Sökresultat

När jag ger ut en ny utgåva av mitt nyhetsbrev kring OT-säkerhet får jag nästan alltid frågan: Vad betyder OT? Menar du "Off-Topic" eller vad då? OT är fortfarande ett ganska nytt begrepp men som jag tycker börjar sätta sig så smått. I den här artikeln ger jag min högst personliga syn på vad OT-säkerhet är och varför det är så annorlunda mot informationssäkerhet och IT-säkerhet men också vad likheterna är. Förkortningen OT brukar uttydas "Operational Technology" eller "Operations Technology". På sistone har den svenska varianten "Operativ Teknik" börjat dyka upp. Bokstaven "T" berättar att man använder modern digital teknik, ungefär på samma sätt som i "IT". O:et för "Operational" syftar på att man hanterar något slags fysisk process till skillnad från I:et i IT som ju berättar att vi hanterar information. Alla som sett "Fem myror" vet att det är "O:et i ordet som gör det"! Så även här! Och det är faktiskt redan i betydelsen av orden som man kan genomskåda det som gör OT-säkerhet speciellt. Allt säkerhetsarbete handlar ju om att förebygga skador. För informationssäkerhet och IT-säkerhet försöker vi skydda information. Inom OT-säkerhet handlar istället om att undvika att fysiska skador eller störningar inträffar eller får svåra konsekvenser. Vilka skador som man behöver undvika beror förstås på vilken typ av verksamhet man har. I en automatiserad tillverkningsindustri är kanske de värsta skadorna att en medarbetare skadas av en robotarm som rör sig på fel sätt eller att en maskin blir förstörd om den används på fel sätt. I en kemisk industri kan man tänka sig dödsfall på grund av en explosion eller miljöskador på grund av utsläpp som skadar miljön. I sjukvården kan farliga situationer uppstå om medicinsk utrustning inte fungerar som den ska eller om ventilationen lägger av. Men även även mindre allvarliga händelser måste förstås förebyggas så att inte produktionen störs eller kvaliteten på produkterna försämras. Det är inte alltid gränsen mellan IT och OT är så tydlig, det är inte helt ovanligt att man hanterar känslig information i någon form av OT-system. Det finns gott om exempel i sjukvården, i läkemedelsindustrin och i högteknologisk tillverkningsindustri. Det gör förstås att det kan bli extra klurigt att få till ett bra skydd av systemen så att både information och fysisk funktion får lagom mycket skydd. Man hamnar lätt i situationer där skyddet av information hamnar i konflikt med en bra processkontroll. En viktig likhet mellan IT- och OT-säkerhet är att, när man gör det på rätt sätt, så drivs arbetet utifrån något slags riskanalys där man tittar på konsekvenserna för versamheten som ska skyddas. Även om det är helt olika risker som man är nervös för så har inget säkerhetsarbete något egenvärde utan att förstå verksamhetens behov. Det är i det här sammanhanget man lättast ser att motsvarigheten till OT-säkerhet egentligen inte är ren IT-säkerhet, utan kombinationen av informationssäkerhet och IT-säkerhet. Man behöver förstå riskerna i helheten och man kombinera åtgärder som är både baserade på digital teknik med rena mekaniska skydd och säkra arbetsmetoder. När man pratar om informationssäkerhet så kommer man nästan alltid in på att man vill ha ledningssystem för sin verksamhet och då är standarden ISO 27001 numera den absolut vanligaste att luta sig mot. Det har gjorts många försök att att "skruva till" standarden så att den ska passa utmaningarna inom OT också, det vore ju praktiskt! På samma sätt finns många försök att formulera om metoder för riskanalys och informationsklassning för att passa OT. Det vanligaste synsättet inom informationssäkerhet är "C-I-A" (Confidentiality, Integrity och Availability) dvs Hemlighet, Riktighet och Tillgänglighet som används för att beskriva konsekvenser och känslighet. Jag har hittills aldrig sett något sådant försök leda fram till en bra modell, det är förmodligen helt enkelt för annorlunda förutsättningar inom OT för att kunna överföra tänket från informationssäkerhet dit. I ett försök att ersätta "C-I-A" med andra begrepp som passar bättre för OT har det uppstått en del nya kombinationer. Tanken är att man ska kunna beskriva vad som är viktigt i den egna verksamheten och vilka risker man ser. En populär variant är "C-O-O" som står för Controlability (processen är under kontroll), Observability (vi kan se vad som händer i processen) och Operability (vi kan påverka processen). En annan är "S-R-P" vilket uttyds som Safety (ingen ska bli skadad), Resilience (processen tål störningar) och Performance (processen är effektiv). I praktiken tycker jag att man ofta behöver använda en kombination av alla nio begrepp för att kunna bli riktigt säker på att man talar om samma sak. Att 27001 inte passar så bra för OT betyder inte att vi saknar något att luta oss emot när vi vill styra upp vårt säkerhetsarbete med hjälp av en erkänd standard. Inom OT så är sedan länge ISA/IEC 62443 sedan länge den dominerande standarden. Den kallades tidigare ISA 99 och hänger tätt ihop med en annan standard som hette ISA 95 som beskriver hur man bygger en bra systemarkitektur i en komplex verksamhet. 62443 har tre stora delar, en del handlar om hur vi arbetar, en del om hur våra system skyddas och den tredje delen riktar sig till de som utvecklar systemkomponenter för OT-världen. Om man inte tillverkar OT-utrustning är det normalt de två första delarna man fokuserar på och de ger relativt handfast hjälp i säkerhetsarbetet. Standarden har en del utmaningar, den är framför allt ganska omfattande och har tagits fram över lång tid, så det finns en del motsägelser mellan nyare och äldre delar som man får hantera. Det finns också en del bra stöd utanför standarderna kring hur man i praktiken bäst kan hantera riskbedömningar och säkerhetsåtgärder. Intresset för OT-säkerhet har ökat betydligt under senare år. Det finns flera skäl till det. Det viktigaste är nog den allmänna digitaliseringen i samhället vilket ofta påverkar OT-verksamheter som plötsligt ska integreras med omvärlden, vilket drar med sig helt nya risker. Ett annat skäl är nya regleringar från Sverige och EU, främst då uppdateringen av säkerhetsskyddslagen som började gälla 2019 och NIS-direktivet som blev svensk lag 2018. Speciellt NIS-direktivet har lett till en tydligt ökad aktivitet från tillsynsmyndigheter vilket lett till ett ökat intresse från berörda verksamheter. Strax före jul 2020 lade EU fram ett förslag till ett nytt NIS-direktiv, "NIS2", som en del av en ny cybersäkerhetsstrategi för EU. NIS2 är en rejäl skärpning av det nuvarande direktivet med utökade krav, betydligt fler branscher som omfattas och rejäla sanktionsmöjligheter för tillsynsmyndigheterna. Jag har skrivit en del om NIS2 i mitt nyhetsbrev om OT-Säkerhet om du vill läsa mer. Om du vill lära dig mer om OT-säkerhet kan jag rekommendera dessa resurser: Mitt eget nyhetsbrev kring OT-säkerhet: www.ot-säkerhet.se International Society of Automation som äger 62443-standarden: www.isa.org Wikipedia förstås: https://en.wikipedia.org/wiki/Operational_technology Podcast spellista: https://podcasts.apple.com/us/podcast/beerisac-ot-ics-security-podcast-playlist/id1459741251 Hör gärna av dig till mig mats@ot-sakerhet.se för att diskutera mer!

Den här gången tittar jag på ett märkligt USB-minne med Bluetooth, funderar kring motsvarigheten till informationssäkerhet för OT-säkerhet, visar upp nyheter i min bokhylla och en massa annat spännande! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Mats filosoferar... En tanke slog mig häromdagen! Vi brukar ju ofta jämföra IT-säkerhet och OT-säkerhet med varandra. Även om det är väldigt mycket som skiljer dem åt, både kring metoder och vad man försöker skydda, så handlar båda två om att skydda tekniska system så att de kan utföra det som de är tänkta att göra. En annan viktig relation som IT-säkerhet har är med informationssäkerhet. I det klassiska tänket ställer informationssäkerhet krav på IT-säkerhet för att skydda den information som hanteras i IT-systemen. I praktiken är det inte så enkelt alla gånger men lutar man sig mot ISO 27001 så är det den världsbilden som gäller. Men, då kan man ju undra... Vad är motsvarigheten till informationssäkerhet för OT-säkerhet? Varifrån kommer kraven som OT-säkerhet ska uppfylla? Ja... Det är ju en bra fråga... Ibland hör man vissa som försöker vränga till ett resonemang där informationssäkerhet går att använda till allt, även för att kravställa OT-säkerhet - systemen hanterar ju trots allt något slags information även om syftet är att styra någonting fysiskt. Det är ett resonemang som snabbt faller platt till marken. (Även om det förstås kan vara delvis sant för vissa system som faktiskt hanterar både information och fysiska processer.) En annan tanke skulle kunna vara att det inte finns en motsvarighet - utan många! Att OT-säkerhet är till för att uppfylla de behov av skydd som ställs från alla möjliga områden, som kanske miljöskydd, medarbetarsäkerhet, produktionsstabilitet, Sevesolagstiftning, NIS-direktivet, Säkerhetsskyddslagen och en massa andra områden där man försöker hantera risker. Det här resonemanget håller förvisso bättre men det blir ju ganska rörigt och spretigt när det är så många som ska kravställa var för sig. Efter att ha resonerat kring detta insåg jag att svaret egentligen kan vara mycket enklare än så. Åtminstone om man har valt att luta sig mot standarden ISA/IEC 62443. Slarvigt uttryckt kan man säga att 62443 är för OT-Säkerhet vad 27000-serien är för Informationssäkerhet. De som följt mitt nyhetsbrev ett tag vet att jag är svag för den här standarden och att jag var nummer två i Sverige att certfiera mig som "ISA/IEC 62443 Cybersecurity Expert". Precis som de flesta moderna standarder för ledningssystem är 62443 baserad på att man bedömer sina risker och väljer sitt skydd utifrån riskerna. Tanken är att olika delar av en verksamhet behöver olika skydd och att man ska kunna ha tillräckligt bra skydd överallt utan att slösa resurser genom att ta i för mycket. När infosäk-folket brukar bedömma "Konfidentialitet", "Riktighet" och "Tillgänglighet" tittar vi OT-människor mest på tillförlitlighet i systemen och att vi inte ställer till något som skadar människor eller miljö. Standarden sätter sedan en metod för hur man skyddar och segmenterar sina system baserat på risker som de utsätter verksamheten för. Även om kraven kan komma från olika källor kan de samsas i en gemensam modell för hur man beskriver risker och skyddsnivåer. En närbesläktad diskussion (som jag var inne på i förra nyhetsbrevet) är vilka begrepp man bäst använder för att beskriva riskerna istället för "Konfidentialitet", "Riktighet" och "Tillgänglighet"? Populära förslag brukar vara "Controlability", "Observability", "Operability", "Safety", "Resilience" och "Performance". Min personliga syn att är alla begreppen är bra och att man absolut kan kombinera dem efter behov. Om man råkar ha information som ska skyddas mot att stjälas eller förvanskas så kan man förstås kombinera dem med begreppen från Informationssäkerhet. Om jag ska återvända till ursprungsfrågan så är väl egentligen min insikt att frågan var fel ställd från början! OT-säkerhet har faktiskt mer likheter med informationssäkerhet än med IT-säkerhet, åtminstone om man utgår från ISA/IEC 62443 och ISO 27001. Man måste utgå från en bedömning av vad som är värt att skydda, bygga hela sitt tänk utifrån skyddsbehoven och sedan utforma teknik och processer efter det. Jag kan verkligen rekommendera att man tittar närmare på 62443-standarden om man vill jobba strukturerat med OT-Säkerhet och utforma skyddet av sina system baserat på verksamhetens risker. Jag hoppas dessutom att jag kan återkomma med en lite mer nyanserad bild av vad som bäst driver riskarbetet inom OT enligt 62443 efter att ha läst böckerna som jag berättar om här nedanför. Min förhoppning är att de kommer knyta ihop skyddet av OT-system tydligare med kraven på riskreducering i den fysiska processen. Håll tummarna! :-) Den coolaste stickan i stan? För en gångs skull har jag testat något som jag först var väldigt skeptisk till men som jag sedan bytte åsikt om! För varför i himelens namn ska man ha Bluetooth i ett krypterat USB-minne? Minnet vi talar om är "DATASHUR BT" från iStorage. Ett FIPS-certifierat krypterat minne med mellan 4 och 128 GB lagring och "USB 3.2 SuperSpeed" anslutning. Minnet är IP57-skyddat så det tål både damm och vatten bra. Bluetooth används för att låsa upp krypteringen och för diverse inställningar från en app i din mobiltelefon. Skeptisk och luttrad som jag är, föreställde jag mig genast en lite väl ambitiös ingenjör någonstans som har kokat ihop en teknisk lösning som är snygg men som vid minsta provokation rasar ihop som ett korthus och tillåter att allt data på stickan går att ladda ner via Bluetooth. Verkligen inte något man vill lita på! Men... Sedan visade det sig att tillverkaren hade riktigt bra svar på alla mina elaka frågor och stolt visade upp en lösning där hanteringen av data separerats från blåtandsdelarna. Nu skall jag direkt säga att jag inte lagt någon tid på att försöka hacka det lilla underverket men min erfarenhet är att en leverantör som har riktigt vettiga svar på svåra frågor redan har tänkt på många fler attackvägar än vad jag själv kan komma på... Ett litet men bra exempel är att man behöver ha det 8-siffriga nummer som minnet är märkt med för att ansluta minnet till appen. Koden sitter så att den inte går att se när minnet är anslutet vilket gör det mycket svårare att tjuvkika... En riktigt stark finess som man definitivt inte ska underskatta är att appen inte bara "låser upp" krypteringen, det är faktiskt så att innan minnet låsts upp så syns det inte överhuvudtaget som USB-enhet i det system där det anslutits. Minnet kan därför inte ens teoretiskt utsättas för lömska USB-attacker i stil med BadUSB förrän det är upplåst. (Jag skrev om olika typer av USB-attacker i nyhetsbrev #19.) Men varför ska man ha Bluetooth i ett USB-minne då? ...och i synnerhet när det handlar om OT-system? Ja, för det första handlar det ju om ett minne med inbyggd kryptering. Om man inte har behov av det så faller förstås hela meningen med minnet! Och varför ska man då kryptera ett minne? Att man har känslig information och att små minnen är lätta att tappa bort är förstås ett uppenbart svar men det finns fler anledningar. En kan ju vara att man inte vill riskera att någon kollega ändrar filer på minnet av misstag. Det vanligaste sättet som det sker är att man "lånar" ett minne som hamnar i någons dator där minnet smittas med något läskigt virus som sedan följer med runt till andra system. Det finns ju andra sätt att låsa upp krypterade minnen än via Bluetooth. Det vanligaste är att minnet har en liten knappsats på sig där man skriver in en PIN för att låsa upp lagringen. Eventuella andra finesser får man ställa in med kryptiska kombinationer av knapptryckningar som inte går att komma ihåg. Till det här minnet finns en app där man matar in sitt lösenord på ett vettigt tangentbord och då kan man förstås göra inställningar på ett mycket tydligare sätt. Den enda klurigheten jag kommit på är om din organisation eller din kund av något skäl inte tillåter mobiltelefoner nära OT-utrustningen, då är nog det här inte lösningen för dig. Om vi tittar igenom inställningarna så hittar vi ett antal riktigt intressanta funktioner. Först hittar vi lösenordsbyte och redan här förstår vi varför en app är bättre än en knappsats - du kan ha ett riktigt lösenord istället för en PIN-kod! Det finns stöd för 2-faktorsidentifiering och lösenordsåterställning som tyvärr bara har stöd för SMS men det är förstås bättre än inget. Mer om detta med bortglömda lösenord lite senare... Sedan kan du välja att appen ska komma ihåg lösenordet vilket förstås sänker säkerheten en smula. Biometriskt lås finns också och är förmodligen en bättre lösning i de flesta fall. Sedan blir det väldigt intressant! Du kan säga åt minnet att automatiskt låsa sig efter en viss tid. En annan riktigt bra funktion är att minnet kan fås att låsa sig om du går iväg längre än fem meter med telefonen. Att enkelt kunna sätta minnet i skrivskyddat läge är en fantastisk funktion för att kunna dela med sig av data till system som man inte litar på fullt ut. Ingen risk att minnet blir nedsmutsat med skadlig kod! Vissa av de här funktionerna (2-faktor, lösenordsåterställning och remote wipe) sköts av en molntjänst. Det kan man förstås ha invändningar emot och då är det fritt fram att inte slå på de funktionerna. MEN! Det finns fler möjligheter om man skaffar den utökade molntjänsten... Vad är den absolut vanligaste anledningen till att information försvinner när den lagras krypterat? I min erfarenhet är det att folk glömmer lösenordet till sitt minne! Det finns lite olika lösningar för att kunna hantera den typen av situationer på ett bra sätt. Ett av dem är att ha centralt managerade minnen där en superadministratör kan återställa lösenord som tappats bort. Det är givetvis inte lämpligt i alla situationer så man får förstås göra sin egen riskanalys innan man drar igång den typen av verktyg! Men man kan ju se det som ett 2-faktorsskydd i och med att informationen ändå bara är tillgänglig om man har minnet i sin hand. Från iStorage kan man köpa "iStorage datAshur BT Remote Management Web Console" som möjliggör hantering av alla minnen i en organisation. Jag har inte provat den själv men den verkar onekligen kunna lösa alla viktiga problem. Med den typen av verktyg har jag sparat oräkneliga arbetstimmar åt tidigare arbetsgivare när medarbetare slarvat med sina lösenord... I och med att det alltid finns en koppling till en app så finns även lite ovanligare funktioner som att man kan blockera en användare från att använda "sitt eget" minne (exempelvis om en medarbetare lämnar företaget) eller sätta begränsningar i VAR eller NÄR minnet får användas. Intressant... Sammantaget är det här ett snabbt och solitt minne som bör passa de flesta verksamheter som inte totalförbjuder trådlös teknik i sina system. Möjligheterna med Bluetooth är faktiskt riktigt vettiga i verkligheten och inte bara en gimick. För OT-världen ger styrningen via en app möjlighet att hantera minnen som fysiskt sitter på platser där de är svåra att komma åt. Exempel på viktiga funktioner är snabbheten, fjärrstyrt skrivskydd, automatisk låsning om man går ifrån det och att det går att komplettera med central managering. Säkerhetsskyddschef med ett diplom! I Nyhetsbrev #21 berättade jag att jag skulle inleda Företagsuniversitetets diplomeringsutbildning för säkerhetsskyddschefer. Nu är utbildningen slut och jag har fått mitt diplom. Jag vill återkoppla att det, precis som jag förstås hoppades, är en riktigt bra utbildning som jag verkligen rekommenderar! För den som är intresserad av att vidareutveckla sig inom det här komplexa men intressanta området kan jag verkligen rekommendera den här kursen. Hör gärna av dig till mig om du har några funderingar. Ett rejält kursmaterial, bra arrangemang, en otroligt erfaren lärare i Per Fjellman och en radda riktigt tunga gästföreläsare gör detta till en helt unik kurs! Att genomföra den på distans har förstås sina sidor men också vissa fördelar och det är ingenting som jag tycker drog ner på kvalitén. Nyheter i bokhyllan! Nu när jag är fullärd i allt som har med säkerhetsskyddsarbete att göra **ironi**, dök förstås tanken "vad ska jag lära mig nu då?" upp... Jag insåg att det var länge sedan jag läste en intressant bok om säkerhet. Så jag slog till på tre stycken på en gång! Två av böckerna har delvis ett gemensamt tema, nämligen hur man låter sitt risk- och säkerhetsarbete bli konsekvensdrivet. Det finns flera skäl till att detta är ett allt mer populärt sätt att arbeta. Rent praktiskt brukar det vara ett arbetssätt som är effektivt och framkomligt i praktiken - helt enkelt därför att det tenderar att vara mycket enklare att komma överrens om vilka konsekvenser som är värst jämfört med att i grupp besluta sannolikheten för någon jobbig händelse. Speciellt svårt är det att säga något vettigt om sannolikheter när det gäller händelser som orsakas av människor, oavsett om det är elaka hackers eller insiders. Att jobba konsekvensdrivet är inte samma sak som att bara fokusera på att minska konsekvenserna även om det också är ett väldigt kraftfullt verktyg. Speciellt brukar ledningsgrupper gilla att veta vad det värsta som faktiskt kan hända är. Sannolikheten är förstås också intressant men den vet alla är mer svårbedömd. Ett citat som är ganska talande är "I can deal with disruption, what I can't handle is destruction of long-lead-time-to-replace capital equipment" som yttrades av VDn på ett av USA största elbolag. Det han syftade på var att de kan hantera att saker fallerar men när saker som tar lång tid att tillverka eller byta ut blir förstörda. Några exempel på hans värld är enorma transformatorer som kan ta flera år att få levererade eller att tusentals, geografiskt spridda, skyddsreläer förstörs samtidigt. Vissa saker får bara inte kunna hända... Det här med att jobba med konsekvenser har jag varit inne på i några tidigare nyhetsbrev, bland annat Nyhetsbrev #21 och Nyhetsbrev #15. "Countering Cyber Sabotage" är en sprillans nyutgiven bok av Andrew Bochman och Sarah Freemen från Idaho National Laboratory (INL) som behandlar det lite poppiga ämnet "Consequence-driven, Cyber-informed Engineering (CCE)". Om ni missat att ämnet är poppigt brukar ni nog inte hänga på OT-konferenser eller lyssna på OT-poddar. CCE tar den spännande ansatsen att vi redan är hackade och att angriparna bara väntar in rätt tid att slå till. Eftersom sannolikheten att bli hackad per definition då är 100% måste åtgärderna mot allvarliga skada då väljas baserat på vilka konsekvenser som kan uppstå i olika scenarier. CCE bör rimligen gå bra att kombinera med PHA-begreppet från nedanstående bok, som angriper samma problem från lite andra vinklar. I grunden handlar båda två om att skydda vår verksamhet mot ond bråd död, miljökatastrofer och andra mindre roliga händelser genom att komplettera våra "hackbara" system med skydd som inte går att hacka - ofta olika typer av fysiska åtgärder i själva processen. Tricket är förstås att kombinera skydd mot hackning och skydd mot konsekvenserna av hackning på ett sätt som ger oss bästa effekt till lägsta kostnad. "Security PHA Review for Consequence-Based Cybersecurity" gavs ut för ett drygt år sedan. Den fokuserar på begreppet "Process Hazard Analysis (PHA)" som är ett strukturerat sätt att göra riskanalyser för fysiska processer, ofta genom en så kallad HAZOP (HAZard and OPerability studies). PHA-analyser görs normalt med fokus enbart på händelser som orsakas av slumpmässiga fel i en anläggning. Boken utökar de existerande PHA-metoderna för att lägga till möjligheten att identifiera farliga scenarier som skulle kunna orsakas av OT-attacker. På köpet får man en strukturerad metod för riskanalys vilket saknas i 62443-standarden. I standarden sägs bara att man ska göra riskanalyser och på vad, men inte hur. Observera att denna PHA-analys inte är samma sak som den PHA-analys ("Preliminary Hazard Analysis") som beskrivs i Räddningsverkets "Handbok för riskanalys" som bland annat MSB pekat på i samband med Seveso-utbildningar. Den tredje boken "Advanced PLC Hardware & Programming: Hardware and Software Basics, Advanced Techniques & Allen-Bradley and Siemens Platforms" är egentligen inte en säkerhetsbok. Den ska förhoppningsvis kunna stärka mig lite ytterligare i mina förståelse för de system som vi försöker skydda. Precis i allt säkerhetsarbete behöver man förstå de verksamheter man försöker skydda för att det ska bli ett bra resultat. Det finns ju faktiskt en anledning (eller förmodligen flera) till att det fysiska skyddet av en bank, ett fängelse och ett kärnkraftverk ser ganska olika ut trots att man skulle kunna tro att de har ganska mycket gemensamt... Det här är tre böcker som jag har stora förhoppningar om men jag får återkomma med recensioner och insikter när jag har börjat avverka dem. Vill du ha kompisar? Jag har fått frågor från ett par läsare som är intresserade av att få kontakt med andra som arbetar med OT-säkerhet för att utbyta erfarenheter. Jag har funderat på sätta ihop något slags rundabords-träffar, helt utan vare sig kostnad eller sälj-agenda från någon av deltagarna. Jag tänker mig små grupper som över tiden kan bygga förtroende för varandra och genom nätverkande kan hitta samarbeten och inspiration. I dessa tider blir det väl rimligen träffar på distans men förhoppningsvis kan vi snart komplettera med "fysiska träffar". Blir intresset stort kan jag tänka mig olika grupper för olika branscher, roller eller geografiska platser. En annan tanke på samma tema är ett online-forum där man kanske lite snabbare och enklare kan bolla enskilda frågor. Det skulle i så fall vara fristående från alla former av sociala medier för att inte exkludera någon och de som medverkar skulle enbart vara personer med bekräftad identitet för ökat förtroende. Även här skulle det vara kostnadsfritt och frikopplat från både sig min arbetsgivare eller något annat kommersiellt intresse. Är något av dessa tankar intressanta så är det väldigt viktigt att du hör av dig så att jag blir motiverad att dra detta i mål. Skriv en rad till mig på mats.karlsson-landre@atea.se. Vattnet i Florida! Ingen som läser det här nyhetsbrevet har missat ståhejet kring incidenten i Oldsmars vattenverk. Det finns massor skrivet om händelsen, exempelvis Nozomi, Krebs on Security, Arstechnica och CISA. Man kan (bevisligen) ha väldigt olika åsikter om det som hände, varför det hände och hur farligt det egentligen var i praktiken. Jag ska inte trött ut dig med ytterligare en tolkning av incidenten utan bara konstatera att namnet Oldsmar nu har gått till historien och kommer tillsammans med namn som Maroochy, Stuxnet, BlackEnergy, Kemuri, Crashoverride och Triton att dyka upp säkerhetskonferensernas Powerpoint-bilder under lång tid framöver. Vi får se till att göra bästa nytta av incidenten för att illustrera varför det är viktigt arbete vi gör inom OT-Säkerhet och att hotet mot samhällets infrastruktur finns där, oavsett varifrån det egentligen kommer. Personligen kommer jag nog minnas Oldsmar lite extra för att de inblandade var så transparanta om vad som hänt och skötte informationen ovanligt bra. Det är ju något som visat sig vara uppskattat, oavsett om du är sheriff i Oldsmar eller säkerhetschef på Norsk Hydro. Jobba med mig - nu ännu mera! I förra nyhetsbrevet berättade jag om den Lösningsarkitekt för Säkerhet som vi söker till Atea i Västerås. Nu vill vi också ha en erfaren kollega kring informationssäkerhet där vi har många spännande möjligheter, inte bara kring OT-kunder. Dessutom vill vi ha en erfaren DataCenter-specialist som vi kan släppa lös i kundernas säkerhetsklassade miljöer. Är du rätt person eller känner du den? Hör av dig till mig eller läs mer på vår karriär-sida. Läsvärt! Ett blogginlägg på Ateas officiella blogg som jag själv skrev kring förslaget till nytt NIS-direktiv. https://www.atea.se/it-specialisten/sakerhet/ett-helt-nytt-nis-direktiv-ar-pa-vag/ MSB släppte nyligen sin årsrapport för 2020 kring det nuvarande NIS-direktivet. Riktigt läsvärd med mycket intressanta poänger. De har också givit ut "Samlad informations- och cybersäkerhetshandlingsplan 2019–2022 Redovisning mars 2021" som bland annat pekar på en nationell satsning på säkerhet i "cyberfysiska system" och även en fortsatt samverkan med FOI kring en nationell Cyber Range, dvs möjlighet att öva på att hantera angrepp. Jag tidigare pekat dig till fantastiska rapporter och andra publikationer från FOI, Totalförsvarets Forskningsinstitut. Deras sajt är en rejäl skatt med välgjorda och innehållsrika texter på alla möjliga områden som jag verkligen rekommenderar att du tittar närmare på. ISA och ISAGCA (ISA Global Cybersecurity Alliance) har lagt fram sin plan för 2021 och kommer glädjande nog bedriva en hård satsning kring allas vår favorit-standard ISA/IEC 62443. Den som använder mobil kommunikation och känner för lite tekniska experiment kan titta närmare på EFFs projekt CrocodileHunter. Ett spännande open-source verktyg för att leta efter falska basstationer, ofta kallade "IMSI Catchers", "Stingsrays" eller "Hailstorms". Det här är ett spännande område som förstås inte är specifikt för OT-Säkerhet men som inte ska underskattas. Det kan jag personligen skriva under på baserat på egen erfarenhet... Apropå mobilkommunikation så snubblade jag över en artikel och ett riktigt genomarbetat papper från Trend Micro kring säkerheten i användningen av 5G i bilar: "Cybersecurity for Connected Cars - Exploring Risks in 5G, Cloud, and Other Connected Technologies". Läs och njut! Mer på samma tema är en artikel om attacker mot LoRaWAN från Trend Micro. LoRaWAN är ju en av de mer framträdande kommunikationsmetoderna som är speciellt anpassat för IoT-världen med väldigt låg bandbredd men också extremt låg energiförbrukning. Dragos har gjort en ny variant på årsrapport för 2020 där du kan utforska deras data interaktivt förutom den klassiska rapporten. Kul och intressant! Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Segmentering är temat för detta nyhetsbrev kring OT-Säkerhet. Jag tittar närmare på en riktigt häftig säkerhets-produkt, en nätverksdiod från svenska Advenica! Nu kan du luta dig mot fysikens lagar för att segmentera dina system! Det blir en spännande artikel om att segmentera information och sedan blir det den äldsta sortens segmentering: Fysiskt skydd! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är en kusin till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta! Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Läskigaste nyheten på länge... Tamás Jós, mer känd under namnet SkelSec, twittrade nyligen något som till en början mest var imponerande men som sedan blir allt mer skrämmande när jag funderar över konsekvenserna. WebAssembly är ett sätt att köra binär kod i exempelvis webbläsare som är en av W3Cs rekommenderade standarder sedan ett drygt år tillbaka. Det SkelSec gjort är att implementera det klassiska Windows-protokollet SMB i WebAssembly. Fundera på vad det betyder... Nu kan alltså en sida som en användare öppnat i sin webbläsare agera som SMB-klient/server på det lokala nätverket... Sedan dess har han även implementerat LDAP... En uppenbar första tanke är vad detta betyder i form av nya möjligheter för producenter av skadlig kod att göra helt nya saker! Vi får se vart det tar vägen... Men vi som tänker på OT-säkerhet ser ju förstås ytterligare problem... Om Tamás lyckats implementera ett så pass komplext protokoll som SMB, så blir det inget problem för någon annan att implementera Modbus, BACnet eller PROFINET! Aldrig har vi väl fått en så tydlig orsak till att bli duktiga på att segmentera våra nätverk och hålla noga koll på trafiken i dem! Det här blir nästan en lite för bra övergång till nästa artikel här nedanför, apropå segmentering... Stopp! Det är enkelriktat här! Det finns många tillfällen när man önskar att man kunde se till att information verkligen bara kan skickas åt ett håll. Det kan handla om att loggar från ett känsligt OT-system ska skickas ut till ett analysverktyg på "IT-sidan" eller kanske att det ska gå att skicka in uppdateringar till ett system men inte hämta känslig information från det. För OT-verksamheter handlar det ofta om att replikera en information från en historian ut till kontorsnätverket, att få ut loggar till en gemensam SIEM-lösning eller att skicka en kopia på all nätverkstrafik till en IDS utan att riskera att förbindelsen kan användas för att angripa OT-världen. Generellt så handlar det om att bara kunna skicka till ett nät där man vill skydda hemlig information, alternativt att bara kunna skicka från ett nät där man vill skydda integriteten hos system eller information. Man kan komma ganska långt med enkla och klassiska metoder som brandväggar och härdade applikationer men det finns fortfarande alltid en risk för att någon sårbarhet går att utnyttja "åt fel håll". In på scenen kommer då nätverksdioden! Det här är en fysisk utrustning som med fysiska åtgärder ser till att information garanterat bara kan strömma åt ett håll. I sin enklaste form är det en vanlig fiberanslutning där ena sidan bara har en sändande laser och den andra sidan bara kan ta emot. Då blir det ju bevisligen omöjligt att skicka någonting åt andra hållet! En sådan enkel diod fungerar bra om man skickar nätverkstrafik som inte behöver svar. Tekniskt sett skulle det kunna vara gammaldags Syslog som skickas med udp-paket eller kanske Netflow som fungerar på ett liknande sätt. Men så snart man försöker kommunicera via tcp fungerar det inte eftersom handskakningen mellan de kommunicerande enheterna inte kommer fram! Lösningen blir att sätta en proxyfunktion på var sin sida om den där fibern. Dessa får i uppdrag att "fejka" handskakning mm på ett sätt som gör att de kommunicerande enheterna upplever kommunikationen "som vanligt" trots att den gör ett envägshopp på vägen. Som du förstår kan det bli ganska klurigt att få till stöd för vissa nätverksprotokoll... Jag har tittat närmare på just en sådan lösning, det är en SecuriCDS DD1000i från Malmö-baserade firman Advenica. Advenica har flera olika modeller av dioder, allt från det enklaste till det mycket sofistikerade. DD1000i är i den mer sofistikerade änden av den skalan. Det lilla fönstret i mitten av utrustningen går rakt igenom lådan och det enda som går mellan vänster och höger halva är den där fiberanslutningen. Det är en tjusig illustration av att det under huven är två helt separata servrar som kommunicerar via den fibern. Att det är två separata system syns ännu tydligare på baksidan. Generellt kallas de två sidorna "upstream" och "downstream" för att göra det tydligt åt vilket håll informationen ska flöda. Det finns tre tjänster inbyggda: "NTP Bridge service" som skickar vidare rätt tid från upstream-sidan till downstream. "Syslog service" som skickar vidare loggar från enheter på upstream-nätverket till downstream-sidan. "UDP/TCP service" som kan konfigureras för att skicka vidare en eller flera nätverksprotokoll från system på upstream-sidans nätverk till downstream. Trafiken skickas då "rått" utan att dioden försöker tolka innehållet, vilket är användbart för protokoll som i sig är informationsmässigt enkelriktade. Utöver de inbyggda protokollen kan man lägga till stöd för filöverföring med ftp/sftp, e-post med SMTP och filhantering med NFS eller SMB. Om man saknar ett protokoll är det alltid möjligt att lägga till stöd i produkten. När man valt protokoll får man svara på några konfigurationsinställningar och sedan skapa en konfigurationsfil. Denna fil laddar man sedan upp i administrationsgränssnitten för var och en av de två halvorna i dioden. Status för tjänsterna kan man se i administrationsgränssnittet och man kan skicka alla loggar via syslog till ett SIEM-system. Även här får man tänka till lite eftersom det är två systemhalvor i samma låda och därmed två uppsättningar loggar som ska hanteras. De olika protokollen som kan konfigureras är alla väldigt enkla att konfigurera. Beroende på vilken funktion man vill uppnå kan vissa av dem köras i lite olika varianter. Exempelvis kan stödet för filöverföring i Windows-världen via SMB ställas in att fungera på två sätt: Som en brevlåda, "Dropzone mode", där system och användare kan lägga filer i en katalog. Filerna hämtas av dioden, överförs och raderas sedan från katalogen. Som en katalogspegling, "Mirror mode", där filer i en katalog på "uppströms"-sidan replikeras till en katalog på "nedströms"-sidan. Ändringar och nya filer på "uppströms"-sidan överförs löpande till "nedströms"-sidan. Om man vill ha extra hög tillförlitlighet går det att klustra två DD1000i. Eftersom de två sidorna i en DD1000i bara kan kommunicera åt ett håll blir klustringen lite klurig att få till men Advenica har löst det på ett listigt sätt! Att sköta om en sådan här mackapär är förstås lite speciellt även om det inte är så svårt. Advenica skickar med rekommendationer kring hur man organiserar arbetet och vilka roller som behövs för att ha koll även i riktigt känsliga verksamheter. Man behöver också ha rutiner för att hantera incidenter, reparation av trasig hårdvara och skrotning av utrustning där känslig information passerat. Riktigt snyggt av Advenica att alltid stötta kunderna på det här viset! Direkt måste jag ge Advenica två tummar upp för kvalitén på dokumentationen. Riktigt tydligt men samtidigt kortfattat och lätt att hitta i! Svaren på alla mina funderingar gick lätt att hitta! Förutom den allmänna dokumentationen är var och en av de olika proxyfunktionerna dokumenterade för sig så att man enkelt förstår vad de olika inställningarna ger för möjligheter. Som demonstration gjorde jag en enkel uppsättning för skydd av mejl-överföring. Tjänster för mejl har historiskt varit säkerhetsmässigt utmanande så det är en välkommen funktion att få starkt enkelriktad mailtrafik. I mitt exempel tänker vi oss en känslig OT-miljö som behöver kunna skicka ut email-meddelanden till kontorets IT-nätverk. Vi vill vara säkra på att mejlservern på OT-sidan inte behöver kommunicera direkt med någonting på IT-sidan men att den ändå kan skicka mejl dit... I konfigurationsprogrammet förbereder man hur dioden ska bete sig. Inställningarna är väldigt lätta att förstå och man får bra hjälp direkt i programmet och från den tillhörande manualen! Det du i praktiken gör är att skapa en SMTP-server på "uppströms"-sidan som tar emot mejl. Dessa mejl överförs via dioden och landar i en SMTP-klient på "nedströms"-sidan där mejlet skickas till lämplig mejlserver. I princip behöver du bara ställa in vilka IP-adresser som ska användas och sedan fungerar det! DD1000i är en utpräglad datacenter-produkt eftersom den rackmonteras och kräver en kontrollerad miljö för att må bra. Vill man ha diod-funktioner ute i en anläggning finns även DD1G som är en diod utan inbyggda proxy-funktioner men som DIN-monteras och drivs med 12 VDC. Det här kan vara en väldigt praktisk lösning på kluriga problem kring exempelvis loggning och nätverksövervakning. Vad är då typiska användningsområden för en diod i en OT-verksamhet? Jag nämnde tidigare att replikera över Historian-information till IT-sidan är vanligt. Att plocka in uppdateringar och patchar är också ett vanligt behov som behöver styras upp. I vissa situationer kan man ha två dioder, en åt vardera hållet, för att styra upp kommunikation. Det kan tyckas vara en konstig lösning men det är i många fall en riktigt bra idé. Men det finns andra sätt att närma sig sådana situationer också... Utrustningen jag tittat på här är en utpräglad envägs-diod. Advenica har även något man kallar "ZoneGuard" där den viktigaste skillnaden mot DD1000i, kanske lite kontra-intuitivt, är att man kan skicka trafik åt båda hållen! Här är fokus mer på att styra upp vilken information som överförs åt respektive håll och säkerställa att protokollen inte missbrukas. En "vanlig" brandvägg inspekterar trafiken och skickar den vidare utan ändring. I en ZoneGuard bryter man sönder protokollet helt, plockar ut informationen som ska överföras, applicerar regler och filter på själva innehålket och bygger sedan ihop helt nya nätverkspaket. Angrepp som utnyttjar felformatterade nätverkspaket har alltså inte en chans! Detta är ett koncept som brukar kallas "Information Exchange Gateway" vilket ursprungligen är ett militärt begrepp. ZoneGuard har stöd för en rad spännande protokoll och format som exempelvis SOAP, XML, MySQL och RDP! Det finns också bra stöd för organisationens egna utvecklare att anpassa stödet till de egna systemens krav. Det här är också en väldigt spännande produkt för OT-verksamheter eftersom integrationen mellan IT och OT är helt avgörande för både organisationens effektivitet och dess säkerhet! Som summering kan jag konstatera att Advenica verkligen lyckats ta hand om klurigheterna kring att få till en diod som fungerar i praktiken. Både systemet och dess dokumentation är som sagt föredömligt tydliga och enkla att förstå. Det här en teknik jag tror allt fler av mina kunder kommer anamma framöver! Nytt fast precis som förut! Jag hoppas du gillar mitt nya sätt att publicera nyhetsbrevet? Nu är det lättare att hitta mina nyhetsbrev, allt finns på ett enda ställe: www.ot-säkerhet.se. Där hittar du alltid det senaste nyhetsbrevet, men också tidigare utgåvor. Du har också möjlighet att anmäla dig till epost-utskick, ansluta dig till mitt RSS-flöde och skicka feedback till mig. I övrigt är allting med nyhetsbrevet sig likt, både till innehåll och syfte. Jag kommer även i fortsättningen annonsera nyhetsbreven på LinkedIn och i utvalda Facebook-grupper. Ni som sedan tidigare får utskick med epost får det även i fortsättningen! Segmentera ditt data! Jag måste bjuda på en riktigt bra artikel av Jonas Berge på Emerson! Titeln är "Data Driven Plant Operations Recommendations" vilket redan där är tecken på att det är ett stort område och därmed en lång artikel. Men den är väl värd att läsa i sin helhet eftersom han sätter fingret på många viktiga frågor. Den är dessutom riktigt välskriven! Om jag ska plocka ut något av det viktigaste kring just säkerhetsfrågor från hans text så blir det nog hur viktigt det är att hålla isär datamängderna på OT-sidan från dem på IT-sidan. Nyckeln till det är en av mina egna käpphästar, att jobba med en strukturerad strategi för integration mellan system istället för att knyta systemen för "hårt" mot varandra. För OT-sidan blir det väldigt viktigt att luta sig mot en segmenterat djupförsvar i linje med IEC 62443 och därmed en övergripande arkitektur som bygger på ISA 95. Knutet till det är också hans starka rekommendation att omge sig med kompetens kring ISO 27000 för IT-sidans behov som samverkar med kompetens kring ISA 62443 för OT-sidan. Mycket nöje med din läsning av en riktigt bra artikel! Säkerhet för tvillingar och ingenjörer! Det finns många åsikter om hur man praktiskt ska arbeta med teknisk säkerhet i OT-system. En klassisk sanning är att de som konstruerar OT-system inte kan förväntas lära sig OT-säkerhet också så det får någon annan göra. En, om möjligt, ännu mer klassisk sanning är att säkerhet måste byggas in i konstruktionen från början. Dessa två sanningar kan tyckas vara väldigt svåra att kombinera... In på scenen kliver då en av superstjärnorna i vår bransch, Sarah Fluchs, med svaret! Hon hävdar att vi kan göra säkerhetsarbetet mer ingenjörsmässigt och därmed sätta det i händerna på systemkonstruktörerna! Och hon har beskrivit det i ett enastående dokument som jag ska erkänna att jag måste läsa några gånger till innan jag ärligt kan påstå att jag hänger med i alla hennes resonemang. Men jag vill ändå hävda att hon är på väg att skapa någonting riktigt intressant! Riktigt torrt är det också! Men intressant... Jag läste version 1.0, det kommer garanterat utvecklade versioner! Jag ska inte försöka mig på att tolka och omformulera hennes budskap här utan rekommenderar helt enkelt att du läser det själv! Dokumentet är väl värt att läsa bara på grund att hon lyckats basera sitt upplägg på ett av koncepten från Digitala tvillingar: Asset Administration Shell, vilket gör det väldigt användbart för organisationer som börjat ta till sig tvilling-tanken och koncepten från "Industrie 4.0". Att hon dessutom har lyckats kryddat anrättningen med Mark Twain, Chaos Engineering, Attack-grafer, MITRE ATT&CK och "Resilience Engineering" gör det både lärorikt och underhållande! Jag vill gärna höra om dina tankar efter att ha läst dokumentet! Vad pallar ditt fysiska skydd? Man kan tycka många saker om händelserna kring Kongressen i Washington men jag tänker inte ge mig in i några politiska funderingar här. Men en intressant vinkel som åtminstone indirekt knyter an till OT-Säkerhet lyftes av The Wall Street Journal. I dessa dagar av allt starkare och snabbare reaktioner i sociala medier behöver många organisationer fundera på hur deras fysiska skydd står emot större grupper av arga människor. Som vanligt när människor är orsaken till en risk är det väldigt svårt att bedöma sannolikheter och då får man se till att jobba med konsekvensreducering istället. Glöm inte att de egna anställda är en väldigt viktig kugge i det hela, de behöver vara tränade i att reagera rätt i hotfulla situationer och de behöver agera rätt när deras arbetsgivare kritiseras i sociala medier. Just det fysiska skyddet är ju viktigt för många organisationer som använder OT-teknik. Inte sällan kan det uppstå farliga situationer i anläggningen om obehöriga får möjlighet att göra någonting dumt. Det kan gå ut över inkräktarna själva, eller drabba miljön eller kanske skada anläggningen. Bevisligen kan folk ställa till det rejält, både för sig själva och den angripna organisationen, när de hetsar varandra till "stordåd" i grupp. Den viktigaste poängen jag försöker göra är väl egentligen att man måste se till att de olika typerna av säkerhetsarbete kan samverka, både under förebyggande arbete, under incidenter och i uppstädningen efteråt. Som händelserna i Kongressen visade fick IT-säkerheten enorma problem när inte det fysiska skyddet pallade trycket! En viktig del i det fysiskt skyddet för många anläggningar är att vara avskräckande genom att visa för omgivningen att man tar sin säkerhet på allvar. Med lite god vilja kan man säga att en besläktad utmaning och möjlighet är OSINT, "Open Source Intelligence", alltså underrättelse-arbete baserat på öppna källor. Det är ju något som, om inte annat, blev väldigt aktuellt i utredningsarbetet efter Kongress-händelserna. Det spontana samarbetet kring analys av angriparnas bilder och inlägg på sociala medier har varit oerhört kraftfullt! OT-säkerhetsspecialisterna på Dragos gav nyligen ut ett riktigt intressant White Paper kring hur man kan arbeta med analys av den information som den egna organisationen öppet sprider. Spontant skulle jag säga att detta är speciellt viktigt just inom OT-säkerhetsarbetet där man, vare sig man vill eller inte, ibland tvingas luta sig lite väl mycket mot "Security by obscurity". Blandade godbitar att läsa och titta på! https://www.youtube.com/watch?v=Uk6zsLmrTSE En intressant presentation kring OT-system ombord på fartyg från iTrust och SUTD, som finansierats av Singapore Maritime Institute. Se även deras eventsida. https://www.activecyber.net/orchestration-for-ot-systems-is-the-time-right Samlade intressanta tankar kring orkestrering och dess potentiella roll inom OT. https://documents.trendmicro.com/assets/pdf/Operational-Technology-Cybersecurity.pdf Ett white paper från Trend Micro skrivet av legenden Joe Weiss och Richard Ku med titeln "A Current View of Gaps in Operational Technology Cybersecurity". Det är en bred titt på området med både historik, missförstånd och förslag på lösningar. Läs det! https://www.linkedin.com/pulse/drive-towards-deep-code-review-industrial-programs-matthew-loong En spännande artikel av Matthew Loong som belyser ett ämne som jag personligen aldrig stött på inom OT men som är desto vanligare inom IT, nämligen kodgranskning. Det här tror jag kan bli ännu mer intressant framöver med allt mer integrerade system! https://www.linkedin.com/pulse/enough-policies-lets-talk-procedures-matthew-loong Ytterligare en intressant artikel av Matthew Loong där har slår ett slag för SOPar, alltså handgripligt beskrivna rutiner. Det är något jag känner igen alltför väl, att organisationer nöjt lutar sig tillbaka när de har skapat sina policies men glömmer att en policy, hur välskriven den än är, inte går att luta sig mot för att göra sitt jobb. Speciellt inte när det krisar... Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Lite av ett jubileum blir det den här gången, med den 20:e utgåvan av nyhetsbrevet! Jag började med 4 läsare av det första utskicket och nu har 800 personer läst den senaste utgåvan! Det hade jag verkligen inte väntat mig när jag drog igång ett nyhetsbrev för ett ganska smalt, nischat område för ett drygt år sedan! Det verkar som det finns ett behov av någon som skriver om det här kluriga ämnet på svenska. Nu siktar jag på 1000 läsare! Jag ska inte sticka under stol med att det förstås är riktigt kul att nyhetsbrevet, som bieffekt, drivit fram så mycket uppdrag och produktaffärer! Jag tycker alltid det är lika spännande att möta nya verksamheter, som alla är på olika resor och med olika utmaningar! Det känns som att det är dags att be chefen anställa en kollega till mig... Sjukvård är något av ett tema den här gången, nästan alla texter knyter an till vården på ett eller annat sätt. Jag tittar bland mycket annat på kaotiska apor, jämför säkerhet med konditionsträning, funderar över likheter mellan sjukvård och OT, tittar närmare på vad som krävs för att haverier i säkerhetssystem inte ska ställa till det för verksamheten, annonserar vinnare, fortsätter diskussionen om fastighetsautomation och tittar närgånget på en riktigt tuff server. Jag vill ge er ett stort tack för alla trevliga mejl jag får med uppskattande och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se . Jag lovar att din mejladress inte används till något annat än detta! Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen! Släpp in kaos-aporna! Ginger Wright från INL (Idaho National Laboratory) håller ett av de absolut mest spännande föredragen från årets S4-konferens. Hon knyter ihop den fantastiska metod som Netflix "uppfann": "Chaos Monkey" som är en del av "Chaos Engineering" med hur INL övar incidenthantering med organisationer i USAs elförsörjning: Invite the Chaos Monkey Även om du inte är intresserad av någonting annat så är det värt att höra föredraget om du inte känner till "Chaos Monkey", det är ett makalöst koncept. Netflix ser helt enkelt till att alla "Failure Modes" som de kan hitta på faktiskt kommer hända i verkligheten i deras produktionsmiljö och det händer på ett slumpartat sätt! Det handlar alltså inte om att öva i en skyddad lekstuga utan om att hantera verkliga och brutala störningar i den skarpa miljön utan att kunden märker någonting! De skjuter alltså slumpmässigt och utan förvarning ner sina egna system, i vissa fall hela datacenter, bara för att lära sig! Hela poängen är att testa att man verkligen kan hantera felsituationer och vad man kan lära sig av sina utmaningar och misslyckanden! Du hittar en lista över alla deras apor på Wikipedia: Chaos Engineering och på github finns mjukvaran de använder: chaosmonkey . Fokus för INLs övningar är på att bli bra på att hantera incidenter - inte bara förebygga dem! När övningarna startar är redan attacken i full fart! Det handlar om "Face your fears!" och om att utsättas för vansinnigt jobbiga händelser i en "verklig" miljö. Det hela ingår i ett DARPA-program kallat "Rapid Attack Detection, Isolation and Characterization Systems": RADICS Allt detta är i linje med två av mina viktigaste käpphästar kring säkerhetsarbete oavsett om det handlar om IT, OT, fysiskt skydd eller något annat område: att man inte bara kan fokusera på att förebygga incidenter och att man måste öva i verkligheten! Naturligtvis ska man göra vad man kan för att händelser inte ska ha en chans att hända men sedan behöver man ha inställningen "förutsätt att vi redan är drabbade, vad gör vi?". När det gäller övningar tycker jag man ska börja enkelt med pappers-övningar med alla deltagare sittande runt ett bord. Först när man känner sig redo börjar man fundera på att öva "på riktigt". Ska man upp i Netflix nivå behöver man dessutom bygga sina system och sin infrastruktur på ett sätt som redan från början tar höjd för kommande attacker och haverier! Man behöver också ha sådan koll på sin design-process att man kan identifiera alla felscenarier och hur de slår mot verksamheten. Hur tuff är din server? I nyhetsbrev #18 skrev jag om edge-system och hintade även om en hårdvara jag kommit i kontakt med. Jag listade ett antal egenskaper som en edge-server behöver ha och som känns nästan ouppnåeliga i en och samma enhet: stabilitet som en riktig server, kanske till och med en klustrad lösning för att riktigt maxa tillgängligheten fysisk tålighet som hos en PLC för att tåla kyla, värme, vibrationer och stötar ute i verksamheten prestanda som en arbetsstation med extrema GPU-kretsar och ultrasnabb lagring nätverksanslutning med extrema prestanda och flexibla anslutningsmöjligheter fysiska egenskaper som passar tillsammans med OT-utrustningar: DC-matning, DIN-montering och en smidig storlek Systemet som jag tittat närmare på i verkligheten är en Lenovo ThinkSystem SE350. Den finns i lite olika utformningar men den variant som jag haft fingrarna på har 8 CPU-cores, 64 GB RAM, 2st M.2 bootdiskar 128 Gb, 1 TB VMEe flashminne, WiFi och LTE. Som synes på bilderna är det en nätt liten enhet men maxar man den blir den riktigt kapabel: en 16-cores Xeon-2100 CPU, 256 GB minne, 10st M.2-diskar som kan köras i hårdvaru-RAID, 10Gb-ethernetportar och en PCIe x16 plats där du kan sätta ett GPU-kort att köra AI-applikationer på. Så långt är det egentligen ingenting exceptionellt alls för en server. Men när vi lägger till det som gör den användbar långt utanför datorhallen blir bilden en annan: Den kan monteras på VESA-fäste eller DIN-skena. Vill man absolut stoppa in den i ett 19"-rack kan den monteras två i bredd. Den kan köras på 12 - 48 Volt DC eller 100 - 240 Volt AC med dubbel matning. Skyddsfilter för dammiga miljöer gör att man slipper enorma kylflänsar. Inbyggd WiFi och LTE som är förberedd för 5G. Den tål att köras i temperaturer från 0 till 55 grader. Den tål fysiska stötar i 40G och är certifierad för att tåla vibrationer. Diverse smarta skydd mot fysisk manipulering och stöld. Inte en dussin-server direkt men däremot en riktigt snygg anpassning till för de speciella behov som ställs av tunga applikationer ute i anläggningarna. Det kan vara beräkningar som kräver väldigt korta fördröjningar eller snabba AI-analyser av video eller andra tunga dataströmmar. Jag ser ofta vanliga PC-datorer placerade ute "på golvet" i tillverkande industri där man kör rena serverapplikationer som en del i en automationscell. Bakgrunden är nästan alltid att det var billigare att ställa dit en vanlig PC eftersom det är en enkel hårdvara och den driftmässigt kan hanteras som en vanlig PC. Det leder nästan alltid till problem eftersom som man får vad man betalar för, framför allt när det gäller driftformen. Med en riktig serverhårdvara som driftas som den serverfunktion det faktiskt är så har man vunnit mycket tillförlitlighet. Om man tittar på ThinkSystem SE350 så ger den oss dessutom chansen att bygga ett system som går att sköta om på ett modernt sätt. Vill du köra hyperkonvergerat är den validerad av Microsoft för Azure Stack HCI och även certfierad av Nutanix. Annars stöds förstås Windows Server, SLES, Ubuntu, RHEL och VMware ESXi. Att den är avsedd att ta lite andra roller än serverhårdvaror normalt får hantera märks inte minst på nätverkssidan: Den har inbyggd WiFi som gör att den både kan ansluta till existerande nätverk eller agera accesspunkt för ett eget nätverk. Inbyggd LTE med förberedelse för 5G. Inbyggd nätverksswitch (med SFP- och RJ45-anslutningar) som kan konfigureras på en rad spännande sätt beroende vad man behöver. Det innebär att man exempelvis kan ansluta mindre sensornät direkt in i servern samtidigt som man klustrar servern och har seriekopplad anslutning till Lenovos BMC-managementtjänst XCC. Dubbla 10 Gb/s SFP+ anslutningar för bandbreddsslukande applikationer. Installation och annan administration var lika enkel som för vilken annan server som helst. Det här är en riktigt rolig bekantskap! Personligen gillar jag verkligen XCC för remote hantering och konfiguration av hårdvaran inklusive den inbyggda switchen. Jag kommer att köra en del tester av applikationer på just den här Lenovo-servern så jag återkommer med fler intryck efter hand! Om du vill prova själv eller vill veta mer är det förstås bara att höra av dig! Försäkring, löpning eller säkerhetsarbete? Man hör ofta människor jämföra ett bra säkerhetsarbete med att köpa en försäkring vilket jag tycker är en ganska dålig jämförelse. En försäkring minskar inte sannolikheten för problem utan minskar bara den ekonomiska skadan om något händer. En klok person jag lyssnade på häromdagen ville hellre jämföra säkerhetsarbete med konditionsträning. Resonemanget var att konditionsträning, förutom att minska sannolikheten för problem och konsekvenserna av dem, ger nytta direkt, inte minst ger bättre kondition möjlighet att göra saker som man inte kunde tidigare. Säkerhet skapar möjligheter! Cyberförsäkringar i olika former är ett affärsområde som växer snabbt och som diskuteras flitigt. Ett viktigt problem med cyberförsäkringar är att man kan lockas lägga sina pengar där istället för på säkerhetsarbete. På samma sätt som att försäkringar i ovanstående resonemang är en dålig liknelse för ett säkerhetsarbete är det definitivt en dålig ersättare för detta arbete! Att drabbas mindre av konsekvenserna av ett angrepp är en klen tröst, särskilt om det händer upprepade gånger. En annan viktig likhet mellan bra säkerhet och en god kondition är att båda är flyktiga. Både säkerhetsarbete och konditionsträning är något man gör, inte något man har. När man slutar anstränga sig klingar nyttan av väldigt snabbt! Cyberförsäkringar har synts en hel del i media på senare tid. En spännande aspekt är när större angrepp uppfattas (rätt eller fel) utförda av länder. Detta leder till fall där försäkringsbolagen hävdar force-majeure på grund av krigshandlingar. Det mesta kända fallet är matjätten Mondelez som drabbades av NotPetya och krävde 100 MUSD från sitt försäkringsbolag. Försäkringsbolaget avslog begäran när angreppet utpekades som ett ryskt angrepp mot Ukraina. Så vitt jag vet slåss de fortfarande om det i domstol. tre år senare... Du kan exempelvis läsa mer hos Darkreading och New York Times . World Economic Forum oroar sig också över försäkringar. De ser att försäkringsbranschens risker för Cyberförsäkringar är ohållbara i en spännande rapport som gavs ut nyligen. Min personliga syn på cyberförsäkringar har, åtminstone tidigare, varit att det är vad som kommer att "rädda oss" genom att tvinga organisationer som köper försäkring att få ordning på säkerhetsarbetet. Lite som att inget försäkringsbolag skulle acceptera att en organisation inte hade brandsläckare eller bra lås på dörren. Jag tror fortfarande att det kommer att hända men att det kommer ta längre tid än vad jag trodde. Min tolkning av WEFs artikel ovan är att de problem de pekar på också tyder på en omogen marknad. Något jag hör mer och mer om (dock inte i Sverige ännu) är att företag i allt större omfattning i panik skaffar försäkringar eftersom de hör talas om så många ransomware-attacker. Tyvärr är en vanlig attityd "Nu har jag försäkring och jag kommer använda den!", vilket ju inte direkt tyder på någon större säkerhetsmässig mognad än så länge... EU vill öva sjukvården! EUs cybersäkerhetsorganisation ENISA har organiserat stora övningar inom olika områden under de senaste 10 åren. I år var det sjukvårdens tur men med tanke på världsläget var det inte riktigt "läge" att belasta sjukvården med övningar. Övningarna har helt enkelt skjutits på framtiden. Vi får se när övningarna blir av men redan nu tycker jag det var intressant att läsa om deras planer och det ganska vida spektrumet av övningsområden som ingår i planerna. Du hittar information på deras hemsida och här: på programsidan . Jag hoppas att lokala och regionala sjukvårdsorganisationer orkar bedriva övnings- och utvecklingsinitiativ trots sjukvårdens utsatta läge. Man kan ju faktiskt hävda att just på grund av det utsatta läget blir det ännu viktigare att öva och förbereda sig för attacker och störningar i viktiga system! Vilken medicin finns för sårbarheterna i sjukvården? Ett intressant men lite speciellt område inom OT är sjukvård och medicinsk teknik. Det har varit extra fokus på detta i media på senare tid eftersom allt fler ransomware-attacker riktat sig mot sjukhus. Ett dödsfall i Tyskland nyligen angavs ett tag vara det första fallet där någon avlidit på grund av en IT-attack. Även om detta senare avfärdades av tyska myndigheter så kommer vi förr eller senare få sådana fall. Vi måste räkna med att de kommer kunna vara kopplade till OT-liknande medicintekniska system eller försörjningssystem på sjukhus för gaser, strömförsörjning eller något annat som vården är beroende av för att kunna bedriva sin verksamhet. En artikel från Check Point nyligen pekade på den enorma ökningen av attacker i området. Leverantörer av säkerhetssystem fokuserar därför förstås mycket på sjukvården som ju på OT-sidan dras med samma utmaningar som många andra branscher, nämligen att man inte kan eller får arbeta med löpande uppdateringar av systemen. En artikel från TxOne ger både goda råd och pekar på tekniska åtgärder med deras produkter - framför allt virtuell patchning och nedlåsning av system med hjälp av vitlistning. En intressant variant på samma resonemang är förstås intåget av IoT i vården, se exempelvis iVOs sidor och på Ateas sidor om digitalisering av vården, där säkerheten i systemen kan få en väldigt påtaglig effekt på patientsäkerheten. Här vill det verkligen till att man funderar igenom konsekvenserna av både angrepp och fel. Sjukvården är i mitt tycke ett utmärkt exempel på att konsekvenserna av ett potentiellt säkerhetsproblem ibland blir så mycket viktigare att titta på än att försöka bedömma sannolikheten för att det händer. Vissa saker får bara inte hända, hur ovanliga de än är... Att bedöma risker är centralt i alla former av säkerhetsarbete. Två misstag, som jag själv brukar varna för, lyftes upp på ett elegant sätt i en artikel jag läste nyligen nämligen att: som säkerhetsperson "råka" ta ifrån ledningen deras ansvar genom att fatta beslut om vad som är acceptabla risker Basera beslut för mycket på sannolikheter, speciellt när det gäller sannolikheter kopplade till mänskligt beteende Det här är väldigt sant i klassiskt IT- och informations-säkerhetsarbete men det blir ännu viktigare när vi arbetar med risk i OT-världen där konsekvenserna tenderar att bli mycket mer avgörande än sannolikheterna. Det handlar om scenarier där konsekvenserna helt enkelt inte är acceptabla oavsett hur sällan de händer, exempelvis dödsfall eller organisationens totala kollaps. Naturligtvis ska man inte blunda för sannolikheter men i många lägen måste man arbeta med konsekvenslindring oavsett sannolikheten! I dessa sammanhang blir det dessutom väldigt tydligt varför den föråldrade tekniken med sannolikhet kontra konsekvens i en matris blir ett trubbigt och missvisande verktyg. Jag har varit inne på liknande resonemang tidigare, så om du inte läst nyhetsbrev #15 och #16 så rekommenderar jag att du tittar på dem. Haverera snyggt! Det kan tyckas vara en teknisk detalj men det är ack så viktigt! När man bygger sina säkerhetssystem, oavsett vilken typ av säkerhet vi pratar om, så vill det till att redan från början bestämma hur man ska hantera situationer när säkerhetssystemen själva går sönder. För sönder kommer de att gå! Inom IT-världen prioriterar man oftast skydd över tillgänglighet så när en brandvägg eller ett IPS-system går sönder så vill man hellre att den skyddade tjänsten blir otillgänglig än att skyddet försvinner. När vi pratar OT är det oftast tvärtom! Vi vill inte att vår fysiska process påverkas av att något skyddssystem fallerar men däremot måste vi förstås få en varning och en möjlighet att lösa problemet. Det här har dykt tidigare i nyhetsbrevet när jag tittat på produkter. Ett bra exempel är EdgeIPS från TxOne som jag skrev om i nummer 14 som "kortsluter" nätverksportarna fysiskt om den själv går sönder. Ett annat exempel är nätverks-tappen IxTap från Keysight som ni minns från nummer 17 som på samma sätt ser till att nätverktrafiken inte påverkas om den själv tappat strömmen. När det gäller just nätverk så finns även specialiserade produkter som bara är till för att säkerställa att havererad utrustning hanteras på det sätt man vill. De kallas bypass-switchar och är intressant teknik för den som vill bli tåligare mot tekniskt strul! Keysight, som är framstående även på bypass-teknik, skrev nyligen en bra artikel om just detta som tar upp alla varianterna som kan uppstå i sådana här sammanhang. Vill du prata mer om det här är det förstås bara att höra av dig! Vi har hittat vinnarna! Tävlingen i förra utskicket fick fler deltagare än jag hade väntat mig, vilket förstås var jättekul! Jag fick ett gäng intressanta förslag på vad man kan använda ett robust USB-minne till, du kan se två vinnande bidrag nedan. Vinnarna har utsetts, meddelats och vinsterna är skickade! Grattis! En av våra vinnare är Andreas som skickade in det här: Jag vill kunna flasha (pun intended) med denna på kontoret. Med det menar jag att jag vill visa att jag jobbar på ett så säkert sätt jag kan och därför uppmanar mina kollegor att göra detsamma. Om jag kan visa att jag tänker på säkerheten i alla avseenden hoppas jag på att det kan spegla sig i säkerhetskulturen på kontoret. Sebastian som också vann, skickade in följande: Jag skulle vilja använda minnet som ett 100% säkert system, där minnet monteras in i en disklös dator, där man installerar Windows 10 + UWF (Unified Write Filter), sedan skrivskyddar med den fysiska knappen. UWF gör att Windows 10 startar i en ramdisk. Sedan låser man UEFI/BIOS så att det inte kan flashas/uppdateras från windows. Systemet isoleras sedan i brandväggen på ett eget subnät så att det bara kan kommunicera med internet, ej andra enheter i nätverket. Sedan får man ett 100% säkert system, där, ifall man får virus eller hackerattack, räcker att boota om datorn, så är den sedan 100% pålitlig och ren. Det är också en fördel att ifall man vill göra känsliga saker, så bootar man om datorn först - och man kan vara helt säker på att datorn är pålitlig. Det är också bra som lek/experimentdator, får man någon skum fil eller minne, så kan man testa det i den datorn och går det åt skogen - bara att boota om. Då slipper man också ha lokalt antivirus/brandvägg, samt man slipper behöva ha UAC eller lösenord/konton, utan kan köra som system32 utan risk. Händer något - bara att hålla inne strömknappen på datorn i fem sek, sedan 100% garanterat rent! Det blir som en systemvid, hårdvaruskyddad sandlåda man kan lita på i alla lägen och boota om vid minsta tveksamhet. Fastighetsautomation I nyhetsbrev #18 funderade jag lite kring fastighetsautomation och efterlyste era erfarenheter på området. En av de som hörde av sig var Kristina Blomqvist, tidigare programansvarig för MSB:s nationella program för säkerhet i industriella informations- och styrsystem, numera på Vattenfall. Hon berättar: ”Inom det programmet ville vi 2016 få en bild av, och uppmärksamma situationen inom fastighetsautomation och tog därför fram två rapporter mha FOI och ett mycket grundläggande faktablad. En sak som framgår är att ansvarsstrukturen är väldigt komplex, med byggherre, entreprenör, förvaltare och sedan själva hyresgästen (som dessutom byts regelbundet). Detta samtidigt som fastighetsvärdering traditionellt inte alls bygger på kvaliteten av denna typ tekniska installationer (HVAC – värme, ventilation). Inte en optimal utgångspunkt för att säkra och robusta system! Speciellt inte som intrimningen av dessa system oftast görs sist – så eventuell tidsförlust tidigare i ett byggprojekt sparas in på den tid som hade avsetts för automationsintegrationen. Till detta kommer den starka viljan till energieffektivisering, som ofta leder till önskan om ökad uppkoppling. ” Hon skickade också med länkar till några riktigt intressanta rapporter som togs fram under hennes tid som programansvarig på MSB: NCS3 - Industriella informations- och styrsystem inom fastighetsautomation, Fastighetsautomation: Cybersäkerhet inom fastighetsautomation Funktioner och IT inom kommunal fastighetsautomation Kopplat till temat den här gången, sjukvård, och det som Kristina beskriver kring komplexiteten kring ansvar, planering och värdering, så kan jag ju själv inte låta bli att fundera över vissa byggprojekt inom vården som blivit uppmärksammade på senare år och hur den här typen av frågor hanterats i dessa sammanhang? Min egen bakgrund på området är främst fokuserad på styrning, säkring och kontroll av system för inpassering, områdesskydd, video, brandlarm etc. (Som för övrigt varit säkerhetsmässigt katastrofalt dåliga i nästan samtliga fall, vilket ju är nästan parodiskt med tanke på deras syfte och hur viktiga de är…) När det gäller annan fastighetsnära automation har jag mest storys från amerikaner att gå på, man hör liknande berättelser liknande Kristinas om ansvarsförvirring och rent byggfusk som leder till att BACnet-gateways för skyskrapor hamnar direkt på Internet… Riktigt kul att höra från er läsare! Tack Kristina! Någon mer som har erfarenheter att dela med sig av från detta spännande område? Safety eller Security? IET, "The Institution of Engineering and Technology", är en brittisk organisation som nyligen gav ut något man kallat "Code of Practice: Cyber Security and Safety". Deras egen förklaring till dokumentet är: This Code of Practice is written for engineers and engineering management to support their understanding of the issues involved in ensuring that the safety responsibilities of an organization are addressed, in the presence of a threat of cyber attack. “If it’s not secure, you can’t be confident it’s safe”. De sätter fingret på en gammal sanning på ett lite nytt och elegant sätt, nämligen det att "Safety" och "Security" måste gå hand i hand om man ska skapa ett trovärdigt säkerhetsprogram. Den kortfattade förklaringen här ovanför realiseras däremot i ett hyfsat omfattande dokument på total 97 sidor. Jag kan förstås inte låta bli att koppla det här dokumentet till utmaningarna som sjukvården står inför där relationen mellan "Security" och "Safety" blir extremt påtaglig när man inkluderar patientsäkerheten i begreppet "Safety". Nu är inte dokumentet skrivet på ett sätt som passar speciellt bra i sjukvården utan mer i en klassisk ingenjörsmässig sättning. Trots det tror jag säkert att många poänger kan fungera även i sjukvården. Dokumentet är skrivet på det där brittiskt skickliga sättet som gör även supertorra ämnen lite mer tillgängliga. De hänger upp mycket av innehållet på 15 principer som ska genomsyra organisationen för att knyta ihop "Safety" med "Security": Vi får se hur framtiden ser ut för det här utspelet. För den som arbetar med någon form av säkerhetsfrågor i en organisation med farliga miljöer eller miljöhotande system kan det här vara ett spännande grepp på gamla sanningar. Tips på läsning, lyssning och tittande Här lite blandade artiklar som jag tycker är spännande: https://www.ise.io/hospitalhack/ Riktigt genomarbetad rapport från en imponerande analys av utmaningarna inom sjukvården som tillsammans med en närsynt titt på säkerheten i ett antal medicinska produkter resulterar i riktigt bra och handfasta råd för ett bra säkerhetsarbete! https://webbutik.skr.se/sv/artiklar/klassa-for-iot.html Sveriges Kommuner och Regioner, SKR, har släppt normativ vägledning för IoT-säkerhet kopplat till deras KLASSA-ramverk. https://www.youtube.com/playlist?list=PL8OWO1qWXF4qRHrSTpwFbuLUL-bOrGn4y Förra gången nämnde jag S4-konferensens "On-ramp" som är en fantastisk krasch-kurs i allt kring OT och OT-säkerhet. Nu är serien på 10 avsnitt komplett och de har även börjat lägga upp fortsättningsserien på 10 avsnitt till! https://www.cisa.gov/sites/default/files/publications/Insider%20Threat%20Mitigation%20Guide_Final_508.pdf Massor med kloka tankar från CISA kring insider-problematik! https://cyberstartupobservatory.com/the-need-to-change-the-paradigm-of-control-system-cyber-security-part-1-background/ Joe Weiss kommer som vanligt med spännande och provocerande idéer i denna text. https://www.eetimes.com/cybersecurity-standards-in-ot-and-industrial-iot/ En titt på ISA/IEC 62443 och NIST SP 800-82. https://www.ncsc.gov.uk/information/exercise-in-a-box Stöd till övningar från brittiska NCSC. https://portswigger.net/daily-swig/passwordscon-2020-authentication-expert-expresses-skepticism-about-passwordless-future Jim Fenton sätter bra ord på det jag känt länge, att det här med "Passwordless" som blivit populärt på sistone kanske inte är helt genomtänkt. Saker som att biometri inte går att återkalla när den kommit på avvägar och att en PIN egentligen bara är ett dåligt lösenord... http://scadamag.infracritical.com/index.php/2020/11/17/the-chinese-hardware-backdoors-can-cause-transformer-failures-through-the-load-tap-changers En text till av Joe Weiss apropå misstankarna om manipulerade transformatorer i det amerikanska elnätet, http://scadamag.infracritical.com/index.php/2020/11/15/what-would-sun-tzu-and-louis-pasteur-say-about-todays-industrial-cybersecurity Ett märkligt samtal mellan den klassiska kinesiska generalen Sun Tzu, den franske 1800-talskemisten Louis Pasteur och textens författare Vytautas Butrimas. Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se .

Äntligen tillbaka efter en riktigt bra semester och då måste man ju prova lite nya grepp! Nyhetsbrevet har fått flytta från Sway till LinkedIn vilket passar syftet med nyhetsbrevet lite bättre men framför allt ger det bättre kontroll över formatering och utseende. Återkoppla gärna om du har tankar eller synpunkter kring bytet. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-15-mats-karlsson/

Den här gången är temat OT-säkerhet från alla jordens hörn. Vi gör nedslag i England, Sverige, Taiwan, USA, Tyskland, Saudiarabien och Spanien. I den här utgåvan tittar jag också närmare på en underskattad doldis när det gäller nätverkssäkerhet: Nätverkstappen. Närmare bestämt en Ixia-tapp från Keysight. En imponerande liten manick som löser en del kluriga utmaningar när man ska analysera nätverkstrafik i olika situationer. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-17-mats-karlsson/

Den här gången är temat för nyhetsbrevet RISK, vilket ju är intressant även utanför OT-världen. Du får mina tankar kring kvantitativ riskanalys, jag funderar kring nyttan av hemligstämplade hotbildsanalyser, provkör ett virusskydd speciellt för OT, vi tittar på Sinclairs Koelemeijs idéer kring hur man hittar sina risker, ger en massa boktips kring risk, dissar system med flera nätverks-anslutningar och funderar över varför det kommer så många larm om sårbarheter och risker i OT-produkter nu för tiden? Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-16-mats-karlsson/

Här är ett riktigt fullpackat nyhetsbrev! Konferensrapporter, nyheter och egna klokskaper blandas vilt med tester, lästips, teasers och en massa annat skoj! Ni får också chansen att se och höra mig istället för att bara läsa mina texter. Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-18-mats-karlsson/

Ja! Det är jag! Den uppmärksamme noterade att jag har ytterligare ett efternamn numera, men i övrigt kommer du känna igen allt som du är van vid i nyhetsbrevet! Den här gången är temat USB vilket kommer synas på lite olika sätt. Det blir tvättmaskiner, revanscher, innehållsförteckningar, badankor, podcasts och paneldebatter. Dessutom kommer jag för första gången ha en tävling för mina läsare! Läs och vinn! Denna utgåva hittar du här: https://www.linkedin.com/pulse/nyhetsbrev-ot-s%C3%A4kerhet-utg%C3%A5va-19-mats-karlsson-landr%C3%A9/