med helt onödigt vetande kring historiken runt Zero Trust? Det är inte något tvivel om att det var John Kindervag som "uppfann" det moderna begreppet "Zero Trust" när han arbetade på Forrester 2010. Men det finns några tidigare släktingar som är värda att känna till. Dels skrev Stephen Paul Marsh om vad Zero Trust praktiskt betyder i sin doktorsavhandling "Formalising Trust as a Computational Concept". Han gjorde där exempelvis skillnad mellan "No Trust" och "Distrust", en viktig skillnad som vi bör komma ihåg också när vi bygger våra policyer kring detta! Runt 2003 fanns organisationen "the Jericho Forum" som var inne på samma spår även om de tekniska möjligheterna var lite annorlunda på den tiden. Jag var själv på en konferens med dem i London där det framför allt diskuterades hur man bäst krymper sin perimeter från hela organisationen till enskilda datorsystem. (Inte exakt som det moderna Zero Trust alltså men samma grundidé.) Om man vill belamra några hjärnceller till med kunskap så kan man krydda med "BeyondCorp" som var Googles försök till en arkitektur med samma tänk (men utan namnet "Zero Trust") som kom 2009. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Den här gången tittar vi på ölbryggning, blodtörstiga sparvar, NIS2, Zero Trust, borttappade lösenord och en massa annat spännande kring OT-säkerhet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Det börjar dra ihop sig för NIS2... Som ett barn inför julafton försöker jag förväntansfullt hålla koll på vad som händer under EUs julgran. Det är inte helt enkelt att följa med i de sista stegen som behöver tas för att NIS2 ska slutgiltigt klubbas igenom men det rör sig framåt. Det senaste som jag sett är att ITRE (utskottet för industrifrågor, forskning och energi) godkände den slutgiltiga versionen av direktivets texter under juli. Agendan för Europaparlamentets plenum-möte i september var tydligen redan fulltecknat så det verkar som att NIS2 tidigast kan komma att godkännas i oktober. Men den som väntar på något gott... Jag har gjort analyser åt kunder som ville veta om de omfattas av det nya direktivet och där resultatet höjde en hel del ögonbryn... Min egen favorit är en lista som jag gjort med de drygt 250 tillverkande industriföretag runt om i Sverige som jag bedömer kommer "drabbas". Jag tror många kommer bli förvånade när de inser att hela deras bransch klassats som samhällsviktig av EU, en del av dessa branscher är nämligen inte alls uppenbara vid första anblicken. Resan mot att uppfylla kraven i direktivet kommer bli väldigt tuff för många av dessa företag även om det förstås kommer variera en hel del. Några vanliga kommer nog vara: Att ändra självbilden i organisationen till att vara samhällsviktig. Att samla risk- och säkerhetsarbetet så det blir strukturerat och samtidigt företagsövergripande. Direktivet gör ingen skillnad mellan IT eller OT, mellan supply chain eller produktion och mellan olika fysiska produktionsplatser. Ledningen förväntas ta ett mer direkt ansvar för säkerhetsfrågor. Inte alltid att den kompetensen finns. Att bli utsatt för tillsyn från en myndighet kommer vara en ovan erfarenhet för många. Nu är industrier klassade i den lägre nivån, ”important entities”, så det blir oftast bara tillsyn efter incidenter eller andra indikationer. Men ändå… Rent praktiskt att få på plats rutiner och lösningar som skyddar verksamheten och dess system. Många är redan duktiga men jag skulle säga att majoriteten är sämre än de tror, i synnerhet nära produktionen. Praktiskt omsätta säkerhetskraven gentemot leverantörer vid upphandlingar. Men vi ska inte glömma den stora massan av företag som själva INTE omfattas av direktivet men vars kunder gör det. Eftersom deras kunder nu tvingas ha med motsvarande säkerhetskrav gentemot leverantörer så förändras relationen och kraven i många fall rejält. Här finns en chans för många att skaffa sig konkurrensfördelar genom att vara tidiga på bollen! Det senaste utkastet av direktivet som jag hittat går att läsa här. Väl värt att ta till sig! Rovfågeln är inte så blodtörstig i alla fall! En hackergrupp som kallar sig Predatory Sparrow har enligt videofilmer som sprids angripit iranska ståltillverkare den 27:e Juni där man orsakat stor fysisk skada genom att manipulera OT-system i tre stålverk. Gruppen säger sig också ha stulit stora mängder känslig information från företagen. Motiven till attackerna som uppges är politiska med koppling till Iran som land. Det som gjort att detta fått lite extra uppmärksamhet är att gruppen via Twitter tryckt på att man utfört de fysiska attackerna mycket försiktigt för att inte oskyldiga människor skulle skadas. Med tanke på vad som visas på videon är det annars en rejäl risk! Det har framförts teorier om att detta beror på att man är en statskontrollerad grupp med regelverk för hur de får bete sig under operationer. Andra berömmer helt enkelt gruppen för att man agerar med etiska ställningstaganden. Oavsett bakgrund eller motivering så är detta ett unikt och intressant fall av en "väl" genomförd OT-attack med mycket tydliga fysiska konsekvenser och som (enligt uppgift) dessutom filmats genom att man hackat anläggningens egna kameror! Tyvärr kommer sannolikt inte speciellt mycket detaljer kring attackerna bli kända via de utsatta företagen. Angriparna har däremot gett oss både bilder och filmer inklusive skärmdumpar från vad som uppges vara de hackade systemen. SCADAfence har skrivit om händelsen på sin blogg där man gjort en analys av vad som tekniskt går att uttyda från bilder och filmer. Exempelvis har de identifierat att Siemens PCS7 används och sannolikt S7-400. I mediabevakningen av händelserna sägs ofta att det är mycket ovanligt med fysiska konsekvenser. Det här är något som välkände Joe Weiss inte håller med om i sin artikel "Cyberattacks causing kinetic damage are neither new nor uncommon". Han tittar på alla incidenter i kontrollsystem, oavsett om de är avsedda att vara elaka eller inte. En poäng i hans resonemang är att det ofta är väldigt svårt att avgöra vad som orsakade en incident - ett angrepp eller en olyckshändelse. Han ger en del spännande exempel som inte diskuteras så ofta. Gruppen har efter hand släppt filer som man säger sig stulit från de företag som angreps. Nästan samtidigt som jag skriver denna text så släppte hacker-gruppen ytterligare 46 GB. Händelsen är ett utmärkt argument att använda när det dyker upp argument som "en hacker skulle inte veta hur man manipulerar våra system" - här är det ju uppenbart att man både har full kontroll över den fysiska processen men också att man mycket exakt kunde styra när skadorna skulle skapas. Ett annat vanligt argument är "vi har föreglingar mot sånt" men typiskt är de metoder som används för safety-analyser inte anpassade för att hantera intelligenta angripare vilket lätt leder till en falsk känsla av säkerhet. Nya kontroversiella sårbarheter: "OT:ICEFALL" Vedere Labs, som är en del av Forescout, släppte i slutet av juni en rapport om nästan 60 sårbarheter i utrustning från 10 viktiga OT-leverantörer. Det är många allvarliga hål och viktiga typer av system, men det kanske inte är det intressantaste i sig. Det har blivit en hel del diskussion kring detta avslöjande, bland annat eftersom man trycker på att ett antal av dessa utrustningar har olika former av säkerhetscertifieringar samtidigt som man har allvarliga sårbarheter - som dessutom är relativt enkla att upptäcka. Man har även tittat på begreppet "insecure-by-design" och pekar på ett antal oskyddade protokoll. Zero Trust i OT? Om du också snöat in på Zero Trust så kan jag rekommendera videon med diskussionen från årets S4-konferens som nu är släppt. John Kindervag & Co reder ut en massa viktiga missförstånd och sanningar kring Zero Trust i allmänhet och kring OT-säkerhet i synnerhet. Jag har skrivit en del om detta tidigare, senast i nyhetsbrev 42. Det här är ett spännande område där det händer mycket nu och som dessutom väcker mycket känslor och diskussioner... I en intressant artikel från Nozomi, pekar man på att Purdue-modellen, som många (tyvärr) fortfarande använder som något slags facit när de designar sina system, uppenbart inte passar ihop med Zero Trust. I mina ögon passar däremot Zero Trust alldeles utmärkt ihop med koncepten "Zones and Conduits" från IEC 62433. En annan intressant artikel av Moreno Carullo som är CTO på Nozomi Networks diskuterar några typiska utmaningar kring Zero Trust i OT-världen men han föreslår också tre intressanta lösningar på en del av problemen där en av dem var ett lite nytt grepp för mig. Han tänker sig att man använder nätverksdioder för att skapa "enkelriktad trust" där det passar, vilket jag personligen tycker är ett smått genialiskt sätt att se det på. Det är inte noll trust men det är en vettig ersättare om man vill vara säker på att implicit förtroende bara kan finnas i en riktning. Det kanske inte passar i speciellt många sammanhang men det är en riktigt stark pjäs att spela i rätt sammanhang! Att hacka eller bli hackad - varför inte båda? Bleeping Computer skriver i en intressant artikel om skadlig kod som riktat in sig på OT-folk. De refererar till information från Dragos som gjort analysen. Det är ett program som man ska använda om man tappat bort lösenordet till sin PLC - oavsett om det är grejor från Omron, ABB, Siemens, Mitsubishi eller någon annan av de stora tillverkarna. Programmet annonseras på sociala medier för att hitta intresserade användare. Det fungerar som det ska, problemet är bara att det passar på att installera en skadlig kod kallad "Sality" som är ett botnet. Lite tråkig bismak på det lösenordet... Ölbryggning och OT-säkerhet TXOne är ett av mina personliga favoritföretag. Nu har de släppt en både rolig och intressant rapport kring hur OT-säkerhet påverkar produktionen av livsmedel, och inte av vilka livsmedel som helst - Ölproduktion! De tittar på kända incidenter, hur leverantörskedjor i livsmedelsproduktionen påverkas av ransomware och annat, hur tillverkningsprocesserna ser ut på en hög nivå. Konceptet "Smart beer" introduceras och var i ölbryggningsprocessen cyberattacker kan tänkas orsaka värre skador är spilld öl! Intressant, viktig och rolig läsning! :-) Våga vägra Purdue! Om du läst mina texter tidigare så kan du knappast ha undgått att jag inte gillar hur många använder Purdue-modellen för att bygga sin infrastruktur och därmed sitt säkerhetstänk. På årets "SANS ICS Security Summit" satte Ian Anderson och Bryson Bort ord på just detta med lite nya och spännande vinklar på problemet. De närmar sig problemet med ett smart resonemang kring hur hot-emulering och Threat Hunting kan användas effektivt med en koppling till klassisk Purdue-infrastruktur. De gör också det kloka antagandet att man inte kan bygga bort angreppen till 100% vilket gör förmågan att upptäcka lyckade angrepp helt avgörande. Vill du ha en snabbintroduktion till hur modernt OT-säkerhetsarbete kan se ut så rekommenderar jag den här videon! Krisberedskap och dricksvatten Livsmedelsverket har snyggt nog börjat släppa delar av deras nya "Handbok för krisberedskap och civilt försvar för dricksvatten" efter hand som de läggs upp på remiss eller blir helt klara. Just nu finns tre intressanta delar uppe för remiss till den sista oktober: Krisberedskap och totalförsvarsplanering Hotbild och planeringsförutsättningar Externa aktörer och stödresurser Kan vara intressant även om man inte är vattenproducent Den sista metern! Ett riktigt bra tekniskt whitepaper av SEL (Schweitzer Engineering Laboratories) och Cisco som tillsammans tittar på utmaningen med att skydda fysiska nätverksanslutningar "långt ut" i en anläggning. De hyllar det gamla MACsec-protokollet som visar sig passa fantastiskt bra i det här sammanhanget. Ett av de absolut bästa och snyggaste whitepapers jag läst på mycket länge! Stark rekommendation även om du inte arbetar med eldistribution. Funktionell säkerhet och den första lagen för OT-säkerhet För den som är intresserad av funktionell säkerhet och safety kan jag rekommendera en text av Sinclair Koelemij där han för ett (som vanligt) intelligent resonemang kring något han döpt till "1st law of OT Cyber Security Risk". Det handlar om en möjlighet att koppla samman safety-analyser i stil med LOPA eller HAZOP med riskanalyser kring OT-säkerhet på ett sätt som sätter gränser för vilka OT-risker som är acceptabla utan att påverka Safety-funktionernas effektivitet. Ny version av C2M2 Amerikanska DOE, Department of Energy, har släppt en ny version av C2M2 som är en elegant mognadsmodell för hur en organisation klarar av att hantera sina IT- och OT-miljöer. Det finns också ett gratis verktyg för att underlätta utvärderingen. Säkerhet på djupet eller i designen? Det här med att få med säkerhet i utformningen av OT-system är en klassisk utmaning och ett populärt diskussionsämne. Hur gör man? Är det meningsfullt? Ska man ha säkra komponenter eller ska man bygga en säker helhet? Nu i dessa dagar där Zero Trust är ett populärt slagord hör man ibland åsikter kring att det traditionella djupledsförsvaret, "Defense in depth", är inprecist och slösaktigt. (Alltså det klassiska sättet att bygga starkare säkerhet genom att kombinera flera olika skydd "i lager utanpå varandra".) Personligen skulle jag inte vilja gå så långt men jag håller med om att vissa kombinationer av säkerhetsåtgärder är mer effektiva än andra. Jag läste en intressant och klok text av Phil Venables kring "defense in depth". Den har ingenting speciellt med OT-säkerhet att göra men är mycket tänkvärd. För att få en meningsfull effekt så måste kan kombinera skydd på ett genomtänkt sätt, exempelvis: Kombinera skydd som förhindrar angrepp med skydd som upptäcker dem Kombinera olika kategerier skydd: tekniska, mänskliga, organisationella osv Sprida ut skydd som liknar varandra på olika ställen i arkitekturen Aktiva och intelligenta skydd som agerar på "ledtrådar" från varandra The Register hade nyligen en artikel av Jessica Lyons Hardcastle med anledning av OT:ICEFALL som sätter ljuset på att många av den här typen av sårbarheter aldrig kommer få en CVE. Detta eftersom produkterna med flit är utformade på ett osäkert sätt. Uttrycket "insecure-by-design" är vanligt i den här typen av diskussioner, vilket pekar på samma problem. I artikeln uppmärksammas utmaningen med att säkerhetsåtgärder på ett område dessutom gör det svårare att skydda sig mot andra sårbarheter, exempelvis kan det vara väldigt svårt att avgöra om en krypterad anslutning till en PLC utnyttjar att den tillåter osignerad kod att köras. Alltid lika pålitliga Sarah Fluchs publicerade nyligen "Security by Design Decisions" där hon, förutom att på ett underbart sätt förklara vad "Security by design" är för någonting genom att jämföra med med vattenläckor i rör, också introducerar tankesättet "Security by Design Decisions". Det är ett upplägg som tydliggör vilka säkerhetsbeslut som behöver tas under utvecklingsarbete och vad det innebär. En poäng som jag gillade är att mycket handlar om att synliggöra besluten om säkerhet som redan görs! Försvara flaggan! En kort text av Spencer Wilcox som publicerades av (ISC)2 säger kloka ord om slagsidan i hur säkerhetsbranschen tenderar att fokusera på det "sexiga" i att hacka system men betydligt mindre på att spela på den defensiva sidan. Inte minst kopplat till OT-system där de ibland extrema konsekvenserna kan göra saken extra intressant... Jag kan känna igen mig att jag lite för ofta stöter på unga pentestare som stolt berättar om sina eskapader och som tror att jag automatiskt kommer ha väldig nytta av dem i mitt arbete. Inget ont om pentestning, jag har själv varit där - jag kommer aldrig glömma första gången jag såg den där blicken hos utvecklaren när hen insåg att jag just tankat ur hela databasen genom applikationens lösenordsfält via en klassisk SQL-injection... En bra CTF är riktigt roligt men är det inte dags att det börjar dyka upp "DTF" - Defend The Flag? I övningsform finns det förstås, men det skulle vara roligt att se det i en form som gör att de blivande säkerhetsproffsen i lugn och ro kan öva på säker systemdesign och aktivt försvar hemma. Det kanske finns? Hör gärna av dig och upplys mig om verkligheten! mats@ot-sakerhet.se Alla behöver en fältmanual - eller? Det verkar vara en liten trend just nu kring att skapa "Field Guides" och "Field Manuals". I förra nyhetsbrevet skrev jag om Tripwire, Belden och ProSoft som släppt en sådan. Nu kontrar SANS med sin variant. Roligt utformad och innehåller något slags extrem sammanfattning av en massa saker, högt och lågt, kring OT-säkerhet. Det är den första volymen av flera som sägs vara på väg. Den kan nog fungera ganska bra som snabbintroduktion till området vilket också verkar vara huvudsyftet med den. Det ska bli intressant att se vad kommande volymer innehåller! Britterna granskar sina leverantörer Ett riktigt bra dokument från brittiska NCSC, National Cyber Security Centre, som ger en metod och en rejäl lista med punkter att utvärdera leverantörer av nätverksansluten utrustning med. Det handlar om mjukvaruutveckling, tredje-partsberoenden, behörighetshantering, tekniska skydd, firmware-signering, testning och en massa andra klockrena punkter. Väl värt att ha med under upphandlingar! Irland kan också! Man får se upp så man är i rätt land ibland... Irland har nämligen också ett NCSC! De har släppt ett litet (9 sidor!) men användbart dokument kallat "Securing Operational Technology". I huvudsak är det en lista som summerar kloka åtgärder att ta i typiska OT-implementationer. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du nya vägledningar från MSB, Zero Trust inom OT, hur man kan börja sitt arbete med NIS2, obekväma åsikter kring IT/OT-convergence, SANS presenterar världens första hyperenkabulator, nya delar i 62443, ransomware i PLCer ut, brutala sårbarheter i administrationsverktyg för OT, funderingar kring vad en PC är i OT-världen och en massa annat! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nytt godis från MSB! Jag har inte sett någon annonsering från MSB ännu, men på deras hemsida finns en ny upplaga av vägledningsklassikern "Grundläggande säkerhet i cyberfysiska system". Men det är inte nog med det, dessutom finns en ny kioskvältare: "Ökad säkerhet i industriella informations- och styrsystem"! Men det är egentligen inte helt nytt innehåll, man har tagit den gamla vägledningen med sina 17 rekommendationer och delat upp dem i två dokument som grovt följer uppdelningen mellan OT och IoT. Det här gillar jag, det går tvärt emot det vanliga misstaget som många leverantörer gör, att sätta likhetstecken mellan OT och IoT! (Ja, eller "Cyberfysiska system" som MSB föredrar att prata om...) Precis som det tidigare dokumentet så ser upplägget väldigt bra ut! Jag får intrycket av att man faktiskt bantat ner innehållet en del trots att det är uppdelat på två dokument. Oavsett det så ger dokumenten en snygg introduktion till det kluriga området OT-säkerhet med ett antal kloka rekommendationer. Man pekar sedan vidare till andra, mer detaljerade, standarder och ramverk - exempelvis IEC 62443, ISO 27002, IAEA NSS #17, NERC CIP, ISA-95 osv. Inget förtroende för OT-säkerhet! Begreppet "Zero trust" är något som folk tenderar ha mycket åsikter kring! Inom IT-världen har detta varit hett ett tag, inte minst sedan alla myndigheter i USA har fått en Executive Order på att implementera det... Därmed har det tyvärr också blivit ett riktigt buzzword, där leverantörer slåss om att berätta att deras produkt minsann är "Zero trust på burk". Riktigt så enkelt som att det bara handlar om att välja rätt produkt är det ju sällan... Inom OT har det varit lugnare kring Zero Trust men nu ser jag tecken på att det börjar lossna även för oss. Jag berättade om några tecken på det från S4-konferensen i förra nyhetsbrevet. Min högst personliga åsikt är att Zero Trust är ett riktigt bra sätt att tänka även om det egentligen inte tillför så mycket nytt. Men det är verkligen en snygg "förpackning" av gamla principer kring att begränsa åtkomst och accessrättigheter baserat på vem/vad du är vilket i sin tur kräver att du har koll på din information, dina system och dina användare. Det finns många missuppfattningar som rör till det, den vanligaste är väl förmodligen att Zero Trust bara handlar om identitetshantering för mänskliga användare. Identiteter är ett nyckelbegrepp men det gäller definitivt inte bara mänskliga användare. En annan vanlig miss är att man tror att man måste ha perfekta identiteter och insikter om systemen. Det handlar snarare om att kunna ta automatiska beslut baserat på tillgänglig information vilket förstås gör det till en fördel att ha bra information! En annan viktig poäng är att inte "fastna" långt ner nätverket när man tänker åtgärder, idealet även inom OT-säkerhet, är att försöka få till styrning även längst upp på nivå 7 i OSI-modellen, alltså direkt i applikationslagret. För OT-protokoll kan det handla om att använda brandväggar som kan begränsa vilka enskilda operationstyper som tillåts i exempelvis en MODBUS-anslutning. Några spontana och personliga tyckanden kring Zero Trust från mig: Zero Trust betyder inte att man slutar lita på allt. Det betyder inte heller att man måste ha perfekta lösningar för identitetshantering eller behörighetsstyrning. Men det handlar om att göra medvetna val kring vad som ska vara åtkomligt i olika sammanhang. Zero Trust betyder inte att man ska glömma alla existerande principer, tvärtom! Inom OT kommer exempelvis djupförsvar fortsätta vara extremt viktigt men vi kan utforma djupförsvaret baserat på principerna från Zero Trust. Man implementerar nog med fördel Zero Trust ett litet steg i taget. Det är ett annat sätt att tänka och det betyder att man behöver lära sig vad som passar för den egna verksamheten. Något jag tycker är viktigt med Zero Trust är att vi närmar oss den svåra frågan om insiders på ett delvis nytt sätt. Det gör att vi får bättre möjligheter att hantera illojala medarbetare men framför allt kommer vi åt problemet att en extern angripare nästan alltid utnyttjar behörigheterna som vi tilldelat våra egna administratörer och användare! Det betyder också att vi kan tona ner den dåliga inställningen att kalla våra användare för vårt största säkerhetsproblem. Det är just nu väldigt "modernt" att köra IDS-system inom OT. En utmaning som de flesta upptäcker alldeles för sent är att det är extremt svårt att veta vilka IDS-larm som är "på riktigt". Med Zero Trust har du redan tvingats reda ut hur normal-beteendet i dina system ser ut, så nu blir det mycket enklare att veta att ett larm från IDS:en är "skarpt". Det här gäller definitivt inom IT men är ännu tydligare inom OT! En viktig poäng är att Zero Trust kräver mer arbete i utformning och implementation men det har man igen sedan. Det ersätter inte heller de generella grunderna i säkerhetsarbetet, du behöver fortfarande veta vilka prylar du har... Zero Trust tvingar dig att förstå var organisationen tjänar (och därmed kan förlora) pengar. Vi måste nu förstå verksamheten och dess risker, vilket gör att vi måste göra säkerhetsarbetet ihop med verksamheten. Gäller både informationssäkerhet och OT-säkerhet! Även om det heter Zero Trust så måste vi fortfarande lita på vissa saker: Active Directory, säkerhetssystemen, övervakningssystem osv. Men nu kan vi göra det tydligt vilka de är och hålla koll på de kritiska resurserna bättre! Någon som minns Solarwinds? Jag vill definitivt slå ett slag för Zero Trust som ett tankesätt och en modell för säkerhetsstrategier inom OT-säkerhet! Det första steget är förstås att skaffa sig en egen uppfattning om vad det egentligen är och hur det kan passa i den egna verksamheten. Här är några resurser som jag tycker kan vara bra för att komma igång: Istari har en podcast som fokuserar på Zero Trust. Några avsnitt (speciellt de första tre) är riktigt bra. I det allra första avsnittet intervjuas John Kindervag som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. Han trycker hårt på att Zero Trust inte är en produkt utan ett sätt att ha en strategi! NIST släppte förra hösten dokumentet NIST SP 800-207 "Zero Trust Architecture" som har blivit tongivande i diskussionen kring Zero trust. (Det ger ingen vägledning alls kring OT-världens utmaningar och hur Zero trust skulle passa där.) "Operational Technology Cyber Security Alliance" (OTCSA) har släppt ett whitepaper kallat "Review of Zero Trust - Inspiration for OT environments". Det är bara 6 sidor att läsa och ger dessutom en riktigt bra inflygning till både Zero trust och NIST-dokumentet. Ett whitepaper producerat av Accenture och PaloAlto som heter "Simplifying Adoption of ISA/IEC 62443 Using the Zero Trust Model for Operational Technology". En för-utgåva från amerikanska CISA kallat "Zero Trust Maturity Model". En intervju med John Kindvag där han trycker hårt på att fokusera på att verkligen ha koll på vad man försöker skydda eftersom det gör attackytan så mycket mindre. Defense-in-depth får sig en känga eftersom det ofta används för att "skydda allt mot allt" och får öknamnet "Expense-in-depth". Om du har tankar eller erfarenheter - för eller emot - Zero Trust, så vill jag gärna höra mer: mats@ot-sakerhet.se . NMS - Network Management Systems - Ett jobbigt kapitel! I dagens läge, där allting är, eller på väg att bli, nätverksanslutet blir det förstås extremt viktigt att sköta om sitt nätverk på ett säkert sätt. För att kunna göra det behövs bra verktyg - men dessa verktyg blir ju i sig själva en intressant måltavla för angripare. I OT-världen innefattar dessutom ofta begreppet "nätverk" lite mer än bara nätverksutrustningen. I så kallade NMS-system hanteras ibland även annan utrustning, som exempelvis PLCer, där man kan hantera inställningar för protokoll som OPC UA och MQTT men även göra firmwareuppgraderingar mm. Clarotys säkerhetsforskare i Team82 har det senaste året gjort en fokuserad satsning på denna typ av system och tyvärr hittat mängder med allvarliga sårbarheter. Som vanligt finns det intressanta rapporter att dyka i, än så länge för: Nagios XI Moxa MXview SIEMENS SINEC NMS Extremt viktig information om ni har just dessa system men även annars är det här något som är avgörande att tänka på så att man inte har oskyddade administrationssystem för OT-näten. Här är definitivt ett område där man behöver ta hjälp av en skicklig nätverksarkitekt! PC, Server eller mittemellan? En gammal och klurig fråga som dyker upp emellanåt är hur man ska hantera PC-datorer i produktionen. Jag stöter ofta på den typen av diskussioner som vanligen bottnar i några grundläggande och typiska problem: Rutiner kring patchning som kommer från "IT-världen" passar inte i produktionen. Kraven på säkerhetsåtgärder ser olika ut mellan IT och OT. Livslängden på hårdvara och operativsystem behöver vara betydligt längre i produktionen. Eventuell nätverkssegmentering "saboteras" genom att man använder IT-lösningar för Active Directory, administration, backup, övervakning etc. Den fysiska miljön med damm och vibrationer är inte alltid så snäll mot hårdvara som är anpassad för att stå på ett kontor. Eftersom moderna PC är så kraftfulla tenderar de att få husera flera olika funktioner samtidigt vilket gör det svårt med underhåll och felsökning. (Datainsamling, lokala databaser, HMI, programmeringsverktyg, filserver, integrationsmotor osv) Det är inte lika vanligt att höra motsvarande diskussioner kring servrar, vilket är synd för ofta finns exakt samma utmaningar där. Vad gör man åt detta då? Det finns förstås inte någon perfekt lösning som passar alla men några tankar som jag brukar utmana mina kunder med är exempelvis: Använder ni PC-hårdvara för server-funktioner? Skulle man kunna utforma, underhålla och administrera produktionens servrar och PC "tillsammans" istället för att försöka hantera dem uppdelat tillsammans med IT-världens PC och servrar? I många fall har en server i produktionen mer gemensamt med en produktions-klient än med en IT-server... Blir er nätverkssegmentering mellan IT och OT förstörd av att vissa system går på tvären mellan de båda världarna? (Backuper, Systemadministration, Virtualiseringsplattform, Active Directory, Print-spooling, säkerhetsplattformar osv) Tar ni genvägar genom att blanda flera olika funktioner i samma system som leder till "deadlocks" kring uppdateringar? Kan virtualisering vara en del av lösningen? Det jag kanske säger framför allt är att vi borde ifrågasätta uppdelningen mellan klient-funktion och server-funktion som vi "ärvt" från IT-världens sätt att tänka. Det mesta i en OT-miljö liknar IT-världens servrar när man tittar på driftkraven, även om vissa funktioner råkar köras i hårdvara som fysiskt liknar en "IT-klient". Det kanske är dags att se allting som serverfunktioner? Jag är väldigt nyfiken att höra från dig om du har praktiska erfarenheter från liknande tankesätt! Hör av dig! mats@ot-sakerhet.se NIS2 närmar sig på riktigt - dags att agera nu? Den 13 Maj annonserades att man kommit överens om EUs nya NIS-direktiv, NIS2. Precis som det nuvarande NIS-direktivet är syftet att på olika sätt kravställa, utjämna och följa upp skyddet av samhällsviktiga tjänster. Det som skiljer kanske framför allt kraven berör många fler verksamheter än tidigare, inte minst på grund av att tillverkande industri omfattas. Det kommer sannolikt krävas en väl organiserad incidenthantering, ett strukturerat arbetssätt kring riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Rejäla sanktionsavgifter (2% av omsättning eller 10 MEUR) för verksamheter som inte sköter sig är också på bordet, personligt ansvar för VD och förstås även myndighetstillsyn. Den exakta utformningen av direktivet väntas inte bli offentligt förrän i höst då det formella beslutet tas. Därefter kommer länderna ha 21 månader på sig att implementera kraven och sedan vill det till att uppfylla kraven! Det finns ingenting som jag sett som tyder på att några större förändringar skett sedan det ursprungliga förslaget. Jag har skrivit om detta tidigare, senast i nyhetsbrev #36 och nyhetsbrev #32. Det som är viktigt för nästan alla verksamheter att börja med omgående är att reda ut hur man påverkas. Även om man inte berörs direkt så kanske man är leverantör till ett företag som berörs och då kan man indirekt "drabbas" av de ökade kraven på säkerhet i leverantörs-kedjorna. Sist jag tittade vilka svenska industri-företag som kommer beröras innehöll listan över 250 välkända namn. Tillsammans har dessa företag många tusen leverantörer som skapa en affärsmöjlighet om man är snabbast ur startblocken jämfört med konkurrenterna. Till detta kommer förstås alla andra samhällsviktiga verksamheter och deras leverantörer! Om jag ska ge några råd för att komma igång så är det: Ta reda på om ni och/eller era kunder omfattas av direktivet. Red ut vilka krav som i så fall ställs på er och gör en gap-analys mot nuläget. Det kan vara: Direkta säkerhetskrav på skydd av OT, IT och Information Nya krav i upphandlingar och leverantörsavtal Strukturerat organisationsövergripande riskhanteringsarbete Tydligt ansvar för cybersäkerhet i ledning och styrelse Snabba rutiner för hantering och rapportering av incidenter Om ni har verksamheter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra framöver. Tidigare har det hintats om att det speciella undantag som gjorde att säkerhetsskydd alltid åsidosatte NIS-direktivet kommer att förändras. Detta har dock, enligt uppgift, ändrats igen under arbetet, så där får vi se hur det blev... Eventuellt kan det också bli en koppling till de produktcertifieringar som tas fram parallellt inom EU. Det kommer, som det verkar, dock att kravställas per land. Ett viktigt område att hålla koll på om man är leverantör till verksamheter som omfattas av kraven eller om man har en verksamhet som verkar i flera EU-länder! För mer information kan du lyssna på en bra intervju av Luca Bertuzzi på EURACTIV med Bart Groothuis, där han bland annat berättar av man matchat nivån på sanktionsavgifterna mot typiska lösensummor i ransomware! IT/OT-Convergence - Existerar det? Den sista Maj talade jag på konferensen "IT Security Insights 2022". Ämnet var "IT/OT-Convergence", något som är ett hett område och som det dessutom finns många åsikter kring. Det handlar om att IT-världen och OT-världen närmar sig varandra på många olika sätt, både kring teknik, dataflöden, integrationer, säkerhetsutmaningar och driftrutiner. Extremt sammanfattat gick min presentation ut på att visa publiken (som innehöll väldigt få "OT-personer") vad som skiljer i synen från "IT- och OT-håll", en del utmaningar som det inte pratas så mycket om och en radda personliga erfarenheter kring vad som är viktigt att tänka på. Några exempel är: Det finns extremt olika syn på vad Convergence egentligen är. En hel del anser att det inte ens existerar alternativt att det redan inträffat. Andra ser det som vår tids största utmaning samtidigt som det är en enorm möjlighet! Det är inte bara IT och OT som växer ihop. På samma sätt finns det ofta separata OT-miljöer i en produktion som tidigare varit relativt separata men som allt mer kopplas samman och därmed påverkar varandra säkerhetsmässigt och ansvarsmässigt. Hur mycket konvergens är lagom eller tillräckligt? Hur konvergerar OT-säkerhet med informationssäkerhet? ...och en massa annat. Min dragning finns på YouTube: (Tyvärr försvann ljudet från inspelningen av Q&A-delen på slutet, men presentationen är komplett!) Apropå likheter och olikheter mellan IT och OT så såg jag en kul Twitter-tråd kring skillnaderna i incidenthantering mellan IT och OT från Lesley Carhart, Director of Incident Response på Dragos, men också känd som "hacks4pancakes". Läs hela hennes resonemang i kommentarerna på Twitter! Ransomware i en PLC? Forescout har släppt en rapport kring ett tänkt scenario om hur en angripare skulle kunna knyta ihop IT, IoT och OT i ett ransomware-angrepp. Det här är ju något som vi, vad jag vet, inte sett i verkligheten ännu. Angrepp som påverkar OT, direkt eller indirekt, har vi sett men inte i samband med just utpressning med en direkt påverkan på OT. Något jag hittills inte sett är några "bra" utpressningsmetoder kopplade till PLC:er eller annan processnära utrustning. Rapporten är intressant och väl värd att läsa. Jag blev först lite besviken eftersom jag hade hoppats att de skulle komma med en radda kreativa metoder för utpressning i PLC:er vilket jag inte hittade. Men det finns faktiskt ett stycke under rubriken "TECHNICAL NOTE: OT-SPECIFIC IMPACT CONSIDERATIONS" där de spekulerar kring sätt att använda logiska bomber mot någon av de större DCS-leverantörerna. Personligen tror jag inte det är realistiskt ännu men det går säkert att utveckla tänket ytterligare. 2022 - Hur går det för oss? Fortinet har släppt sin "2022 State of Operational Technology and Cybersecurity Report". Den är som vanligt fullproppad med intressanta fakta från deras intervjuer med branschkollegor. En intressant detalj är att de ser en ganska tydlig förflyttning av ansvaret för OT-säkerhet bort från CTO/CIO/CISO till förmån för produktionsledning och produktansvariga. Jag ska inte göra mig till tolk av innehållet utan låter dig dra dina egna slutsatser! Helt klart är att det här är ett område som är i förändring och att det inte är helt klart var vi kommer hamna så småningom. Några spännande poddar! En stor del av min egen omvärldsbevakning gör jag genom att lyssna på poddar. Ett par tips kring OT-säkerhet från den senaste tiden: Avsnitt 84 av "The Industrial Security Podcast" från Waterfall diskuterar vanliga misstag när man implementerar synlighets-lösningar (IDS etc) i OT-miljöer. De tar upp en lång rad saker som jag personligen verkligen håller med om kring saker som att aktiv scanning faktiskt verkligen behövs i OT-nätverk, utmaningarna med att sätta upp SPAN/RSPAN i OT-nätverksswitchar och en massa annat. Dragos och CyberWire har startat podden "Control Loop". Det finns ännu så länge bara två avsnitt men jag tycker deras ambitioner låter väldigt intressanta! Jag tipsade längre upp i det här nyhetsbrevet om Istaris pod kring Zero Trust. Riktigt bra introduktion, speciellt de första avsnitten - sedan blir det väldigt produktfokuserat men även produktavsnitten innehåller mycket godbitar! Avsnitt 59 av Manufacturing Hub är ett väldigt tekniskt avsnitt med mycket fokus på nätverk och felsökning. För den som sysslar med utformning av nätverk finns en radda guldkorn, exempelvis fällorna med multicast-traffik. OT DBT med MITRE ATT&CK En intressant dragning på 15 minuter av Jacob Benjamin från Dragos om hur man kan använda MITRE ATT&CK för att skapa en dimensionerande hotbeskrivning (brukar förkortas DHB i Sverige) för vår cybersäkerhet. Om du läst mina nyhetsbrev tidigare så vet du att jag gärna trycker på nyttan av att ha en dimensionerande hotbeskrivning som man baserar alla säkerhetsdiskussioner och -åtgärder på. Jacob gör en intressant jämförelse mellan hur man typiskt bygger fysiskt skydd kring en känslig anläggning med hur man kan tänka kring exempelvis OT-säkerhet. Mer om Industroyer2... I förra nyhetsbrevet nämnde jag den skadliga koden Industroyer2. Sedan dess har det kommit lite mer information kring denna högaktuella programvara, inte minst kring dess relation till den ryska aggressionen i Ukraina. Här är några bra texter: Stranded on Pylos skriver om detta. Vår svenske hjälte Erik Hjelmvik ger oss hans djupdykning i hur Industroyer2 använder IEC-104. ESETs analys. SANS presenterar världens första Hyperencabulator! Säkerhetsbranschen är tyvärr känd för stora doser fikonspråk och buzzwords. SANS ger oss nu möjligheten att kika på den ultimata säkerhetslösningen för OT och samtidigt lära oss en del nya ord. Imponerande! Det har gjorts en del tidigare försök, i nyhetsbrev #28 tipsade jag exempelvis om Keysights Electro-Turbo-encabulator. Sök gärna efter Encabulator på YouTube för andra upplysande varianter! En fältguide till OT-säkerhet! Ett lite annorlunda grepp kommer från ett samarbete mellan Tripwire, Belden och ProSoft. Det är något slags försök att göra en allt-i-ett-guide till OT-säkerhet i ett riktigt kompakt format. Den kan nog definitivt tjäna som både introduktion till den som inte har någon säkerhetsbakgrund, den som kommer från "IT-sidan" eller OT-personen som vill lära lite till. Nytt avsnitt i 62443! Allas vår favoritstandard ISA/IEC 62443 består som kanske är bekant av 4 huvuddelar, där varje del innehåller ett antal separata dokument: Definitioner, mätetal och säkerhetens livscykel Processer och rutiner kopplade till verksamheter som använder OT Krav på den tekniska utformningen av OT-system Krav för de leverantörer som utformar och bygger utrustningen som används i OT-system Arbete pågår nu i det tysta med fler delar. Exempelvis är 62443-6-2 på gång som handlar om hur man utvärderar verksamheter mot kraven i avsnitt 4 (62443-4-1 och 62443-4-2). Det här är ett viktigt område att styra upp eftersom olika certifieringsorgan har arbetat på helt olika sätt. Om man arbetar på del 6 så bör det ju rimligen vara något på gång i del 5 också? Ja, det stämmer! Här handlar det om "profiler", vilket enkelt uttryckt ska vara anpassningar av kraven i del 2 och 3 för att anpassa dem till vissa branscher. De ska inte tillföra nya krav utan vara fokuserade på att förenkla och tydliggöra vad som är viktigt i specifika sammanhang, exempelvis energibranschen. Jag har tittat på utkastet som hastigast och tycker spontant det såg vettigt ut. Förhoppningen är att dessa profiler ska underlätta arbetet så att man vet vilka krav man behöver ta hänsyn till men jag är rädd att det finns en risk att den totala komplexiteten istället ökar. Vi får se hur det blir när det är färdigt. Än så länge finns inte så mycket publik information om arbetet. Här är en intervju med Sebastian Fritsch kring detta och speciellt del 6-2. Någon som är sugen på lite OT-spel? Lesley Carhart på Dragos skriver om tabletop-övningar kring incidenthantering kring OT och några viktiga lärdomar som de dragit från dem. Den här typen av övning är ett extremt kraftfullt, och dessutom roligt, sätt att utveckla rutinerna kring incidenter. Mycket mindre störande för verksamheten jämfört med "skarpa" övningar, men ger i vissa fall nästan mer insikter eftersom man kan ta sig tid att diskutera alternativen om så behövs. De övningar som jag själv deltagit i eller lett har alla varit riktigt minnesvärda. Det här är väl värt att prova för alla verksamheter som vill utmana sig själva lite för att hitta viktiga förbättringsmöjligheter. Hacka det fysiska skyddet! En av mina gamla käpphästar är att nästan alla organisationer verkar underskatta utmaningarna med cybersäkerhet kring fysiskt skydd, alltså passersystem, videoövervakningssystem, larm osv. Det här är system som väldigt sällan får samma säkerhetsmässiga omvårdnad som andra kritiska system. Med tanke på att ett bra fysiskt skydd ofta är helt avgörande för andra systems säkerhet så är det här viktigt på många sätt! Personligen brukar jag behandla det här på samma sätt som andra system som dras med fysiska risker, dvs som OT-säkerhet... Trellix har nu gett mig lite extra vatten på min kvarn efter att de annonserat en radda riktigt allvarliga brister i controllers för kortläsare tillverkade av HID Mercury. Det är produkter som säljs under en lång rad andra varumärken, vilket förstås gör det hela ännu värre! Man kan alltså öppna låsta dörrar via nätverket utan att det loggas! Kolla upp om era system berörs av detta eller några andra kända sårbarheter! Även om ni inte berördes den här gången är det här ett område som det är värt att låta någon göra en säkerhetsanalys av! OT-attacker i Ukraina-kriget? Enligt en artikel av Jeffrey Carr har GURMO-hackers tillhörande det ukrainska försvarsministeriet hackat det ryska företaget Gazprom. Gazprom är ett av världens största olje- och gas-företag. Attackerna sägs ha resulterar i stora mängder stulen information men också minst två explosioner orsakade av attacker mot OT-systemen i två gas-pipelines. Ingenting av denna information har dock bekräftats av vare sig Ukraina eller Gazprom. Är det sant så är detta de första kända fallen av fysiska skador från OT-attacker under pågående krig. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.