Sökresultat

Dags för ett nytt nyhetsbrev kring OT-säkerhet men jag ser redan fram till nästa gång eftersom det kommer att bli ett jubileum då, det är den 50:e utgåvan av nyhetsbrevet! Nytt är också att nyhetsbrevet även annonseras på Mastodon. Den här gången funderar jag över framtiden i automationsbranschen, vi läser både en bok om Threat Hunting och vägledningar från Energimyndigheten, vi tittar på uppdateringar från MITRE, ser fram emot S4 och ett ny version av NISTs ramverk, jämför Common Criteria med IEC 62443, lyssnar på kloka tankar kring EUs CRA, funderar på om sårbarheter är viktiga, bestämmer oss för att vara aktiva, pekar på vägar för den som vill in i OT-säkerhetsbranschen, vi hittar en tidsmaskin i Linux och vi konstaterar att information vill vara fri på samma sätt som entropi är kung! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, på Mastodon, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Ut på jakt! Sqrrl, som sedan några år tillbaka ägs av Amazon, skapade för några år sedan en gratis bok: "Hunt Evil, Your practical guide to Threat Hunting" som jag tycker beskriver Threat Hunting på ett extremt bra sätt. Jag blev påmind om detta för ett tag sedan i samband med en diskussion om just detta ämne, som ju det finns väldigt många onödiga missförstånd kring. Dokumentet har verkligen ingenting specifikt med OT-säkerhet att göra men jag tycker de sätter fingret på väldigt många viktiga punkter. Med tanke på att just jakten är en av de absolut viktigaste delarna i vilken SOC som helst, så är det avgörande att vi har så få missförstånd som möjligt! Och utan en fungerande SOC skulle för övrigt jag säga att det nästan är omöjligt att bedriva ett vettigt säkerhetsarbete idag... Jag har varit inne på ämnet Threat Hunting tidigare i lite olika sammanhang om du vill läsa mer. Grundläggande krafter! Trogna läsare vet att jag pekat på kloka texter av Phil Venables emellanåt. Nu har han formulerat "De 6 grundläggande krafterna hos informationssäkerhet" som jag gillade och jag kunde förstås inte låta bli att reflektera över dem i ljuset av OT-världens förutsättningar. Hans 6 krafter är: 1. Information wants to be Free 2. Code wants to be Wrong 3. Services want to be On 4. Entropy is King 5. Complex Systems break in Unpredictable Ways 6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational) 1. Information wants to be Free Data leaks unless managed, access degrades without rules, and information is ethereal. You can think of this force in both senses of the word free, that is it innately wants to escape its boundaries as well as in the original context of the term, from Stewart Brand: “Information wants to be free. Information wants to be expensive....that tension will not go away”. Man brukar ofta höra att OT inte innehåller någon känslig information, men märkligt nog brukar informationen som pumpas ut ur OT-systemen efter att man "digitaliserat" ändå betraktas som känslig... I takt med att många OT-miljöer växer sig närmare sitt syskon IT-världen uppstår förstås en massa nya sätt för information att "läcka". Dessutom kan konsekvenserna av att information om OT-miljöns utformning läcker ut och kommer i fel händer, bli värre efter att IT och OT växt ihop genom att det kanske är enklare för en angripare att ta sig via "IT" till "OT". 2. Code wants to be Wrong Bugs are inevitable, in all their forms, across the spectrum of requirements, design, and implementation. Some bugs are security vulnerabilities and exploitable bugs can become a realized risk. I first heard this from Bob Blakley many years ago. Precis samma sak gäller förstås även i OT-världen, möjligen med skillnaden att felaktigheter tenderar att vara kvar längre eftersom man drar sig för att uppdatera "i onödan". För de som programmerar PLC:er vill jag påminna om projektet "Top 20 Secure PLC Coding Practices" som verkligen tar hand om många säkerhetsproblem genom kloka sätt att programmera. 3. Services want to be On Unless positively constrained, attack surfaces grow. Risk is proportional to attack surface. Unknown services are never checked. There is a Murphy’s Law corollary of this which could be stated as: services want to be on, unless you really want them to be on and then they often fail. I OT-världen tror jag att detta oftast uppstår under felsökning, när man i lätt panik provar att slå av och på alla möjliga funktioner i något slags mer eller mindre ostrukturerad blindbock-variant av analys. Ett annat vanligt sammanhang är helt säkert vid tester och uppgraderingar när man gärna slår av säkerhetsfunktioner "tillfälligt". 4. Entropy is King Unchecked controls fail over time, untested resilience fades gradually and then suddenly. Constant counterbalance is needed. Everything degrades unless countered with a force to keep it in place. This is why continuous control monitoring and, in effect, “control reliability engineering” is so essential. Den här kan vara extra lurig när det kommer till OT. Det är vanligt att man har som viktigaste prioritet att inte råka "störa" produktionen, vilket tenderar att gå ut över regelbundna tester av redundanta funktioner, backup-återläsning och annat som är till just för att produktionen inte ska "störas" och som bara förväntas fungera någon gång i framtiden när de plötsligt behövs. Manuella rutiner är ett annat klurigt område, då det är lätt att missförstånd eller tidsbrist gör att den manuella rutinen inte utförs längre. 5. Complex Systems break in Unpredictable Ways Simple systems that work may still collectively fail when composed together - and will often do so in unpredictable and volatile ways. Det gäller förstås även när säkerheten fallerar. En vinkel på detta inom OT är att man väldigt ofta inte har full kontroll över hur komplex den egna OT-miljön faktiskt är. Ett mycket vanligt utfall när man testar en inventeringslösning är att mängden komponenter plötsligt "ökar" väldigt mycket. Men det är klart, känd komplexitet är 100 gånger bättre än okänd komplexitet, alla dagar i veckan! 6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational) The macro/micro economics of information security are important to align incentives. This can help to ensure we reduce the right risks in prioritized order factoring in opportunity and productivity cost. Att vi ska sätta rätt mätvärden och belöningar vet alla, problemet är att vi sällan kan definiera riktigt bra mål. Det är väldigt sällan jag träffar på en verksamhet som mäter sina produktionsenheter på både produktionsutfall och risk/säkerhet. Och om jag hade det perfekta svaret på hur man formulerar det på ett bra sätt hade jag varit en rik konsult... Bottom line: new issues and risks surface all the time. The more we can resolve those to some basic forces, and counter (or use) those forces - the less likely we will be surprised by those new issues. Precis så! Inom OT är det tyvärr vanligt att man försöker jaga ikapp sårbarheter med samma metoder som IT använder. Det handlar ofta om att man fokuserar på att förebygga och därmed minska sannolikheten för att något jobbigt kan hända. I de flesta sammanhang är det vettigare att istället först ta hand om de värsta konsekvenserna och bygga robusthet i den fysiska processen. Linux innehåller en tidsmaskin! Med tanke på hur länge OT-utrustning tenderar vara i drift kan det vara hög tid att fundera på nästa "År 2000-problem" som drabbar oss 2038. I mitten av Januari 2038 kommer nämligen alla system som bygger på tideräkningen från Linux att plötsligt åka tillbaka i tiden till december år 1901! Med tanke på hur mycket utrustning som innehåller olika varianter av Linux-system så står vi inför jobbiga tider... Att det här ska vara löst kan det vara dags att börja ta med som krav när ni köper system framöver? Wikipedia har en bra genomgång. Nybörjare inom OT? Jag får emellanåt frågor kring hur man bäst tar sig in i OT-säkerhetsbranschen. Personligen tror jag man har enorm nytta av att ha arbetat med något annat i verksamheter där OT är viktigt - inte för att lära sig om OT-säkerhet utan för att det ger en bra förståelse för fokuset på Safety-frågor, hur viktig stabil produktion är och vad som är typiska utmaningar i vardagen. Till det måste man förstås lära sig en massa kring automationsteknik hur den används i processautomation. Och så måste man förstås lära sig en massa om själva säkerhetsarbetet inom OT. Här kan jag tipsa om två artiklar (Artikel 1 och Artikel 2) av Manjunath Hiregange där en massa bra resurser raddas upp! Han publicerade förresten också nyligen en sammanställning över metoder för assessments. En annan resurs skriven av Dieter Sarrazyn innehåller också mycket godis! Mycket nöje! Vi har fått vägledning! Energimyndigheten har publicerat 47 sidor vägledning till den NIS-föreskrift som kom förra året. Som de flesta föreskrifter innehåller den "Allmänna råd" som inte alltid är är så hjälpsamma som man kan tro av namnet. Därför är en vägledning av det här slaget väldigt användbar för att det ska bli lite tydligare hur kraven ska tolkas i praktiken. Som en liten extra bonus får man referenser till standarder och ramverk som är relevanta för respektive krav. Snyggt! Att vägledningen är användbar för de organisationer som berörs av tillsyn från Energimyndigheten är ju uppenbart men jag tror den kan vara bra som hint om ungefär vad vi kan vänta oss från övriga tillsynsmyndigheter framöver. Nu har Energimyndigheten satt nivån, upp till bevis övriga myndigheter! MITRE uppdaterar CWE! MITRE som kanske är mest känt för sitt ATT&CK-ramverk har fler strängar på sin lyra. En av dessa är CWE, Common Weakness Enumeration, som är ett systematiskt sätt att beskriva svagheter i mjuk- och hårdvaror. De annonserade just att de gjort ett ganska omfattande lyft i CWE för att få detta att passa ännu bättre i OT-världen. Du kan ha stött på CWE i sårbarhetsannonseringar, ofta tillsammans med akronymerna CVE och CVSS. CWE beskriver vad det är för svaghet som orsakar sårbarheten, CVSS försöker beskriva allvarlighetsgraden på en skala som går upp till 10.0 och CVE är ett löpnummersystem som hjälper oss att referera till rätt sårbarheter. CWE kan kännas lite akademiskt och överarbetat, men personligen gillar jag att det hjälper mig att tolka sårbarhets-annonseringar enklare. Det blir ett enhetligt sätt att beskriva problemet, istället för att varje leverantör eller säkerhetsforskare ska hitta egna ord. Hur blir framtiden? Rafael Maman från Sygnia har publicerat ett riktigt roligt, bra och vasst formulerat papper som tar avstamp i vad som historiskt ligger bakom många av dagens sätt att arkitekturellt jobba med OT-säkerhet och ställer det mot initiativ som de tänker sig kan vara framtidens sätt att bygga automationssystem. Man pekar främst på O-PAS från OPAF (Open Process Automation Standard från Open Process Automation Forum) som vår bästa chans och med NAMURs NOA (NAMUR Open Architecture) som ett tänkbart alternativ. Jag ska inte ge mig på att återberätta innehållet, det är väl värt att läsa för sig. Jag håller med om det mesta som de skriver om även om jag inte har någon stark åsikt om hur framtidens automations-system kommer se ut. Om du läst mina texter förut vet du att jag gillar NAMURs NOA-arkitektur, åtminstone när det handlar om hur man får in IIoT-teknik på ett bra sätt om man envisas med en klassisk Purdue-liknande modell. Ska man gissa så blir det förmodligen en blandning av de ledande tankesätten som till slut "vinner". Jag skulle gärna höra från dig som har erfarenhet och åsikter om bra och dåliga sätt att bygga automationssystem idag och i framtiden. Oavsett hur det blir så blir det intressant och den riktigt stora utmaningen blir väl det enorma skifte i kompetenser som kommer behövas för att ta oss i en ny riktning. Snart smäller det i Miami! Den 13:e februari drar årets S4-konferens igång och det blir fullsatt. Nu är alla biljetter slutsålda! Riktigt kul också med stort deltagande från vårt håll i världen, vi är tretton deltagare från Sverige och nästan lika många vardera från Danmark, Finland och Norge. Många bekanta namn och en hel del nya också. Ska bli riktigt roligt! Också roligt är att arrangörerna lägger väldigt mycket kraft på att hjälpa "worthy causes", dvs organisationer som på olika sätt arbetar för att stötta samhället. De får alldeles gratis de bästa utställarplatserna. Räkna med att jag återkommer i nästa nyhetsbrev med en väldig massa nya intryck! Blir det bara hälften så bra som sist så kommer jag ändå vara nöjd. Jag passar på att bjuda på en inspelning av en draging som Joe Slowik höll förra året: NIST Cybersecurity Framework 2.0! NIST har dragit igång arbetet med en uppdaterad version av sitt användbara ramverk CSF. I ett "Concept Paper" beskrivs vad målen är och hur man tänker sig att detta ska gå till. Enligt planen ska allt vara klart om ungefär ett år. En stor skillnad verkar bli att man bryter ut alla delar som har med Governance att göra (främst från Identify) och lägger då till en ny funktion "Govern" till de gamla fem (Identify, Protect, Detect, Respond och Recover). Jag tror det kan vara ett bra sätt att komma åt säkerhetsarbete som bara går ut på att kunna bocka av kravlistor. Det verkar också bli mycket fokus på Supplychain-säkerhet och på att mäta säkerhetsförmågor. Jag gillar det nuvarande ramverket och tycker att NISTs tankar om nästa version låter vettiga. Det ska bli spännande att se hur kommande utkast ser ut! Vilken är bäst? Apropå ramverk och standarder så snubblade jag över en rapport från UL nyligen som jämför Common Criteria med ISA/IEC 62443, vilket är en jämförelse som jag inte stött på så ofta. För att de ska vara jämförbara så får man fokusera på del 4 av 62443 som ju också handlar om krav på produkter. Det här är förvisso ett område som kan tänkas bli mycket mer intressant framöver med tanke på EUs kommande krav på certifiering av produkter inom EUCC, "EU Cybersecurity Certification", som vad jag förstår är tänkt att bygga på Common Criteria. EUCC är i sin tur kopplat till CRA (som jag skrev om i förra nyhetsbrevet) där alla "kritiska produkter" ska certifieras. Det är verkligen mycket på gång från EU samtidigt! Mer om CRA! Om du blev nyfiken efter min text om de nya CRA-regleringen från EU i förra nyhetsbrevet och vill höra mer om detta kan jag rekommendera en inspelning från en riktigt bra dragning som Dataföreningen hade. Per-Erik Eriksson och Olle E. Johansson berättade om det liggande förslaget och framhåller en rad viktiga poänger. Inte alls inriktad på OT-säkerhet men väldigt intressant! Dataföreningen kommer köra fortsatta diskussioner kring CRA en gång i månaden även framöver och träffarna är öppna även för dig som inte är medlem. Första gången var i slutet av Januari då man fokuserade på utmaningarna för Open Source-världen. Just CRA och Open-Source var ämnet för ett debatt-inlägg på "The Register" nyligen, där Rupert Goodwins ondgjorde sig över hur detta kan påverka FOSS, "Free and Open Source Software". Många bra argument och en del intressanta kommentarer också, där den här blev en favorit: Apropå EU-regelverk så siktar vår svenske minister för civilt försvar, Carl-Oskar Bohlin, enligt en intervju mot att NIS2 kommer bli svensk lag redan i år! Det är i så fall imponerande snabbt om det är ett korrekt citat! De 21 månader som EU pekat på är ju förvisso maxgränsen för implementation i respektive land! Sedan vill det förstås till att nya och gamla tillsynsmyndigheter hinner bygga upp tillräckligt med kompetens och resurser för att möta den tidplanen. Spännande! Klokskaper från ISA GCE! Hos ISA GCE, ISAs Global Cybersecurity Alliance, har man dragit igång en artikelserie i tolv delar om hur man bygger ett OT-säkerhetsprogram skriven av Muhammad Yousuf Faisal. Än så länge finns fyra delar ute och jag tycker det ser riktigt lovande ut, det är mycket klokskap utan att bli långrandigt. De fyra första delarna handlar om: Säkerhetsanalyser och granskning. Policies och governance. Nätverksarkitektur och segmentering. Intrångsdetektering och anomalianalys. Kritisk infrastruktur med WEF i Davos World Economic Forum hade i mitten av Januari sitt stora årliga möte i Davos. En intressant diskussion kring kritisk infrastruktur mellan Øyvind Eriksen VD för norska Aker, Robert M. Lee som grundade OT-säkerhetsföretaget Dragos, Josephine Teo som är minister för cybersäkerhet i Singapore, Albaniens premiärminister Edi Rama och ledd av James Harding sätter fingret på en rad viktiga poänger. Tack! Ett varmt tack till de som hört av sig så här långt angående mitt lilla tiggarbrev i förra nyhetsbrevet, det uppskattas verkligen! Önskemålet finns kvar och det behöver verkligen inte vara nya saker eller i perfekt skick - tvärtom så är det ju ofta de äldre sakerna som är mest utmanande i OT-världen. Siffror, träd och sårbarheter! Man kan ha många åsikter om kring sårbarhetsforskning inom OT-världen. Är det meningsfullt eller till och med viktigt? Vad är i så fall viktigast och varför? Om man tycker att sårbarheter ändå är lite meningsfulla att hålla koll på så har SynSaber i en rapport tittat närmare på några aspekter av alla OT-sårbarheter som rapporterades under andra halvan av 2022. Det finns en del att fundera kring i materialet! Nyligen släppte amerikanska CISA sin guide "CISA Stakeholder-Specific Vulnerability Categorization Guide" som just beskriver en träd-liknande metod för att prioritera sårbarheter utifrån hur den egna organisationen påverkas. Att metoden fick ett namn som förkortas "SSCV" är förstås ingen slump utan en skämtsam koppling till "CVSS" som ju är den förhärskande metoden att ge sårbarheter en allvarlighetsgrad mellan 1 och 10. Basversionen av CVSS är i grunden per definition helt opåverkad av enskilda organisationers förhållanden och tittar bara på sårbarheten i sig själv istället för att väga in faktisk exponering, svårighet att åtgärda och verkliga konsekvenser som andra metoder ibland väger in. Någon som definitivt tycker att det fokuseras för mycket på att jaga sårbarheter är grundaren av Dragos, Robert M. Lee. I en artikel jag läste nyligen ger han uttryck för detta. Han är noga med att påpeka att det inte är oviktigt, men att det inte hör till de viktigaste åtgärderna och att man måste titta på helheten kring vilka risker man utsätter sin anläggning för. Jag håller verkligen med om att sannolikheten att råka störa en verksamhet via en OT-patch ofta är större än att sårbarheten man åtgärdar faktiskt utnyttjas av en hacker! Jag tittade förresten nyligen på formlerna som ligger bakom uträkningen av en sårbarhets CVSS-poäng sedan version 3.1. Jag får erkänna att jag blev lite chockad över den oväntade komplexiteten, man hittar en del sådana här uttryck. Ja, det är "upphöjt till femton"! Nytt från ISA! För den som rör sig i gränslandet mellan "Security" och "Safety" kan draft-versionen av utgåva 3 av ISAs tekniska rapport "ISA-TR84.00.09-2023 Part 1: Cyber Security Related to the Safety Lifecycle" vara riktigt intressant. ISA tar tacksamt emot kommentarer ett tag till. Alltid kloka Sarah Fluchs har gjort sin analys tillgänglig på LinkedIn. Att ta sig från IT till OT... Clarotys forskargäng Team82 har publicerat en artikel kring hur sårbarheter i en Historian-mjukvara från GE skulle kunna användas som språngbräda för en angripare som vill ta sig från ett IT-nätverk in i ett någorlunda välskyddat OT-nät. De aktuella sårbarheterna publicerades i mitten av januari men det är inte sårbarheterna i sig som är intressanta. Det viktiga är att det trycker på hur viktigt det är att skydda systemen som sitter mellan IT- och OT-världarna. Ett extremt vanligt exempel är just Historian-system som sitter där för att samla in information från OT-sidan och göra den tillgänglig på IT-sidan. Det här illustrerar väldigt tydligt att det inte räcker med att bara göra grunderna i säkerhetsarbetet, i det här fallet ha ett DMZ-nät och dubbla brandväggar, för att känna sig "färdig". Exempelvis är aktiv övervakning av trafiken viktig och förstås att man har designat kommunikationen mellan de olika systemen på ett sätt som begränsar exponering och attackytor. Våga vägra vara passiv! En gammal "sanning" som jag personligen inte ställer upp på längre är att det är omöjligt att köra aktiva skanningar i nätverk med ömtåliga OT-produkter. Visst finns det saker att se upp med och man kan definitivt inte bete sig som "IT-folket" gör i sina nätverk. Men med en OT-anpassad produkt får man generellt mycket bättre resultat än att enbart förlita sig på att passivt lyssna på existerande nätverkstrafik. Jag tycker att RunZero (före detta Rumble, grundat av HD Moore) formulerade det bra i en text nyligen. Visst, de är verkligen part i målet, men jag håller definitivt med i princip. Nu kan jag inte uttala mig om just deras produkt, den har jag för lite erfarenhet av, men aktiv skanning är definitivt något som man har nytta av i insamlingen av fullständig inventarie-information med hjälp av OT-anpassade verktyg som OTORIOs RAM2, Claroty eller Nozomis Guardian. Ett botemedel mot panik! OT-säkerhetsbranschen är svår att navigera med väldigt mycket buzzwords och med extremt mycket skrämselpropaganda. Om du vill ha lite blodtrycksdämpande intryck så rekommenderar jag nedanstående video med Ralph Langner. Den har förvisso ett par år på nacken så detaljerna stämmer inte fullt ut längre, men i grunden har han (som vanligt) några riktigt bra poänger. Några event... Nu börjar planeringen för årets events komma igång. Om du är på plats på några av dessa tillställningar kommer vi kanske ses där? Jag kommer köra ett pass kring kopplingen mellan NIS2 och OT-säkerhet på den spännande konferensen "Cyber security: Kritisk Infrastruktur" i Stockholm den 28:e mars. På Elektronikmässan i Göteborg den 19:a April kommer jag delta i en "expertpanel" som arrangeras i samband med en lansering. Jag återkommer med mer detaljer kring detta. Det är fler på gång men som fortfarande diskuteras. Det kan väl inte "SCADA" att vara med på en viss OT-säkerhetskonferens till hösten eller några roliga leverantörs-event? Orolig för DCOM och OPC Classic? I ett nyhetsbrev nyligen skrev jag om Microsofts tvingande förändringar och/eller förbättringar i DCOM som slår igenom snart och då riskerar att störa en rad applikationer som exempelvis använder OPC Classic. Vännerna på OTORIO har nu släppt ett gratisverktyg som kan hjälpa till att hantera utmaningarna kring detta. Det är ett PowerShell-skript som du hittar på Github. OT-fiske? Mandiant har gjort en intressant studie kring phishing-mejl med innehåll som kan tänkas vara fokuserade på att lura mottagare i "OT-världen". Det här är ju något som är värt att fundera på. Personligen tror jag vi kommer börja se mycket mer phishing framöver som är skruvade mot OT-folk. Det går ju rimligen att göra dem riktigt bra med tanke på hur lätt det är att ta reda på vilken typ av verksamhet man sysslar med. En variant på detta är förstås vattenhål-attacker där angriparen sprider intressanta länkar i ett användarforum eller någon annan plats där man tenderar att lita mer på innehållet. Kranar! Amerikanska myndigheter har dragit igång en undersökning kring en rad typer av säkerhetshot kopplade till kranar i hamnar. Det verkar vara en komplex historia som inkluderar fysisk övervakning via kameror, störningar i GPS-system och mystiska containers ombord på fartyg. Kranar i hamnar är förstås en känslig komponent, dels för att de är viktiga för väldigt leverantörskedjor men också för att de kan ha en del oväntade integrationer till både IT- och OT-världen. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången har jag två världspremiärer! Dels berättar jag om den första krypto-attacken någonsin mot en OT-komponent. Det är också premiär för en gästskribent, min kollega Johanna skriver om likheter mellan hållbarhetsarbete och det som många organisationer står inför kring NIS2. Du får också en djupdykning i nya regelverket CRA från EU, säkerhet i både fartyg och brandbilar, SANS-utbildning i Sverige, ett nytt dokument i 62443-standarden och vad man borde tänka på när man tar bort en säkerhetsåtgärd. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Be careful what you wish for... Tänk om bara någon kunde börja ställa krav på ett bra säkerhetsarbete i tjänster som är viktiga för samhället! ...och om någon kunde kräva att tillverkarna tar ansvar för säkerheten i alla IT- och prylar! ...och att alla som bygger potentiellt farliga maskiner funderar på riskerna med modern teknik! ...och att även "svåra" branscher kräver cybersäkerhet i komplexa produkter, typ för fartyg och bilar! Man får vara försiktig med vad man önskar sig. Det kan bli sant - och vad gör vi då? Det är fantastiskt att se att flera tunga och tonsättande organisationer just nu och nästan samtidigt utvecklar riktigt kraftfulla krav på säkerhetsarbete inom påverkar OT-säkerhet enormt mycket. EU har verkligen kommit igång, i det här nyhetsbrevet skriver jag om efterträdaren till maskindirektivet, den nya CRA-förordningen och vår favorit NIS2-direktivet. Dessutom är det ju en radda andra kravmassor på gång från EU kring finansmarknaden, AI, radioutrustning och samhällsviktig verksamhet för att nämna några. Bilbranschen är mitt uppe i att implementera FN-kraven UN R155 och R156. Och som jag skriver om lite längre ner, fartygsbranschen får nya krav från klassningsorganisationerna som börjar gälla 1:a Januari 2024. Personligen tycker jag det är fantastiskt! Men visst kommer många få det lite kämpigt och det kommer innebära att spelreglerna på marknaden ändras en del! Än så länge är det fortfarande ganska lugnt i media och bland konsultköpare (förutom i bilindustrin) men vänta ett år eller två... Säkerhetsbranschen är definitivt rätt ställe att vara på framöver! En djupdykning i CRA! Nu när du har börjat (?) arbeta med förberedelserna inför NIS2, CER och DORA så är det ju dags att titta vidare på nästa spännande EU-krav, CRA, "Cyber Resilience Act". Eller som den heter i det officiella förslaget: "regulation... on horizontal cybersecurity requirements for products with digital elements..." Det är viktigt att notera att detta inte är ett direktiv utan en förordning ("regulation"), vilket i EU-världen betyder att den gäller direkt i alla medlemsländer utan att det behövs någon nationell lag. NIS2 är ju ett exempel på ett direktiv, vilket innebär att kraven implementeras som en lag i varje enskilt land. Att man valt att göra CRA till en förordning är säkert för att det är så viktigt att den hanteras precis på samma sätt i alla länder. Vad handlar CRA om då? Det är helt enkelt att EU kräver att man ska kunna visa att tekniken är cybersäker för att man ska få lov att sälja den. Skulle det visa sig att den inte är det så har man dels ett ansvar att lösa problemet och man kan dessutom få böter om man missköter sig. Och det är inget dåligt scope, kraven omfattar alla typer av teknik som man vill kunna sälja inom EU! Scopet är definierat som "products with digital elements", vilket ju är ganska omfattande! Det handlar alltså inte bara OM-prylar utan om allt, även babymonitors och uppkopplade kylskåp. Det kallas för en horisontell kravmassa och med det menar man att den är tänkt att vara gemensam för så många olika områden som möjligt. Man undantar dock medicintekniska system, flygplan och motorfordon som redan har egna kravdokument. Även militär utrustning och produkter som är enbart avsedda för nationell säkerhet kommer undan. Vad betyder då "products with digital elements"? Här pekar man på både hårdvara och mjukvara men även "remote data processing solutions", dvs molnlösningar som ingår/stöttar i en produkt. Däremot exkluderar man exempelvis SaaS, "Software as a Service", och pekar istället på NIS2 som omfattar den typer av tjänster. Man har också ett tydligt undantag för gratis mjukvara, inklusive open-source och produkter som av andra skäl inte är kommersiella. På samma sätt undantar man test-versioner och liknande. Man använder det existerande begreppet "CE-märkning" för att indikera att man som tillverkare garanterar att man uppfyller kraven även på det här området. I kraven trycker man på områden som: hur man får tillhandahålla produkter design, utveckling och produktion av produkter hur ansvaret fördelas mellan alla parter som är inblandade krav på hantering av sårbarheter under hela produktens livscykel Om man är OT-intresserad så märker man direkt att det är ett väldigt fokus på området. Man använder inte begreppet "OT" så mycket utan pratar om IACS ("Industrial Automation and Control Systems"), vilket är det begrepp som exempelvis 62443-standarden använder (än så länge). Men man kryddar även med andra begrepp för att budskapet ska gå fram, exempelvis "PLC", "SCADA", "DCS", "CNC", "Robot controllers", "Smart meters" och "Industrial Internet of Things". Man gör en direkt koppling till det nya maskindirektivet och säger att produkter som man deklarerat som att de uppfyller CRA därmed ska ses som att de uppfyller motsvarande krav i maskindirektivet. Det finns direkta hänvisningar till NIS2, vilket exempelvis gör att en PLC som ska kunna användas av en verksamhet som faller under den högre graden av känslighet i NIS2, "Essential" direkt hamnar i den näst högsta kravnivån i CRA, "Critical product - Class II". Lite snärjigt att förstå men det är bra att det hänger ihop! Det finns som sagt flera kravnivåer, närmare bestämt fyra stycken. "Product" - Alla prylar som inte hamnar i en högre klass. Här ställs det en massa krav på produkten och på leverantören för att man ska få sälja produkten. "Critical product - Class I" - I ett appendix till förordningen finns en lista med produkttyper som gör att den är "Critical". Här räknas lite allt möjligt upp som är viktigt för säkerheten, exempelvis lösenordshanterar, SIEM-system, nätverksövervakning, remote access, brandväggar osv. Den lägre klassen "Class I" är allt som inte är "Class II". "Critical product - Class II" - Den högre klassen är exempelvis operativsystem, virtualiseringsplattformar, PKI-lösningar, microprocessorer, HSM-system, kryptoprocessorer, smartcards med läsare och robotar. Produkter som är avsedda för "industrial use" pekas ut speciellt: Brandväggar, IDS/IPS, mikroprocessorer och switchar. Om de ska användas av "Essential entities" enligt NIS2 ingår även PLC:er, SCADA, DCS, CNC-maskiner (!) och IIoT-prylar. "Highly critical product" . Här krävs en certifiering av produkten enligt "The EU cybersecurity certification framework" för att den ska vara godkänd att sälja. Just nu är det oklart vilka typer av produkter som är tänkta att hamna här men det hintas om att verksamheter som är "Essential" enligt NIS2 skall använda den här typen av produkter! Ramverket för certifiering är inte heller färdigt ännu. En sak som exempelvis skiljer mellan "Class I" och "Class II" av Critical produkts är att man behöver anlita en extern granskare i den högre nivån. Några exempel på krav som gäller i alla nivåer är "security by default", skydd mot obehörig användning, skydd av information, tålighet mot attacker, minimerade attackytor och loggning av säkerhetshändelser. När åtgärder för en sårbarhet publicerats måste leverantören offentliggöra detaljerad information om detta! Uppdateringar för sårbarheter måste dessutom vara gratis och tillgängliga utan fördröjning. Leverantören ska kunna säkerställa att sårbarheter kan åtgärdas med uppdateringar under den kortaste tiden av fem år eller produktens förväntade livslängd. Leverantören ska dokumentera sårbarheter och komponenter vilket inkluderar en maskinläsbar "Software Bill Of Materials", SBOM. Om du läste mitt förra nyhetsbrev så ondgjorde jag mig där över att vissa leverantörer vägrar offentliggöra sårbarheter och rättningar. CRA kommer alltså att styra upp det beteendet ganska ordentligt och dessutom tvinga leverantörerna att tillhandahålla rättningarna gratis! Bra där! Här och där trycker CRA på ett av favoritämnena från NIS2, nämligen säkerhet i leverantörskedjorna. Exempelvis ska man utöva "due dilligence" när man inkluderar komponenter från tredje part, dvs man kan inte skylla på sina underleverantörer om något går snett... Får man smisk om man inte sköter sig enligt kraven? Ja, det får man väl säga... De exakta nivåerna sätts per land i nationell lag men förordningen sätter följande högsta nivåer: Det högsta av 15 MEUR eller 2.5% av global omsättning om man bryter mot de grundläggande tekniska kraven. Det högsta av 10 MEUR eller 2% av global omsättning om man bryter mot något annat krav. Det högsta av 5 MEUR eller 1% av global omsättning om man vilseleder myndigheterna. Viktigt är också att ovanstående även gäller privatpersoner! Det är alltså inte bara företag som kan få böter i det här sammanhanget. Det är också här som en stor källa till kritik mot CRA finns. Olaf Kolkman har beskrivit det bra i sin artikel där han bland annat pekar på risken att den viktiga Open Source världen påverkas negativt av kraven i CRA. Även om det finns undantag för Open Source så finns det ofta en kommersiell del av stora projekt för att finansiera arbetet. Det skulle också kunna tänkas slå mot plattformar som GitHub eftersom de kan betraktas som distributör av mjukvara, vilket ger dem ett ansvar för dess säkerhet. Att CRA kommer bli något av en revolution är ganska klart. Men det finns mycket att fundera på, inte minst inom OT-världen. Hur ska man exempelvis se på grundkravet "Products with digital elements shall be delivered without any known exploitable vulnerabilities" när vi vet att många nätverksprotokoll som vi använder helt saknar säkerhetsfunktioner? Man pekar också uttryckligen på leverantörens ansvar för skador som uppstår om "Security-brister" leder till "Safety-brister" som i sin tur drabbar kunden. Något som förvånar mig är att man begränsat ansvaret till 5 år för att tillhandahålla säkerhetsrättningar. Med tanke på typiska livslängder på OT-utrustningar är det väldigt kort! Existerande produkter omfattas bara om man gör "stora förändringar" i deras design eller användningsområde. Detta gäller dock med ett viktigt undantag! För existerande produkter får tillverkaren omedelbart ett ansvar att meddela ENISA om sårbarheter som aktivt utnyttjas och också att meddela om säkerhetsincidenter som påverkar produktens säkerhet. Förslaget lades i september och har nu börjat manglas genom EUs kvarnar. Du hittar grunddokumentet och bilagorna på EUs fina web, där du även kan följa arbetet. När det är klart ska det börja gälla efter 24 månader förutom kravet på att meddela ENISA om utnyttjade sårbarheter och säkerhetsincidenter som gäller redan efter 12 månader. Mer forskning tack! Apropå kontroversiell sårbarhetsforskning inom OT-världen som jag skrev om i förra nyhetsbrevet och nu igen i texten ovan om CRA, så skrev Michael Yehoshua från SCADAfence nyligen en intressant artikel där han beskriver varför den typen av forskning är viktig. Det finns ju en del grupper som hävdar att det är meningslöst vilket varken Michael eller jag håller med om. Vad tycker du? Maskindirektivet är dött! Länge leve Maskinförordningen! Maskindirektivet har funnits i många år och är tänkt att ställa krav på potentiellt farliga maskiner. Om nu CRA är tänkt att styra upp "Cybersäkerheten" i alla IT/OT/IoT-prylar så tar Maskindirektivet hand om den där delen av säkerheten som heter "Safety" på engelska. Men eftersom även potentiellt farliga maskiner numera innehåller en massa modern teknik så finns det ett stort överlapp mellan de två. EU har identifierat en radda problem med det nuvarande maskindirektivet som de vill komma till rätta med genom att göra en rejäl uppdatering, exempelvis: Modern teknik hanteras inte på ett bra sätt. Man lyfter en rad exempel som co-bots, uppkopplade maskiner, mjukvaruuppgraderingar, autonoma maskiner och andra utmaningarna med att göra riskanalyser av applikationer som använder AI och machine learning. Oklart språk som leder till leder till juridiska oklarheter och gap i safety-tänket. Det har gått 15 år sedan man gjorde listan över vad som betraktas som högrisk-maskiner, mycket har ändrats sedan dess. Det nuvarande direktivet kräver dokumentation på papper! Bara här har man uppskattat en kostnadsbesparing på 16 Miljarder Euro per år genom att gå över till digital lagring. Direktivet är ett direktiv vilket gör att det implementerats olika i olika länder. I det nya förslaget är maskindirektivet inte längre ett direktiv, utan precis som CRA, en förordning (regulation). Det kommer bli jobbigt att tänka om och börja säga "Maskinförordningen"! Men det är bra att reglerna implementeras mer lika i alla EUs länder! Värt att notera är att både nuvarande och kommande regler inte bara definierar en lägsta nivå och utan säger också att länder inte får ställa högre krav! Maskinförordningen och CRA är väldigt lika på många sätt. Inte minst verkar man ha liknande tänk kring ansvarsfördelningen mellan tillverkare, importörer och andra som ser till att en produkt finns på marknaden. Däremot skiljer det exempelvis på så sätt att länderna själva styr över böter och sanktionsavgifter som kan drabba en organisation om man bryter mot regelverket. Jag har tittat närmare på en text från i somras som är något slags arbetsdokument, fyllt av ändringar och tillägg. Man gick nyligen ut och sa att man har kommit överens politiskt men det betyder ju inte att detaljerna är klara... Det verkar som det kommer bli ytterligare en del förändringar så jag avvaktar med en djupdykning i detaljerna ett tag. Vi får se när texterna blir färdigförhandlade. I den senaste texten jag sett pratar man om 36 månader som startsträcka för dem som omfattas. Helt klart är att det kommer ställas en hel del nya och utmanande krav på er som bygger maskiner i olika former! Här vill det till att stå på tå när kraven börjar klarna! Slutgiltig NIS2 på svenska! Jag tog mig en liten stund för att läsa den slutgiltiga versionen av NIS2, speciellt nu när den är tillgänglig på svenska. Här är lite snabba punkter som jag inte hade uppfattat fullt ut tidigare: Länderna får själva bestämma om NIS2 ska appliceras "offentliga förvaltningsentiteter på lokal nivå", vilket jag tolkar betyder att Sverige själv kan bestämma om NIS2 ska gälla för kommuner och kommunala verksamheter. På samma sätt kan länderna bestämma att reglerna gäller högskolor som utför "kritisk forskningsverksamhet". Ett land får fritt besluta om högre krav än de som finns i direktivet. Ett väldigt starkt krav på att ledningen för berörda organisationer är utbildade och tar aktivt ansvar för riskarbetet kring cybersäkerheten. Ledningen ska kunna ställas till svars om det inte sker på ett tillräckligt bra sätt. Både länderna och EU-kommissionen får peka ut verksamheter och typer av verksamheter som måste använda tekniska lösningar som säkerhetscertifierats enligt EUs kommande regler. Tillsynsmyndigheter har rätt att tillfälligt förbjuda en VD eller ett juridiskt ombud för en organisation att utöva ledningsfunktioner i väsentliga organisationer. Det vill säga att en VD som inte ser till att säkerhetsarbetet sker på tillräckligt bra sätt får sitta i skamvrån! Länderna har 21 månader på sig att skapa de bestämmelser som krävs för att implementera NIS2. När bestämmelserna finns på plats ska reglerna börja gälla direkt! Av dessa är kanske punkten om att det kan komma bestämmelser om att man måste använda certifierade tekniska lösningar allra mest intressant! Det kan förstås göras på väldigt många olika sätt så det är svårt att förutse hur det kommer att slå. Att det kommer bli en rejäl utmaning är helt klart och i synnerhet för OT som ju extremt ofta baseras på teknik som med flit är utformad för att prioritera driftsäkerhet över skydd mot angrepp. Vill du läsa mina tidigare tankar om NIS2 så rekommenderar jag nyhetsbrev #44, #36 och #32. Hållbarhet och NIS2 - En gästspaning! Jag har det stora nöjet att släppa in min kära kollega Johanna Parikka Altenstedt som gästskribent. Hon har ett rikt och imponerande förflutet som gör att hon kan dela med sig av spännande spaningar kring likheterna mellan det hållbarhetsarbete som många organisationer är på väg igenom och det säkerhetsarbete som samma organisationer står inför tack vare NIS2. Tack för spännande vinklar på ämnet, Johanna! Vi bör lära oss av hållbarhetsresan inför arbetet med NIS2 När EU-direktivet NIS2 om cybersäkerhet träder in med full kraft, kommer en organisation som inte har gjort sin hemläxa inom cybersäkerhet få det hett om öronen, om den drabbas av en incident som skapar risker eller skada. Bristerna i säkerheten kommer att skugga organisationens branding och minska trovärdigheten inför kunder, klienter, intressenter, ägare och aktieägare samtidigt som man utsätter sig för stora ekonomiska risker i form av möjliga straffavgifter och eventuellt ogiltiga försäkringar. Allt på grund av bristande risk- och sårbarhetsanalyser samt på grund av onödigt risktagande. Men genom att studera hur hållbarhetsarbetet har utvecklats under det senaste decennium kan man faktiskt ta itu med säkerhetsutmaningar på ett effektivt sätt. Stora krav på gång Den som sätter sig in i det kommande nya direktivet om säkerhet i nätverk och informationssystemet, NIS2, kan lätt drabbas av en viss utmattning när man inser vilken ambitionsnivå och vilka krav direktivet för med sig till medlemsländerna i EU. NIS2 ska implementeras i hela unionen inom 21 månader från att slutlig fastställd text publicerats i EU:s offentliga tidning. Direktivet gäller från det datumet och träffar såväl privata som offentliga verksamheter enligt en klassificering baserad på deras storlek och verksamhetens nationella betydelse. De flesta större företag och alla offentliga organisationer kommer förmodligen att träffas av någon del av direktivet, och därmed blir de skyldiga att uppnå en hög säkerhetsnivå i sin verksamhet såväl gällande sin produktion och sina processer. Ansvaret för detta läggs uttryckligen på ledningen oavsett hur organisationsformen ser ut. Vidare blir verksamheterna ansvariga för hela sin värdekedja såväl nedströms som uppströms. Hållbarhetsresan som förebild Den som var med på hållbarhets- och CO2-resan från början ser en hel del likheter mellan den och den stundande säkerhetsresan. Ifrån att ha betraktat hållbarhetsanalyser som något som hålls internt i den egna organisationen och som man inte velat kommunicera så mycket om, har det idag blivit normaliserat arbete; effektiva hållbarhetsstrategier och policyn på plats, livscykelanalyser (LCA) görs från början av värdekedjan ända från ”cradle to grave” vilket innebär en identifiering av alla delarna från råvaruproduktionen, logistiken, energiförsörjningen, produktionen av varor och tjänster, expedieringen och konsumtionen/användningen, samt återanvändningen eller avfallshanteringen. En LCA räknar på data från varje del i processen för att få fram miljöpåverkan totalt. Vidare kopplas det sociala ansvaret och samhällsnyttan på detta genom Agenda 2030 målen. För detta har det skapats effektiva datahanteringssystem, avvikelsesystem och ledningssystem. Ansvaret för hållbarheten har också seglat upp från sakkunniga djupt inne i organisationer till ledarna i styrelserna och ledningsgrupperna. Inom PR, kommunikation och marknadsföring har man identifierat riskerna med att inte kommunicera om sitt hållbarhetsarbete som görs (som kan ju vara börspåverkande!) men även riskerna på green wash. Kommunikationscheferna har slitit med att lära organisationer att dumpa ordet ”miljövänlig” eftersom det som görs är inte för miljöns bästa, men i bästa fall neutralt och icke belastande. Idag är hållbarhetstänkandet, CSR-kommunikation och socialt ansvar main stream både inom medier, politiken och bolagsstyrelserna, och vi kan på riktigt följa hur arbetet fortskrider, vad som fungerar och diskutera nya utmaningar. Inspiration inför NIS2 Det är den här resan som skyddssarbetet har framför sig: att förankra säkerhetstänkandet och utbilda organisationer, lära nyckelpersoner förstå riskerna med utebliven cybersäkerhet, få styrelserna och direktörerna analysera de ekonomiska och brandingvärdena som finns förknippade med såväl välgjort säkerhetsarbete som med dåligt säkerhetsarbete. För detta behövs ett klokt arbete med strategier och policyn. Vidare behöver vi få kommunikationsenheterna att prata om säkerhet på ett relevant sätt och få HR att lägga rimliga utbildningskrav på organisationerna angående detta. Därtill behövs en utveckling av rapporteringssystem och ledningssystem som bidrar till att organisationer genomför ändringarna som krävs, och kan även följa kvaliteten i sitt arbete. Detta inkluderar rimligen alla certifieringssystem och ISO-kvalifikationerna. Sist men inte minst behövs ett gediget system för att få in data och synpunkter såväl från leverantörerna som entreprenörerna, och från kunderna, medborgarna och klienterna angående cybersäkerhetsarbete, risker och åtgärder. Och för att kunna göra det måste man identifiera vilka som träffas av NIS2. Det kan vara en idé att börja 2023 med ett inspirationssamtal med hållbarhetschefen och hitta synergierna mellan hållbarhetsarbetet och cybersäkerhetsarbetet. Det viktiga i båda är ju att man lever som man lär! Johanna Parikka Altenstedt, Senior konsult, AFRY Men sjöfarten då? Jag hade nyligen förmånen att delta i HAT-tester på ett sprillans nytt och väldigt speciellt fartyg. (Ja, HAT var ett nytt begrepp för mig också - FAT och SAT är man ju van vid, "Factory Acceptance Test" och "Site Acceptance Test". HAT är "Harbor Acceptance Test", vilket följs av SAT, men i det här fallet står det för "Sea Acceptance Test"!) I vilket fall som helst var det väldigt intressant att se hur långt fram sjöfarten ligger kring kravställning på OT-säkerhet. När jag tittade lite närmare på vilka regelverk som finns var det ytterligare en förkortning som fick en ny betydelse, IACS står i den här världen inte för "Industrial Automation and Control Systems" som vi är vana vid från IEC 62443 utan istället för "International Association of Classification Societies". Det är den organisation av tolv stora klassningssällskap, alltså organisationer som ställer krav på fartyg och "andra offshore-installationer" samt granskar att kraven uppfylls. Några kända namn är "Lloyd's Register", "Bureau Veritas" och "DNV", Det Norske Veritas". Det här är traditionstyngda organisationer där Lloyd's är äldst eftersom det grundades redan 1760! Deras ålder hindrar dem inte det minsta från att hänga med i sin tid, exempelvis genom att ställa krav på säkerheten i de tekniska systemen ombord. I våras släppte IACS två kravdokument E26, "Cyber resilience of ships" och E27, "Cyber resilience of on-board systems and equipment" som ställer krav på precis det som deras namn indikerar. Båda dokumenten gäller för nya fartyg som beställs från och med nästa nyår, 1:a Januari 2024, vilket verkligen inte gav någon lång startsträcka för de verksamheter som berörs! Mitt första intryck är att jag verkligen gillar hur man skrivit dessa dokument. Till en början pratar man om "tålighet mot cyberrisker", dvs man inser att det inte går att bygga bort att risker men fartyget ska kunna fortsätta fungera även om det utsätts för en cyberincident. Det är också positivt att man hållit nere omfånget på dokumenten, de är bara 32 respektive 14 sidor! Man har också snott bra koncept från andra etablerade ramverk och standarder, exempelvis NIST CSF och IEC 62443, vilket gör det lättare att hitta bra kompetens. Jag skulle till och med kunna gå så långt som att säga att de här dokumenten är perfekta underlag om man vill skriva en OT-säkerhetspolicy för vilken typ av verksamhet som helst! IACS har också en rad andra kravdokument kring exempelvis safety som man skulle kunna inspireras av när man vill bygga sitt eget regelverk. På S4x22 höll Dennis Hackney från ABS group ett riktigt bra föredrag om säkerhets-utmaningarna inom sjöfarten. Är du nyfiken på området så tar han upp många intressanta områden. Ett skamlöst tiggarbrev! Det har varit lite stiltje kring produkttester i nyhetsbrevet på senare tid men det hoppas jag kunna ändra på framöver. Precis som tidigare kommer jag bara ta upp saker som är värda att lyfta fram för att jag själv tycker de är bra och intressanta. Du kommer aldrig läsa en text där jag rackar ner på en produkt. De lösningar som jag inte gillar kommer inte synas här och möjligen kan du dra dina egna slutsatser kring vad du inte läst om här. Jag vill vara noga med att påpeka att nyhetsbrevet och dess texter är något jag står för helt själv utan någon som helst koppling till min arbetsgivare. (Förutom att jag även i den professionella rollen som säkerhetsrådgivare självklart gärna rekommenderar lösningar som jag gillar själv.) All tid och alla kostnader kring nyhetsbrevet står jag för själv. Som du kanske noterat kör jag heller inga reklambanners på sajten eller i texterna. För att kunna göra roligare och bättre teknik-tester framöver är jag nu på jakt efter alla sorters avlagda OT-prylar för att bygga upp nyhetsbrevets experimentverkstad hemma i källaren. Gärna äldre, men förstås är även modern utrustning av stort intresse! Både hårdvara och mjukvara! Hör väldigt gärna av dig om du har något som kan avvaras! mats@ot-sakerhet.se Säkra brandbilar! MSB och FOI har tagit fram en vägledning kring Cybersäkerhet i tunga räddningsfordon. Det kanske låter väldigt specialiserat men det finns dessutom en hel del råd som är väldigt allmängiltiga och som borde vara användbara, både för andra typer av fordon och i helt andra verksamheter. Det här är dessutom bara en liten del av ett stort arbete kring cybersäkerhet i fordon där vi bland annat hittar ett Faktablad, en kartläggning av elektroniska styrsystem, men också rapporter om både cyberfysiska sårbarheter i tunga fordon och om cybersäkerhet i smart vägtrafik. SANSlöst bra utbildning! I slutet av maj kommer SANS till Stockholm med ett utbildningsevent där en av kurserna är den uppdaterade ICS515: ICS Visibility, Detection, and Response. Som vanligt när det gäller SANS-kurser är det en riktigt bra och utmanande kurs. Sex dagar med massiv träning, som förvisso kostar en rejäl slant, men det är det värt! Jag har personligen bara bra saker att säga om SANS och deras certifieringsgrupp GIAC. För några år sedan extraknäckte jag som granskare av deras utbildningsmaterial och skrev även certifieringsfrågor, så jag kan verkligen intyga att man har ett unikt tänk, som verkligen ger riktig hög kvalitet på materialet och ovanligt meningsfulla certifieringar. Rekommenderas! Apropå SANS! SANS och Dean Parsons har just släppt del 2 av deras "ICS Cybersecurity Field Manual". Det är ett stycke extremt komprimerad kunskap om allt möjligt som är bra att ha koll på inom OT-världen! Missa inte att hämta del 1 också, båda är gratis! När du ändå är på deras sajt finns mycket annat bra material att hämta, både kring OT-säkerhet men också inom en väldig massa andra områden! Nytt på www.ot-säkerhet.se! På www.ot-säkerhet.se där du, precis som tidigare, hittar alla tidigare nyhetsbrev finns numera även en sökfunktion. Undrar du hur många gånger jag egentligen skrivit om NIS2, när jag senast testade något från Advenica eller om Slartibartfast och hans fjordar någonsin dykt upp så är det lite enklare att ta reda på nu. En världspremiär i Belarus? GhostSec, en av de hacktivistgrupper som jag skrev om i förra nyhetsbrevet. har annonserat på sin Telegram-kanal att de utfört världshistoriens första krypto-attack mot en RTU, Remote terminal unit. Som du kan se i texten nedan, verkar det vara en del av en attack mot utrustning i Belarus. I vissa analyser av detta har det slagits upp som en ransomware-attack men det verkar det ju alltså utan det tycks "bara" bara vara avsett att förstöra funktionalitet och/eller utrustning. Med tanke på ändelsen som läggs till på de krypterade filerna är det inte direkt någon oklarhet i vem de kämpar mot... Oavsett varför attacken utfördes så är den förstås väldigt intressant eftersom, vad jag vet, har de helt rätt i att det är första gången en RTU förstörts genom en krypto-attack. Det är fortfarande väldigt oklart för mig hur en "kommersiellt gångbar" ransomware-attack mot den här typen av utrustning skulle se ut men det får vi nog se, tids nog... Min egen tolkning av skärmdumparna är att det är en 3G-router från ryska firman Teleofis som de hackat. Lite udda RTU kanske men den sägs ha digitala in- och utgångar, stöd för MODBUS RTU och TCP, det kommer säkert mer information om detta framöver. De verkar för övrigt inte ha uppskattat intervjun med Matan på OTORIO som jag hade med i förra nyhetsbrevet. OTORIO fick en alldeles egen "hälsning"... Uppdatering: I en artikel från SynSaber kommer man till ungefär samma slutsatser som jag men drar dem lite längre. Här är text och bilder från GhostSecs inlägg från den 11:e januari: Apropå ransomware i en RTU... Apropå den ovanstående texten om krypterade RTU:er i Belarus, så tänkte jag på den här videon som Ralph Langner spelade in för något år sedan, på temat ransomware i OT-världen. Som vanligt en sansad och klok röst i en bransch som lätt blir lite hysterisk! USB finns fortfarande kvar! Honeywell Forge har släppt sitt årliga "USB Threat Report" för 2022. Det är en kompakt liten rapport som bland annat konstaterar att hotet från USB-ansluten utrustning mot OT-världen fortsätter vara stort och dessutom växer ganska kraftigt. Vanligast är olika former av lagringsmedia men en del av problemet är att USB-bussen är så flexibel att även andra varianter på attacker är viktiga! De har även en separat rapport som går igenom detta område på ett bra sätt. Andelen malware som är fokuserade på spridning via USB ökar rejält från år till år. Det är något som vi kanske lätt glömmer av i dessa dagar när allt fokus ligger på uppkoppling, konvergens och IIoT! Forensik och incidenthantering inom OT? Jag hade missat det här fina dokumentet som NIST släppte i somras. Forensik och incidenthantering är klurigt redan i IT-världen men kliver vi över på OT-sidan tillkommer några aspekter till. Jag har inte dykt i detaljerna men tycker nog spontant att NIST verkar ha skapat en bra bas att stå på när man tar sig an den här typen av utmaningar. Som vanligt handlar det om att ha förberett sig innan incidenten, sedan är det försent! IIoT + OT = SANT! Jag har läst en preliminär version av ISA-TR62443-4-3 "Application of the 62443 standards to the Industrial Internet of Things". Det här är ju ett klurigt område eftersom mötet mellan IIoT och OT innebär att två väldigt olika världar med olika förutsättningar eventuellt behöver samsas säkerhetsmässigt. Ett avsnitt jag gillar är just att man lite grand "gör upp" med Purdue-modellen som ju många baserar sin nätverksarkitektur på och trycker på att den aldrig var tänkt att användas som en nätverksstruktur. I och med att IIoT slutgiltigt skjuter sönder det klassiska Purdue-upplägget krävs ett nytt tänk för att hantera den nya situationen. Andra intressanta områden som man åtminstone kort tar upp är hur man integrerar molnbaserad funktionalitet i sin OT-arkitektur, hur man gör riskanalyser av IIoT baserat på 62443-3-2, "Trustworthiness" kontra "Zero Trust Architecture" och ansvarsfördelning mellan Saas, Paas och IaaS. Observera att detta är ett "TR"-dokument, dvs en "Technical Report". Det innebär att det i nuläget inte kommer resultera i en standard, utan är mer att betrakta som stöd-text. På det viset blir man nog besviken om man letar efter svar i dokumentet när man snarare får hjälp att ställa rätt frågor. Arbetet pågår i en arbetsgrupp inom ISA99 och materialet är inte offentligt ännu så jag kan inte dela med mig ännu. Jag återkommer så snart det ändras! "Jag förstår inte nyttan!" En pålitlig källa till riktig klokskap är Phil Venables som jag har haft med förut i nyhetsbrevet. Den här gången får du två artiklar - en ny och en gammal. Den nya handlar om att vi gärna fokuserar på ceremonier i säkerhetsvärlden, alltså när vi börjar utföra bleka kopior av det som egentligen är vettigt säkerhetsarbete. Han har bra exempel kring exempelvis riskacceptans, lösenordskrav och budgetar. Den äldre (2020) är kanske ännu bättre, både träffsäker och klok, där tittar han på vad som borde krävas för att ta bort en säkerhetsåtgärd som inte längre verkar meningsfull. Läs de här två artiklarna tillsammans, så har du blivit en mycket klokare säkerhetsmänniska. Robusta säkerhetslösningar En intressant artikel av Tony Turner som tittar på hur man kan bygga robusta säkerhetslösningar genom göra FMEA-analyser på dem och på så sätt identifiera kritiska förbättringsmöjligheter. FMEA ("Failure Mode and Effects Analysis", "Feleffektanalys") är en känd metod om du är utbildad inom Six Sigma. Ett intressant grepp som har den viktiga sidoeffekten att man inte bara tittar på sannolikhet och konsekvens utan även "Upptäckbarhet". Dvs man går ifrån tankesättet att säkerhet är svart eller vitt, att alla risker måste förebyggas helt, dvs antingen är det lugnt eller så är det full incident. Nu värderas även hur lätt det är att upptäcka en incident som är på väg att hända, dvs "Detect" om man pratar använder begrepp från NIST CSF. I ett modernt säkerhetsarbete kommer man snart till en punkt där det lönar sig bättre att jobba med "Detect" än att skaffa ännu mer "Protect". Det är ju exempelvis därför fokuset på logganalys och SOC-tjänster blir så stort! I slutändan så är ju det viktiga att man förebygger skadan innan den uppstår oavsett hur det går till. Alltid retar det någon... Cisco har publicerat ett white paper där de slår ett slag för moln-hybrida varianter av den traditionella DMZ-lösningen som många organisationer har mellan "OT-världen" och "IT-världen". Det här är förstås en het potatis i många läger där man inte vill se någon som helst relation mellan OT och moln. Men å andra sidan har ju tåget i många fall redan gått i takt med att fler och fler IT-infrastrukturer luckras upp - kalla det zero-trust, cloud-first eller vad du vill. Det här är ett spännande område oavsett vad man tycker om att orden "Cloud" och "OT" skrivs på samma nätverksskiss. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du nyheter kring både NIS2 och NIS1, hacktivism, en ny möjlighet att öva upp dina OT-hackingskills, leverantörskedjor, 20 år gamla webbservrar, att Microsoft tvingar ut patchar, nedräkning till S4 och en massa bra videos att titta på i jul. Jag funderar på om det verkligen finns enkla svar på svåra frågor och varför vissa leverantörer aldrig någonsin haft en sårbarhet i sina produkter? Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nu kör vi! Snart... NIS2 har nu accepterats av Europaparlamentet och EUs ministerråd och är därmed helt klart. Den slutgiltiga texten går att läsa på exempelvis svenska eller engelska. Det är drygt 200 sidor som är väl värda att ta till sig! Det betyder att någon gång om knappt två år kommer denna ganska rejäla utökning jämfört med dagens NIS-direktiv träda i kraft. Som jag skrivit om tidigare kommer detta ställa krav som kommer uppfattas som ganska tuffa av många organisationer. Den största överraskningen kommer nog bli när polletten trillar ner för alla de företag inom tillverkande industri och kemiindustri som också omfattas. Jag har fått frågan om det kommer bli konsult-panik på samma sätt som det var kring GDPR. Även om det är tusentals organisationer bara i Sverige som berörs så är det ju förstås fortfarande betydligt färre än vad GDPR "drabbade". Men, å andra sidan, är tillgången på kompetens kring risk- och säkerhetsarbete i den här sektorn riktigt tunn - inte minst inom OT-säkerhet som kommer vara en stor del av arbetet! Här vill det till att komma igång med det egna arbetet snabbt, långt innan det finns några översatta och specificerade krav från tillsynsmyndigheterna i Sverige! Om du är nyfiken på hur det går till i Europaparlamentet får du betänkandet och delar av debatten här. I verkligheten så var det faktiskt lite mer dramatik eftersom en grupp i parlamentet motsatte sig de delar av direktivet som berör krav på organisationer som hanterar domänregistrering på Internet. Deras förslag fick inget gehör, röstades snabbt ner och därmed gick NIS2-direktivet igenom utan problem. Men hur går det med nuvarande NIS då? EUs cybersäkerhetsmyndighet ENISA publicerade nyss sin årliga rapport kring investerings-trender runt de organisationer som redan idag berörs av dagens NIS-direktiv. Man kan hitta en hel del intressanta insikter, inte bara om OT: En tredjedel av alla organisationer säger att ingen av deras kritiska OT-processer hanteras av en SOC. Personligen hade jag nog trott att det skulle vara ännu värre, det är fortfarande allt för vanligt att man ignorerar aktivt säkerhetsarbete och enbart förlitar sig på preventiva tekniska åtgärder... Inom energibranschen har hälften av alla organisationer en hybrid-SOC som hanterar både IT och OT medan bara 16% har en dedikerad OT-SOC. Det förvånar mig att det är så lågt som 16%, men det framgår inte hur de övriga adresserat de enorma skillnaderna mellan en IT-SOC och en OT-SOC. Det är extremt stora skillnader mellan länderna i hur mycket organisationerna säger sig satsa på OT-säkerhet. Sverige ligger mycket lågt. Personligen tycker jag det ser konstigt ut men det verkar hänga ihop med att vissa länder har en större andel stora organisationer. Stora svårigheter att få tag på kunnig säkerhetspersonal är ett genomgående tema som vi nog alla känner igen. 28% säger sig ha haft minst en ransomware-attack och snittkostnaden för en sådan attack vad drygt 540 000 Euro. Här finns fina siffror för den som vill motivera investeringar i bättre skydd! På den intressanta frågan "Har implementationen av NIS-direktivet hjälpt er minska konsekvenserna av incidenter?" svarade enbart 6% Nej vilket ju bådar gott inför NIS2! Åsså maskindirektivet! Vi verkar också vara på väg att få ett nytt maskindirektiv som jag tror kommer vara väldigt intressant för alla som bryr sig om OT-säkerhet! Det verkar i alla fall finnas politisk enighet kring det liggande förslaget. Jag återkommer när jag har mer information... Upp till kamp! Vedere Labs på Forescout har skrivit ett intressant litet blogginlägg kring hacktivism med mycket fokus på OT. Grupper med tjusiga namn som GhostSec, Team OneFist, Gonjeshke Darande, SiegedSec, AnonGhost, Network Battalion 65 och Anonymous har gett sig på olika former av OT-system och OT-komponenter i samband med politiskt laddade angrepp runt om i världen. I en artikel och video med Matan Dobrushin, som är forskningschef på OTORIO, belyser man just gruppen GhostSec på ett intressant sätt. Vill du bli en OT-hacker när du blir stor? En gammal sanning inom många former av säkerhetsarbete är "Know your enemy!". I vår värld kan det exempelvis betyda att det kan vara en bra idé att lära sig lite hackar-metoder även för dig som ska skydda dig mot hackers. Inom den klassiska IT-världen finns det gott om möjligheter att lära sig och att träna praktiskt. Inom OT-området har det har varit sämre med den saken. Det har ändrat sig nu! Under namnet ICSRange har nu den välkände danske OT-säkerhetsprofilen Mikael Vingaard och hans kollegor dragit igång en lösning där du kan öva och testa dig fram bland en massa mer eller mindre offensiva uppdrag riktade mot riktig OT-utrustning och riktiga OT-protokoll. Jag har fått tillfälle att prova lösningen under några timmar och tänkte dela med mig av vad jag upplevt! En väldigt intressant skillnad mot många andra så kallade "Ranges" är att du får tillgång till både "måltavlor" och till de verktyg du behöver för arbetet. Det betyder att det blir mycket enklare att använda detta i en för utbildning i en företagsmiljö där man vare sig vill eller får koppla upp sig mot externa tjänster med VPN. Du kan alltså ta upp detta i din utbildningsplan på jobbet utan att behöva fundera på att installera en massa nya grejor - en webbläsare och åtkomst till Internet är allt du behöver! När man anmält sig får man inloggnings-uppgifter skickade till sig tillsammans med ett informationspaket kring hur man ska bete sig. Eftersom allt sker i en vanlig webbläsare är man väldigt snabbt igång. Man väljer sina uppdrag i en webbtjänst och gör själva arbetet i ett annat. Du får helt enkelt upp en installation av Kali-Linux direkt i webbläsaren vilket gör det extremt enkelt att börja "hacka". Är man ovan att arbeta i Linux kommer det kanske vara något av en tröskel men man får hjälp att komma igång även där. Från Kali-systemet kommer du åt olika OT-utrustningar som behövs i vissa av utmaningarna. Uppdragen har lite olika inriktningar, det är inte bara hackande utan även en del Quizar kring allt möjligt med koppling till OT-världen vilket gör det hela ganska omväxlande. En sektion handlar exempelvis om att analysera nätverkstrafik där man ska identifiera olika typer av system eller hitta hemliga meddelanden i MODBUS-trafik. Svårighetsgraden är också väldigt varierande vilket gör att både nybörjare och mer erfarna användare kommer få utmaningar direkt. Eftersom det fortfarande är en relativt ny tjänst finns det inte enorma mängder uppdrag på plats men det växer hela tiden! Som sig bör finns det förstås en Scoreboard så att den som känner sig tävlingssugen kan mäta sina skills mot andra. Perfekt om man är flera på jobbet som deltar! Min spontana känsla är att Mikael & Co har lyckats skapa något som redan är bra och som kan växa vidare till något mycket starkt! Jag kom igång väldigt snabbt och har inte stött på ett enda problem som stört mig i jakten på fler poäng! Nu har jag förvisso inte kört mer än några timmar men tycker mig nog ändå våga rekommendera att du testar om du är det minsta nyfiken på området! Själv tyckte jag det var väldigt roligt att damma av mina gamla hacker-skills lite! Det finns inga enkla svar på svåra frågor! Jag fascineras hyggligt ofta av att OT och OT-säkerhet betraktas som ett enhetligt område som är lätt att sammanfatta och där säkerhetsarbetet enkelt kan förklarar med några snabba ord. Det är märkligt nog lika vanligt att det kommer från "IT-folk" som från "OT-folk"... Generellt tycker jag man underskattar skillnaderna mellan helt olika verksamheter som på något vis använder sig av "OT". Kan man verkligen dra många likheter mellan säkerhetsarbetet för reaktorstyrningen i ett kärnkraftverk och för en robot som staplar skokartonger på en lastpall? Eller för fastighetsautomationen på ett fängelse? Eller för produktionen av läsk enligt ett hemligt recept? Eller för skeppsövervakningen på ett av flottans fartyg? När man tänker så känns det ganska uppenbart att det finns ganska stora skillnader i både prioriteter, risker, hot och tekniska förutsättningar? Den absolut vanligaste förenklingen är förmodligen att man ska vända på CIA-triaden (Confidentiality, Integrity och Availability. På svenska Hemlighet, Riktighet och Tillgänglighet). Alltså tanken att inom IT är det alltid hemligheter som är det viktigaste att skydda och inom OT är det alltid tillgänglighet. Den där stackars riktigheten får aldrig vara viktigast. Jag brukar invända resonemanget inte ens stämmer inom IT och Informationssäkerhet så varför skulle OT vara så mycket simplare? Och även om det vore sant så talar vi oftast om information i första fallet och en fysisk process i det andra, alltså två företeelser som är ganska svåra att jämföra. En annan klyscha brukar vara att inom OT handlar allt om Safety, alltså att det inte ska uppstå konsekvenser som är farliga för människor eller miljö. Och visst, i och med att vi hanterar fysiska maskiner och processer så finns det en poäng i att sätta skyddet av medarbetare högt. MEN! Det är sällan de flesta allvarliga riskerna i en OT-riskanalys handlar om Safety eller att mycket fokus i OT-säkerhetsarbetet hamnar där. I många verksamheter är det ganska enkelt att bygga bort Safety-risker, speciellt om man tänker lite utanför boxen. Mitt favoritexempel är styrningen av en pump som, om den skulle bli hackad, skulle kunna köras baklänges och därigenom skapa en farlig situation. Istället för att lägga enorma resurser på att skydda all potentiellt sårbar utrustning kan ju lösningen vara att sätta en backventil på rörledningen! Därmed inte heller sagt att Safety är oviktigt. Tvärtom är det tyvärr också lite för ofta jag, högst personligen, kan tycka att man glömmer bort den typen av frågor i riskarbetet. På sistone har jag börjat få frågan från mina läsare varför jag inte gillar Purdue-modellen? Jag förstår att man kan tolka det så men jag har egentligen ingenting emot modellen i sig själv, den är en bra metod för att beskriva system och flöden. Där det brukar gå snett är när man tänker sig att bygga segmentering inom nätverk och system längs nivåerna i modellen. I de flesta typer av verksamheter blir inte det en meningsfull segmentering! När jag trycker emot lite brukar man landa i att det är viktigt att dela på "IT" och "OT", och där har jag förstås inga invändningar. Men det behöver man ingen Purdue-modell för att förstå... Vi ska förstås jobba med segmentering, men då föredrar jag det riskbaserade tänket från IEC 62443 där man bygger sina säkerhetszoner lite friare. Om man absolut vill ha en snygg modell vill jag gärna slå ett slag för en släkting till Purdue-modellen, nämligen NOA-modellen från NAMUR, som är en elegant lösning på att hantera den allt större mängden "IIoT"-enheter som dyker upp i allt fler verksamheter. Att berätta sanningen eller inte? På senare tid har jag haft anledning att djupdyka i hur olika tillverkare av OT-prylar annonserar (eller inte annonserar) sårbarheter. Man kan ju ha många spännande filosofiska diskussioner kring hur viktigt det är är, eller inte är, att jaga sårbarheter i OT-miljöer som ju ofta bygger på i grunden osäkra protokoll och lösningar. Personligen tycker jag att det är både meningsfullt och viktigt att förstå helheten om man ska bedöma risker. Ett användbart verktyg är den här sidan där man kan vända och vrida på alla sårbarheter som annonserats via amerikanska CISA. Det som blir uppenbart väldigt snabbt är att vissa tillverkare helt saknas i listan, vilket i min värld betyder att de, av någon anledning, mörkar sina sårbarheter. Än så länge har jag aldrig stött på ett företag som helt lyckats undvika sårbarheter i sina produkter och jag tror sannolikheten är låg att jag någonsin kommer göra det. Om du frågar mig tycker jag att det är viktigt att man som tillverkare av säkerhetskritiska produkter ger en tydlig bild av vilka rutiner man har för att hantera sårbarheter när de upptäcks och helst också att man är öppen med vilken typ av sårbarheter som åtgärdats i de egna produkterna. När jag tar upp detta med leverantörer så får jag ofta argumentet att de inte vill att gamla sårbarheter används mot dem i samband med upphandlingar och andra jämförelser. För tiden är väl förbi när någon vettig säkerhets-människa tror att ett företag som har åtgärdat många säkerhets-problem automatiskt därmed har produkter som är mer osäkra? Förmodligen är det nog oftast tvärtom! Personligen tycker jag att det är dags att det betraktas som en stor brist att man inte är öppen om sina åtgärder. Visst är det bra att man bara kommunicerar sårbarheter direkt till sina kunder, och därmed minskar exponeringen för dem, men i längden tror jag alla förlorar på hålla hemligheter. Det här är märkligt nog ett ganska outforskat område som jag misstänker att jag kommer få anledning att återkomma till. Klarar du dig utan DCOM? För ett och ett halvt år sedan publicerade Microsoft en sårbarhet i DCOM men lämnade patchen avstängd eftersom man hade identifierat stor påverkan på en rad OT-mjukvaror. Från och med i somras ändrade man så att uppdateringen automatiskt läggs på och man inte aktivt stänger av den. Men! Från och med 14:e Mars kommer patchen inte längre gå att stänga av längre vilket kan få "spännande" konsekvenser. Den mest kända användningen av DCOM är "gamla" OPC, alltså föregångarna till OPC UA. OPC-Foundation har en bra artikel på ämnet. Jag kan väl tycka att det här är ytterligare ett bra skäl att gå över till OPC UA om man inte gjort det vid det här laget... TXOne och Velta kände sig kreativa och har föreslagit att man helt stänger av uppdateringar tills man hinner lösa problemet och istället använder Stellar-produkterna från TXOne som kompenserande åtgärd. En smart tanke som ju har en del andra fördelar också... Det där med svagaste länken i kedjan? Det är mycket fokus på säkerhet i leverantörskedjor numera. Vi har en massa exempel på spektakulära attacker som på olika sätt använt leverantörer som väg till slutmålet. NotPetya, Solarwinds, Coop/Visma/Kaseya och till och med Stuxnet är välkända exempel som definitivt satt det här hotet på kartan. Nu har amerikanska CISA, NSA och ODNI släppt en serie råd kring det här utmanade området, de är riktade mot utvecklare, mot leverantörer och mot kunder. De är inte tänkta för OT specifikt men råden är så generella att de passar alldeles utmärkt även i det här området. Det här är ett riktigt utmanande område att arbeta med och vi kommer behöva alla goda idéer vi kan samla ihop! Förutom att det är ett viktigt område på egna meriter så kommer det börja ställas krav från många håll. Exempelvis är detta en stor del i NIS2. Bu för Boa! En variant (och en ganska extrem sådan) på ovanstående utmaningar kring leverantörs-kedjor beskrivs i en rapport från Microsoft. En open-source webserver kallad Boa lades ner 2005 men sprids fortfarande i en massa OT- och IoT-produkter. Enligt uppgift finns 1 miljon sårbara Boa-server åtkomliga på Internet och hur många mer som finns längre in i nätverken kan vi bara gissa. Sårbarheterna i Boa har nu kopplats till angrepp mot Indiska energiföretaget Tata Power. Microsoft gör mer väsen av sig i OT-världen! Microsoft har släppt en rapport kring riskerna som uppstår när OT och IoT närmar sig varandra. Det här är en av alla "Convergence"-rörelser som vi ser globalt. Ofta är det IT och OT man är orolig över men motsvarande funderingar kan man ha kring alla kombinationer av IT, OT och IoT. Man ska förresten inte glömma bort att convergence mellan OT och OT ibland är en utmaning, alltså när olika OT-världar i samma organisation av olika skäl närmar sig varandra, exempelvis om man både har Process-OT och Tillverknings-OT som behöver börja kommunicera mer. Microsofts rapport har fått en hel del uppmärksamhet som både ger ris och ros. Personligen vet jag inte om rapporten ger så mycket för den som redan är införstådd med de typiska utmaningarna inom OT-världen men den kan nog vara en ögonöppnare för många som har en mer IT-fokuserad bakgrund. Personligen tycker jag det är väldigt positivt att Microsoft börjat bli lite mer tydligt engagerad i OT-världen och jag hoppas att det kan vara ett första steg mot mer lösningar för att komma runt många av de problem som uppstår när teknik utformad för IT-användning hamnar i verksamheter som lever under lite annorlunda förutsättningar. På senare tid märker jag också ett ökat intresse från företag att titta närmare på Microsofts "Defender for IoT", som ju bygger på OT-säkerhetslösningen CyberX som de köpte för några år sedan. Rapporten diskuteras också i en YouTube-video: Massor med bra videor från SANS! SANS är känd för utbildningar med väldigt hög kvalitet, även inom OT-säkerhetsområdet. Jag har själv extraknäckt som granskare av utbildningsmaterial och som författare av certifierings-frågor och kan ärligt vittna om hur noga man har varit med att utbilda oss innan vi fått "börja jobba". Tyvärr något som inte alla organisationer gör på samma nivå! Ett annat område där SANS har mycket bra grejor är informations- och utbildningsmaterial kring OT-säkerhet på YouTube. Här finns mycket att välja på och för att peka på typiska exempel lyfter jag fram tre videos kring hur man kan tänka när man samlar in nätverkstrafik för olika typer av analyser, en kring skillnaderna mellan SPAN-portar i switchar kontra TAPar, den andra fokuserar på hur viktigt det är att veta vad man inte får med i sin insamlade nätverkstrafik och slutligen med vilken detaljeringsgrad man kan samla information! ISA kan också! En annan organisation som också är känd för hög kvalitet på många områden är ISA. Även de har börjat satsa mer på YouTube-material. En intressant samling är "IACS Cybersecurity for Chief Information Security Officers (CISOs)", dvs introduktion till denna speciella värld för folk med bakgrund inom informations- och IT-säkerhet. Det finns en playlist på YouTube som går igenom allmänna frågor, historik och lite extra fokus på det kluriga området patchning: Inte nytt - men bra! Jag vet att detta ska vara ett nyhetsbrev men jag kan inte undanhålla det här dokumentet från 2018, "History of Industrial Control System Cyber Incidents! Det är utgivet av INL, Idaho National Laboratories, och innehåller beskrivningar på en radda OT-relaterade säkerhets-incidenter från 1903 till 2017. Den från 1903 (Marconis hackade telegraf) är lite på skämt, men de andra är extremt intressanta att ha koll på! Dale är klok! Dale Peterson säger väldigt ofta både insiktsfulla och framsynta saker. Även så den här gången, där han pekar på hål i resonemanget "Du kan inte skydda det som du inte vet om". Detta är något man ofta hör i samband med diskussioner om SBOM, Software Bill Of Materials eller IDS, Intrusion Detection Systems. Men som Dale mycket riktigt påpekar finns det situationer där det inte är helt sant eller där det finns annat som är mer akut! Har du koll på Stuxnet? Man måste nog verkligen kalla Stuxnet den (hittills) viktigaste OT-attacken, både på grund av det enkla faktum att den satte OT-säkerhet på kartan men också för att det är det mest känd "Cyber-vapnet" någonsin! Det finns en del riktigt bra böcker skrivna på ämnet men du kan också få historien berättad av OT-säkerhetspersonligheten Ralph Langner: Pålitliga system? NIST har släppt en uppdaterad version av NIST SP 800-160, "Engineering Trustworthy Secure Systems". Dokumentet är tänkt som ett stöd vid användningen av Systems Engineering-standarden ISO/IEC/IEEE 15288, "Systems and software engineering — System life cycle processes". Väl värt att titta närmare på om man sysslar med denna typ av ingenjörsarbete. OT:ICEFALL fortsätter att leverera Jag skrev om OT:ICEFALL i somras, nyhetsbrev #44 och det är en källa som fortsätter att leverera intressanta sårbarheter, nu senast har Festo och CODESYS varit synliga i annonseringar av sårbarheter. Den senare är ju kanske allvarligast eftersom biblioteken från CODESYS används i en lång rad produkter från kända leverantörer av OT-produkter. Vi har nog inte hört det sista i den här långköraren ännu. Vedere Labs, som är en del av Forescout, har skrivit mer i ett blogginlägg nyligen. Skynda dig att köpa din biljett! Det preliminära programmet för nästa års S4-konferens är ute och det finns oerhört mycket intressant där. Jag blev väldigt imponerad och upptäckte sedan att jag bara tittat på den första dagen av tre! Så här långt har jag noterat att vi kommer vara minst fyra svenskar på plats och jag hoppas att fler tar chansen att uppleva detta unika event live i Februari. Det finns fortfarande ganska billiga biljetter kvar även om hotellen kostar skjortan! Förutom själva konferensen körs som vanligt också en CTF, Capture the Flag, där man kan vara med och tävla/träna på att hacka OT-system. För de riktiga proffsen arrangeras som vanligt Pwn2Own som är en tävling i att hitta och bevisa nya sårbarheter i OT-produkter. Den arrangeras tillsammans med ZDI, Zero Day Initiative (som ägs av Trend Micro), som står för prispengarna och hanteringen av resultatet. (Förra året delades 400 000 dollar ut i prispengar!) Nytt för i år är "S4 SBOM Challenge" där nya och heta branschen "Software Bill of Materials" skall sättas på prov! Tävlingen drivs av INL, Idaho National Laboratory, som ju är en riktig auktoritet inom alla möjliga sorters säkerhet kopplat till kritisk infrastruktur. Det kommer bli väldigt intressant att se vad som skiljer mellan pionjärerna på området! DNS är inte ett luftgap! En lite udda artikel från Pentera handlar om hur misstag i DNS-konfigurationen kan leda till att "air-gappade" system blir åtkomliga från Internet. (Udda inte minst därför att användning av DNS inte direkt skriker "Luftgap" men jag har å andra sidan sett en del märkliga lösningar i verkligheten som matchar den här problematiken...) Inte direkt relaterat till OT, men det är ju fortfarande ganska vanligt att man lever i tron att man har isolerade (och därmed säkra) OT-system. Och att det är lätt att klanta till en DNS-konfiguration, det kan jag personligen skriva under på. DNS är definitivt ett underskattat problemområde på många sätt, inte minst när man förbereder ö-drift av en produktionsenhet, dvs att man ska kunna gå till "luft-gap" som en nödåtgärd under en pågående säkerhetsincident. Väl värt att läsa för den som går i sådana tankar! Ännu mera Mats? Om du inte redan fått nog av mig så finns lite spretiga citat i en intervju kring NIS2 som tidningen "Vi Bilägare" gjorde med mig. Det finns också en video med en diskussion/intervju från Advenica där vi hinner med många spännande ämnen. Det är en man i mitten! En rapport av Pascal Ackerman på GuidePoint beskriver en Proof-of-Concept attack där en angripare kan manipulera mätvärden som skickas mellan en PLC och någon form av HMI. Tekniskt sett är det egentligen inget nytt, man skapar en "klassisk" Man-In-The-Middle-attack genom att manipulera ARP-protokollet som används i alla IP-baserade nätverksprotokoll. Intressant är dock hur man använder det för att ändra värden "i farten". Läsvärt för den som är nyfiken på hur klassiska IT-attacker kan uppdateras för användning i OT-protokoll! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du ett troligt datum för NIS2, certifiering av produktleverantörer enligt 62443, ny information om TRITON, hotet mot den svenska energisektorn och så berättar jag att jag har ändrat mig! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! NIS2 har aldrig varit så nära som nu? Vi var väl ett gäng som både trodde och hoppades att NIS2 skulle vara klubbat vid det här laget. Nu verkar det dock börja röra sig igen. Den 10:e November planeras ett betänkande att läggas fram av Bart Groothuis i Europaparlamentets Plenum. Jag har inte studerat detaljerna men mitt intryck (som fullständig amatör när det gäller att läsa EU-texter) är att planen är att parlamentet nu ska ge tummen upp och skicka texten vidare för implementation. När det väl är klubbat skall det bli extremt intressant att se om media slutligen vaknar och om det i sin tur får alla tusentals svenska företag och organisationer som berörs att förstå vad man står inför? Min, högst personliga, uppskattning är att vi exempelvis talar om många hundra svenska industriföretag bara inom tillverkning och kemi! Full koll på NIS2? Nu kommer CRA också! Jag har skrivit mycket om NIS2 på senare tid. Men det är bara ett i en rad av initiativ som ingår i EUs cybersäkerhetsstrategi. CRA, eller "Cyber Resilience Act" är en utökning av CE-märkningen som EU definierar. Det handlar gravt förenklat om att prylar som kan ha en digital koppling till någonting annat ska uppfylla en radda säkerhetskrav för att få säljas inom EU. Dessutom finns det en koppling till NIS2 eftersom det ställs högre krav på prylar som är tänkta att användas i verksamheter som är "Essential entities" enligt NIS2. Några av kraven är exempelvis: Riskanalyser under utvecklingen "Secure by default" - dvs man ska inte behöva "slå på säkerheten" Härdning Möjlighet till loggning och övervakning Tillgång till säkerhetsuppdateringar via en dokumenterad metod. Sårbarheter ska fixas och kommuniceras snabbt. Maskinläsbar SBOM, alltså en innehållsförteckning över vilka mjukvaror som ingår. Jag ska inte skriva någon lång text om detta eftersom jag hittade en jättebra text av Sarah Fluchs. Det här är superintressant, sannolikt jättebra och påverkar både IT- och OT-världen i grunden! ...och så CER förstås! Men det räcker inte med NIS2 och CRA. En tredje är CER, Critical Entities Resilience. Det handlar om att verksamheter som är viktiga för samhället ska arbeta systematiskt med riskhantering för att förbygga störningar i verksamheten. Det gäller alltså inte bara IT/OT-säkerhet utan alla former av risk- och säkerhetsarbete. Mitt första intryck är att det påminner en del om det vi i Sverige (via MSB) kallar "Samhällsviktig Verksamhet", även om det verkar vara olika scope för vilka verksamheter som omfattas. Men glöm inte maskindirektivet! Jag har skrivit om det nya Maskindirektivet tidigare och nyligen såg jag att Phoenix Contact publicerat en bra text i NyTeknik. Om CER handlar mindre om teknik så handlar förstås Maskindirektivet desto mer om prylar och, framför allt, hur de ska utvecklas och underhållas för att förbli säkra (i betydelsen "Safe") för de som använder dem. Omfattningen är väldigt bred och man kan läsa en detaljerad definition i förslaget av vad som avses med var och en av dessa: machinery interchangeable equipment safety components lifting accessories chains, ropes, slings and webbing removable mechanical transmission devices partly completed machinery Det finns också en koppling till de krav och regler som är på gång inom EU för Artificial Intelligence, speciellt när det gäller Safety-funktioner i autonoma utrustningar. Det där med leverantörskedjan... Något som är extremt "hett" just nu (och det med rätta) är säkerhet i leverantörskedjorna. NIS2 är ett väldigt tydligt exempel på att det här är något man måste ta tag i oavsett om man själv berörs av föreskrifterna eller är leverantör till en organisation som omfattas. Här kan man skaffa sig enorma fördelar som leverantör om man är snabb på bollen! Man måste ju förstås komma ihåg att vi pratar om en kedja, dvs det finns fler än en länk som man är beroende. Så som vi fick lära oss av COOP så är det inte nödvändigtvis den närmaste länken i kedjan som är problemet. Det vill till att både ställa krav på sina leverantörer men också att ställa krav på att de ska ställa krav i sin tur! Den spännande firman OTORIO, som är mest känt för deras analysverktyg för OT-säkerhet, RAM2, annonserade nyligen att de har slagit till och blivit certifierade enligt ISA/IEC 62443. Mer exakt handlar det om att det finns oberoende bevis på att deras utvecklings- och underhållsprocesser följer 62443-4-1. Jag ser generellt en stor ökning i intresset för att arbeta enligt standarden 62443-3-3. Ofta vill man mäta sina risker och hur väl man implementerat standarden, så då vore det ju nästan konstigt att använda verktyg som själva inte utvecklats i linje med standarden! I och med att det här är system som ansluts direkt till känsliga OT-miljöer så vill man ju verkligen inte att säkerhetssystemet själv skapar försämringar i säkerheten! Förutom att det är en kvalitetsstämpel så är det ju förstås också ett bevis på att de tar säkerheten på så stort allvar att man genomför en så pass stor manöver som en certifiering är. Jaha? Är det så viktigt med certifiering kan man fråga sig? Ja, faktiskt! Krav på just den här typen av certifieringar skulle jag tro blir väldigt vanligt framöver i takt med att fokuset på leverantörskedjorna ökar. Inte minst via NIS2! Personligen tror jag någon form av certifiering av utvecklings- och underhållsprocesser kommer vara ett självklart krav i upphandlingar framöver. Det måste ju inte vara just 62443-4-1, men det gör det förstås lite extra tydligt att man satsat just på OT. Med bra timing kom även en vägledning från amerikanska NSA och CISA kring leverantörskedjor inom mjukvara, riktad mot leverantörer. Den är förstås skriven ur ett strikt amerikanskt perspektiv men kan nog vara väldigt användbar oavsett om man levererar till USA eller inte. Dags för regelverksanalys? Med tanke på alla kommande nya och utökade regelverk, inte minst från EU och som dessutom slår lite oväntat är det dags för väldigt många verksamheter att göra en regelverksanalys! (Det som tidigare ofta kallades författningsanalys!) Vissa regelverk kommer "slå" mot verksamheter som inte alls förväntar sig att omfattas, så första steget är att hitta alla föreskrifter, lagar och andra regler som man berörs av. Nästa steg är att förstå kraven som ställs från de olika källorna och att sedan kombinera dem för att skapa sitt eget regelsystem. Till det kommer numera allt oftare även indirekta krav, där man i en utökad regelverksanalys förmodligen bör titta på vilka krav verksamhetens kunder kan förväntas tvingas ställa framöver. Ofta vill man beskriva de regler man tar på sig i någon form av ledningssystem. Här är det ju förstås väldigt lämpligt att basera det på ISA/IEC 62443, främst delarna 2-1, 3-2 och 3-3. Det går alldeles utmärkt att göra ett integrerat ledningssystem där man blandar åtgärder för att möta 62443 och krav från regelverk med åtgärder kopplat till exempelvis informationssäkerhet och ISO 27001! Personligen kan jag tycka att det är väldigt klokt att börja med detta så tidigt som möjligt, helst redan när det finns ett förslag till kravtext framme. Det blir sällan några större ändringar... Jag har ändrat mig! I förra nyhetsbrevet skrev jag om vännerna på Claroty "Team82" som hade släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskrev ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmerings-verktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker. Vid första anblicken tyckte jag ärligt talat att det var en lite väl teoretisk attack, men efter att ha funderat lite mer på det där så insåg jag att det var mer intressant än vad jag först insåg. Det är nog fortfarande mest en teoretisk attack men den belyser minst tre viktiga och omdebatterade ämnen: Luftgapet! Att den gamla idén om att "luftgap" skulle vara ett vettigt skydd håller få med om. (Alltså att att system blir säkrare av att sakna nätverksanslutning eller anslutning till externa nätverk.) Det är absolut inte en meningslös åtgärd men man måste förstås vara medveten om att det finns många andra kommunikationsvägar som kan användas för attacker. Här är ju "Evil PC" ett tydligt exempel på en sådan attack som, åtminstone teoretiskt, skulle kunna ställa till ganska stor skada i system som inte går att attackera via ett nätverk! Zero Trust! Om du läst mina tidigare texter vet du att jag tycker Zero Trust är ett viktigt men också väldigt missförstått ämne inom OT-säkerhet. Här är "Evil PC" ett underbart exempelvis på att man inte ska ha några som helst implicita Trust-förhållanden. Inklusive att en engineering workstation eller andra programmeringshjälpmedel inte ska lita på de PLC:er som man ansluter sig till! Backuper! Att ha vettiga backuper av projektfiler och konfigurationer är de flesta överens om även om det är något som sällan sköts perfekt i verkligheten. Den här attacken belyser definitivt vikten av att ha bra backuper men också det vettiga i att utgå ifrån lagrade filer när man ska göra ändringar istället för att ladda ner den aktiva konfigurationen från PLCn! Jag kommer nog ha med det här som ett lite utmanande scenario i framtida riskworkshops! Vill du dyka i detaljer så finns alltid en dragning från DEFCON som Sharon Brizinov gjorde. Intryck från SPS-mässan! Jag spenderade en dag på SPS-mässan, en stor automations- och produktionsmässa i Nürnberg som arrangerats sedan 1990. Med nästan 14 hektar golvyta och 1700 företag som ställer blir det verkligen en enorm och tuff utmaning att ta in allt spännande som visas upp. Många fascinerande montrar med otroligt cool teknik inom alla möjliga områden. Men... Det är fortfarande väldigt lite fokus på säkerhet i det man lyfter fram kring sina produkter och när man frågar om säkerhet får man oftast bara en inövad harang som inte säger så mycket. Bland de rena säkerhetsleverantörerna var det förstås betydligt bättre där exempelvis TXOne hade en riktigt bra monter med vassa medarbetare på plats! Vem bryr sig om säkerhet i CNC-maskiner? Jag hittade en intressant rapport från Trend Micro kring säkerheten i CNC-maskiner. De har gjort en riktig djupdykning i det här området som jag själv inte sett speciellt mycket forskning inom. Förutom att man får lära sig mer om dessa spännande och oanat avancerade maskiner, så inser man hur utsatta de är på grund av att riskerna kring dem så sällan diskuteras! Här finns mycket att ta tag i för många! Ny information om TRITON! Joe Slowik, som numera arbetar på Gigamon, har tittat djupt i det som är känt kring hur den så kallade TRITON-attacken organiserades. TRITON (eller TRISIS som vissa analytiker kallar den) betraktas som den första kända attacken som riktade in sig på safety-system med avsikt att framkalla ett spektakulärt haveri på det Saudiska raffinaderiet Petro Rabigh 2017. Hade man lyckats hade sannolikt resultatet blivit ett stort antal dödsfall men på grund av en bug i den skadliga kod som användes misslyckades man lyckligtvis. Det finns ett papper att läsa och en video från Joes presentation på VirusBulletin-konferensen i september. Dessutom hörde jag en bra intervju med Joe på Clarotys podcast "Aperture". Fastighetsautomation skapar information! SKR har givit ut en skrift om informationssäkerhet för fastighetsvärlden, som tagits fram i samarbetet "Offentliga fastigheter". Den talar förvisso inte ett enda ord om OT-säkerhet men den tar upp ett besläktat problem som automations-folket ofta inte är så vana vid. När vi digitaliserar och "kopplar upp" våra fastigheter sker ju ofta det med syftet att kunna mäta vad som händer i fastigheten. "Baksidan" med det är att vi tar fram en massa ny information som då förstås ska skyddas på lämpligt sätt. Just i gränslandet mellan OT-säkerhet och informationssäkerhet uppstår det lätt missförstånd och med det kommer säkerhetsproblemen! Här behöver säkerhetsfolk från olika discipliner bli duktiga på att hantera risker tillsammans. Det låter enkelt men är i praktiken ofta riktigt svårt att få till bra! MITRE ATT&CK for ICS fyller 12 versioner! MITRE ATT&CK for ICS har kommit i version 12. Den största och viktigaste förbättringen är att man lagt till "Detections", på samma sätt som finns i "vanliga" MITRE ATT&CK sedan version 11. Vi kan nu referera till vanliga sätt att upptäcka de olika typerna av tekniker som angripare använder. Om det inte redan var det innan så börjar "MITRE ATT&CK for ICS" verkligen bli ett ovärderligt redskap för den som arbetar med systematiskt OT-säkerheten, oavsett om det är säkerhetsarkitektur, threat hunting eller något annat. Hårt arbete! Phil Venables har skrivit en text om "hårt arbete", på engelska "grind" inom säkerhetsarbetet. Precis som vanligt får vi en massa kloka ord om detta osexiga, men viktiga, område - kryddade med geniala citat. Uppdatering från britterna Brittiska NCSC har kommit med en ny version av sitt CAF, Cyber Assessment Framework, som ju vänder sig till brittiska verksamheter som lever under den brittiska NIS-regleringen. Som vanligt när NCSC är i farten finns det gott om goda tankar som man kan inspireras av även om man inte formellt lyder under regelverket. Runda klossar i fyrkantiga hål? Joe Weiss levererar i en artikel nyligen som vanligt kloka synpunkter på OT-säkerhetsvärlden med utgångspunkter som är väldigt nyttiga, speciellt för dem som har sitt ursprung i IT-världen. Jag håller verkligen med honom om att många bra vanor i IT-världen förvandlas till riktigt dåliga idéer när de återanvänds utan eftertanke i OT-världen. Därmed inte sagt att man inte kan uppnå samma goda resultat om man bara fokuserar på vad som egentligen är målet med riskreduktionen och i många fall ser över hur man närmar sig problemet och vilka verktyg man föredrar. Just verktygsfrågan är förstås lite extra känslig i och med att det finns ekonomiska vinster i att återanvända verktygen från IT-världen. Min högst personliga åsikt är att det viktigaste är att få till genomtänkta lösningar som går att underhålla och som håller över tid. Även om du har en obskyr utrustning eller en riktigt gammal version av Windows så innebär inte det automatiskt att det är omöjligt att hitta säkerhetslösningar som är fullt supportade! Med det fokus som är på OT-säkerhet nu har det verkligen börjat dyka upp tekniska lösningar som är byggda från grunden för att passa i våra förutsättningar, oavsett om du vill ha virusskydd, sårbarhetsanalys eller brandväggar! En helt vanlig dag på jobbet... För några veckor sedan hade vi en intern "Cyber Security Summit" på jobbet för alla som arbetar inom området "Cybersäkerhet". En punkt på agendan var en paneldiskussion där vi bjöd in fyra organisationer för att diskutera deras utmaningar på säkerhetsområdet med tonvikt på OT-säkerhet. Den spelades in så att fler skulle kunna få ta del av alla klokskaper som våra gäster delade med sig av. Enjoy! Nytt jobb eller kanske ett exjobb? Nu är ju nyhetsbrevet min privata skapelse men jag kan inte låta bli att droppa lite roliga AFRY-nyheter ibland! Det är nästan sanslös medvind för säkerhet på oss som jobbar på AFRY! Om du lyssnar för mycket på mig kan du få för dig att det bara handlar om OT-säkerhet men så är det verkligen inte. Det finns ett antal annonser ute precis som vanligt, men även om du vill syssla med någon annan kategori av säkerhetsarbete så finns det förmodligen ett behov även av det! Hör av dig! Dessutom är det fri placering på något av våra 100 kontor i hela landet - eller i något av de andra 40 länderna där vi håller till... Konsulter inom Cybersäkerhet Konsulter inom Samhällssäkerhet OT-säkerhetsspecialister Om man tittar på just OT-säkerhet så har tung kompetens verkligen börjat samlas hos oss. Nu senast, som du kanske sett på LinkedIn, välkomnade vi Anastasiya, Ove och Oscar, som alla tre kommer från en branschkollega. Så om du är junior kan du lära dig mycket och om du är senior får du verkligen stimulerande kollegor! Fantastiskt roligt! Nu söker vi dessutom en radda examensarbetare också! Vad sägs om Utveckla MITRE ATT&CK för användning kring fordon NIS2 är EUs senaste direktiv, hur kan vi göra det enklare att förstå och uppfylla? Social Engineering är ett ständigt hett ämne - hur kan vi ta nya tag där? OT Security - Finns det några nya spännande sätt att arbeta med detta? OT Security Laboratory - Gör något intressant i vår storsatsning på ett "Levande Labb" för OT-säkerhet och automation. Och om du har en ännu bättre idé själv så har vi även en öppen kategori, så kom med din egna spännande idé! Att testa säkerhet på smarta sätt! Ett papper med den spännande titeln "ICSSIM - A Framework for Building Industrial Control System Security Simulation Testbeds" finns på Arxiv. Författarna Alireza Dehlaghi-Ghadim, Ali Balador, Hans Hansson och Mauro Conti är knutna till RISE, Mälardalens Universitet och University of Padua. En spännande text som kan vara användbar i många sammanhang, varav ett mycket väl kan bli det OT-säkerhetslabb som finns med i texten ovan om examensarbeten. Läget i Sverige! Vännerna på Truesec och Radar har släppt en intressant rapport om säkerhets- och incident-läget i Sverige med fokus på energi-sektorn. De pekar på en radda saker som stämmer helt med min egen uppfattning om hur det står till med OT-säkerheten i svenska organisationer. I förbigående noterar de exempelvis en uppgång i mängden incidenter hos organisationer som saknar aktiv incidentdetektering. Det här misstaget stöter jag på överallt, tanken att man tror sig kunna förebygga angrepp genom enbart preventiva åtgärder som brandväggar, virusskydd, flerfaktorinloggning, utbildning osv. Det här är verkligen att försöka bygga ett hårt skal runt sin organisation men när skalet till slut spricker så faller hela säkerhetsupplägget samman. Vill man resonera med begreppen från NIST CSF så har man lagt alla sina ägg (ursäkta ordvitsen...) i korgen "Protect" men struntat helt i korgarna "Detect" och "Respond". Det är oerhört viktigt att ha ett aktivt operativt säkerhetsarbete! Hjälp kring flytande naturgas och biogas! NIST ber om kommentarer till ett regelverk kopplat till LNG-industrin (Liquefied Natural Gas). Det är en så kallad profil till NIST Cyber Security Framework, där man anpassar det generella ramverket till de specifika behov som en viss bransch har. Jag har inte dykt i detaljerna men misstänker att det kan vara väldigt användbart om man sysslar med förvätskning av biogas eller naturgas. Alla får kakor? I kölvattnet av NotPetya-attacken 2017 fick vi vår första stora dispyt kring vilka händelser cyberförsäkringar egentligen täcker. Det var Mondelez som drabbades av enorma störningar men som fick nobben av sitt försäkringsbolag som hävdade att attacken var en "Act of war", vilket gör att de flesta försäkringar, som har undantag kring Force Majeure, slutar gälla. Nu verkar det ha blivit något slags uppgörelse i alla fall, vilket tyvärr gör att läget kring detta inte klarnat, läs mer i en artikel från Darkreading. Hotlandskapet kring industrin i EU ENISA, EUs cybersäkerhetsfunktion, har släppt sin rapport kring hotlandskapet 2022. Väl värd att läsa, med en hel del fokus på de ökade attackerna mot OT och industrin i allmänhet. Kloka ord från Pascal! Pascal Ackerman, en välkänd profil inom OT-säkerhetskretsar, har skrivit en bra artikel som beskriver varför OT-säkerhet är viktigt. Han knyter ihop ett antal trådar på ett bra sätt som kan fungera som bra introduktion för den som är ny inom området! Fler kloka ord från Kungliga Krigsvetenskapsakademien Det må stå väldigt lite om OT-säkerhet specifikt i skriften "Cyberförsvaret - En introduktion", men den är väldigt intressant ändå. Rekommenderar starkt en genomläsning! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du tålighet, riskaptit, convergence i järnvägsbranschen, elaka PLCer, FAT/SAT-tester och lektioner i både anatomi och danska. Jag spekulerar också hejdlöst kring Zero Trust, som, trots att det tyvärr blivit ett hysteriskt buzzword, ger en massa viktiga möjligheter i OT-säkerhetsarbetet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Sugen på lite risk? Begreppet "Riskaptit" brukar folk ofta slänga sig med utan att riktigt fundera på vad det egentligen betyder och definitivt utan att veta hur man bäst använder det i praktiken. Bo Thygesen har skrivit texten RISIKOAPPETIT – HVORFOR OG HVORDAN? där vi får en riktigt bra genomgång av hur man faktiskt kan definiera sin riskaptit med hjälp av kvantitativa metoder. Om du tycker det är jobbigt att läsa danska så är Google din vän! Tålighet får man inte av planer! Ibland hittar jag texter som jag önskar att jag själv skrivit och Phil Venables har skrivit en oproportionerligt stor del av dem. Ett exempel är den här artikeln om vad som skapar verklig tålighet i en organisation. Det finns ingenting OT-specifikt i den men den gäller i allra högsta grad även för OT-säkerhet! Han pekar på en radda problem med att bygga sin beredskap för krissituationer på planering och ger i stället ett rejält argument för att bygga verkliga förmågor. Jag ska inte ge mig på att återberätta hans resonemang utan rekommenderar att du läser texten själv. En anatomi-lektion! En annan person som också är överrepresenterad bland de texter jag önskar att jag själv skrivit är Sinclair Koelemij. En sådan text är "The anatomy of plant design and the OT cyber-attack – Part 1" och "... Part 2". Det är en fantastisk genomgång av hans tänk kring hur man bygger en ny anläggning. Del ett pratar om anläggningsdesign och riskanalys. I del två får vi insikter om hot- och riskanalys kopplat till OT-attacker. Mycket nöje! Danmark reder ut begreppen! Danska ENERGICERT skriver om den analys de gjort kring framgångsrika angrepp mot kritisk infrastruktur i Europa, baserat på enbart öppna källor. När det gäller OT trycker de bland annat hårt på den välkända problematiken att separationen mellan IT och OT ofta saknas eller är gjord på fel sätt. Allt för många attacker mot IT-system får fysiska konsekvenser för verksamheten som gör att ett angrepp mot OT-systemen inte "behövs". Det är tyvärr väldigt vanligt att man ser segmentering som en ren nätverksfråga och då blir det så här... IT och OT i järnvägsbranchen Mark Gibbs från Westermo, den svenska tillverkaren av nätverksprodukter ger oss en artikel kring Convergence i järnvägs-branschen. Ett intressant inlägg i debatten om "Convergence" verkligen existerar och vad det i så fall är. Jag ser många tecken på att järnvägs-branschen verkar vara i ett väldigt spännande läge just nu med snabb utveckling och med ett extremt fokus på att kombinera Safety och Security på ett bra sätt. Hur får man med säkerhet i FAT och SAT? Jag hade missat den här presentationen från SANS ICS Summit förra året där Dieter Sarrazyn säger en massa kloka saker kring utmaningarna med att få med säkerhet under FAT- och SAT-tester. I min egen erfarenhet är detta något som fortfarande ofta glöms bort, inte minst att ställa säkerhetskrav tidigt som ska vara möjliga att verifiera under testerna. Hur elak kan en PLC vara? Vännerna på Claroty "Team82" har släppt ett White Paper kallat "Evil PLC Attack: Weaponizing PLCs". De beskriver ett lite nytt tänk för attacker, där en redan angripen PLC attackerar programmeringsverktyg som ansluts till den. Alltså lite tvärtom mot det "normala" tänket kring PLC-attacker. Intressant och åtminstone teoretiskt intressant. Det har kommit en del mothugg, exempelvis från J-D Bamford som pekar på att det är tveksamt om det finns några realistiska scenarier där denna attack faktiskt skulle användas. Singapore visar vägen! Singapores cybersäkerhetsmyndighet CSA släppte under sommaren en uppdatering till deras redan välskrivna "Cybersecurity code of practice for Critical Information Infrastructure". Det är ett bra kravdokument men det som kanske är speciellt intressant för oss OT-människor är hur de vävt ihop Safety-krav med Cybersäkerhetskrav på ett sätt som både tar med teknikkrav för SIS-system och krav på analyser av påverkan på Safety. Biljetter till S4 och detaljer kring OPC UA! Nu släpps biljetterna till S4x23! Av alla de konferenser jag själv varit på är S4 verkligen i en klass för sig om man är intresserad av OT-säkerhet. Programmet släpps i mitten av Oktober men kommer garanterat vara lika framåtlutat som vanligt. En nyhet är "OT SBOM Challenge", en tävling mellan leverantörer av den just nu allra hetaste produktkategorin, "Software Bill Of Materials". En av attraktionerna på S4 är OT-versionen av Pwn2Own. Nyligen släpptes detaljerna kring en av "vinnarna" från årets upplaga som var DoS-attacker mot en OPC UA Server. Väl värt att titta på om man är beroende av OPC UA! Fler konferenser på gång! Den 8:e och 9:e November går "SCADA-säkerhet" av stapeln i Stockholm och verkar ha en del spännande ämnen på programmet. Veckan därpå kör "Industrial Security Conference" i Köpenhamn med en dag på danska och två på engelska. ISA har sin "Cybersecurity Standards Implementation Conference" den 26:e Oktober. Är du intresserad av ISA 62443 kan det finnas mycket intressant att hämta där. Gratis online-deltagande även om du inte är medlem i ISA! FIN11 och OT? Mandiant har skrivit ett blogginlägg där de visar hur de genom att imitera metoderna som en typisk hotaktör, ransomware-gruppen FIN11, använder även kan angripa ett OT-system. Inga sensationer i sig självt egentligen men en relevant och intressant jämförelse mellan angrepp mot IT-världen och våra OT-system. Vad betyder väl en gammal bug? Så här ett halvår senare har Dragos gjort en analys av vad Log4j-buggen betydde och betyder för OT-världen. Vi får tre olika scenarier som förklarar varför den här buggen var så jobbig. De förklarar också varför den är besvärlig att hantera i en typisk OT-miljö. Bara drygt tio sidor som är väl värda att läsa. En liten påminnelse om risker... Jag brukar ibland visa den här lilla videon som påminnelse om att ta säkerhet på allvar. Det är en fabrik i Spanien som extruderar aluminium och som får ett litet brott på en hydraulledning, vilket får spektakulära följder... Händelsen har inte ett smack med OT-säkerhet att göra, även om man kan fantisera ihop något liknande som utlöses av ett OT-system. Det viktiga är att vi behöver påminna oss själva om sånt här emellanåt, så vi inte tror att vi jobbar i IT-branschen. Några saker att fundera över: Hydraulvätska brukar inte betraktas som en brandrisk men i spray- eller pulverform är det många saker som plötsligt blir eldfängda eller explosiva. När saker händer vid fel tillfälle eller på fel sätt kan oväntade saker hända. Har vi tillräcklig fantasi i våra riskanalyser? Det går väldigt fort tills innertaket rasar ner i ett eldinferno. Förmodligen en kombination av risker som ingen funderat på. Du vill inte vara killen som överlever på ren tur när han hämtar sin mobiltelefon sekunder innan elden flammar upp. Den andra killen släcker däremot noggrant skärbrännaren som han precis tände. Jobba med säkra beteenden hos medarbetarna utöver normala säkerhetsåtgärder. De verkar ha en tålig övervakningskamera... Mats spekulerar... Det har varit mycket prat om Zero Trust på sistone, inte minst från min sida. Tyvärr är det mesta man hör en massa säljsnack från produktleverantörer som presenterar sina prylar som "Zero Trust på burk". I praktiken behövs sällan någon magisk teknik för att implementera Zero Trust, den stora utmaningen är (som vanligt) att få till en kulturförändring i organisationen. Extremt förenklat kan man säga att Zero Trust handlar om "Default deny" och "Least privilege", alltså att ingenting är tillåtet som inte uttryckligen tillåtits och att det som faktiskt tillåts görs med så lite behörigheter/åtkomst som möjligt. För att klara det behövs också bra koll på identiteter, på både personer och prylar. Så långt låter det ju enkelt. Utmaningen i en typisk OT-miljö är att ingen har den koll som behövs för att kunna avgöra vad som behöver tillåtas. Här finns utmaningen och den har mindre med tekniska lösningar att göra och mer med kulturen kring design och ändringshantering. OT-världen ligger lite efter IT-världen i att både förstå och implementera Zero Trust. Det beror förstås till en stor del på att förutsättningarna är annorlunda och att vi behöver etablera OT-världens "best practices". I ett försök att få lite mer ordning i mitt eget huvud, och i förlängningen även kunna förklara för andra, ritade jag upp en modell kring vad jag tycker är viktigt. Jag har inga ambitioner om att få något nobelpris i Zero Trust men några intressanta tankar tycker jag ändå att jag fick ner... Det enda bilden egentligen är tänkt att försöka illustrera är hur man mentalt kan "gå bakåt" från "Zero Trust" via etablerade principer för att sedan landa i vad man behöver börja med i form av policyer, design och kunskaper kring sin OT-miljö. Några insikter som jag själv tyckte var intressanta är: Zero Trust i OT-världen bör även titta på den fysiska processen och det av två skäl. Dels för att man behöver hantera fysiskt tillträde till anläggningarna och dels för att man behöver inkludera händelser i den fysiska processen i säkerhetsövervakningen. Ett komplett säkerhetsarbete behöver ge bra resultat oavsett om angriparen är digital eller om den är helt/delvis kan påverka anläggningen på plats. Möjligen har den typiska OT-miljön en viss fördel gentemot IT-världen eftersom man fortfarande ofta använder okrypterade kommunikationsprotokoll. Eftersom Zero Trust till stor del bygger på att man kan analysera och reagera på händelser i Lager 7 av OSI-modellen slipper man utmaningen med att man inte kan se kommunikationen. Man måste vara väldigt försiktig när man definierar vad som är "pålitligt" och "normalt" eftersom många fysiska processer behöver kunna fungera rätt i onormala driftsituationer. Det duger förstås inte att en nödstopp eller ett överfyllningsskydd blockeras eftersom det "inte brukar kommunicera"! Säkerhetsfunktionerna behöver fungera väl ihop med rutinerna för tillfälliga och permanenta förändringar i anläggningen. Det är lätt att säga men klurigt i praktiken! En viktig funktion som också behöver bra integration med säkerhetslösningarna är styrningen av fjärråtkomst. (Både intern och extern). Tar man in en expert på distans för att lösa ett akut problem behöver man säkerställa att säkerhetssystemen inte "stör" men att de ändå bevakar att experten och hens dator inte ställer till det i anläggningen. Personligen gillar jag lösningarna från Cyolo. Precis som inom IT måste man tidigt inse att åtgärderna inte går att hantera manuellt utan att man behöver automatisering av analys och i många fall även åtgärder. Det behövs förstås vettig utrustning, exempelvis: Någon form av centralt administrerad brandväggslösning med automationsstöd- Den ska ge möjlighet att styra OT-protokoll ner på hög detaljeringsgrad. Eftersom OT-miljöer ofta inte kan bli lika tydliga på identiteter som vi är vana vid från IT-världen, så får vi i någon mån försöka kompensera med att bättre styra vad som är möjligt att göra. En personlig favorit är Edge-serien från TXOne. Tillsammans med brandväggsfunktionen behövs IDS och IPS efter vad som är lämpligt med tanke på den fysiska processen. En vanlig utmaning är att få tillräcklig synlighet i nätverkstrafiken, speciellt om man har en väldigt distribuerad nätverksmiljö. Bra stöd för mirrorportar i nätverket alternativt distribuerade brandväggar med bra stöd för att upptäcka anomalier i OT-protokoll är viktigt. Det finns många vettiga leverantörer även om mina personliga favoriter just nu är Fortinet och Moxa. Eller varför inte en aggregerande nätverkstap, exempelvis från Keysight/Ixia. Någon form av stöd för löpande analys av hur väl vi lyckats "täppa till" i vår "Zero Trust"-miljö. Att regelbundet försöka manuellt granska brandväggsregler tillsammans med listor över kända sårbarheter i komponenter gentemot vilken kommunikation som behövs respektive faktiskt finns är inte ett kul jobb! Jag tänker på något i stil med RAM2 från OTORIO. Längre ner i nyhetsbrevet nämner jag Stephen Paul Marsh som redan 1994 nämnde Zero Trust i sin doktorsavhandling, om än i ett delvis annat sammanhang. Han pratar också om skillnaden mellan avsaknaden av förtroende (noll förtroende) och misstroende (negativt förtroende). Det där tyckte jag var intressant så en variant kom med i min modell för att illustrera Threat Hunting som i min värld är den praktiska jakten på saker som vi kan bevisa misstroende för och därmed vill ha bort. En slags bakvänd konsekvens av föregående punkt är också att vi inte ska ha 100% förtroende för "Zero Trust" utan lämna utrymme för att saker går snett i alla fall. Här kommer Threat Hunting in på banan som en möjlighet att testa hypoteser kring vad som redan kan gått snett. Min syn på bra Threat Hunting är att varje enskild "jakt" är något man bara gör manuellt en gång, för att testa en hypotes om hur ett angrepp skulle kunna gå till. Sedan gör man om det till en automatisk regel i ett SIEM-system eller liknande. Här är inte OT annorlunda även om det finns mycket att diskutera kring hur man bäst får till en SOC-funktion för just OT. Ett mothugg man hör ibland är att Zero Trust inte fungerar i OT-världen eftersom man måste ha mänskliga identiteter att utgå ifrån. Det är helt klart en skillnad (och inte helt sant) men man ska komma ihåg att det finns mycket annat att basera aktiva policyer på för att ta sig bort från implicit förtroende. Jag hittade några bra exempel men det finns säkert fler: User identity and type of credential (human, programmatic) Credential privileges on each device Normal connections for the credential and device (behavior patterns) Endpoint hardware type and function Geo location Firmware versions Authentication protocol and risk Operating system versions and patch levels Applications installed on endpoint Security or incident detections including suspicious activity and attack recognition Det finns ofta tekniska begränsningar i OT-utrustning som gör det svårt att fullt ut implementera Zero Trust mellan alla enheter. Jag tycker personligen att en viktig möjlighet är att kombinera tänket från Zero Trust med begreppen "Zones and Conduits" från ISA/IEC 62443. En riktigt snygg möjlighet blir då att använda Zero Trust för att begränsa kommunikationen i en "Conduit" mellan två "Zones". Elegant men utan att röra till tekniken i detaljerna! Det här var som sagt inte tänkt att vara något perfekt upplägg men det gav i alla fall mig själv en del nya insikter. Jag vill väldigt gärna höra din feedback, antingen till mats@ot-sakerhet.se eller på det sociala medium där du kanske hittade nyhetsbrevet. Threat hunting? Jag nämner Threat Hunting i texten kring Zero Trust. För den som vill vässa sina skills på det området finns det fantastiska materialet "HUNTPEDIA" att tillgå helt gratis. Inte ett enda ord om OT men det behövs inte med så mycket generell klokskap samlad på ett ett ställe! Happy hunting! Skadlig kod i OT Brittiska nationella cybersäkerhetscentret, NCSC, har sin vana trogen publicerat en riktigt vettig artikel med många bra referenser kring hur skadlig kod kan påverka OT-system. Onödigt vetande? Varför inte avsluta nyhetsbrevet med helt onödigt vetande kring historiken runt Zero Trust? Det är inte något tvivel om att det var John Kindervag som "uppfann" det moderna begreppet "Zero Trust" när han arbetade på Forrester 2010. Men det finns några tidigare släktingar som är värda att känna till. Dels skrev Stephen Paul Marsh om vad Zero Trust praktiskt betyder i sin doktorsavhandling "Formalising Trust as a Computational Concept". Han gjorde där exempelvis skillnad mellan "No Trust" och "Distrust", en viktig skillnad som vi bör komma ihåg också när vi bygger våra policyer kring detta! Runt 2003 fanns organisationen "the Jericho Forum" som var inne på samma spår även om de tekniska möjligheterna var lite annorlunda på den tiden. Jag var själv på en konferens med dem i London där det framför allt diskuterades hur man bäst krymper sin perimeter från hela organisationen till enskilda datorsystem. (Inte exakt som det moderna Zero Trust alltså men samma grundidé.) Om man vill belamra några hjärnceller till med kunskap så kan man krydda med "BeyondCorp" som var Googles försök till en arkitektur med samma tänk (men utan namnet "Zero Trust") som kom 2009. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Den här gången tittar vi på ölbryggning, blodtörstiga sparvar, NIS2, Zero Trust, borttappade lösenord och en massa annat spännande kring OT-säkerhet. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Det börjar dra ihop sig för NIS2... Som ett barn inför julafton försöker jag förväntansfullt hålla koll på vad som händer under EUs julgran. Det är inte helt enkelt att följa med i de sista stegen som behöver tas för att NIS2 ska slutgiltigt klubbas igenom men det rör sig framåt. Det senaste som jag sett är att ITRE (utskottet för industrifrågor, forskning och energi) godkände den slutgiltiga versionen av direktivets texter under juli. Agendan för Europaparlamentets plenum-möte i september var tydligen redan fulltecknat så det verkar som att NIS2 tidigast kan komma att godkännas i oktober. Men den som väntar på något gott... Jag har gjort analyser åt kunder som ville veta om de omfattas av det nya direktivet och där resultatet höjde en hel del ögonbryn... Min egen favorit är en lista som jag gjort med de drygt 250 tillverkande industriföretag runt om i Sverige som jag bedömer kommer "drabbas". Jag tror många kommer bli förvånade när de inser att hela deras bransch klassats som samhällsviktig av EU, en del av dessa branscher är nämligen inte alls uppenbara vid första anblicken. Resan mot att uppfylla kraven i direktivet kommer bli väldigt tuff för många av dessa företag även om det förstås kommer variera en hel del. Några vanliga kommer nog vara: Att ändra självbilden i organisationen till att vara samhällsviktig. Att samla risk- och säkerhetsarbetet så det blir strukturerat och samtidigt företagsövergripande. Direktivet gör ingen skillnad mellan IT eller OT, mellan supply chain eller produktion och mellan olika fysiska produktionsplatser. Ledningen förväntas ta ett mer direkt ansvar för säkerhetsfrågor. Inte alltid att den kompetensen finns. Att bli utsatt för tillsyn från en myndighet kommer vara en ovan erfarenhet för många. Nu är industrier klassade i den lägre nivån, ”important entities”, så det blir oftast bara tillsyn efter incidenter eller andra indikationer. Men ändå… Rent praktiskt att få på plats rutiner och lösningar som skyddar verksamheten och dess system. Många är redan duktiga men jag skulle säga att majoriteten är sämre än de tror, i synnerhet nära produktionen. Praktiskt omsätta säkerhetskraven gentemot leverantörer vid upphandlingar. Men vi ska inte glömma den stora massan av företag som själva INTE omfattas av direktivet men vars kunder gör det. Eftersom deras kunder nu tvingas ha med motsvarande säkerhetskrav gentemot leverantörer så förändras relationen och kraven i många fall rejält. Här finns en chans för många att skaffa sig konkurrensfördelar genom att vara tidiga på bollen! Det senaste utkastet av direktivet som jag hittat går att läsa här. Väl värt att ta till sig! Rovfågeln är inte så blodtörstig i alla fall! En hackergrupp som kallar sig Predatory Sparrow har enligt videofilmer som sprids angripit iranska ståltillverkare den 27:e Juni där man orsakat stor fysisk skada genom att manipulera OT-system i tre stålverk. Gruppen säger sig också ha stulit stora mängder känslig information från företagen. Motiven till attackerna som uppges är politiska med koppling till Iran som land. Det som gjort att detta fått lite extra uppmärksamhet är att gruppen via Twitter tryckt på att man utfört de fysiska attackerna mycket försiktigt för att inte oskyldiga människor skulle skadas. Med tanke på vad som visas på videon är det annars en rejäl risk! Det har framförts teorier om att detta beror på att man är en statskontrollerad grupp med regelverk för hur de får bete sig under operationer. Andra berömmer helt enkelt gruppen för att man agerar med etiska ställningstaganden. Oavsett bakgrund eller motivering så är detta ett unikt och intressant fall av en "väl" genomförd OT-attack med mycket tydliga fysiska konsekvenser och som (enligt uppgift) dessutom filmats genom att man hackat anläggningens egna kameror! Tyvärr kommer sannolikt inte speciellt mycket detaljer kring attackerna bli kända via de utsatta företagen. Angriparna har däremot gett oss både bilder och filmer inklusive skärmdumpar från vad som uppges vara de hackade systemen. SCADAfence har skrivit om händelsen på sin blogg där man gjort en analys av vad som tekniskt går att uttyda från bilder och filmer. Exempelvis har de identifierat att Siemens PCS7 används och sannolikt S7-400. I mediabevakningen av händelserna sägs ofta att det är mycket ovanligt med fysiska konsekvenser. Det här är något som välkände Joe Weiss inte håller med om i sin artikel "Cyberattacks causing kinetic damage are neither new nor uncommon". Han tittar på alla incidenter i kontrollsystem, oavsett om de är avsedda att vara elaka eller inte. En poäng i hans resonemang är att det ofta är väldigt svårt att avgöra vad som orsakade en incident - ett angrepp eller en olyckshändelse. Han ger en del spännande exempel som inte diskuteras så ofta. Gruppen har efter hand släppt filer som man säger sig stulit från de företag som angreps. Nästan samtidigt som jag skriver denna text så släppte hacker-gruppen ytterligare 46 GB. Händelsen är ett utmärkt argument att använda när det dyker upp argument som "en hacker skulle inte veta hur man manipulerar våra system" - här är det ju uppenbart att man både har full kontroll över den fysiska processen men också att man mycket exakt kunde styra när skadorna skulle skapas. Ett annat vanligt argument är "vi har föreglingar mot sånt" men typiskt är de metoder som används för safety-analyser inte anpassade för att hantera intelligenta angripare vilket lätt leder till en falsk känsla av säkerhet. Nya kontroversiella sårbarheter: "OT:ICEFALL" Vedere Labs, som är en del av Forescout, släppte i slutet av juni en rapport om nästan 60 sårbarheter i utrustning från 10 viktiga OT-leverantörer. Det är många allvarliga hål och viktiga typer av system, men det kanske inte är det intressantaste i sig. Det har blivit en hel del diskussion kring detta avslöjande, bland annat eftersom man trycker på att ett antal av dessa utrustningar har olika former av säkerhetscertifieringar samtidigt som man har allvarliga sårbarheter - som dessutom är relativt enkla att upptäcka. Man har även tittat på begreppet "insecure-by-design" och pekar på ett antal oskyddade protokoll. Zero Trust i OT? Om du också snöat in på Zero Trust så kan jag rekommendera videon med diskussionen från årets S4-konferens som nu är släppt. John Kindervag & Co reder ut en massa viktiga missförstånd och sanningar kring Zero Trust i allmänhet och kring OT-säkerhet i synnerhet. Jag har skrivit en del om detta tidigare, senast i nyhetsbrev 42. Det här är ett spännande område där det händer mycket nu och som dessutom väcker mycket känslor och diskussioner... I en intressant artikel från Nozomi, pekar man på att Purdue-modellen, som många (tyvärr) fortfarande använder som något slags facit när de designar sina system, uppenbart inte passar ihop med Zero Trust. I mina ögon passar däremot Zero Trust alldeles utmärkt ihop med koncepten "Zones and Conduits" från IEC 62433. En annan intressant artikel av Moreno Carullo som är CTO på Nozomi Networks diskuterar några typiska utmaningar kring Zero Trust i OT-världen men han föreslår också tre intressanta lösningar på en del av problemen där en av dem var ett lite nytt grepp för mig. Han tänker sig att man använder nätverksdioder för att skapa "enkelriktad trust" där det passar, vilket jag personligen tycker är ett smått genialiskt sätt att se det på. Det är inte noll trust men det är en vettig ersättare om man vill vara säker på att implicit förtroende bara kan finnas i en riktning. Det kanske inte passar i speciellt många sammanhang men det är en riktigt stark pjäs att spela i rätt sammanhang! Att hacka eller bli hackad - varför inte båda? Bleeping Computer skriver i en intressant artikel om skadlig kod som riktat in sig på OT-folk. De refererar till information från Dragos som gjort analysen. Det är ett program som man ska använda om man tappat bort lösenordet till sin PLC - oavsett om det är grejor från Omron, ABB, Siemens, Mitsubishi eller någon annan av de stora tillverkarna. Programmet annonseras på sociala medier för att hitta intresserade användare. Det fungerar som det ska, problemet är bara att det passar på att installera en skadlig kod kallad "Sality" som är ett botnet. Lite tråkig bismak på det lösenordet... Ölbryggning och OT-säkerhet TXOne är ett av mina personliga favoritföretag. Nu har de släppt en både rolig och intressant rapport kring hur OT-säkerhet påverkar produktionen av livsmedel, och inte av vilka livsmedel som helst - Ölproduktion! De tittar på kända incidenter, hur leverantörskedjor i livsmedelsproduktionen påverkas av ransomware och annat, hur tillverkningsprocesserna ser ut på en hög nivå. Konceptet "Smart beer" introduceras och var i ölbryggningsprocessen cyberattacker kan tänkas orsaka värre skador är spilld öl! Intressant, viktig och rolig läsning! :-) Våga vägra Purdue! Om du läst mina texter tidigare så kan du knappast ha undgått att jag inte gillar hur många använder Purdue-modellen för att bygga sin infrastruktur och därmed sitt säkerhetstänk. På årets "SANS ICS Security Summit" satte Ian Anderson och Bryson Bort ord på just detta med lite nya och spännande vinklar på problemet. De närmar sig problemet med ett smart resonemang kring hur hot-emulering och Threat Hunting kan användas effektivt med en koppling till klassisk Purdue-infrastruktur. De gör också det kloka antagandet att man inte kan bygga bort angreppen till 100% vilket gör förmågan att upptäcka lyckade angrepp helt avgörande. Vill du ha en snabbintroduktion till hur modernt OT-säkerhetsarbete kan se ut så rekommenderar jag den här videon! Krisberedskap och dricksvatten Livsmedelsverket har snyggt nog börjat släppa delar av deras nya "Handbok för krisberedskap och civilt försvar för dricksvatten" efter hand som de läggs upp på remiss eller blir helt klara. Just nu finns tre intressanta delar uppe för remiss till den sista oktober: Krisberedskap och totalförsvarsplanering Hotbild och planeringsförutsättningar Externa aktörer och stödresurser Kan vara intressant även om man inte är vattenproducent Den sista metern! Ett riktigt bra tekniskt whitepaper av SEL (Schweitzer Engineering Laboratories) och Cisco som tillsammans tittar på utmaningen med att skydda fysiska nätverksanslutningar "långt ut" i en anläggning. De hyllar det gamla MACsec-protokollet som visar sig passa fantastiskt bra i det här sammanhanget. Ett av de absolut bästa och snyggaste whitepapers jag läst på mycket länge! Stark rekommendation även om du inte arbetar med eldistribution. Funktionell säkerhet och den första lagen för OT-säkerhet För den som är intresserad av funktionell säkerhet och safety kan jag rekommendera en text av Sinclair Koelemij där han för ett (som vanligt) intelligent resonemang kring något han döpt till "1st law of OT Cyber Security Risk". Det handlar om en möjlighet att koppla samman safety-analyser i stil med LOPA eller HAZOP med riskanalyser kring OT-säkerhet på ett sätt som sätter gränser för vilka OT-risker som är acceptabla utan att påverka Safety-funktionernas effektivitet. Ny version av C2M2 Amerikanska DOE, Department of Energy, har släppt en ny version av C2M2 som är en elegant mognadsmodell för hur en organisation klarar av att hantera sina IT- och OT-miljöer. Det finns också ett gratis verktyg för att underlätta utvärderingen. Säkerhet på djupet eller i designen? Det här med att få med säkerhet i utformningen av OT-system är en klassisk utmaning och ett populärt diskussionsämne. Hur gör man? Är det meningsfullt? Ska man ha säkra komponenter eller ska man bygga en säker helhet? Nu i dessa dagar där Zero Trust är ett populärt slagord hör man ibland åsikter kring att det traditionella djupledsförsvaret, "Defense in depth", är inprecist och slösaktigt. (Alltså det klassiska sättet att bygga starkare säkerhet genom att kombinera flera olika skydd "i lager utanpå varandra".) Personligen skulle jag inte vilja gå så långt men jag håller med om att vissa kombinationer av säkerhetsåtgärder är mer effektiva än andra. Jag läste en intressant och klok text av Phil Venables kring "defense in depth". Den har ingenting speciellt med OT-säkerhet att göra men är mycket tänkvärd. För att få en meningsfull effekt så måste kan kombinera skydd på ett genomtänkt sätt, exempelvis: Kombinera skydd som förhindrar angrepp med skydd som upptäcker dem Kombinera olika kategerier skydd: tekniska, mänskliga, organisationella osv Sprida ut skydd som liknar varandra på olika ställen i arkitekturen Aktiva och intelligenta skydd som agerar på "ledtrådar" från varandra The Register hade nyligen en artikel av Jessica Lyons Hardcastle med anledning av OT:ICEFALL som sätter ljuset på att många av den här typen av sårbarheter aldrig kommer få en CVE. Detta eftersom produkterna med flit är utformade på ett osäkert sätt. Uttrycket "insecure-by-design" är vanligt i den här typen av diskussioner, vilket pekar på samma problem. I artikeln uppmärksammas utmaningen med att säkerhetsåtgärder på ett område dessutom gör det svårare att skydda sig mot andra sårbarheter, exempelvis kan det vara väldigt svårt att avgöra om en krypterad anslutning till en PLC utnyttjar att den tillåter osignerad kod att köras. Alltid lika pålitliga Sarah Fluchs publicerade nyligen "Security by Design Decisions" där hon, förutom att på ett underbart sätt förklara vad "Security by design" är för någonting genom att jämföra med med vattenläckor i rör, också introducerar tankesättet "Security by Design Decisions". Det är ett upplägg som tydliggör vilka säkerhetsbeslut som behöver tas under utvecklingsarbete och vad det innebär. En poäng som jag gillade är att mycket handlar om att synliggöra besluten om säkerhet som redan görs! Försvara flaggan! En kort text av Spencer Wilcox som publicerades av (ISC)2 säger kloka ord om slagsidan i hur säkerhetsbranschen tenderar att fokusera på det "sexiga" i att hacka system men betydligt mindre på att spela på den defensiva sidan. Inte minst kopplat till OT-system där de ibland extrema konsekvenserna kan göra saken extra intressant... Jag kan känna igen mig att jag lite för ofta stöter på unga pentestare som stolt berättar om sina eskapader och som tror att jag automatiskt kommer ha väldig nytta av dem i mitt arbete. Inget ont om pentestning, jag har själv varit där - jag kommer aldrig glömma första gången jag såg den där blicken hos utvecklaren när hen insåg att jag just tankat ur hela databasen genom applikationens lösenordsfält via en klassisk SQL-injection... En bra CTF är riktigt roligt men är det inte dags att det börjar dyka upp "DTF" - Defend The Flag? I övningsform finns det förstås, men det skulle vara roligt att se det i en form som gör att de blivande säkerhetsproffsen i lugn och ro kan öva på säker systemdesign och aktivt försvar hemma. Det kanske finns? Hör gärna av dig och upplys mig om verkligheten! mats@ot-sakerhet.se Alla behöver en fältmanual - eller? Det verkar vara en liten trend just nu kring att skapa "Field Guides" och "Field Manuals". I förra nyhetsbrevet skrev jag om Tripwire, Belden och ProSoft som släppt en sådan. Nu kontrar SANS med sin variant. Roligt utformad och innehåller något slags extrem sammanfattning av en massa saker, högt och lågt, kring OT-säkerhet. Det är den första volymen av flera som sägs vara på väg. Den kan nog fungera ganska bra som snabbintroduktion till området vilket också verkar vara huvudsyftet med den. Det ska bli intressant att se vad kommande volymer innehåller! Britterna granskar sina leverantörer Ett riktigt bra dokument från brittiska NCSC, National Cyber Security Centre, som ger en metod och en rejäl lista med punkter att utvärdera leverantörer av nätverksansluten utrustning med. Det handlar om mjukvaruutveckling, tredje-partsberoenden, behörighetshantering, tekniska skydd, firmware-signering, testning och en massa andra klockrena punkter. Väl värt att ha med under upphandlingar! Irland kan också! Man får se upp så man är i rätt land ibland... Irland har nämligen också ett NCSC! De har släppt ett litet (9 sidor!) men användbart dokument kallat "Securing Operational Technology". I huvudsak är det en lista som summerar kloka åtgärder att ta i typiska OT-implementationer. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Dags för ett nytt fullmatat nyhetsbrev kring OT-säkerhet! Den här gången får du nya vägledningar från MSB, Zero Trust inom OT, hur man kan börja sitt arbete med NIS2, obekväma åsikter kring IT/OT-convergence, SANS presenterar världens första hyperenkabulator, nya delar i 62443, ransomware i PLCer ut, brutala sårbarheter i administrationsverktyg för OT, funderingar kring vad en PC är i OT-världen och en massa annat! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Nytt godis från MSB! Jag har inte sett någon annonsering från MSB ännu, men på deras hemsida finns en ny upplaga av vägledningsklassikern "Grundläggande säkerhet i cyberfysiska system". Men det är inte nog med det, dessutom finns en ny kioskvältare: "Ökad säkerhet i industriella informations- och styrsystem"! Men det är egentligen inte helt nytt innehåll, man har tagit den gamla vägledningen med sina 17 rekommendationer och delat upp dem i två dokument som grovt följer uppdelningen mellan OT och IoT. Det här gillar jag, det går tvärt emot det vanliga misstaget som många leverantörer gör, att sätta likhetstecken mellan OT och IoT! (Ja, eller "Cyberfysiska system" som MSB föredrar att prata om...) Precis som det tidigare dokumentet så ser upplägget väldigt bra ut! Jag får intrycket av att man faktiskt bantat ner innehållet en del trots att det är uppdelat på två dokument. Oavsett det så ger dokumenten en snygg introduktion till det kluriga området OT-säkerhet med ett antal kloka rekommendationer. Man pekar sedan vidare till andra, mer detaljerade, standarder och ramverk - exempelvis IEC 62443, ISO 27002, IAEA NSS #17, NERC CIP, ISA-95 osv. Inget förtroende för OT-säkerhet! Begreppet "Zero trust" är något som folk tenderar ha mycket åsikter kring! Inom IT-världen har detta varit hett ett tag, inte minst sedan alla myndigheter i USA har fått en Executive Order på att implementera det... Därmed har det tyvärr också blivit ett riktigt buzzword, där leverantörer slåss om att berätta att deras produkt minsann är "Zero trust på burk". Riktigt så enkelt som att det bara handlar om att välja rätt produkt är det ju sällan... Inom OT har det varit lugnare kring Zero Trust men nu ser jag tecken på att det börjar lossna även för oss. Jag berättade om några tecken på det från S4-konferensen i förra nyhetsbrevet. Min högst personliga åsikt är att Zero Trust är ett riktigt bra sätt att tänka även om det egentligen inte tillför så mycket nytt. Men det är verkligen en snygg "förpackning" av gamla principer kring att begränsa åtkomst och accessrättigheter baserat på vem/vad du är vilket i sin tur kräver att du har koll på din information, dina system och dina användare. Det finns många missuppfattningar som rör till det, den vanligaste är väl förmodligen att Zero Trust bara handlar om identitetshantering för mänskliga användare. Identiteter är ett nyckelbegrepp men det gäller definitivt inte bara mänskliga användare. En annan vanlig miss är att man tror att man måste ha perfekta identiteter och insikter om systemen. Det handlar snarare om att kunna ta automatiska beslut baserat på tillgänglig information vilket förstås gör det till en fördel att ha bra information! En annan viktig poäng är att inte "fastna" långt ner nätverket när man tänker åtgärder, idealet även inom OT-säkerhet, är att försöka få till styrning även längst upp på nivå 7 i OSI-modellen, alltså direkt i applikationslagret. För OT-protokoll kan det handla om att använda brandväggar som kan begränsa vilka enskilda operationstyper som tillåts i exempelvis en MODBUS-anslutning. Några spontana och personliga tyckanden kring Zero Trust från mig: Zero Trust betyder inte att man slutar lita på allt. Det betyder inte heller att man måste ha perfekta lösningar för identitetshantering eller behörighetsstyrning. Men det handlar om att göra medvetna val kring vad som ska vara åtkomligt i olika sammanhang. Zero Trust betyder inte att man ska glömma alla existerande principer, tvärtom! Inom OT kommer exempelvis djupförsvar fortsätta vara extremt viktigt men vi kan utforma djupförsvaret baserat på principerna från Zero Trust. Man implementerar nog med fördel Zero Trust ett litet steg i taget. Det är ett annat sätt att tänka och det betyder att man behöver lära sig vad som passar för den egna verksamheten. Något jag tycker är viktigt med Zero Trust är att vi närmar oss den svåra frågan om insiders på ett delvis nytt sätt. Det gör att vi får bättre möjligheter att hantera illojala medarbetare men framför allt kommer vi åt problemet att en extern angripare nästan alltid utnyttjar behörigheterna som vi tilldelat våra egna administratörer och användare! Det betyder också att vi kan tona ner den dåliga inställningen att kalla våra användare för vårt största säkerhetsproblem. Det är just nu väldigt "modernt" att köra IDS-system inom OT. En utmaning som de flesta upptäcker alldeles för sent är att det är extremt svårt att veta vilka IDS-larm som är "på riktigt". Med Zero Trust har du redan tvingats reda ut hur normal-beteendet i dina system ser ut, så nu blir det mycket enklare att veta att ett larm från IDS:en är "skarpt". Det här gäller definitivt inom IT men är ännu tydligare inom OT! En viktig poäng är att Zero Trust kräver mer arbete i utformning och implementation men det har man igen sedan. Det ersätter inte heller de generella grunderna i säkerhetsarbetet, du behöver fortfarande veta vilka prylar du har... Zero Trust tvingar dig att förstå var organisationen tjänar (och därmed kan förlora) pengar. Vi måste nu förstå verksamheten och dess risker, vilket gör att vi måste göra säkerhetsarbetet ihop med verksamheten. Gäller både informationssäkerhet och OT-säkerhet! Även om det heter Zero Trust så måste vi fortfarande lita på vissa saker: Active Directory, säkerhetssystemen, övervakningssystem osv. Men nu kan vi göra det tydligt vilka de är och hålla koll på de kritiska resurserna bättre! Någon som minns Solarwinds? Jag vill definitivt slå ett slag för Zero Trust som ett tankesätt och en modell för säkerhetsstrategier inom OT-säkerhet! Det första steget är förstås att skaffa sig en egen uppfattning om vad det egentligen är och hur det kan passa i den egna verksamheten. Här är några resurser som jag tycker kan vara bra för att komma igång: Istari har en podcast som fokuserar på Zero Trust. Några avsnitt (speciellt de första tre) är riktigt bra. I det allra första avsnittet intervjuas John Kindervag som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. Han trycker hårt på att Zero Trust inte är en produkt utan ett sätt att ha en strategi! NIST släppte förra hösten dokumentet NIST SP 800-207 "Zero Trust Architecture" som har blivit tongivande i diskussionen kring Zero trust. (Det ger ingen vägledning alls kring OT-världens utmaningar och hur Zero trust skulle passa där.) "Operational Technology Cyber Security Alliance" (OTCSA) har släppt ett whitepaper kallat "Review of Zero Trust - Inspiration for OT environments". Det är bara 6 sidor att läsa och ger dessutom en riktigt bra inflygning till både Zero trust och NIST-dokumentet. Ett whitepaper producerat av Accenture och PaloAlto som heter "Simplifying Adoption of ISA/IEC 62443 Using the Zero Trust Model for Operational Technology". En för-utgåva från amerikanska CISA kallat "Zero Trust Maturity Model". En intervju med John Kindvag där han trycker hårt på att fokusera på att verkligen ha koll på vad man försöker skydda eftersom det gör attackytan så mycket mindre. Defense-in-depth får sig en känga eftersom det ofta används för att "skydda allt mot allt" och får öknamnet "Expense-in-depth". Om du har tankar eller erfarenheter - för eller emot - Zero Trust, så vill jag gärna höra mer: mats@ot-sakerhet.se . NMS - Network Management Systems - Ett jobbigt kapitel! I dagens läge, där allting är, eller på väg att bli, nätverksanslutet blir det förstås extremt viktigt att sköta om sitt nätverk på ett säkert sätt. För att kunna göra det behövs bra verktyg - men dessa verktyg blir ju i sig själva en intressant måltavla för angripare. I OT-världen innefattar dessutom ofta begreppet "nätverk" lite mer än bara nätverksutrustningen. I så kallade NMS-system hanteras ibland även annan utrustning, som exempelvis PLCer, där man kan hantera inställningar för protokoll som OPC UA och MQTT men även göra firmwareuppgraderingar mm. Clarotys säkerhetsforskare i Team82 har det senaste året gjort en fokuserad satsning på denna typ av system och tyvärr hittat mängder med allvarliga sårbarheter. Som vanligt finns det intressanta rapporter att dyka i, än så länge för: Nagios XI Moxa MXview SIEMENS SINEC NMS Extremt viktig information om ni har just dessa system men även annars är det här något som är avgörande att tänka på så att man inte har oskyddade administrationssystem för OT-näten. Här är definitivt ett område där man behöver ta hjälp av en skicklig nätverksarkitekt! PC, Server eller mittemellan? En gammal och klurig fråga som dyker upp emellanåt är hur man ska hantera PC-datorer i produktionen. Jag stöter ofta på den typen av diskussioner som vanligen bottnar i några grundläggande och typiska problem: Rutiner kring patchning som kommer från "IT-världen" passar inte i produktionen. Kraven på säkerhetsåtgärder ser olika ut mellan IT och OT. Livslängden på hårdvara och operativsystem behöver vara betydligt längre i produktionen. Eventuell nätverkssegmentering "saboteras" genom att man använder IT-lösningar för Active Directory, administration, backup, övervakning etc. Den fysiska miljön med damm och vibrationer är inte alltid så snäll mot hårdvara som är anpassad för att stå på ett kontor. Eftersom moderna PC är så kraftfulla tenderar de att få husera flera olika funktioner samtidigt vilket gör det svårt med underhåll och felsökning. (Datainsamling, lokala databaser, HMI, programmeringsverktyg, filserver, integrationsmotor osv) Det är inte lika vanligt att höra motsvarande diskussioner kring servrar, vilket är synd för ofta finns exakt samma utmaningar där. Vad gör man åt detta då? Det finns förstås inte någon perfekt lösning som passar alla men några tankar som jag brukar utmana mina kunder med är exempelvis: Använder ni PC-hårdvara för server-funktioner? Skulle man kunna utforma, underhålla och administrera produktionens servrar och PC "tillsammans" istället för att försöka hantera dem uppdelat tillsammans med IT-världens PC och servrar? I många fall har en server i produktionen mer gemensamt med en produktions-klient än med en IT-server... Blir er nätverkssegmentering mellan IT och OT förstörd av att vissa system går på tvären mellan de båda världarna? (Backuper, Systemadministration, Virtualiseringsplattform, Active Directory, Print-spooling, säkerhetsplattformar osv) Tar ni genvägar genom att blanda flera olika funktioner i samma system som leder till "deadlocks" kring uppdateringar? Kan virtualisering vara en del av lösningen? Det jag kanske säger framför allt är att vi borde ifrågasätta uppdelningen mellan klient-funktion och server-funktion som vi "ärvt" från IT-världens sätt att tänka. Det mesta i en OT-miljö liknar IT-världens servrar när man tittar på driftkraven, även om vissa funktioner råkar köras i hårdvara som fysiskt liknar en "IT-klient". Det kanske är dags att se allting som serverfunktioner? Jag är väldigt nyfiken att höra från dig om du har praktiska erfarenheter från liknande tankesätt! Hör av dig! mats@ot-sakerhet.se NIS2 närmar sig på riktigt - dags att agera nu? Den 13 Maj annonserades att man kommit överens om EUs nya NIS-direktiv, NIS2. Precis som det nuvarande NIS-direktivet är syftet att på olika sätt kravställa, utjämna och följa upp skyddet av samhällsviktiga tjänster. Det som skiljer kanske framför allt kraven berör många fler verksamheter än tidigare, inte minst på grund av att tillverkande industri omfattas. Det kommer sannolikt krävas en väl organiserad incidenthantering, ett strukturerat arbetssätt kring riskhantering och en cybersäkerhetsansvarig på ledningsnivå. Rejäla sanktionsavgifter (2% av omsättning eller 10 MEUR) för verksamheter som inte sköter sig är också på bordet, personligt ansvar för VD och förstås även myndighetstillsyn. Den exakta utformningen av direktivet väntas inte bli offentligt förrän i höst då det formella beslutet tas. Därefter kommer länderna ha 21 månader på sig att implementera kraven och sedan vill det till att uppfylla kraven! Det finns ingenting som jag sett som tyder på att några större förändringar skett sedan det ursprungliga förslaget. Jag har skrivit om detta tidigare, senast i nyhetsbrev #36 och nyhetsbrev #32. Det som är viktigt för nästan alla verksamheter att börja med omgående är att reda ut hur man påverkas. Även om man inte berörs direkt så kanske man är leverantör till ett företag som berörs och då kan man indirekt "drabbas" av de ökade kraven på säkerhet i leverantörs-kedjorna. Sist jag tittade vilka svenska industri-företag som kommer beröras innehöll listan över 250 välkända namn. Tillsammans har dessa företag många tusen leverantörer som skapa en affärsmöjlighet om man är snabbast ur startblocken jämfört med konkurrenterna. Till detta kommer förstås alla andra samhällsviktiga verksamheter och deras leverantörer! Om jag ska ge några råd för att komma igång så är det: Ta reda på om ni och/eller era kunder omfattas av direktivet. Red ut vilka krav som i så fall ställs på er och gör en gap-analys mot nuläget. Det kan vara: Direkta säkerhetskrav på skydd av OT, IT och Information Nya krav i upphandlingar och leverantörsavtal Strukturerat organisationsövergripande riskhanteringsarbete Tydligt ansvar för cybersäkerhet i ledning och styrelse Snabba rutiner för hantering och rapportering av incidenter Om ni har verksamheter som lyder under säkerhetsskyddslagen kan det vara värt att bevaka NIS lite extra framöver. Tidigare har det hintats om att det speciella undantag som gjorde att säkerhetsskydd alltid åsidosatte NIS-direktivet kommer att förändras. Detta har dock, enligt uppgift, ändrats igen under arbetet, så där får vi se hur det blev... Eventuellt kan det också bli en koppling till de produktcertifieringar som tas fram parallellt inom EU. Det kommer, som det verkar, dock att kravställas per land. Ett viktigt område att hålla koll på om man är leverantör till verksamheter som omfattas av kraven eller om man har en verksamhet som verkar i flera EU-länder! För mer information kan du lyssna på en bra intervju av Luca Bertuzzi på EURACTIV med Bart Groothuis, där han bland annat berättar av man matchat nivån på sanktionsavgifterna mot typiska lösensummor i ransomware! IT/OT-Convergence - Existerar det? Den sista Maj talade jag på konferensen "IT Security Insights 2022". Ämnet var "IT/OT-Convergence", något som är ett hett område och som det dessutom finns många åsikter kring. Det handlar om att IT-världen och OT-världen närmar sig varandra på många olika sätt, både kring teknik, dataflöden, integrationer, säkerhetsutmaningar och driftrutiner. Extremt sammanfattat gick min presentation ut på att visa publiken (som innehöll väldigt få "OT-personer") vad som skiljer i synen från "IT- och OT-håll", en del utmaningar som det inte pratas så mycket om och en radda personliga erfarenheter kring vad som är viktigt att tänka på. Några exempel är: Det finns extremt olika syn på vad Convergence egentligen är. En hel del anser att det inte ens existerar alternativt att det redan inträffat. Andra ser det som vår tids största utmaning samtidigt som det är en enorm möjlighet! Det är inte bara IT och OT som växer ihop. På samma sätt finns det ofta separata OT-miljöer i en produktion som tidigare varit relativt separata men som allt mer kopplas samman och därmed påverkar varandra säkerhetsmässigt och ansvarsmässigt. Hur mycket konvergens är lagom eller tillräckligt? Hur konvergerar OT-säkerhet med informationssäkerhet? ...och en massa annat. Min dragning finns på YouTube: (Tyvärr försvann ljudet från inspelningen av Q&A-delen på slutet, men presentationen är komplett!) Apropå likheter och olikheter mellan IT och OT så såg jag en kul Twitter-tråd kring skillnaderna i incidenthantering mellan IT och OT från Lesley Carhart, Director of Incident Response på Dragos, men också känd som "hacks4pancakes". Läs hela hennes resonemang i kommentarerna på Twitter! Ransomware i en PLC? Forescout har släppt en rapport kring ett tänkt scenario om hur en angripare skulle kunna knyta ihop IT, IoT och OT i ett ransomware-angrepp. Det här är ju något som vi, vad jag vet, inte sett i verkligheten ännu. Angrepp som påverkar OT, direkt eller indirekt, har vi sett men inte i samband med just utpressning med en direkt påverkan på OT. Något jag hittills inte sett är några "bra" utpressningsmetoder kopplade till PLC:er eller annan processnära utrustning. Rapporten är intressant och väl värd att läsa. Jag blev först lite besviken eftersom jag hade hoppats att de skulle komma med en radda kreativa metoder för utpressning i PLC:er vilket jag inte hittade. Men det finns faktiskt ett stycke under rubriken "TECHNICAL NOTE: OT-SPECIFIC IMPACT CONSIDERATIONS" där de spekulerar kring sätt att använda logiska bomber mot någon av de större DCS-leverantörerna. Personligen tror jag inte det är realistiskt ännu men det går säkert att utveckla tänket ytterligare. 2022 - Hur går det för oss? Fortinet har släppt sin "2022 State of Operational Technology and Cybersecurity Report". Den är som vanligt fullproppad med intressanta fakta från deras intervjuer med branschkollegor. En intressant detalj är att de ser en ganska tydlig förflyttning av ansvaret för OT-säkerhet bort från CTO/CIO/CISO till förmån för produktionsledning och produktansvariga. Jag ska inte göra mig till tolk av innehållet utan låter dig dra dina egna slutsatser! Helt klart är att det här är ett område som är i förändring och att det inte är helt klart var vi kommer hamna så småningom. Några spännande poddar! En stor del av min egen omvärldsbevakning gör jag genom att lyssna på poddar. Ett par tips kring OT-säkerhet från den senaste tiden: Avsnitt 84 av "The Industrial Security Podcast" från Waterfall diskuterar vanliga misstag när man implementerar synlighets-lösningar (IDS etc) i OT-miljöer. De tar upp en lång rad saker som jag personligen verkligen håller med om kring saker som att aktiv scanning faktiskt verkligen behövs i OT-nätverk, utmaningarna med att sätta upp SPAN/RSPAN i OT-nätverksswitchar och en massa annat. Dragos och CyberWire har startat podden "Control Loop". Det finns ännu så länge bara två avsnitt men jag tycker deras ambitioner låter väldigt intressanta! Jag tipsade längre upp i det här nyhetsbrevet om Istaris pod kring Zero Trust. Riktigt bra introduktion, speciellt de första avsnitten - sedan blir det väldigt produktfokuserat men även produktavsnitten innehåller mycket godbitar! Avsnitt 59 av Manufacturing Hub är ett väldigt tekniskt avsnitt med mycket fokus på nätverk och felsökning. För den som sysslar med utformning av nätverk finns en radda guldkorn, exempelvis fällorna med multicast-traffik. OT DBT med MITRE ATT&CK En intressant dragning på 15 minuter av Jacob Benjamin från Dragos om hur man kan använda MITRE ATT&CK för att skapa en dimensionerande hotbeskrivning (brukar förkortas DHB i Sverige) för vår cybersäkerhet. Om du läst mina nyhetsbrev tidigare så vet du att jag gärna trycker på nyttan av att ha en dimensionerande hotbeskrivning som man baserar alla säkerhetsdiskussioner och -åtgärder på. Jacob gör en intressant jämförelse mellan hur man typiskt bygger fysiskt skydd kring en känslig anläggning med hur man kan tänka kring exempelvis OT-säkerhet. Mer om Industroyer2... I förra nyhetsbrevet nämnde jag den skadliga koden Industroyer2. Sedan dess har det kommit lite mer information kring denna högaktuella programvara, inte minst kring dess relation till den ryska aggressionen i Ukraina. Här är några bra texter: Stranded on Pylos skriver om detta. Vår svenske hjälte Erik Hjelmvik ger oss hans djupdykning i hur Industroyer2 använder IEC-104. ESETs analys. SANS presenterar världens första Hyperencabulator! Säkerhetsbranschen är tyvärr känd för stora doser fikonspråk och buzzwords. SANS ger oss nu möjligheten att kika på den ultimata säkerhetslösningen för OT och samtidigt lära oss en del nya ord. Imponerande! Det har gjorts en del tidigare försök, i nyhetsbrev #28 tipsade jag exempelvis om Keysights Electro-Turbo-encabulator. Sök gärna efter Encabulator på YouTube för andra upplysande varianter! En fältguide till OT-säkerhet! Ett lite annorlunda grepp kommer från ett samarbete mellan Tripwire, Belden och ProSoft. Det är något slags försök att göra en allt-i-ett-guide till OT-säkerhet i ett riktigt kompakt format. Den kan nog definitivt tjäna som både introduktion till den som inte har någon säkerhetsbakgrund, den som kommer från "IT-sidan" eller OT-personen som vill lära lite till. Nytt avsnitt i 62443! Allas vår favoritstandard ISA/IEC 62443 består som kanske är bekant av 4 huvuddelar, där varje del innehåller ett antal separata dokument: Definitioner, mätetal och säkerhetens livscykel Processer och rutiner kopplade till verksamheter som använder OT Krav på den tekniska utformningen av OT-system Krav för de leverantörer som utformar och bygger utrustningen som används i OT-system Arbete pågår nu i det tysta med fler delar. Exempelvis är 62443-6-2 på gång som handlar om hur man utvärderar verksamheter mot kraven i avsnitt 4 (62443-4-1 och 62443-4-2). Det här är ett viktigt område att styra upp eftersom olika certifieringsorgan har arbetat på helt olika sätt. Om man arbetar på del 6 så bör det ju rimligen vara något på gång i del 5 också? Ja, det stämmer! Här handlar det om "profiler", vilket enkelt uttryckt ska vara anpassningar av kraven i del 2 och 3 för att anpassa dem till vissa branscher. De ska inte tillföra nya krav utan vara fokuserade på att förenkla och tydliggöra vad som är viktigt i specifika sammanhang, exempelvis energibranschen. Jag har tittat på utkastet som hastigast och tycker spontant det såg vettigt ut. Förhoppningen är att dessa profiler ska underlätta arbetet så att man vet vilka krav man behöver ta hänsyn till men jag är rädd att det finns en risk att den totala komplexiteten istället ökar. Vi får se hur det blir när det är färdigt. Än så länge finns inte så mycket publik information om arbetet. Här är en intervju med Sebastian Fritsch kring detta och speciellt del 6-2. Någon som är sugen på lite OT-spel? Lesley Carhart på Dragos skriver om tabletop-övningar kring incidenthantering kring OT och några viktiga lärdomar som de dragit från dem. Den här typen av övning är ett extremt kraftfullt, och dessutom roligt, sätt att utveckla rutinerna kring incidenter. Mycket mindre störande för verksamheten jämfört med "skarpa" övningar, men ger i vissa fall nästan mer insikter eftersom man kan ta sig tid att diskutera alternativen om så behövs. De övningar som jag själv deltagit i eller lett har alla varit riktigt minnesvärda. Det här är väl värt att prova för alla verksamheter som vill utmana sig själva lite för att hitta viktiga förbättringsmöjligheter. Hacka det fysiska skyddet! En av mina gamla käpphästar är att nästan alla organisationer verkar underskatta utmaningarna med cybersäkerhet kring fysiskt skydd, alltså passersystem, videoövervakningssystem, larm osv. Det här är system som väldigt sällan får samma säkerhetsmässiga omvårdnad som andra kritiska system. Med tanke på att ett bra fysiskt skydd ofta är helt avgörande för andra systems säkerhet så är det här viktigt på många sätt! Personligen brukar jag behandla det här på samma sätt som andra system som dras med fysiska risker, dvs som OT-säkerhet... Trellix har nu gett mig lite extra vatten på min kvarn efter att de annonserat en radda riktigt allvarliga brister i controllers för kortläsare tillverkade av HID Mercury. Det är produkter som säljs under en lång rad andra varumärken, vilket förstås gör det hela ännu värre! Man kan alltså öppna låsta dörrar via nätverket utan att det loggas! Kolla upp om era system berörs av detta eller några andra kända sårbarheter! Även om ni inte berördes den här gången är det här ett område som det är värt att låta någon göra en säkerhetsanalys av! OT-attacker i Ukraina-kriget? Enligt en artikel av Jeffrey Carr har GURMO-hackers tillhörande det ukrainska försvarsministeriet hackat det ryska företaget Gazprom. Gazprom är ett av världens största olje- och gas-företag. Attackerna sägs ha resulterar i stora mängder stulen information men också minst två explosioner orsakade av attacker mot OT-systemen i två gas-pipelines. Ingenting av denna information har dock bekräftats av vare sig Ukraina eller Gazprom. Är det sant så är detta de första kända fallen av fysiska skador från OT-attacker under pågående krig. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Varning! Det här är möjligen ett av de minst seriösa nyhetsbreven du kommer läsa på flera timmar! Med tanke på att det är utgåva 42 av denna guide, förlåt, detta nyhetsbrev kommer det vara kryddat med små referenser till en av litteraturens största mästerverk. Om du inte förstår - få inte panik och börja leta efter svar i Encyclopedia Galactica! Om du förstår - hur många referenser hittar du? Mycket nöje! Jag teasade lite kring temat på LinkedIn och Twitter. Den som var snabbast att gissa rätt var Cissi Thorell på Sysctl AB, bra jobbat Cissi! Den här gången får du (mycket passande med tanke på temat) ett par reportage från mina egna resor till OT-konferenser. Jag tittar också närmare på nytt material från NIST, gratis kurser hos MSB, konsekvenser av den ökande graden av kryptering inom OT och inte mindre än två riktigt intressanta exempel på skadlig kod som är helt fokuserade mot OT. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! PIPEDREAM eller INCONTROLLER Den största OT-säkerhetsnyheten på länge var väl amerikanska CISAs annonsering av den skadliga koden "Pipedream" den 13:e April. Det finns mycket som är spännande i sammanhanget. Mest anmärkningsvärt är nog insikten som Rob Lee pekat på om att man annonserar det här innan den skadliga koden använts skarpt. På en direkt fråga ville man inte avslöja hur man kommit över koden mer än att det är via en tredje part, det är rimligt att tro att man inte vill bränna sina källor. Det som är känt är att fokus verkar ligga på angrepp mot PLCer från Schneider Electric och OMRON samt OPC UA servrar. Men det som inte är så tydligt är att en stor del av funktionaliteten riktas mot CoDeSys som används av väldigt många tillverkare. Du kan alltså inte slappna av bara för att du använder andra fabrikat! Annonseringen från CISA innehåller en mappning mot MITRE ATT@CK for ICS som ger mer detaljer kring funktionaliteten som bland annat inkluderar att leta efter intressanta enhet på nätverket, ladda upp filer till PLCer, stjäla inloggningsinformation, krascha PLCer och skriva värden via OPC UA. CISAs råd för att skydda sig innehåller egentligen inga nyheter. Segmentering, multifaktorinloggning, nätverksövervakning, bra backuper, incidentplanering osv. Mer detaljerad (och intressant!) information finns från bland annat Mandiant och Dragos. Det finns också information från Schneider Electric, CODESYS och WIRED som har skrivit en artikel som är värd att läsa. Det här är sjunde gången en skadlig kod hittas som är utformad för avancerade angrepp mot OT-mål. Man ska noga akta sig för att känna sig lugn om man inte använder utrustning från de tillverkare som nämns. Motsvarande attacker fungerar mot alla typer av utrustning och med tanke på att den skadliga koden bevisligen är byggd för att vara lätt att utöka med moduler så är det här relevant för alla! Även om jag har underrubriken "Don't panic!" för det här nyhetsbrevet så är det här något som faktiskt borde ge en orolig känsla i magen! Att synas eller inte synas - det är en av frågorna... Joe Slowik skrev ett intressant blogginlägg som belyser ett allt vanligare problem med synligheten i OT-nätverk. (Det var också ett föredrag på årets S4-konferens som jag dock inte hann se själv.) Traditionellt kommunicerar system i de nedre nivåerna av Purdue-modellen med helt oskyddade protokoll, utan kryptering. Det har i alla tider möjliggjort säkerhetssystem som analyserar trafiken och larmar vid knasigheter. I takt med att allt mer vettiga nätverksmodeller dyker upp som inte sätter likhetstecken mellan systemens Purdue-nivå och en nätverksstruktur tenderar också allt mer trafik bli krypterad. Precis som vi såg i IT-världen för ett antal år sedan betyder det att den krypterade trafiken inte längre går att analysera, i alla fall inte utan att ta till ganska komplexa lösningar för att bryta krypteringen. Det betyder också att de IDS-lösningar som är väldigt populära att köpa just nu går mot samma jobbiga öde, nämligen att bli blinda för vad som skickas på nätverket. Allt mer kommunikation använder protokoll som kan krypteras, exempelvis OPC UA och MQTT, men även moderna filosofier som Zero Trust sätter kryptering högt på önskelistan. Exakt vart detta tar vägen får vi se men det kommer bli många spännande diskussioner framöver kring denna nya utmaning! I det här fallet beror inte osynligheten på NAP/SEP (Någon Annans Problem / Somebody Else's Problem) utan det är faktiskt bara vårt eget problem, både att se och att lösa... Äntligen (nästan): NIST SP 800-82r3 NIST släppte för några dagar sedan en draft av en uppdaterad SP 800-82, "Guide to Operational Technology (OT) Security". Det är den första publika draften, så det dröjer nog ett tag tills vi ser den skarpa versionen men det är förstås ändå intressant att se vad man fokuserat på att uppdatera! Det första att notera är att man övergett begreppet "ICS" för att istället gå all in på "OT". Tummen upp från mig på det! Man trycker hårt på det viktiga med att ha många olika kompetenser med i OT-säkerhetsarbetet, det kan aldrig bara vara en fråga för IT-avdelningen, automationsingenjörerna eller Underhåll! Något jag gillar skarpt är att man har väldigt många referenser till ISA/IEC 62443 vilket, om inte annat, gör dokumentet extra användbart även utanför USAs myndighetsvärld. Ett svenskt hjärta bultar förstås lite extra stolt när man ser att vår svenska favorit-konferens CS3STHLM är en av fem konferenser som omnämns på området OT! (Jag håller tummarna att den återuppstår igen efter pandemiuppehållet!) En detalj som jag gillar är att man har med "Physical Access Control Systems" ("passagekontrollsystem") som en av typerna av OT-system. Det här är en underskattad typ av OT-system som har en del unika/kluriga utmaningar och vars konsekvenser vid ett angrepp typiskt drabbar säkerheten i många andra system! Jag blev kanske lite förvånad över att man inte trycker hårdare på "Zero Trust" med tanke på hur hårt USAs myndigheter satsar på detta. Det har förstås en radda kluriga utmaningar inom OT vilket man också diskuterar i dokumentet. Om du använder NIST SP 800-53 så får du ett overlay i SP 800-82 för OT, vilket förstås är till stor hjälp när man implementerar och mäter sina åtgärder! Det här är ett väldigt bra dokument. Stora delar av det funkar nog nästan som en lärobok för OT och OT-säkerhet. De 300 sidorna ska man inte bli skrämd av, det finns en hel del som går att skumläsa om man inte vill gå på detaljer i allt! Exempelvis är de dryga 20 sidorna som ger överblick av OT-området en lysande introduktion till området. 10 sidor om hur man får till ett säkerhetsprogram är också bra och 22 sidor om risk management inom OT ger en massa riktigt bra insikter om vad man behöver tänka på i det här området med dess unika utmaningar! Intryck från S4x22 Jag var på plats för årets upplaga av S4-konferensen i Miami South Beach. Det här är ju den mest kända (och största?) OT-säkerhetskonferensen, som nu är tillbaka efter pandemiavbrottet. Det var tre välfyllda dagar med presentationer från tre scener och runt 700 personer på plats. S4 är kul eftersom man tar lite annorlunda grepp på den viktiga sociala delen av arrangemanget. Man har skippat de vanliga trista utställningarna där tillverkare står och drar sina pitchar likt Prostetnic Vogon Jeltz när han läser poesi. Istället har man en "Cabana-session" där man håller till utomhus under palmerna på ett pool-område. S4 är ju annars mycket seriöst och är nog den konferens som är mest avancerad och progressiv i sitt innehåll, det är här de stora tänkarna först berättar om sina nya rön! Extra kul är också att det börjar bli klart jämnare könsfördelning bland de medverkande, både i publiken och på scen. Mina största takeaways personligen är nog: Jag fick själv en mycket bättre känsla för vad "Zero Trust" kan vara när det kommer till OT. Egentligen är det samma gamla principer som vi alltid hyllat, inte minst om man bygger sina miljöer med "Zones & Conduits" så som ISA/IEC 62443 del 3 pekar på, men nu är det definierat som principer också vilket gör det mycket enklare att komma framåt med praktiska åtgärder! På det här området kommer det hända mycket framöver! Arbetet med SBOM, "Software Bill of Material", kommer att få många märkliga konsekvenser. En av de första är hur snabbt utvecklingen gått framåt kring automatisk analys av firmware där forskarna nu hittar tusentals (!) redan kända sårbarheter varje dag, och detta på ställen där ingen trodde att de kunde finnas. Att ta hand om det här kommer bli ett enormt arbete för våra produkttillverkare! Det kommer också tvinga många verksamheter att bli bra på Asset Management, eftersom det är ganska meningslöst att jobba med SBOM om man inte vet vad man har för prylar... Vi ska förvänta oss en revolution på nätverkssidan där SDN, "Software Defined Networking", gör sitt intåg nere på golvet. Sedan tidigare ser vi SDWAN ta över på de högre nivåerna i Purdue-modellen men nu är det tydligt att kombinationen "Zero Trust" och "SDN" kommer kunna skapa fantastiska nätverk ute i anläggningarna. Det finns redan produkter som gör det här på ett sätt som jag skulle känna mig trygg med i känsliga anläggningar! Men jag tror att de stora tillverkarna är på efterkälken här, så vill man komma vidare får man titta på andra spännande företag! Orden "IT/OT convergence" uttalades i princip aldrig under hela konferensen. Jag tror aldrig det varit ett speciellt hett ämne för "folk i OT-branschen" utan snarare mest för dem som närmar sig det här från "IT-hållet". I praktiken växte IT och OT ihop för 10 år sedan men det kanske är så enkelt att det är nu som det blivit synligt genom uppmärksammade incidenter och frustrerade IT-chefer som "fått OT dumpat i knät"? Ett roligt inslag (även om det inte är så mycket "action" som man kanske kan tro) är att Zero Day Initiative kör sin "tävling" Pwn2Own där det gäller att demonstrera nya sårbarheter mot OT-prylar. I år var det verkligen superintressanta produkter som deltog som "måltavlor", exempelvis "KEPServerEX" och "OPC UA .Net Standard". Enskilda sårbarheter kan belönas med upp till 40 000 dollar styck. Vad jag kunde se var det i princip bara framgångsrika attacker och i slutändan delades 400 000 dollar ut i belöningar för 26 sårbarheter... En del av presentationerna kommer dyka upp på YouTube så småningom. Några som jag tyckte är extra värda att hålla utkik efter är: "A tale of two (very different) secure ICS architectures" - Alexandrine Torrents berättade om ett intressant praktikfall från energibranschen där man utmanat den gamla nätverksmodellen som försöker segmentera baserat på Purdue-nivå. Det är ju en modell som alltid varit problematisk och missförstådd men som fallerar helt när man ska ta sig an moderna, distribuerade lösningar i stora vind- och solkraftsanläggningar. De har byggt en spännande, distribuerad och skalbar lösning baserad på SDWAN-teknik för kommunikation mellan enheter på de lägre nivåerna i Purdue-modellen. Men hon varnar också för att modellen ger fler möjligheter till misstag med säkerhetspåverkan. Hon avslutar med att visa hur de mappat sina risker mot ISO 27005 och pekar på att det här sättet att tänka sätter fokus på att förstå processen och dess behov av skydd snarare än att skydda OT-systemen i sig! "Recent cyber attacks and how to stop them 'dead in their tracks'!" Joel Langil, som är ett tungt namn i branschen, diskuterade ett ämne som knöt an snyggt till det som Alexandrine pratade om. Hans poäng var att de flesta fortfarande tror att OT-skyddet ska fokusera på hot som kommer utifrån när det egentligen handlar om att hantera det som händer efter det att skalskyddet rämnat. När angriparen tagit kontroll över ett MES-system, ett AD eller ett HMI börjar utmaningen snarare likna den som man ställs inför när man försöker hantera insider-hot. Hans budskap handlade egentligen om att man ska göra som standarden ISA/IEC 62443 säger när det gäller segmentering. Att arbeta med det som kallas "Zones" och "Conduits" baserat på riskbedömningar. Enkelt förklarar kan man se det som mikrosegmentering där segmenten inte alltid är enstaka system utan också kan vara grupper av utrustningar. Den absolut viktigaste poängen som matchar en av mina gamla käpphästar perfekt är att det inte räcker med att segmentera. Nyttan uppstår framför allt i att kunna reagera när saker som är blockerade eller normalt inte ska hända ändå inträffar. Några av hans exempel är "Active Directory initierar kommunikation på eget bevåg" eller "Någon försöker ansluta till en ingenjörsstation". Sådant ska initiera larmklockor och rask incidenthantering! Ni som läst mina nyhetsbrev tidigare vet att jag inte gillar hur Purdue-modellen brukar användas. Både Alexandrine och Joel gav mig verkligen vatten på min kvarn! Misstag som exempelvis handlar om att: Internet är inte samma sak som "nivå 5" i Purdue-modellen! Det är bara en bärare av kommunikation! Nivå i Purdue-modellen och nät är inte samma sak! Segmentering blir att man bara filtrerar bort all trafik som ändå inte är ett hot och släpper fram trafik till tjänster som är viktiga och sårbara. Det här är misstag som jag ser hos många och som vi behöver sluta göra om vi ska lyckas! "Buyer beware: Managing OT Cyber risks in Mergers, Acqusitions and Divestments (MA&D)" Nathan Fink diskuterade ett område som på ytan kan verka lite tråkigt men som verkligen är viktigt och utmanande, nämligen hur man hanterar OT-säkerhet i samband med att företag säljs och köps. Hur hanterar man risken för att man köper ett företag som redan är hackat men där attacken inte upptäcks ännu? Varför stiger antalet ransomware-angrepp mot företag som ska säljas? Jag ska inte försöka återberätta hans presentation men rekommenderar den varmt om du berörs av den typen av utmaningar! "Slaying ICS mythical creatures: Top mindset changes to create the future" Ron Fabela berättade om myterna som vi drar för varandra inom OT-branschen och för våra kunder. Han ser att vi hindrar utvecklingen genom att envist hålla fast vid sanningar som kanske bara är myter numera. Bland hans exempel fanns myten om Enhörningen, alltså att vi VILL vara SÅ speciella, vilket leder till att vi inte släpper in nytt folk i branschen. Vi behöver ställa rimliga krav och inse att alla kan inte vara bäst! En annan myt handlade om Basilisken som dödar med en enda blick. Vi hör ofta budskapet att "Allt är jättefarligt!", kanske speciellt som säljargument men också för att bekräfta att det behövs ett en hjälte - mig - för att lösa problemet! Sluta skrämmas, börja sprida myterna om hur lätt det är att stoppa hoten istället om man bara gör sitt jobb! Han hade myten om Varulven, där du behöver en silverkula för att vinna - i vårt fall gärna en apparat med blinkande lampor som löser alla våra problem. Tyvärr jättesvår att hantera... Ta reda på vad som stör de ansvarigas nattsömn och vad som hindrar dem från att lösa problemet. Vi konsulter som lär oss från så många organisationer har ett ansvar att sprida våra kunskaper! Vi ska inte vara hjältar, vi ska skapa hjältar! Jag vill tro att jag själv är en del av lösningen på några av de problem som Ron målar upp genom mina nyhetsbrev som jag roligt nog märker inspirerar folk att närma sig vår bransch! Rob Lee om Chernovites pipedream Rob Lee, grundaren av Dragos, är alltid fantastiskt intressant att lyssna på. Den här gången handlade det förstås om Pipedream som jag även skriver mer om i en separat text här ovanför. Rob tryckte bland annat hårt på att media presenterat allvarligheten fel och i synnerhet då att angreppen inte är begränsade till specifikt Omron och Schneider Electric! Han tryckte också på att det här inte är ett verktyg som ger access till offrets miljö, det måste man lösa på annat sätt. När man väl har tillgång används Pipedream för att "skapa effekt"... Verktyget är inte beroende av sårbarheter i systemen utan har förmågan att använda funktioner som finns naturligt där! Möjligheten att angripa via CoDeSys ger också möjlighet till proxy-funktioner, vilket gör det extremt viktigt att kunna hålla koll på vad som händer nere i PLC-näten! När det gäller Omronattacken kan man angripa utrustning "bakom" plcn via ethercat vilket också är väldigt svårt att förebygga utan det behöver istället upptäckas om det händer! Avslutade med att håna utvecklarna av Pipedream, han kallade dem pinsamma eftersom de upptäcktes redan innan de fick chansen att ens köra ett skarpt angrepp... Samarbete i Norge! Det var riktigt intressant att höra Trond Straume, CEO på norska Volue och Margrete Raaum på KraftCERT prata om deras samarbete när Volue drabbades av ett ransomware-angrepp förra året! Som alltid är det viktigt med rutiner för omvärldskommunikation vilket de löste på riktigt kreativa sätt som bland annat inkluderade partnerskapet med KraftCERT och att hålla öppna zoom-möten... Ett citat från vår favoritbok som dyker upp i min hjärna är: Nothing travels faster than the speed of light with the possible exception of bad news, which obeys its own special laws. SOAR för OT-säkerhet! Joshua Magady och Jay Spann diskuterade det spännande området automation av säkerhetsarbete! Det här är ju inte ett nytt område på IT-sidan även om jag inte tror så många har kommit fullt så långt som de hoppades på där? När SOAR, "Security Orchestration Automation and Response", diskuteras inom OT hör jag oftast reaktionen att det inte går att använda eftersom man inte vågar ha automatiska åtgärder på incidenter. Nu handlar ju SOAR om så mycket mer, där automatiska åtgärder definitivt inte är det första man satsar på. Viktigt att komma ihåg är att SOAR är fel ända att börja i om man är en omogen säkerhetsorganisation. Personligen tror jag att det är relativt meningslöst om man inte redan har någon form av SOC (Security Operations Center, alltså en grupp specialister som fokuserar på att analysera incidenter och aktivt söka efter angrepp). Men har man kommit så långt ska man absolut satsa på att bli mer effektiv och reaktionssnabb genom automation även kring OT-säkerhet! Börja med att automatisera förebyggande arbete som ofta är tråkigt och därför lätt prioriteras bort! Det blir roligare att jobba i SOCen vilket leder till att medarbetarna stannar kvar längre och utvecklas snabbare. Zero trust funkar ju inte för OT! Eller? En riktigt intressant paneldebatt som inkluderade John Kindervag, mannen (eller kanske legenden?) som återuppväckte begreppet "Zero Trust" 2010 och definierade det tydligt. (Jag var senast inne på det här området i nyhetsbrev #34.) Personligen fick jag en radda insikter som jag inte haft förut, en av dem är hur långt efter Sverige är efter USA på det här området - på det här området är amerikanska myndigheter extremt tydliga: Zero trust är vägen framåt! Även inom OT! Forensik på PLCer Mandiant presenterade erfarenheter kopplade till det ramverk de har för forensiskt arbete i inbäddade system som exempelvis PLCer. Det här är ett område som har en del spännande utmaningar som man inte är van vid om man arbetar med forensik i IT-världen. Utmaningarna kan inkludera så grundläggande saker som att hitta rätt fysisk enhet när man står och tittar i skåpen, tillgång till rätt mjukvara för att kunna kommunicera med enheten är ibland klurigt, för att inte tala om att ha rätt licenser. Att veta vad som är förväntad konfiguration eller programmering är inte alltid möjligt. En till synes så "enkel" sak som att ha tillgång till rätt typ och version av kablage kan sätta rejäla käppar i hjulet. Är man på "extra spännande" ställen kan det krävas speciell utbildning eller skyddsutrustning för att arbeta på rätt plats. Att vara HUET-tränad, dvs i utrymning från en helikopter, under vatten, uppochner, är ett klassiskt exempel för att få lov att arbeta off-shore... Att programmera PLC säkert är en konst! Även om mycket av vår OT-utrustning i grunden ofta är relativt osäkra så finns det saker man trots det kan göra för att skapa säkrare system. De som programmerar PLCer är kanske lite ovana att sitta i förarsätet när vi pratar om cybersäkerhet men det är precis det som projektet "Top 20 Secure PLC Coding Practices" siktar in sig på. Jag har skrivit om detta tidigare, läs gärna mer i nyhetsbrev #29. Vivek Ponnada och Josh Ruff gick igenom en radda jättebra exempel för att illustrera varför detta faktiskt är riktigt viktigt! Det här är ett område där man ser en väldigt tydlig koppling mellan ett angrepp och riktigt jobbiga fysiska konsekvenser och dessutom, för ovanlighetens skull, kommer åt både sannolikheter och konsekvenser i riskanalysen! På köpet höjer vi både kvalitet och robusthet, vilket ju brukar vara bra! Josh och Vivek beskriver också en del intressanta testfall som ofta missas i FAT/SAT-testning, speciellt när man flyttar ut logik från PLC:n till exempelvis ett HMI. Software Defined Networking inom OT! Tim Watkins från Schweitzer Engineering Laboratories höll en presentation som verkligen gjorde avtryck för mig. Schweitzer är väl mest kända i eldistributionskretsar (!) men tillverkar bland annat nätverksutrustning som är intressanta på andra områden också. Fokuset för dagen var hur man kan använda SDN, Software Defined Networking, för att implementera Zero Trust. Nu pratar vi inte om SDWAN på det sätt som det brukar används inom IT. Nu är det kommunikation långt ner i Purdue-modellen där både behoven och möjligheterna ser väldigt annorlunda ut! Schweitzer har verkligen gjort detta på ett nytt sätt! Det här har klara drag av Zero Trust på så sätt att allt bygger på att uttryckligen ge tillstånd för det som är ok och att allt annat automatiskt är förbjudet. Den som sysslat med mikrosegmentering vet att det kan bli extremt mycket arbete för att manuellt analysera vilken trafik som är nödvändig. I deras lösning kan man, istället för att konfigurera alla regler själv, semi-automatiskt få till konfigurationen genom att använda projektfiler, nätverksdiagram och andra källor som man redan borde ha! En stor nytta med deras upplägg är att det blir väldigt mycket lättare att få till IDS-funktioner som "ser" rätt trafik. Jag ska inte försöka återberätta allt detta, vänta in videon istället, det här är imponerande! Tack för i år! S4 levererade riktigt hög kvalitet! Visst var det tyvärr en del tok ibland, framför allt är det fortfarande en del leverantörer som går vilse i resonemang kring riskanalyser som bara fokuserar på sårbarheter i tekniken, utan att bedöma hur den fysiska processen är designad. Men det är ändå en väldigt liten del av helheten! Nu är det bara att börja räkna ner för nästa år... Intryck från NFEA Cyber Security 2022 Globetrotter som jag är nöjde jag mig inte med S4 i Miami Beach, så veckan efter drog jag till Oslo. Dock inte för att se Slartibartfasts fjordar utan för NFEAs (Norsk Forening for Elektro og Automatisering) konferens "Cyber Security 2022". Även om namnet på konferensen kanske inte tyder på det så är det ett rent OT-säkerhetsevent. Två dagar med ett program som innehöll mycket ISA/IEC 62443, Industri 4.0, AAS (Asset Administration Shell) och mycket annat. Ett väldigt annorlunda event jämfört med S4, dels för att det förstås är mycket mindre och enbart har ett spår men framför allt så har det ett fokus på att lära av varandras erfarenheter där S4 är betydligt mer inriktat på vad som kommer härnäst. I min värld har båda en viktig roll att fylla! Att döma av talarna och deltagarna på konferensen så är Norge definitivt i framkant när det gäller moget OT-säkerhetsarbete och definitivt före Sverige på många sätt. Jag misstänker att en stor del kommer av att man tycks ha en lång tradition av samverkan. NFEA som organiserade eventet verkar ha en massa andra spännande arrangemang som kan vara värda att titta närmare på! Jag känner inte till någon motsvarande organisation i Sverige? Först ut var Joe Slowik, en känd profil i dessa sammanhang, som pratade om threat hunting. Det här är ju ett viktigt och väldigt underskattat begrepp i modernt säkerhetsarbete. Joe satte skickligt ord på många av mina egna käpphästar. Jag ser allt för ofta organisationer som köper en massa fina akronym-verktyg, SIEM, SOAR, IDS/IPS osv men som tror att dessa på något slags automagiskt sätt ska ta hand om alla säkerhetsproblem. Det som saknas är människor som tillåts ägna sina dagar åt threat hunting! Man får inte tolka begreppet threat hunting enbart bokstavligt. Det ska inte bara vara en slumpmässig jakt på angripare utan ett strukturerat och långsiktigt arbete som: gör hypoteser om vad en angripare skulle göra hos just oss baserat på vår egen riskanalys och baserat på Threat Intelligence letar efter tecken på att hypotesen är sann med hjälp av tillgängliga analysverktyg automatiserar kontrollen av hypotesen så att den utförs kontinuerligt framöver Det finns viktiga saker att säga om alla tre aktiviteterna: (Mina åsikter - inte Joes!) Riskanalys är viktigt eftersom man gärna vill börja med det viktigaste. Det betyder att man måste förstå farorna i sin fysiska process och vilka svagheter man har i sina system. Threat Intelligence är lite mindre viktigt men kan ge ledtrådar om vilka beteenden som är vanligast hos kända angripare i min typ av verksamhet. När man letar efter tecken på lyckade angrepp så är det extremt viktigt att man förstår begränsningarna i den information man har tillgång till! Saknar man IDS-sensorer på vissa nätverk så är man mer eller mindre blind där! Den sista punkten är kanske den viktigaste! Om man som hotjägare gör samma analys två gånger så har man slarvat i mina ögon! Det är här som SOAR-verktyg har en av sina användningsområden. En jobbig och underskattad del av Change Management är att säkerställa att ändringarna inte får kontrollerna att sluta fungera. Förmågan att kunna testa att den automatiska kontrollen fortsätter fungera är viktigt vilket man förmodligen också vill automatisera med något lämpligt verktyg. Något vi ser allt mer inom både IT- och OT-säkerhet är att angriparna vill minimera användningen av speciella verktyg för att istället använda de funktioner som finns naturligt i miljön. ("Living of the land") Det innebär dödsstöten för alla former av signaturbaserade verktyg i stil med klassiska virusskydd och enklare IDS:er. Det innebär också att angriparen inte går att skilja från en insider! Lösningen är att leta efter oväntade beteenden i systemen och ovanliga tillstånd i den fysiska processen. Möjligen skulle man kunna krydda anrättningen med lite honeypots också. Siv Hilde Houmb från Stattnet (motsvarande Svenska Kraftnät) berättade om utmaningarna kring att bygga ett smartare kraftnät som ändå är säkert. Det är ju som bekant inte alltid att "smart" är så "klokt"... Ett bra exempel var utmaningarna kring att fatta beslut baserat på information som hämtas från molntjänster när molntjänster inte är tillåtna... Hon slog ett slag för SCADA-system som inte levereras som monoliter där man kan ha möjlighet att ändra eller uppgradera underliggande komponenter som operativsystem och hårdvara. Mitt favoritföredrag var nog Leif Nixon som pratade om sårbarheter i fastighetsautomation. Det här är i min egen erfarenhet verkligen det svarta fåret inom OT och Leif bekräftade det med både skrämmande och roliga exempel där kyrklockor, polishus, kylrum på bårhus, akutmottagningar och dörrlås på skolor förekom! Här finns det väldigt mycket att göra och frukter som hänger löjligt lågt! Tyvärr är intresset fortfarande väldigt lågt för den här frågan från de flesta håll... Tomas Lindström på ABB berättade om hur de arbetar med IEC 62443-4-1 och -3-3 i sin produktutveckling. -4-1 är ju i grunden en SDL-kravställning (Secure Development Lifecycle) men som kopplar kraven till industrins förutsättningar och som stöttar kring kritikalitet kopplat till conceptet "Essential functions". Baserat på -3-3 bygger de sin arkitektur för ett bra djupledsförsvar. Dr. Ing Lutz Jänicke från Phoenix Contact berättade kring hur de hanterar sina 100 000 produkter som de tillverkar med maskiner som de bygger själva med hjälp av sina egna produkter. Hur beroende de är av sitt backbone nätverk eftersom saker tillverkas direkt på beställning. Lite annorlunda att se produktleverantörens liv som asset owner själv! De har en elegant kombination av ISO 27001 och IEC 62443 vilket återspeglas i att de samarbetar väldigt tätt mellan IT och OT. Han pekade också på en av mina gamla käpphästar nämligen behovet av att ha säker tillverkning om produkterna ska bli säkra. En intressant detalj är hur de driver standardiseringsarbetet kring OPC UA för att kunna hantera uppdateringar av utrustning via OPC, även mellan olika tillverkare! Gratis är gott! ...och dessutom bra! En resurs som jag tror många missar eller i alla fall underskattar är MSBs kurser kring OT-säkerhet. MSB ordnar dessa tillsammans med FOI i deras lokaler i Linköping. Jag gick själv grundkursen för många år sedan då kärnkraftsbranschen gjorde en satsning på området under SSMs ledning. Riktigt bra kurser som dessutom ger dig som deltagare fantastiska möjligheter att prata med andra i liknande roller! Att de dessutom är helt gratis gör inte saken sämre! MSB och FOI hållar fast vid begreppet "Cyberfysiska system" vilket kan uppfattas som lite mossigt kanske men som egentligen är en väldigt bra beskrivning av det som OT-system handlar om. Jag är inte säker på att definitionerna är identiska men det spelar mindre roll. De har en grundkurs på 2 dagar som är gjord för att passa extra bra för folk som INTE är från IT-branschen, utan man siktar främst på operatörer, processingenjörer, utvecklingsingenjörer och underhållspersonal. Man behöver inga förkunskaper alls inom säkerhetsarbete! IT-folk är förstås också välkomna! I kursen kombinerar de dessutom teori och praktik på ett riktigt roligt sätt! Det finns en påbyggnadskurs också men där finns inga planerade tillfällen just nu. Jag var i kontakt med MSB och förstod att man gärna får höra av sig till dem med intresseanmälan så fixar de extra tillfällen. ics@msb.se. De har också en kurs i incidenthantering på 4 dagar som vänder sig främst mot systemadministratörer. Här får du först kunskaper kring incidenthantering och sedan får du öva på riktigt! Riktigt roligt och extremt lärorikt! (Och bra att kunna när din "Sub-Etha Sens-O-Matic" säger att Vogonerna är på väg!) Det finns också en helt ny 3-timmars utbildning för chefer och beslutsfattare kring deras viktiga och speciella roll när det kommer till OT-säkerhet. Nästa tillfälle är 9 juni 13:00-16:00 hos MSB i Solna. Man anmäler intresse via ics@msb.se. Skicka din chef på kurs! Jag är glad att kunna skvallra om att det är en ny version på gång av MSBs vägledning från 2009. När detta skrivs har den inte hunnit ut på MSBs sidor ännu. (Det finns ju även ett tillägg kring trådlös teknik och leverantörsrisker från 2019.) Dessutom kommer en vägledning för incidenthantering i OT-världen och den är faktiskt redan tillgänglig hos MSB. Sandmaskarna kryper igen! Något som har kommit bort lite i skuggan av Pipedream/Incontroller är att en ny version av Industroyer användes i Ukraina nyligen. ESET som gjort analysen tillsammans med CERT-UA har en bra artikel om det. Det finns mycket att fundera på kring hur den här typen av attacker passar in i invasionskriget i Ukraina och vad det eventuellt kan betyda på längre sikt. Dags att patcha Snort och prylar från Cisco! Claroty Team82 har hittat en sårbarhet i IDS-programvaran Snort kopplad till MODBUS. Snort är ju en open source IDS som numera ägs av Cisco. Cisco använder den i sina produkter vilket gör att även de kan behöva uppdateras, exempelvis Cyber Vision, FirePOWER Services och Meraki MX. Läs mer i Ciscos advisory. Jobba med OT-säkerhet! På riktigt! Randstad rankade nyligen min arbetsgivare AFRY som Sveriges fjärde mest attraktiva arbetsgivare! Riktigt roligt! Personligen kan jag intyga både det men också att säkerhetsgruppen på AFRY förmodligen skulle rankas ännu högre! Som jag skrivit om tidigare kör vi på AFRY en aldrig tidigare skådad satsning på säkerhet i allmänhet och på OT-säkerhet i synnerhet! Oavsett om du redan är specialist inom OT-säkerhet eller om du är sugen på att fokusera mer på OT så finns det en jättechans nu! Vi har kontor i hela Sverige men det finns förstås alla möjligheter att jobba på distans också! Hör av dig eller sök direkt! Vi växer så det knakar, både genom att nya kollegor söker sig till oss, genom förvärv av spännande företag. och genom roliga partnerskap med produktleverantörer som vi bygger tjänster kring! Men det behövs många fler kompisar, inte minst inom OT-säkerhet! Det som jag personligen tycker är extra kul med AFRY är att vi inte bara bra på en sak i taget, vi kan alltid matcha starka kompetenser från flera helt olika områden på ett sätt som är extremt svårslaget. Flera företag i branschen är duktiga på OT-säkerhet men hur många kan göra en teamleverans där specialister inom alla former av säkerhet, robotteknik, industriell digitalisering, automationslösningar, mjukvaruutveckling och innovation samverkar med världsledande experter inom processindustri, energi, produktutveckling, tillverkning, transportinfrastruktur, försvar, fordonsutveckling, telekommunikation, medicinsk teknik och så vidare? Det gör en väldig skillnad för våra kunder och det gör jobbet extra mycket roligare för oss! Fortfarande årets julklapp! I nyhetsbrev #37 utropade jag Pascal Ackermans bok ”Industrial Cybersecurity, Second edition” till årets julklapp. Nu har jag tagit mig igenom den och måste säga att jag fortfarande rekommenderar den varmt. Det är värt att påpeka att även om den heter ”…Second edition” så är det egentligen en helt annan bok än dess föregångare. Även om det är en del överlapp så är båda väl värda att läsa! Medan den första boken gav grunderna kring OT-säkerhet och hur man sätter upp sina säkerhetsprocesser så dyker bok nummer två ner i mer handgripligt säkerhetsarbete. Det är en rejäl bok på 800 sidor, vilket förstås ändå är ganska hanterbart jämfört med en annan känd bok som beskrivs så här: The reason why it was published in the form of a micro sub meson electronic component is that if it were printed in normal book form, an interstellar hitchhiker would require several inconveniently large buildings to carry it around in. Pascal diskuterar arkitektur, aktiv & passiv övervakning, threat intelligence inom OT, SIEM, incidenthantering, säkerhetsgranskningar och threat-hunting. En väldigt stor del av boken (mycket mer än vad jag trodde) är praktiska övningar där vi leds genom installation och konfiguration av säkerhetsfunktioner som sedan används i labbar. Det här är definitivt en bok för den tekniskt lagde som vill utöka sin förståelse för hur man kan arbeta praktiskt med säkerhet i OT-miljöer. De flesta verktyg som används är open-source vilket förstås gör det enklare att genomföra övningarna. En unik bok så om det låter som något för dig tycker jag absolut du ska läsa den! Konferenser och webbinarier Den 30:e Mars kunde du lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättade om hur man kan bygga säkra maskiner, som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen. Det vill säga när "Safety" är helt beroende av "Security"! Missade du oss så finns det förstås en inspelning! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Den här gången handlar det om farliga processer, skillnaden mellan osäkerhet och ovisshet, utbildningar för CISOs, hackade Safety-system, OT-information i ransomware-läckor, risker med processnära utrustning, FBI-varningar och förebyggande underhåll med en säkerhetstwist. Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vem rår på en farlig process? Jag har i olika sammanhang genom åren diskuterat skillnaderna mellan vilka delar av verksamhetens risker som man kan jobba med beroende på vilken roll man har i organisationen. Lite slarvigt sammanfattat har min analys blivit att man som automationsingenjör eller IT-säkerhetsspecialist nästan bara kan åtgärda sannolikheten för att attacker lyckas. Om man däremot är processingenjör kommer man däremot främst åt möjligheter att jobba med konsekvenssidan. Det här resonemanget förutsätter förstås att man har en verksamhet där angrepp kan få farliga fysiska konsekvenser som kan gå ut över utrustning, hälsa eller miljö. Om man "bara" kan drabbas av produktionsstörningar eller kassation gäller lite andra antaganden som vi inte bryr oss om just nu. Nu får jag indirekt medhåll av Sinclair Koelemij. Han har skrivit en artikel där han gör en intressant analys av möjligheterna att jobba med att minska konsekvenserna av angrepp. Han listar de olika angreppssätt man kan ha för att minska risker och vilka åtgärder som kommer åt vilka förbättringsmöjligheter. Sinclairs text är riktigt bra och jag håller som vanligt med om allt han skriver. Men min poäng här är delvis en annan än hans, nämligen vi som arbetar med övergripande OT-Säkerhet måste se upp så att vi inte fastnar på enbart "Cyber-sidan" eller "Process-sidan". För att få till ett riktigt effektivt säkerhetsarbete måste vi kunna samarbeta med båda världarna för att minska både sannolikhet och konsekvens. När jag har uppdrag där "Safety" är viktigt tenderar jag att först försöka hitta och ta bort de värsta konsekvenserna för att sedan som steg 2 titta på vad man kan göra åt sannolikheten. För mig personligen var just det här en av de stora anledningarna till att jag sökte mig bort från en arbetsgivare i IT-branschen till en arbetsplats där vi levererar i bägge världarna. Det är oerhört stimulerande att ha fått möjlighet att jobba med OT-säkerhet "på riktigt"! Eureka! Eller? Jag snubblade över en fantastisk artikel skriven av Martijn Dekker som på ett nästan magiskt sätt sätter ord på något som jag känt allt tydligare under de senare åren. Jag ska inte ge mig på att försöka sammanfatta och översätta det utan kopierar hans eget inlägg på LinkedIn: Information Security in 2022 is not about certain, preventable events, not even about probable events that can be managed as risks. Information security is about fundamentally unknowable probabilities and unknowable impacts. Information security nowadays is about managing uncertainty. Han skriver det ur ett allmänt perspektiv kring informationssäkerhet men resonemanget gäller definitivt även för OT-världen. På vissa sätt gäller det kanske till och med ännu mer för processnära digitalisering där förändringen är ännu mer radikal än inom IT och där komplexiteten mångdubblas ännu snabbare! Och tittar man på helheten över både IT och OT, vilket man förstås borde, så stämmer hans tankar väldigt väl med en rad stora incidenter på senare tid där den komplicerade integrationen mellan IT och OT drabbar den fysiska verksamheten hårt när IT-sidan slås ut. Texten bygger på en keynote som han höll på KPN NLSecure[id] förra året. Du kan se inspelningen istället om du föredrar det! Jag har själv utforskat möjligheterna att komma bort från styltiga gamla riskmatriser genom att vända blicken mot kvantitativ riskanalys och Bayesiska metoder men inser allt mer att det det inte rår på den enorma komplexiteten som vi behöver hantera. Istället tillför det nästan ytterligare komplexitet till säkerhetsarbetet! Han säger inte att riskanalys är fel men att det inte räcker. En stor del av problemet är också det närmast meningslösa i att försöka bedöma sannolikheter för saker som inte är slumpmässiga. Kom ihåg att vara försiktig när du översätter ordet "uncertainty", jag tror att "ovisshet" är betydligt bättre än "osäkerhet". Jag undrar om vi kan hitta några tips framåt från den här gamla artikeln från Harvard Business Review? Jag är väldigt nyfiken att höra vad ni som läser detta har för egna tankar kring hans resonemang! Hör av er! mats@ot-säkerhet.se eller kommentera det här nyhetsbrevets LinkedIn-inlägg. Då var det Rockwells tur att få en 10:a! Clarotys "Team82" slår till igen med ny och smaskig sårbarhetsforskning. Nu har de hittat ett sätt att ändra den kod som faktiskt körs i en PLC från Rockwell utan att det syns när man tittar på programmeringen! Det räckte förstås till en CVE med den högsta klassningen: 10! Det här påminner ju väldigt mycket om den mesta kända OT-attacken någonsin, Stuxnet. Sedan dess har andra liknande attacker dykt upp, exempelvis visade ett Israeliskt team upp Rogue7 på BlackHat-konferensen 2019. Rogue7 drabbade (precis som Stuxnet) Siemens och 2020 visade Airbus en metod att göra en liknande attack mot Schneider Electrics Modicon-PLCer. Där nere på de lägre nivåerna... Trogna läsare av nyhetsbrevet vet att Sinclair Koelemij producerar texter med hög kvalitet. I ett inlägg nyligen tar han upp den infekterade frågan kring säkerhet i processnära utrustning. Vissa, med Joe Weiss i spetsen, hävdar att den totala avsaknaden av säkerhet i dessa kritiska komponenter är den absolut största säkerhetsutmaningen vi står inför medan andra, exempelvis Sinclair och jag själv, tycker att det finns andra områden där åtgärder i praktiken har större effekt på den totala säkerheten. I vilket fall som helst är det en artikel väl värd att läsa! Mikroutbildning från ISA ISA har släppt en liten utbildning på YouTube, riktad mot CISOs som behöver en första introduktion till OT-säkerhet. Väldigt allmän men tydlig och bra! Läcker ni information om er OT-miljö? Mandiant har släppt en intressant studie av information som läckts i samband med ransomware-attacker, alltså fall där offrens information lagts upp på "skam-sajter" för att sätta ytterligare press på dem. De har letat efter OT-knappnålar i den enorma höstacken som är den totala mängden information som läckts. De hittade mängder känslig dokumentation och annan information som skulle underlätta ett angrepp mot OT-miljöerna men de ger också lite tips kring vad man lära sig av detta. Det finns ett intressant avsnitt (224) av podden CyberWire Research Saturday där Nathan Brubaker från Mandiant intervjuas om rapporten. Säkerhet - men inte bara i Olje- och gasindustrin Hittade ett nypublicerat papper på förpubliceringssajten arXiv där fem personer från Cardiff University tittat på säkerhetsutmaningar inom Olja och Gas för att peka på typiska sårbarheter, hotvektorer och lösningar på dessa utmaningar. Innehållet är någorlunda intressant på egen hand men det blev ännu mer intressant, fast på något slags meta-nivå när det började dyka upp en del kritik mot den som pekade på att det har ett "IT"-fokus och därmed pekar för mycket på information och inte process. Det här är ju typiskt för nästan alla diskussioner som jag hamnar i kring "vad OT är?". Jag har inget perfekt facit för den typen av funderingar mer än att man inte ska förvänta sig att det skulle finnas ett enkelt svar på en såpass svår fråga. Nästan allt verkligt OT-säkerhetsarbete är ju i praktiken en blandning av skydd för information, skydd mot farliga situationer, att säkerställa att den fysiska processens tålighet mot alla former av störningar och inte minst tillräcklig processprestanda. Mitt bästa råd är att orka tänka brett och att se till att vara nästan onödigt tydlig när man kommunicerar kring risker, sårbarheter och åtgärder. Ta hand om dina Safety-system! Apropå oljeindustrin i ovanstående text så var det ju i en sådan anläggning som den skadliga koden Trisis/Triton/HatMan första gången upptäcktes 2017. FBI gick nyligen ut med en varning för att det hotet fortfarande är relevant. Trisis var ju det första kända exemplet av en skadlig kod som var avsett att orsaka död och massiva anläggningsskador genom att sabotera ett så kallat SIS-system (Safety Instrumented System) så att det inte skyddar anläggningen när den hamnar i ett farligt läge. I min erfarenhet slarvas det tyvärr för mycket med den här typen av system. Dels genom att de inte används alls trots att processerna som hanteras är farliga men också för att man slarvar med hur de sköts om. Om det är någonstans det finns en väldigt direkt koppling mellan "security" och "safety" så är det kring dessa system! Läs på om lärdomarna från händelserna 2017 och senare men även det som FBI pekar på nu. Det är allt från enkla åtgärder som operatörslarm om man glömmer dem i programmeringsläge, via goda arbetsmetoder till arkitekturlösningar med nätverksdioder. Apropå nätverksdioder så tror jag att allt fler börjar ta till sig den fantastiska nyttan med dessa. Allt för ofta hör jag resonemang som "systemet ansluter ut genom brandväggen så det går ju inte att hacka". Visst, det är absolut bättre att känsliga system inte är exponerade på nätet men det hindrar inte att en existerande nätverkskoppling missbrukas i alla fall! En koppling som fysiskt omöjliggör att information flödar åt "fel" håll är det absolut starkaste kortet vi har. Någon form av protokoll-brytande åtgärd kan vara en mer flexibelt lösning men ändå väldigt säkert. Du kanske minns att jag skrivit tidigare om några exempel på sådana lösningar, se nyhetsbrev #22 och nyhetsbrev #32. Stjäl med stolthet! Man ska inte underskatta det arbete som utförs kring OT-säkerhet i de flesta länder runt om på jordklotet. Det är väl värt att titta runt lite efter godbitar och inspiration när man ska bygga upp sitt eget säkerhetsprogram. Ett nytillskott för mig är Saudiarabien som publicerat ett officiellt kravdokument för kritisk infrastruktur i landet. Kanske inga sensationer innehållsmässigt men tydligt och snyggt. Tyvärr verkar det utlovade annexet där de skulle dyka djupare i metodik och relationen med andra standarder saknas i den nuvarande versionen. Förhoppningsvis dyker den delen upp så småningom. Jobba med OT-säkerhet! På riktigt! Nu drar vi på AFRY igång en aldrig tidigare skådad satsning på säkerhet i allmänhet och på OT-säkerhet i synnerhet! Oavsett om du redan är specialist inom OT-säkerhet eller om du är sugen på att fokusera mer på OT så finns det en jättechans nu! Vi har kontor i hela Sverige men det finns förstås alla möjligheter att jobba på distans också! Hör av dig eller sök direkt! Vi växer så det knakar, både genom att nya kollegor söker sig till oss och genom förvärv av spännande företag. Men det behövs fler kompisar, inte minst inom OT-säkerhet! Det som jag personligen tycker är extra kul med AFRY är att vi inte bara är bra på en sak i taget, vi kan alltid matcha starka kompetenser från flera helt olika områden på ett sätt som är väldigt svårslaget. Flera kollegor i branschen är väldigt duktiga på OT-säkerhet men hur många av dem kan göra en teamleverans där specialister inom alla former av säkerhet, robotteknik, industriell digitalisering, automationslösningar, mjukvaruutveckling och innovation samverkar med världsledande experter inom processindustri, energi, produktutveckling, tillverkning, transportinfrastruktur, försvar, fordonsutveckling, telekommunikation, medicinsk teknik och så vidare? Det gör en väldig skillnad för våra kunder och det gör definitivt jobbet extra mycket roligare för oss! Hör av dig! SQL-injection utan SQL? De av oss som sysslar med säkerhet i webbapplikationer är vana vid begrepp som "SQL-injection", "Cross-site Scripting" och "Untrusted data Deserialization". I takt med att teknikutvecklingen går framåt får vi också nya utmaningar. Ett exempel som inte är helt nytt i IT-världen men som nu börjar bli stort inom OT också är NoSQL-databaser. Den här typen av databaser, exempelvis MongoDB och Apache Cassandra, är väldigt effektiva på stora datamängder och är inte organiserade i tabeller - i motsats till klassiska SQL-databaser. För den som vill läsa in sig på "NoSQL-injection" kan börja med en intressant artikel från Cyolo. Patcha, Patcha, Patcha... NIST släppte nyss en ny version av SP 800-40 "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology". Förutom att man i dokumentet uttryckligen säger att det är tänkt att gälla även för OT-miljöer, så kan man även notera att man ogenerat flörtar med industrin genom att man ändrat titeln från förra versionen och lagt till "förebyggande underhåll". Även om jag inte satt mig in i dokumentet så gillade jag verkligen namnbytet eftersom det matchar en av mina gamla käpphästar - nämligen att man borde närma sig delar av det praktiska OT-säkerhetsarbetet med samma verktyg som man förmodligen redan använder för mekaniskt underhåll. Om man kan jobba med underhållsplaner för pumpar och ventiler så borde det rimligen vara väldigt enkelt att göra likadant med regelbundet utbyte av hårddiskar i maskiner, test av backupmedia eller att städa i brandväggsregler! Är du sugen på ett rejält akademiskt papper så hittade jag ett på arXiv med titeln "Software Security Patch Management -- A Systematic Literature Review of Challenges, Approaches, Tools and Practices". Det är ett "meta-papper" från Australiensiska CREST och The University of Adelaide, som tittar på vad alla andra skrivit om denna kluriga fråga. Vi hade nyligen en draft av den uppdaterade ISA 62443-2-3, "Security Update (Patch) management in the IACS environment", ute för kommentarer inom ISA99. Det är inte helt klart för mig när den kan förväntas ges ut i skarp version men det borde inte vara så långt bort. Den förra är från 2015 så det är ju dags för en uppdatering. Det är dessutom så att dokumentet nu går från att vara en "Technical Report" till att bli en fullvärdig del av standarden! Den som väntar på något gott... Lite lagom oseriöst... Ett knasigt open source projekt för att köra klassiska spel på ett Siemens HMI! Någon som är sugen på lite Zelda eller Tetris? Intressanta poddavsnitt Om du gillar att lyssna på poddar så har jag några förslag på ovanligt intressanta avsnitt. https://waterfall-security.com/alex-nicoll/ Det här avsnittet av The Industrial Security Podcast kanske inte är Waterfalls bästa avsnitt genom tiderna men det är väldigt intressant om man är intresserad av vart 62443-standarden är på väg. Mycket handlar om begreppet "SL - Security Level" som framöver kommer bli risk&konsekvensdrivet snarare än baserat på angriparens uppskattade förmåga... En riktigt viktig förändring som vi är många som efterlyst! Som vanligt en riktigt bra intervju i Unsolicited Response Podcast där Dale Peterson intervjuar Sergio Caltagirone från Dragos. De dyker i det kluriga området Threat Intelligence och hur man applicerar det i OT-världen. Ämnen som hur det kommer sig att man kan förkorta återställningstid efter incidenter med hjälp av rätt insikter om angriparen, vad vi ska göra åt svårigheten att bedömma sannolikheter och vad man behöver för att kunna dra nytta av sina underrättelser. En legend inom IT-säkerhetskretsar är H.D. Moore. Han är mest känd för att han "uppfann" Metasploit som är det kanske mest kända "hacking-verktyget" någonsin. I avsnitt 114 av DarknetDiaries berättar de hans historia och han får ge sin syn på massor av viktiga frågor kring sårbarheter och hur stora leverantörer hanterade brister i sina produkter tidigare och nu. Nästan inget OT-innehåll alls men väldigt relevant även för oss! Konferenser och webbinarier Den 19:e till 21:a April kommer jag vara på S4x22 i Miami. Konferensen som väl ändå får räknas som den mest kända OT-säkerhetskonferensen i världen och kanske den största också. Sist jag tittade hade man passerat 500 anmälda men det finns biljetter kvar. Vore kul att ses där! Den 27:e och 28:e April kommer jag vara på NFEA Cyber Security Conference i Oslo . Även om namnet inte säger något om "OT" så är det ett event med fokus på OT-säkerhet. Kanske ses vi där? Den 30:e Mars kunde du lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättade om hur man kan bygga säkra maskiner, som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen. Det vill säga när "Safety" är helt beroende av "Security"! Missade du oss så finns det förstås en inspelning! Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Nyhetsbrevet firar jubileum! Du läser nämligen nyhetsbrev nummer 40! Stort tack till er alla som läser mina texter och förstås ett extra stort tack till er som hör av er med feedback, funderingar eller uppdrag! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Näsan över vattenytan? Det är intressant att se hur utmaningarna i säkerhetsarbetet förändras i takt med att man som organisation mognar och tar till sig fler skyddsåtgärder. En väldigt tydlig trend inom OT-säkerhet just nu (utifrån vad jag personligen hör) är att allt fler har blivit överraskade, och kanske lite besvikna, efter att de infört någon form av IDS-skydd i sina OT-nätverk. Det är inte så att verktygen inte levererar det som är utlovat, utan snarare tvärtom - de levererar fantastiskt mycket information om alla komponenter och alla händelser i nätverket! Just där uppstår problemen eftersom man allt för ofta inte tänkt igenom hur man ska arbeta med all denna fantastiska information... Utmaningarna blir dessutom ofta värre av att man som organisation inte är van att arbeta tillsammans över interna gränser mellan olika grupper. Mycket av det arbete jag själv gör just nu är fokuserat på att hjälpa mina kunder i just det där gränslandet där man ska få till ett proaktivt säkerhetsarbete baserat på automatiserad datainsamling och analys. Om man resonerar utifrån NIST CSF, så är det ju egentligen väldigt positivt med IDS:ernas stöd till att kunna lägga fokus på momenten "Identify" och "Detect", de har ju klassiskt varit väldigt utmanande för OT-säkerhetsfolk. Men när det arbetet blir så tungt att man inte kan använda alla nya insikter till att göra analys och härdning inom "Protect" så har man ju missat en viktig pusselbit! Här finns det mycket att göra och utrymme framöver för en ny typ av stödverktyg! Jag har en känsla av att jag kommer ta upp detta som tema till något av de kommande rundabords-samtal vi kommer fortsätta att organisera framöver för OT-säkerhetsfolk. Personligen är jag väldigt nyfiken på att höra från er läsare om hur ni tacklat de här utmaningarna. Det finns säkert en massa klokskaper som är värda att sprida vidare? Hör av dig till mats@ot-sakerhet.se ! Köp en bok! I dessa dagar är förstås Andy Greenbergs numera nästan klassiska bok "Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers" extra aktuell. Förutom att den är väl värd att läsa på sina egna meriter så går nu Andys vinst under första halvåret 2022 till offren i Ukraina. Kanske något att ge bort i present till kollegorna eller bara börja handla julklappar till släkten tidigt? OT och Seveso! Ett område som jag personligen länge varit lite obekväm med är synen på OT-säkerhet i många organisationer med Seveso-klassad verksamhet. Jag har flera gånger blivit förvånad och oroad över hur man på ett nonchalant eller okunnigt sätt avfärdar OT-säkerhet som en komponent i skyddet mot allvarliga kemiska olyckor. Jag ska vara noga med att säga att det här definitivt inte gäller alla sådana verksamheter som jag stött på, men en alldeles för hög andel! Jag snubblade nyligen över en rapport från finska VTT som belyser många spännande vinklar kring hur Safety och Security samverkar i den totala säkerheten kring Seveso-anläggningar. Här finns det väldigt mycket som jag tycker är värt att diskutera kring! Hur höjer man sin säkerhet tillfälligt? Med anledning av världsläget har ju en rad myndigheter utfärdat rekommendationer om att höja sin beredskap och sitt säkerhetsläge. Amerikanska CISA utfärdade sitt "Shields up!", svenska energimyndigheten lyfte fram ENISAS rekommendationer kring energibranschen och CERT-SE uppmanade oss att vara uppmärksamma på nätfiske och DDoS. En massa säkerhetsföretag har förstås också tagit chansen att ge oss deras twist på vad som är viktigt. En grundfråga man kan ställa sig är hur man egentligen höjer sin OT-säkerhetsnivå tillfälligt? Det är ju inte som att man kan skruva på en kran och få mer eller mindre säkerhet... Och att införa nya säkerhetsåtgärder för snabbt tenderar ju gärna att leda till problem... Om jag ska ge några högst personliga råd baserat på verkliga erfarenheter så är det kanske dessa: Se till att de säkerhetsåtgärder ni redan har faktiskt fungerar! Gör den där genomgången av användardatabasen och plocka bort medarbetare som slutat och konsulterna som inte kommer tillbaka på ett halvår. Kanske är det dags att titta igenom brandväggsreglerna och rensa alla "tillfälliga" regler? Gör en inventering och kolla att alla användare faktiskt måste köra 2-faktor när de ansluter hemifrån. Se till att någon tittar på de där fina loggarna som skapas. De flesta organisationer brukar ha en hel del dåliga samveten... Öva på något! Det behöver inte vara så avancerat! Pröva att läsa tillbaka ett klurigt system enbart från backup och installationsmedia. Fungerade det? Kör en enkel diskussionsövning runt ett scenarie och utmana varandra lite kring åtgärderna! Eller bara byt arbetsuppgifter med en kollega! Om ni redan planerat något slags förbättringar kan det förstås vara ett bra läge att starta dem bums. Förmodligen finns det annat som känns lite mindre viktigt att dra igång just nu? På OT-sidan börjar det bli en självklarhet att ha en OT-anpassad IDS-funktion. De har ju dessutom fördelen att de är ganska enkla att få igång och risken för störningar på verksamheten är minimal! Om man inte har en sådan kan det vara ett bra tillfälle nu! Men glöm inte att ni behöver ha folk och rutiner för att ta hand om all fin information som de skapar! All världens bästa brandlarm är bara bortkastade pengar om ingen hör dem... Ska jag tala i egen sak så är min erfarenhet att det med 100% säkerhet ger nya insikter att ta in någon utifrån som ger en snabb "second opinion" kring ert säkerhetsupplägg eller kanske gör någon form av granskning. Man blir snabbt väldigt hemmablind! Sedan är väl nästa fråga om och när det egentligen kommer kännas okej att med flit sänka sin säkerhetsförmåga igen när omvärlden "lugnat ner sig"? Men det är ett annat problem... Jonas och pyramiderna! Min idol Jonas Berge har skrivit en text kring den gamla hjärtefrågan "Är Purdue-modellen död?" som ofta dyker upp i samband med IIoT-frågor. Förutom att indirekt förklara varför frågan är felställd från början så knyter han ihop flera säckar som brukar dyka upp i dessa diskussioner och drar dessutom med min favorit NOA från NAMUR på slutet. Är du det minsta intresserad av arkitektur eller segmentering så är det här ett måste att läsa! Sortera lättare bland innehållet på ICS-CERT! Det intressanta open-source-projektet "ICS Advisory Projekt" är ett klockrent sätt att kunna sortera/vända/vrida på informationen från ICS-CERT. Tanken är att göra det mycket lättare, speciellt för mindre organisationer, att få koll på alla sårbarheter i de system man själv har. Prova själv här! Grundkurs i OT-Säkerhet MSB och FOI har tillsammans tagit fram en rejäl grundkurs i OT-säkerhet, eller som de väljer att kalla den, "Onlinekurs: Säkerhet i industriella kontrollsystem". Jag har inte tittat igenom alla delarna själv men efter ett gäng stickprov tycker jag det ser väldigt lovande ut. Med David Lindahl som vår lärare och ett riktigt grundligt anslag, går de igenom både historik och alla speciella förutsättningar som det här området har. Det är en serie om 12 filmer på YouTube som är mellan 10 och 20 minuter långa. Det här är absolut något som man kan peka folk till som vill lära sig om området! Problem på insidan! Ett riktigt svårt och dessutom underskattat område inom de flesta former av säkerhetsarbete är insiderproblematik, alltså att betrodda medarbetare skadar organisationen, medvetet eller omedvetet. Det här är förmodligen det mest otippade dokument jag någonsin delat i nyhetsbrevet, det är en revisionsrapport av NASAs program för hantering av insiders. Det låter ju inte jättekul men det ger en massa intressanta vinklar kring vad som krävs för att vara bra på detta! Världspolitiken når open source Det kanske inte har så mycket med OT-säkerhet att göra på ytan men jag kan föreställa mig hur det här kan påverka även oss framöver. Krebs On Security publicerade en intressant artikel kring hur protester mot Rysslands agerande i Ukraina har börjat dyka upp i olika kodprojekt inom open source. Det handlar om populära bibliotek som plötsligt "kompletterats" med kod som reagerar om programvaran används på en dator i Ryssland eller Belarus. I vissa fall är det bara ett försök att sprida omvärldens syn på händelserna men det finns fall som helt enkelt raderar filer på den dator där programvaran installerats. Vad är då kopplingen till OT? Den största risken är kanske alla de mjukvarubolag som inte har någon granskning av den kod de använder i sina produkter, uppdateras ett kodbibliotek så använder de glatt det utan någon närmare granskning. Är det då en leverantör av OT-mjukvara eller en mjukvara som används i OT-system så kan det ju förstås hända saker... En annan variant är att det blir allt vanligare att man kan dela med sig av lösningar till OT-mjukvara, exempelvis genom att köra containrar i PLCer. Jag har skrivit i andra sammanhang om säkert i våra leverantörskedjor och motsvarande gäller förstås i synnerhet för open source! Problemet med båda scenarierna är förstås att motsvarande skulle kunna drabba även oss som inte finns i Ryssland eller Belarus. Det var ju exempelvis nyligen en person som modifierade sitt kodbibliotek på grund av missnöje med attityden från de företag som gratis kunde dra nytta av hans arbete. Allt detta skapar ju förstås en tråkig misstänksamhet mot open source men å andra sidan är det en bra påminnelse för alla de som godtroget antar att open source automatiskt är säkert och pålitligt. Otippade fysiska konsekvenser Avbrottsfri kraft är ju en av de mest grundläggande säkerhetsåtgärderna i de flesta verksamheter, både inom IT och OT. Nu har UPS:er från APC drabbats av ett gäng riktigt otrevliga sårbarheter som enligt uppgift kan användas för att fysiskt förstöra utrustningen och i vissa fall även orsaka brand! Förutom att snabbt uppdatera är det ju alltid en väldigt bra idé att administration av viktig utrustning hanteras på avskilda nätverk. Förutom kraftsystem gäller det också konsolportar på nätverksutrustning, serverhårdvara som ofta har iDRAC/iLO/IPMI etc, virtualiseringstrafik i WMware osv. Det är verkligen inte bara klassiska PLCer mm som behöver en bra segmentering! Lite på samma tema, alltså att utrustning faktiskt förstörs av en attack, är ett angrepp mot satelitterminaler som lustigt nog inträffade i samband med Rysslands anfall mot Ukraina och som inledningsvis framför allt slog mot utrustning i Ukraina... De drabbade terminalerna blev tydligen permanent utslagna och en av de indirekta konsekvenserna var att närmare 6000 vindkraftsnurror runt om i centraleuropa tappade kontakten med sitt SCADA-system. REVERSEMODE har en väldigt bra genomgång av vad som hänt. Testa! Testa! Testa! Definitivt inte en nyhet men däremot ständigt aktuellt är behovet av att testa och verifiera sina säkerhetsåtgärder. Matan och Idan från OTORIO berättar om deras spännande användning av MITREs Caldera-plattform för att skapa angrepp mot OT-testmiljöer i syfte att se hur säkerhetsåtgärderna reagerar. Om jag minns rätt var detta också en punkt som de berättade om på CS3STHLM senast det begav sig. Caldera är Open Source, är tillgängligt på github och har bra dokumentation. Om du vill djupdyka ordentligt i hur man bygger testbäddar så hittade jag två smaskiga papper på Arxiv, dels "Design Considerations for Building Credible Security Testbeds - A Systematic Study of Industrial Control System Use Cases" av Uchenna D Ani, Jeremy M Watson, Benjamin Green, Barnaby Craggs och Jason Nurse och dels "SoK: A Survey of Open-Source Threat Emulators" av Polina Zilberman, Rami Puzis, Sunders Bruskin, Shai Shwarz och Yuval Elovici. Fyra procent är viktiga! I förra nyhetsbrevet hade jag med ett antal årsrapporter från leverantörer av olika säkerhetsprodukter. En som inte fanns med då var rapporten från Dragos som alltid innehåller en massa godis. En riktigt intressant siffra är kopplad till deras analys av sårbarheter som offentliggjorts under 2021. Den totala mängden sårbarheter har som kanske bekant stigit rejält under de senaste åren. MEN! Om man har en vettig arkitektur i övrigt så var deras slutsats att bara 4% av alla sårbarheter i OT-komponenter faktiskt behövde prioriteras! Man kan alltså påverka mängden patchningsarbete rejält om man har en bra prioriteringsmodell! När jag ändå nämner årsrapporter ska vi inte glömma Clarotys halvårsrapport från sitt "Team82". En intressant poäng de gör är att den kategori sårbarheter som varit störst på senare tid är inom "Operations Management" eller Nivå 3 om man kategoriserar enligt klassiskt Purdue-tänk. Väl värt att ta med sig i tankarna när man lägger upp sin patchningsstrategi! Läs som ett proffs! I takt med att mängden sårbarheter som annonseras ökar snabbt blir det förstås allt viktigare att kunna läsa informationen kring dem. Tyvärr är det inte alltid helt enkelt och i många fall är resonemangen mer anpassade för användningen i IT-världen. Ron Brash på Verve ger oss kloka tips om hur vi ska ta till oss innehållet lite enklare och bättre! Rob Lee om experter och grundorsaker Rob Lee gav i en Twitter-tråd nyligen en radda riktigt kloka råd till både massmedia och oss andra kring hur vi bör agera om det börjar hända dåliga saker i kritisk infrastruktur. Och då med huvudsyftet att motverka missinformation och psykologiska angrepp. Han trycker på vikten att välja rätt experter för att uttala sig och på vikten av att göra riktigt bra rot-orsaksanalyser. Som vanligt har Rob extremt rätt i det han säger, jag kan förvisso tycka att svenska journalister är hyffsade på att välja sina intervjuoffer men det kan förstås alltid bli bättre. Tanken om att fokusera en del av säkerhetsarbetet på att i efterhand faktiskt kunna reda ut vad som i grunden orsakade att en attack kunde genomföras gäller definitivt även i Sverige! Vi går till sjöss! Läste nyss en rapport från ett projekt i Singapore, "A Cyber Risk Management Study in Shipboard OT Systems", där iTrust och SUTD (Singapore University of Technology and Design) tagit fram en samling best-practices för OT-system på fartyg. Den ger förutom en massa kloka råd även en bra introduktion till typiska system på fartyg och hur de kan tänkas bli angripna! På senare år har det kommit en hel del säkerhetsdokument från olika organisationer inom sjöfarten men de har alla varit inriktade mot ledningen - i det här fallet har man valt att vara betydligt mer handgriplig genom att vända sig till de som ansvarar för OT-säkerheten ombord, vilket är riktigt trevligt! Till rapporten finns även ett webbinar som ger en del bra extra poänger. De har också med en alldeles äkta sjökapten som ger sina perspektiv på OT-säkerhet ombord på ett fartyg! "Den som är försatt i skuld är inte fri" Det var förstås inte teknikskuld som Ernst Wigforss tänkte på när han myntade det klassiska uttrycket men det passar ju bra även i det sammanhanget. Kanske speciellt inom OT som ju är mer belastat av gammal teknik jämfört med andra säkerhetsområden. Här är ett antal texter kring begreppet teknikskuld som ger lite nya infallsvinklar, vissa pekar även på de positiva konsekvenserna av att sätta sig i tekniksskuld. Jag kan tycka att det är ett klokt angreppssätt att se valet att göra sig beroende av osupportad teknik som ett medvetet val och ett slags investering eller lån där man får vara noga med att betala av på i framtiden. Det medvetna valet måste förstås också ta med i beräkningen att man gör sig själv oflexibel och ökar sina risker! "How To Explain Technical Debt To Executives. Hint: It’s Not Technical" av Sam McAfee "Tech debt is not a burden, it's a strategic lever for success" av Matt Greenberg and Keya Patel "The 'in vitro' strategy for mitigating product debt" av Jack James "Practical Approaches to Tech Debt" av Isaac Palka "How To Successfully Recognise and Manage the 3 Different Types of Tech Debt" av Asley Peacock Sluta peka finger! En intressant artikel från DarkReading handlar om ett uppsving just nu för tänket om att skapa en "schysst kultur" där man försöker stärka säkerhetsarbetet genom att skapa en trygg miljö där man inte riskerar att bli syndabock för eventuella säkerhetsmisstag. Det här är något som jag personligen känner igen från min bakgrund inom kärnkraftsvärlden där just detta med en "no blame culture" är en stor komponent i arbetet med en bra säkerhetskultur. Naturligtvis får man inte blanda ihop ärliga misstag med ont uppsåt eller direkt slarv. NIST är färdiga med vårt facit! I nyhetsbrev #35 berättade jag att NIST släppt en draft av ett spännande dokument. Nu har precis den skarpa varianten släppts. Jag repeterar det förra inlägget här (fast med länkar till det slutgiltiga dokumentet) om du missade det förra gången. Jag får erkänna att jag inte gått igenom och jämfört slutresultatet med draften men jag har svårt att tro att det blev några enorma ändringar. Ett dokument som är väl värt att ta till sig! Jag har tidigare skrivit om dokument från NIST, framför allt i Nyhetsbrev #28 där jag gick igenom "NIST Cybersecurity Framework", "NIST Special Publication 800-53" och "NIST SP 800-82". Nu har NIST släppt en draft av ett nytt dokument i 1800-serien som har det smidiga namnet "NIST 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector". Om du inte känner till 1800-serien så är det en samling dokument som är tänkta att vara "how-tos", alltså handfasta och praktiska rekommendationer kring hur man hanterar olika kniviga ämnen - i det här fallet OT-säkerhet för tillverkande industri. Det som är lite speciellt är att man gör det i samarbete med ett antal tillverkare och använder deras produkter rätt av som exempel på hur man kan göra. För min egen del hade jag inte koll på Dispel och GreenTec sedan tidigare men i övrigt är det idel välkända namn som medverkar. Vissa har förekommit i nyhetsbrevet tidigare, exempelvis ConsoleWorks från TDI Technologies som var med redan i nyhetsbrev #18! Det här är ett massivt dokument på drygt 300 sidor, uppdelat i tre delar. Det huvudsakliga innehållet beskriver hur man implementerar funktioner från "NIST CSF" med hjälp av dessa produkter. Som synes är det väldigt olika produkter: Säkerhetsfokuserade produkter som applikationskontroll i Carbon Black, sårbarhetshantering i Tenable.ot eller styrsystem-nära säkerhet i Dragos och Azure Defender Fjärråtkomst på ett säkert sätt via ConsoleWorks Generella historian-funktioner mm via OsiSoft PI Server. Tillsammans kokar de en ganska heltäckande soppa som bör gå alldeles utmärkt att utnyttja även om man inte använder just de här produkterna. I grunden är det ett ganska bra sätt att tänka brett genom att utgå från CSF. Jag kallade skämtsamt dokumentet för ett facit i rubriken, men man ska nog hellre se det som en receptsamling. Man kan byta ut de ingredienser som man saknar mot andra som man redan har hemma i skafferiet. Men det hjälper förstås också till att sätta ljuset på eventuella hål i det egna säkerhetsarbetet. Personligen ser jag väldigt ofta en stark slagsida mot preventiva skyddsåtgärder. En av mina favoritdelar i CSF är de fem grundläggande delarna, "Identify", "Protect", "Detect", "Respond" och "Recover". När man diskuterar utifrån dessa blir det ofta väldigt tydligt att alltför mycket tid och pengar ägnas åt "Protect" medan de övriga får betydligt mindre att dela på. Slarvar man med "Identify" blir alla de andra delarna (inklusive "Protect") betydligt mindre effektiva. Missar man någon av delarna i trojkan "Detect", "Respond" och "Recover" blir man väldigt sårbar om det hårda skalet man försöker skapa via "Protect" skulle brista. Mer rapporter att läsa? IEC har kommit med en serie tekniska rapporter kring "Smart manufacturing" där en av de tre delarna handlar om utmaningar kring säkerhet. Har inte haft möjlighet att läsa dem än, det låter spännande! Någon som hunnit läsa och kan berätta om sina intryck? Konferenser och webbinarier Det märks att det är ett ständigt ökande intresse kring OT-säkerhet och nu när det blivit möjligt att ordna fysiska event igen så ser man mängder av sådana annonseras! Bland webbinarierna är det svårt att gallra bland alla spännande möjligheter. Här är i alla fall tre event som jag personligen valt att delta i... Den 19:e till 21:a April kommer jag vara på S4x22 i Miami. Konferensen som väl ändå får räknas som den mest kända OT-säkerhetskonferensen i världen och förmodligen den största också. Sist jag tittade hade man passerat 500 anmälda men det finns biljetter kvar. Vore kul att ses där! Den 27:e och 28:e April kommer jag vara på NFEA Cyber Security Conference i Oslo . Även om namnet inte säger något om "OT" så är det ett event med fokus på OT-säkerhet. Kanske ses vi där? Den 30:e mars är du är hjärtligt välkommen att lyssna på mig och mina kompisar från ANDRITZ och OTORIO när vi berättar om hur vi tycker man bäst kan bygga säkra maskiner som också håller sig säkra över tiden! Det här är ju ett sammanhang där det blir väldigt tydligt att det krävs bra cybersäkerhet för att kunna bygga maskiner som inte riskerar att bli farliga för omgivningen. Vem är Mats? Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska. Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd. Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans. Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se ! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Jag skriver om mina insikter från ett rundabordssamtal, hotet från solstormar, OSINT (Open Source Intelligence) kring OT, "Pro"-versionen av TxOnes fina scanner-sticka, skillnaden mellan IT/OT/ICS, FMVs nya industrisäkerhetsskyddsmanual, scanning av OT-system, en titt på 2021 i några olika backspeglar och en massa annat spännande! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vad är egentligen skillnaden? På sistone har jag råkat snubbla över en hel radda dokument och blogginlägg där man ger sig på att förklara skillnaden mellan IT och OT med fokus på hur säkerhetsarbetet skiljer sig mellan de båda. Exempelvis läste jag texter från Cisco, Cyolo, Industrial Ethernet Book och ABB (som jag tror jag gillade bäst). Förmodligen är det ganska naturligt att det kommer allt fler texter kring det här i takt med att intresset kring OT-säkerhet verkligen har exploderat. De flesta förklaringar fokuserar fortfarande på tekniken som används och skillnaderna som kommer därifrån. I takt med att de tekniska skillnaderna mellan IT och OT allt mer suddas ut tycker jag det blir allt tydligare att vi inte kan resonera så längre. Det kan också vara intressant att ta del av Dean Parsons tankar kring den här frågan: Ska man backa tillbaka till vad vi egentligen försöker göra så är nog min personliga favoritdefinition att det istället styrs av vad som dyker upp i vår riskanalys. Hittar vi risker som har fysiska konsekvenser så är det OT-säkerhet vi sysslar med och är det konsekvenser kopplade till information så är det istället IT-säkerhet. MEN! Här finns numera en allt större stor gråzon där vi har båda typerna av risker samtidigt! Det betyder också att det blir allt vanligare att vi måste hantera situationer där vi samtidigt måste skydda en fysisk process tillsammans med informationen som hanteras i den. Det leder i sin tur gärna till att vi får OT-världens klassiska begränsningar (gammal utrustning, långt mellan serviceavbrotten och "insecure by design") men att vi samtidigt drar på oss säkerhetsåtgärderna från IT-världen (kryptering, stark identitetshantering och snabba uppdateringar), vilket förstås är extra utmanande. En besläktad aspekt är kompetensen hos oss som jobbar med dessa frågor. Joseph Jaubert skrev ett inlägg på LinkedIn nyligen som jag gillade och kände igen mig själv i. En viktig poäng han har är att kompetensutvecklingen måste spegla att IT och OT närmar sig varandra! Det är väl värt att läsa alla kommentarer som hans inlägg fick också! En sida av att IT och OT växer ihop är att våra ledningssystem för Informationssäkerhet numera också måste synka bra med hur vi styr upp OT-säkerheten. Här får jag (som vanligt) slå ett slag för att våra favoritstandarder ISO 27001 och ISA/IEC 62443 faktiskt passar riktigt bra ihop. En fråga där olika organisationer har valt väldigt olika vägar är hur man klassar sina säkerhetsbehov, vissa gör det enbart baserat på informationens skyddsvärde medan andra lägger till riskanalyser liknande dem som 62443 pekar på. Kan inte säga att jag har en personlig favorit, som vanligt är det väl "det beror på"... Om du lyssnat på mig när jag varit ute och predikat kring OT-säkerhet har du förmodligen hört mig mässa om vikten av att vi pratar på ett sätt som gör att vi förstår varandra mellan olika grupper. Ett exempel på ett ord som jag gillar är just "OT" eftersom det är lite lagom luddigt, knyter an lagom till IT och samtidigt sammanfattar en massa andra begrepp med mer specifika betydelser - exempelvis ICS, SCADA och DCS. Nu har det uppstått en "rörelse" som drar åt ett annat håll och driver en modell där IT, OT och ICS är de tre huvuddelarna. Jag förstår definitivt deras poäng som är vettig men jag tycker samtidigt att det är synd. Däremot har jag alltid gillat deras andra poäng, nämligen att komplettera C.I.A.-triaden från informationssäkerhet med S.R.P.-triaden för fysiska risker, Safety, Reliability och Performance. Du kan läsa mer i det här gamla inlägget. En diskussion jag hör allt oftare är om en viss attack som blir känd i media egentligen är en OT-attack eller inte. I linje med mitt resonemang här ovan kan jag tycka att den gränsdragningen blir allt mindre intressant. Läste exempelvis en artikel nyligen som resonerade kring en rapport från Mandiant där exempelvis det här citatet är taget: Leaked data includes password administration credentials from a maker of industrial and passenger trains, a hydroelectric power producer's list of user privileges and passwords, and source code from a provider of satellite vehicle tracking systems. Visst, även om det kanske inte var ett regelrätt OT-system som hackades så var det en attack mot en OT-verksamhet där konsekvenserna sannolikt påverkar något fysiskt! I slutändan kan jag tycka att just det är det viktigaste att fokusera på och att vi kanske borde dra ner på våra diskussioner kring gränsdragningen mellan IT och OT! Reflektioner från ett bord Härom veckan organiserade jag och kollegorna ett rundabordssamtal kring OT-säkerhet. Vi bjöd in 9 organisationer att delta från vitt skilda branscher och trots att vi gav dem väldigt kort varsel lyckades 7 av dem delta. (Och alla ville vara med!) Vi hade exempelvis med fastighetsautomation, elbolag, sjöfart, återvinning, skogsindustri, papper, tillverkande industri och en rad andra roliga områden. Det blev ett riktigt lyckat arrangemang där alla genast började dela med sig och samtidigt sög i sig av de andras erfarenheter! Något som jag tänkt på tidigare, när jag rört mig mellan branscher som konsult, bekräftades väldigt tydligt; hur lika deras utmaningar är - trots att verksamheterna är extremt olika! Naturligtvis ser deras risker extremt olika ut men utmaningarna för säkerhetsarbetet är trots allt väldigt lika! En annan klar insikt var hur stort det uppdämda behovet av att diskutera dessa frågor är. Diskussionerna handlade exempelvis om svårigheterna med dra faktisk nytta av investeringar i IDS-baserade säkerhetslösningar, hur försäkringsbolagen på allvar har börjat driva på säkerhetsarbetet inom OT, utmaningarna med säkerhet i leverantörskedjor (och i synnerhet svårigheterna med att hantera små leverantörer som inte orkar med de ökande säkerhetskraven) och förstås det uppenbara i att när IT och OT "växer ihop" så måste säkerhetsarbetet i de båda områdena också göra det! Apropå området försäkringar, som kommer bli väldigt spännande framöver, så kan jag rekommendera ett avsnitt av Dale Petersons "Unsolicited response" nyligen där detta diskuterades ur ett OT-perspektiv: Ett område som var speciellt intressant på rundabordet är diskussionerna kring "Supply Chain Security" som i sig är ett klurigt område men som blir extra utmanande i och med att väldigt många organisationer som traditionellt enbart "förbrukat" system och information även börjar bli leverantörer av system, tjänster och information. Det betyder i sin tur att säkerheten i organisationen och i dess leverantörskedjor helt plötsligt blir del av slutkundens leverantörskedja. Här tror jag personligen vi kommer se en enorm förändring när NIS2-direktivet blir verklighet i och med att man kombinerar en väldig breddning av antalet branscher som omfattas med att leverantörssäkerhet ska hanteras. Det betyder att väldigt många av de organisationer som inte själva berörs av direktivet ändå kommer åka med av bara farten eftersom deras kunder gör det! Det här formatet för diskussioner och erfarenhetsutbyte kommer definitivt att fortsätta. Ett enkelt och roligt sätt att (i mindre grupper) föra spännande diskussioner med människor som man annars aldrig skulle kunna samla. Att det dessutom sker utan att vi som leverantör försöker sälja på deltagarna något gör det förstås ännu bättre! Hör gärna av dig om din organisation också vill bli inbjudna framöver. ( mats@ot-sakerhet.se ) En oansenlig liten sticka... Det här är en sådan där produkt som egentligen inte skulle behövas i den perfekta OT-säkerhetsvärlden men som är nästan oumbärlig i den verkliga världen - där man inte alltid kan bygga, underhålla eller koppla ihop systemen som man själv vill! Om ni följt nyhetsbrevet ett tag kommer ni ihåg att jag skrivit om TMPS3 tidigare, läs gärna nyhetsbrev #16 för att förstå vilken unik produkt det faktiskt handlar om... Jag ska inte ge mig på att gå igenom alla funktioner igen men om man ska summera den gamla texten väldigt kort så handlar den om en USB-sticka som inte gick att använda som ett minne! Istället fick du en portabel virusskanner och inventeringslösning med stöd för Windows och Linux där du inte behöver installera någonting på datorn. För att lättare hitta skadlig kod kan du även boota datorn på stickan för att helt koppla bort det ordinarie operativsystemet. Praktiska försök hos kunder visade att stickan fungerade fantastiskt mycket bättre än andra scanningslösningar, i synnerhet när man använder den på äldre operativsystem! Nu har den dykt upp på mitt skrivbord i en uppdaterad PRO-version och då undrar man ju förstås vad som är nytt egentligen? Och vad som gör den till "PRO"? Lite ironiskt nog så är det faktiskt funktionen "säker lagring" som tillkommit, det vill säga nu kan den agera som den USB-sticka som den ser ut att vara! Fast på ett säkert sätt... Sedan jag skrev om produkten förra gången har den utvecklats en del i det tysta även på andra sätt. Den redan imponerande mängden officiellt supportade operativsystem har kompletterats med Ubuntu ända tillbaka till version 14.04, som släpptes 2014! Scannern är alltså supportad från TxOne även om du använder den på gamla operativsystem, det vill säga oavsett om det finns support från leverantören av operativsystemet och oavsett om du köpt eventuell förlängning av support för OS:et! Det här är förstås helt avgörande för väldigt många OT-miljöer som av olika skäl sitter fast i äldre system... Det första man märker är att TxOne har ansträngt sig för att göra en snyggare produkt. Det märks redan innan man öppnar förpackningen! En snygg låda med en proffsig design av produkten som andas kvalitet, helt i aluminium. Det snygga yttre kanske i någon mån avhjälper den tidigare versionens största utmaning: att den ser ut som en enkel USB-sticka men definitivt inte kostar som en sådan. Därmed definitivt inte sagt att den inte är värd sitt pris, den kan betydligt mer än dess anspråkslösa yttre hintar om! Den stora skillnaden för Pro-versionen är som sagt säker lagring - men vad menas med det då? Det handlar helt enkelt om en kul kombination av krypterad lagring och malware-skanning. Stickan tillåter endast att stickan används om man anger rätt lösenord för att "låsa upp" krypteringen. Alla filer skannas sedan av stickans mjukvara innan de tillåts lagras. Funktionen secure storage är dock (för tillfället?) begränsad till Windows och fungerar inte på Windows 2000. För mig som redan gillade TMPS3 är Pro-versionen är riktigt vettig uppgradering! Det här är en snygg lösning som dessutom fungerar snyggt ihop med TxOnes snygga lösningar för malware-skydd i OT-miljöer. Kombinationen säker lagring, malware-skanning, säker boot för att rädda infekterade system och inventering gör det här till en (vad jag vet) unik produkt som faktiskt löser verkliga problem i vardagen. Precis som med allt annat från TxOne får man en kraftfull lösning som samtidigt är så enkel att man behöver inte vara säkerhetsspecialist för att hantera den. Mer detaljer kring det praktiska kan du hitta i användarmanualen. Årets (hittills) bästa läsning om riskanalys! Sinclair Koelemij har (som vanligt) skrivit en riktigt bra artikel, den här gången om kvantitativa riskanalyser inom OT: "OT security risk and loss prevention in industrial installations". Han kopplar det på ett snyggt sätt till metoder som HAZOP och LOPA för att sedan avsluta med en (i mina ögon korrekt) kritik av hur riskanalys görs enligt IEC 62443-3-2. Jag ska inte ge mig på att återberätta utan rekommenderar att du läser texten själv. Han inleder med att citera John Bond, vilket är huvudet på spiken för att sätta tonen för artikeln: He who ignores the past is condemned to repeat it. Success in preventing a loss is in anticipating the future. You are not in control if a loss has to occur before you measure it. Hela världen känner till ditt OT-system! En intressant dragning med Selena Larson och Amy Bejtlich från RSA-konferensen kring OSINT mot OT-mål, alltså när man använder öppna källor för att kartlägga en organisation och deras system. Ögonöppnande och en bra infallsvinkel för att bättre skydda sina system! Alla älskar väl solsken? Jo, de flesta gör väl det - men det kommer ju en del annat från solen också. Vi är tydligen på väg mot ett par år med väldigt hög aktivitet från solen vilket kan få väldigt "spännande" konsekvenser här på jorden. Ett tydligt exempel är att det varit mycket norrsken ganska långt söderut på sistone. Det här är ett område som är värt att läsa på om för att ta med i era riskanalyser i alla möjliga processer och system! Ett exempel som skulle drabba väldigt många är om det blir störningar i GPS-systemet som ju är en av de viktigaste källorna till exakt tid. Amerikanska NOAA har en tydlig illustration med exempel på vad som kan hända. Säg hej till maskinproduktförordningen! Min kollega Igor Bogunic publicerade nyligen en kort text kring de kommande förändringarna i maskindirektivet. (Som jag även skrivit om tidigare i nyhetsbrev #27) Det påminde mig om hur mycket spännande som kan komma ur den här förändringen! Jag läste nyligen ett whitepaper från OTORIO med vettiga tankar kring vad just en maskinbyggare behöver tänka på nuförtiden för att kunna ta sitt ansvar för säkerheten i produkterna! I takt med att ny teknik byggs in behöver man också förändra sitt sätt att arbeta med produktsäkerhet! Varsågod! En ny Industrisäkerhetsskyddsmanual! Om din organisation lyder under säkerhetsskyddslagstiftningen kan det vara värt att titta på FMVs sprillans nya Industrisäkerhetsskyddsmanual. Inget specifikt för OT-säkerhet men däremot en massa klokskap och erfarenhet neddestillerat i text! Vilka verktyg kan scanna OT-system? Jag snubblade över ett spännande dokument på förhandspubliceringssajten arXiv. Det är skrivet av Emmanouil Samanis, Joseph Gardiner och Awais Rashid från University of Bristol som tittat sätt att jämföra verktyg för att hitta och identifiera OT-system. Spännande ämne om man vill dyka i detaljer! Om inte annat så hade de en del verktyg i sin lista som jag inte hade koll på sedan tidigare. Hur får vi fler att jobba med OT-säkerhet? Jag tycker det är jättekul att några av er emellanåt hört av er till mig (mats@ot-sakerhet.se) med funderingar kring att börja jobba med OT-säkerhet. Det kan vara folk som vill byta spår eller andra som fortfarande utbildar sig men vill sikta åt det här hållet. Vi behöver verkligen bli fler med den här typen av kompetens! Det är tyvärr många som tror att de behöver något slags semi-magisk kompetens för att kunna göra nytta vilket jag tycker är helt fel! Oavsett om du kommer från automationshållet eller IT-säkerhetshållet behövs du! Jag får ofta frågan om vilket jag tror är "bäst" - att lära en IT-människa om OT-världen eller att lära "automationsfolk" om IT-Säkerhet. Jag tror båda varianterna behövs och fungerar ungefär lika bra. Det som är svårt att "lära ut" är känslan för hur en produktion (oavsett typ) fungerar - att alltid sätta Safety först, att resonera annorlunda kring förändringar i miljön och en massa andra småsaker som påverkar hur folk tänker. Min rekommendation till alla är att försöka skaffa den överlappande kompetensen praktiskt. Så länge man är ödmjuk och villig att lära sig är det faktiskt ganska lätt att komma in i den här branschen! 2021 i backspegeln! Så här, ett antal veckor in på det nya året, kommer en radda årsrapporter och här har vi tre av dem... Jag har tidigare skrivit om ZDI, Zero Day Initiative, som ju ligger bakom att en väldigt stor andel av de sårbarheter som upptäcks också hanteras på ett ansvarsfullt sätt gentemot leverantörerna. De har ju en nära relation med produkterna för virtuell patchning från TxOne som jag också skrivit flera gånger om tidigare. Nu har de släppt sin årsrapport för 2021 och vi kan exempelvis notera att en dryg tredjedel av alla sårbarheter som de annonserat har varit OT-relaterade! Bland topp-20 av de leverantörer som hade flest sårbarheter finns en hel rad som har OT-produkter. Varför det är så här kan man ha lite olika åsikter om men i grunden är det förstås positivt och kommer leda till robustare produkter baserat på ett bättre säkerhetsarbete. I samband med ZDIs rapport ska vi förstås också nämna syskonet TxOne, som också kommit med en riktigt snygg rapport som utgår från "MITRE ATT&CK for ICS" i sin analys. En enskild siffra som tydliggör hur mycket fokus som läggs på sårbarhetsforskning inom OT nu är att 28% av alla OT-sårbarheter som någonsin fått en CVE, upptäcktes under 2021! Nozomi har släppt sin rapport för andra halvåret 2021 som är en välmatad historia som tittar på välkända incidenter med fokus på supplychain-attacker, några IoT-botnets, hur mängden sårbarheter utvecklats och lyfter tänkbara strategier för säkerhetsarbetet. Lite siffror att luta sig mot... De spännande Israeliska uppstickarna OTORIO som sysslar med risk management inom OT har gjort en undersökning som pekar på en del intressanta fakta! De har bland annat tittat på var ansvaret för OT-säkerhet brukar ligga i organisationer, hur man upplever att riskerna förändrats på senare år, det ökade fokuset på säkerhet i leverantörskedjorna, varför man inte får ut det värde man hoppats av sina investeringar i OT-säkerhet och hur budgetarna för OT-säkerhet ser ut att utvecklas framöver. Väl värt att titta närmare på! Status kring NOA och MTP! Du kanske har läst mina tidigare texter kring "NAMUR Open Architecture" om du är intresserad av säkerhet inom Industri 4.0 eller IIoT. Nu har organisationerna NAMUR, ProcessNet, VDMA och ZVEI kommit med en gemensam statusuppdatering som är riktigt intressant även ur andra perspektiv än säkerhet. Läs! Jonas gör det igen! Det finns vissa människor som, förutom att de genomskådar komplexa begrepp och sammanhang, dessutom klarar att förklara dem på ett sätt som faktiskt gör dem betydligt mindre komplexa. Jonas Berge på Emerson är definitivt en sådan person. Bland annat har han förklarat skillnaden mellan "Industri 4.0" och "IIoT" på ett sätt som faktiskt både är meningsfullt och lätt att förstå! Det är inte en ny text men den är bra! Jag rekommenderar att du tar dig tiden att botanisera bland alla hans fantastiska artiklar på LinkedIn. Joe gör det också igen! En annan pålitlig källa till smarta (och ibland kontroversiella) åsikter är Joe Weiss. I ett blogginlägg nyligen pekar han på ett antal kluriga skillnader mellan säkerhet i "control systems" och OT-säkerhet. Som vanligt smart och insiktsfullt! Godis på franska! Om man råkar kunna andra språk än svenska och engelska finns en mängd spännande material att ta del av inom OT-säkerhetsvärlden. Ett bra exempel är franska ANSSI (Agence nationale de la sécurité des systèmes d'information) som nyss lade ut rekommendationer kring Siemens Scalance och Hirschmann-switchar. Själv har jag ingen aning om vad de skriver men jag har hört från "en vanligtvis välunderrättad källa" att de är riktigt bra. Je vous en prie! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

Du får precis som vanligt en rejält blandad kompott. Det blir exempelvis mina högst personliga tankar kring det kluriga området segmentering, en titt på historien inom automationsbranschen, smått provocerande tankar kring tillgången på kompetens, ett kul exempel på hur Log4Shell används, spearphishing mot industrin, en uppmaning att byta arbetsgivare och en massa annat! Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet! Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen! Vad tycker du om segmentering? Något som alltid väcker diskussion är segmentering. Av någon anledning så finns det ovanligt många åsikter och väldigt mycket tyckande kring det här ämnet. Och då skall väl inte jag vara sämre? Här är lite blandade tankar och extremt personliga tyckanden från min sida kring det här. Samtidigt ska jag förstås påminna om att det finns undantag från allt, situationer där annan klokskap är viktigare! Jag vore väldigt tacksam för lite mothugg och fler idéer kring detta. mats@ot-sakerhet.se Det handlar inte bara om nätverk! Segmentering brukar bli väldigt fokuserat på nätverk, kanske för att det egentligen är den enkla delen? Det som brukar bli svårt och dyrt är andra saker, lite "högre upp" i näringskedjan, som är svårare att skära i småbitar. Se till att ha tänkt igenom det du vill göra hela vägen innan du börjar stycka upp nätverket, annars kan det visa sig att du får börja om... AD, Active Directory, är ett sådant exempel där man gärna vill ha en gemensam bas att stå tvärs igenom den segmenterade miljön. Tyvärr innebär det ju också att man i någon mån "kortslutit" segmenteringen. Om det är en bra idé i alla fall får man avgöra från fall till fall i en riskanalys. Hur ordnar vi Fjärråtkomst för leverantörer och för egen personal på "kontoret"? Är det ok med en vanlig VPN och hur separerar vi åtkomst till olika zoner? Hur hanterar vi åtkomst mellan olika "fabriker"? Backuper liknar problematiken med AD om man vill ha automatiserade nätverksbackuper. Vissa löser det med ett separat backupnätverk "på baksidan", något som jag sällan tycker blir speciellt bra eftersom det introducerar multihoming (se separat punkt) och gör backupservern till en extremt känslig och utsatt punkt. Utskrifter blir ibland också en variant på samma problem, speciellt i situationer där man kör stenhårt med centraliserade skrivarservrar. Här är det ofta en gammal hederlig avvägning mellan risk och kostnad som krävs... Använd 62443 - inte Purdue! Inget ont om Purdue-modellen, den är högst relevant fortfarande - men den ska användas som den var tänkt från början, som en arkitekturmodell och inte som en nätverksstruktur. Jag ser lite för ofta att man skapar enorma nät döpta till "Nivå 2", "DMZ" osv. Det kan mycket väl vara vettigt i enstaka fall men oftast tycker jag man ska gå på tänket i IEC 62443 med "Zones" och "Conduits" (som baseras på en riskanalys och förståelse för systemen i nätverket) istället. Sannolikt blir det fler nät än nivåer, definitivt när det gäller DMZ! Glöm inte heller bort att skapa administrativa nät för nätverksutrustning och sånt! Inte heller nät för att samla in information från säkerhetsprodukter. En riktigt bra diskussion från S4x19 belyser det här bra. Multihoming är dålig segmentering! Det finns absolut situationer när det är vettigt att ha flera nätverksinterface på ett system som är anslutna till flera olika nätverk. Tyvärr skapas den här typen av lösningar lite för ofta som ett sätt att "slippa" jobba med brandväggsregler. Problemet är att du kortsluter brandväggen och försämrar därmed förmågan att styra och förstå nätverkstrafiken. Förstå först! Jobba sedan! Man kan definitivt göra en grov, första segmentering baserat på det man tror sig veta om sina system. Men innan man gör några mer avancerade segmenteringar tycker jag absolut att man ska ha örnkoll på vad som faktiskt finns på nätet - i verkligheten! Personligen tycker jag det bästa sättet är att tidigt investera något verktyg för detta som sedan dessutom kan fortsätta stötta säkerhetsarbetet hela vägen "in i mål". Kom ihåg det kloka från NIST CSF där den första av de fem delarna är IDENTIFY som lägger grunden för de andra delarna! Säkerhet är inte bara intrångsskydd! Det blir lätt fokus på att skydda oss mot inkräktare men det finns mer att ta hänsyn till när man skapar sin segmenteringsstrategi än säkerhet. Några av de viktigaste tycker jag är: Tillgänglighetskrav och SLAer är lätt att glömma men har stor påverkan på hur den praktiska driften går till. Om man blandar olika krav på tillgänglighet i ett och samma nätverk kan det bli svårt att planera driftavbrotten. Om man blandar utrustning med olika ägare i samma segment/zon blir det fler parter att blanda in i driftplanering och ändringshantering. De delar av utrustningen som hanterar tidskritisk kommunikation behöver vara ifred för att må bra oavsett vilken nätverksteknologi som man använder. Internet är inte en nätverksnivå! Ofta ser man "Internet" inritat som ett moln överst i en nätverksstruktur. (Ofta ovanför Nivå 4/5 i en Purdue-inspirerad bild.) Jag föredrar att se Internet och "Molnet" som ytterligare en typ av bärare för information och tjänster och som därför kan finnas (nästan) var som helst i nätverksmodellen. Så länge riskanalyser, tillgänglighetskrav och juridiken är överens så kan vi faktiskt blanda on-prem med moln utan problem. (Därmed inte sagt att det är en enkel avvägning att få till! Inte heller att det är enkelt att göra det tillräckligt säkert...) Logisk eller fysisk? Ett hett diskussionsämne i sig självt är kring när det är ok att använda logisk segmentering och när man behöver ta till en fysisk dito. Är VLAN ok eller krävs separat infrastruktur? Är virtualisering ok eller krävs separat hårdvara? För att göra det ytterligare lite mer klurigt finns ju numera ofta flera nivåer av logisk separation i samma utrustning att ta till, där det inte alltid är självklart vad skillnaden i säkerhet egentligen är. Små steg men inte för små delar! Det är inte ovanligt att segmenteringsprojekt tar oerhört mycket mer tid än vad man trodde från starten. Som jag uppfattat det beror det oftast på att man försöker lösa alla problem på en gång och samtidigt försöker skära sönder nätverket i väldigt små delar. Segmentering är inte enkelt men det blir mycket enklare om man har en strategi som håller över en längre tid men sedan tar en liten del i taget. Tänk stort! Tänk litet! Se till att ha ett grundtänk som kommer hålla! Vad är syftet med segmenteringen? Vad är egentligen ambitionsnivån? Glöm inte att ditt segmenteringsupplägg måste tåla förändringar i förutsättningarna. Kanske måste ni kunna hantera att ni bygger nya fabriker eller köper upp en konkurrent? Tekniska förändringar i systemen kommer garanterat dyka upp och måste gå att hantera utan att bygga om hela nätverket! Hur undviker vi att "störa" driften på "IT-sidan" med begränsningar och risker som kommer från "OT"? Historien och framtiden! Lyssna gärna på avsnitt 43 av podden "Manufacturing Hub" där Vlad och Dave pratar med Benson Hougland från smått legendariska firman "Opto 22". Förutom en massa spännande diskussioner får vi en ovanligt intressant historik kring automationsbranschen med en radda fakta som i alla fall jag hade missat. Som en rejäl krydda på moset får vi ett gäng framtidsspaningar kring vart branschen är på väg, där mer traditionell teknik möter något modernare koncept som MQTT eller NodeRed och där citatet "Software will eat the world" verkligen även kommer gälla vår bransch. Opto 22 är ett sånt där gammalt rejält företag som man blir lite glad av, lite likt exempelvis tyska Phoenix Contact (som förvisso är ännu äldre), där man inte låter lång historik komma i vägen för kreativt tänkande framåt och modern teknik. Kul! Leta efter anomalier i en PLC? En intressant artikel där Caleb Purcell djupdyker i några exempel på hur man skulle kunna upptäcka attacker mot en PLC som egentligen inte ska gå att upptäcka med hjälp av normala säkerhetsverktyg som analyserar nätverkstrafik. Ett klockrent exempel är att någon kopplar in sig lokalt via USB eller en serieport. Återstår att se om detta kommer resultera i någon form av verktyg. Vi har tillräckligt med OT-kompetens! En underbar video med legenden Ralph Langner som driver tesen att vi har fullt tillräckligt med OT-säkerhetsfolk men att vi behöver använda dem till något vettigt istället för att slösa bort deras tid på arbete som skulle kunna automatiseras. Jag kanske inte håller med till 100% men visst har han ett par bra poänger? Log4Shell fortsätter leverera! Sårbarheten Log4Shell är förmodligen den "roligaste" sårbarheten jag någonsin stött på och det är framför allt för att den kan utlösas på så många kreativa sätt. Just av det skälet (som jag påminde om i förra nyhetsbrevet) är regler och IPS-skydd för anslutningar som kommer inifrån är (nästan) lika viktiga som skyddet utifrån. Min favorit bland angreppen så här långt är det här angreppet mot passersystem genom manipulerade RFID-kort. (Inte så avancerat som det låter, det går snabbt att fixa med en vanlig mobiltelefon.) Kortet skickar med en liten sträng som är tänkt att få passersystemet att försöka kontakta en "elak" server på Internet. Systemet i bilden visade sig senare inte vara sårbart, men det var faktiskt sant att någon gick runt och blippade kort som kryddats med lite JNDI-kod... Spyware mot industriföretag! Threatpost skriver om att Kaspersky i en ny rapport larmar om en kampanj med spearphishing-attacker med en lite annorlunda karaktär "jämfört med det vanliga". Attackerna tycks vara riktad mot industrier och speciellt mot deras OT-system. Intressant analys av hur snabba och korta dessa kampanjer är vilket tillsammans med att de använder stulna mejlkonton förstås gör det väldigt svårt att försvara sig på ett bra sätt. S4x22 senareläggs! Inte helt oväntat har arrangörerna av S4x22 beslutat att skjuta fram konferensen till andra halvan av April. Miami South Beach är inte så dumt i Januari men blir säkert ännu bättre i April. Några fler som ska dit? Dags att byta jobb! Då har jag lyckligt landat i mitt nya jobb på AFRY, där gräset faktiskt verkar ännu grönare än jag trodde! Jag önskar att jag kunde berätta om allt roligt som är på gång men ni får hålla er ett litet tag till! Jag vill påminna om den makalösa chansen av vara med "från start" på vår fantastiska OT-säkerhetsresa på AFRY! Det här kommer bli riktigt roligt, både på grund av kollegorna i teamet och förstås också i alla spännande uppdrag! Det spelar ingen roll var du bor, det löser sig - AFRY finns verkligen i hela landet! Du hittar annonsen här. Personligen ser jag verkligen fram emot att jobba med både dig som redan är OT-säkerhetsproffs och med dig som vill byta spår till det här framtidsområdet! Vill du jobba med andra typer av säkerhet finns det en radda annonser för det också! Hör av dig! Amazons syn på "Edge" Är du fundersam över konceptet "Industrial IoT"? Eller kanske begreppet "Edge" i det sammanhanget? Amazon Web Services har gett ut ett ganska bra Whitepaper "Industrial IoT Architecture Patterns" där de går igenom området på ett snyggt sätt och även kopplar till etablerade begrepp som exempelvis ISA 95. Huvudattraktionen är som namnet hintar om arkitekturmodeller för olika scenarier. Sårbar mobiltelefoni! På ACSAC-konferensen publicerades riktigt jobbiga sårbarheter i alla mobiltelefoni-tekniker från 2G till 5G. Det har varit förvånansvärt tyst kring dessa än så länge. I korthet går det ut på att det är väldigt enkelt (!) att störa (DoS) eller ta över kommunikationen (MitM). Riktigt dåliga nyheter för de som inte skyddar sin mobilkommunikation med ytterligare kryptering oavsett om de har ett "privat" nätverk eller inte. Det kompletta pappret är åtkomligt via konferensen och har mycket detaljer att gotta sig i! Riskhantering i OT-världen! Ett riktigt bra whitepaper från Radiflow om hur man praktiskt kan jobba med riskmanagement i OT-världen. Den kommer med lite reklam för deras produkter men det kan man stå ut med när innehållet är så bra. (Dessutom råkar de ju faktiskt ha riktigt trevliga produkter!) Vi får eleganta kopplingar till resonemangen i IEC 62443, attacksimuleringar, resonemang kring sannolikheter och klokskaper kring åtgärdsplanering! Honeywell lurar oss! Honeywell har lanserat stöd för "Deception" i några av sina plattformar vilket jag tycker är jättekul! Deception-teknik påminner om klassiska Honeypots men har tagit konceptet vidare genom att bli mer dynamiskt och mer avancerat i sin analysförmåga. Deception är något som jag personligen tycker passar väldigt bra i OT-säkerhetsarbetet men det har än så länge inte riktigt slagit igenom även om det kommer fler och fler produkter. Några exempel som är intressanta är Fortinet som har kraftfullt stöd för att skapa fejkade OT-kompontenter i sin FortiDeceptor och Illusive som är riktigt nyskapande i sitt sätt att massivt krydda system med försåtminerade detaljer. Det här är förstå gången (så vitt jag vet?) som en leverantör av OT-system bygger in stöd för detta i sina system, spännande! Nytt år och nya möjligheter! Dale Peterson gör förutsägelser för 2022. Som vanligt när det kommer från Dale är det en hel del klokskaper. Personligen hoppas jag mest på att punkten virtualiserade PLCer från en större tillverkare slår in till slut. Det skulle kunna göra så mycket nytta för verksamheter där man har svårt att få till förändringar. Men det är klart... Garanterat skapar det en del riktigt intressanta säkerhetsutmaningar också... NATO reder ut begreppen! Ta del av ett utmärkt (och sprillans nytt) NATO-papper kallat "GUIDE FOR PROTECTING INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS AGAINST CYBER INCIDENTS" , skrivet av Vytautas Butrimas som på endast 45 sidor går igenom OT-säkerhetsområdet grundligt och utforskar en massa bra resurser och smarta åtgärder. Proaktivt försvar från Mandiant! Mandiant har släppt ett papper "Proactive Preparation and Hardening to Protect Against Destructive Attacks" som förvisso inte är inriktat på OT men som är väldigt giltigt även för vårt område. Det finns även en rad avsnitt kring exempelvis IT/OT-segmentering och egress-begränsningar som är extremt relevanta för oss. Jobbar du med dricksvatten? - EU är på din sida! Europeiska kommisionen har släppt en teknisk rapport från projektet "European Reference Network for Critical Infrastructure Protection" som ska hjälpa organisationer som tillhandahåller dricksvatten att få till sitt säkerhetsarbete på ett bättre sätt. Jag tyckte det var lite svårt att bedöma kvaliteten på dokumentet och är därför nyfiken på att höra från vad ni som arbetar med dessa frågor till vardags tycker? Grattis till Phoenix Contact! Phoenix Contact annonserar att de fått en certifiering av en radda PLC:er där utvecklingsarbetet skett enligt mognadsnivå 3 (den näst högsta) enligt 62443-4-1 och där de tekniska säkerhetskraven utformats enligt 62443-4-2. Om jag tolkar informationen rätt klarar PLCn därmed att uppfylla SL2 enligt 62443-3-3. Jag har personligen inte sett någon annan leverantör klara detta. Det här är förstås inte lösningen på alla våra säkerhetsutmaningar men det är ett helt avgörande steg mot att kunna få lite meningsfull säkerhet närmast den fysiska processen! Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt. Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet! Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta! Du hittar tidigare nyhetsbrev på ot-säkerhet.se.