Nyhetsbrev OT-Säkerhet #49

Dags för ett nytt nyhetsbrev kring OT-säkerhet men jag ser redan fram till nästa gång eftersom det kommer att bli ett jubileum då, det är den 50:e utgåvan av nyhetsbrevet! Nytt är också att nyhetsbrevet även annonseras på Mastodon.

Den här gången funderar jag över framtiden i automationsbranschen, vi läser både en bok om Threat Hunting och vägledningar från Energimyndigheten, vi tittar på uppdateringar från MITRE, ser fram emot S4 och ett ny version av NISTs ramverk, jämför Common Criteria med IEC 62443, lyssnar på kloka tankar kring EUs CRA, funderar på om sårbarheter är viktiga, bestämmer oss för att vara aktiva, pekar på vägar för den som vill in i OT-säkerhetsbranschen, vi hittar en tidsmaskin i Linux och vi konstaterar att information vill vara fri på samma sätt som entropi är kung!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, på Mastodon, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Ut på jakt!

Sqrrl, som sedan några år tillbaka ägs av Amazon, skapade för några år sedan en gratis bok: "Hunt Evil, Your practical guide to Threat Hunting" som jag tycker beskriver Threat Hunting på ett extremt bra sätt. Jag blev påmind om detta för ett tag sedan i samband med en diskussion om just detta ämne, som ju det finns väldigt många onödiga missförstånd kring. Dokumentet har verkligen ingenting specifikt med OT-säkerhet att göra men jag tycker de sätter fingret på väldigt många viktiga punkter. Med tanke på att just jakten är en av de absolut viktigaste delarna i vilken SOC som helst, så är det avgörande att vi har så få missförstånd som möjligt! Och utan en fungerande SOC skulle för övrigt jag säga att det nästan är omöjligt att bedriva ett vettigt säkerhetsarbete idag... Jag har varit inne på ämnet Threat Hunting tidigare i lite olika sammanhang om du vill läsa mer.

Grundläggande krafter!

Trogna läsare vet att jag pekat på kloka texter av Phil Venables emellanåt. Nu har han formulerat "De 6 grundläggande krafterna hos informationssäkerhet" som jag gillade och jag kunde förstås inte låta bli att reflektera över dem i ljuset av OT-världens förutsättningar.

Hans 6 krafter är:

1. Information wants to be Free

2. Code wants to be Wrong

3. Services want to be On

4. Entropy is King

5. Complex Systems break in Unpredictable Ways

6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational)

1. Information wants to be Free

Data leaks unless managed, access degrades without rules, and information is ethereal. You can think of this force in both senses of the word free, that is it innately wants to escape its boundaries as well as in the original context of the term, from Stewart Brand: “Information wants to be free. Information wants to be expensive....that tension will not go away”.

Man brukar ofta höra att OT inte innehåller någon känslig information, men märkligt nog brukar informationen som pumpas ut ur OT-systemen efter att man "digitaliserat" ändå betraktas som känslig... I takt med att många OT-miljöer växer sig närmare sitt syskon IT-världen uppstår förstås en massa nya sätt för information att "läcka". Dessutom kan konsekvenserna av att information om OT-miljöns utformning läcker ut och kommer i fel händer, bli värre efter att IT och OT växt ihop genom att det kanske är enklare för en angripare att ta sig via "IT" till "OT".

2. Code wants to be Wrong

Bugs are inevitable, in all their forms, across the spectrum of requirements, design, and implementation. Some bugs are security vulnerabilities and exploitable bugs can become a realized risk. I first heard this from Bob Blakley many years ago.

Precis samma sak gäller förstås även i OT-världen, möjligen med skillnaden att felaktigheter tenderar att vara kvar längre eftersom man drar sig för att uppdatera "i onödan". För de som programmerar PLC:er vill jag påminna om projektet "Top 20 Secure PLC Coding Practices" som verkligen tar hand om många säkerhetsproblem genom kloka sätt att programmera.

3. Services want to be On

Unless positively constrained, attack surfaces grow. Risk is proportional to attack surface. Unknown services are never checked. There is a Murphy’s Law corollary of this which could be stated as: services want to be on, unless you really want them to be on and then they often fail.

I OT-världen tror jag att detta oftast uppstår under felsökning, när man i lätt panik provar att slå av och på alla möjliga funktioner i något slags mer eller mindre ostrukturerad blindbock-variant av analys. Ett annat vanligt sammanhang är helt säkert vid tester och uppgraderingar när man gärna slår av säkerhetsfunktioner "tillfälligt".

4. Entropy is King

Unchecked controls fail over time, untested resilience fades gradually and then suddenly. Constant counterbalance is needed. Everything degrades unless countered with a force to keep it in place. This is why continuous control monitoring and, in effect, “control reliability engineering” is so essential.

Den här kan vara extra lurig när det kommer till OT. Det är vanligt att man har som viktigaste prioritet att inte råka "störa" produktionen, vilket tenderar att gå ut över regelbundna tester av redundanta funktioner, backup-återläsning och annat som är till just för att produktionen inte ska "störas" och som bara förväntas fungera någon gång i framtiden när de plötsligt behövs. Manuella rutiner är ett annat klurigt område, då det är lätt att missförstånd eller tidsbrist gör att den manuella rutinen inte utförs längre.

5. Complex Systems break in Unpredictable Ways

Simple systems that work may still collectively fail when composed together - and will often do so in unpredictable and volatile ways.

Det gäller förstås även när säkerheten fallerar. En vinkel på detta inom OT är att man väldigt ofta inte har full kontroll över hur komplex den egna OT-miljön faktiskt är. Ett mycket vanligt utfall när man testar en inventeringslösning är att mängden komponenter plötsligt "ökar" väldigt mycket. Men det är klart, känd komplexitet är 100 gånger bättre än okänd komplexitet, alla dagar i veckan!

6. People, Organizations and AI Respond to Incentives (and inherent biases but not always the ones we think are rational)

The macro/micro economics of information security are important to align incentives. This can help to ensure we reduce the right risks in prioritized order factoring in opportunity and productivity cost.

Att vi ska sätta rätt mätvärden och belöningar vet alla, problemet är att vi sällan kan definiera riktigt bra mål. Det är väldigt sällan jag träffar på en verksamhet som mäter sina produktionsenheter på både produktionsutfall och risk/säkerhet. Och om jag hade det perfekta svaret på hur man formulerar det på ett bra sätt hade jag varit en rik konsult...

Bottom line: new issues and risks surface all the time. The more we can resolve those to some basic forces, and counter (or use) those forces - the less likely we will be surprised by those new issues.

Precis så! Inom OT är det tyvärr vanligt att man försöker jaga ikapp sårbarheter med samma metoder som IT använder. Det handlar ofta om att man fokuserar på att förebygga och därmed minska sannolikheten för att något jobbigt kan hända. I de flesta sammanhang är det vettigare att istället först ta hand om de värsta konsekvenserna och bygga robusthet i den fysiska processen.

Linux innehåller en tidsmaskin!

Med tanke på hur länge OT-utrustning tenderar vara i drift kan det vara hög tid att fundera på nästa "År 2000-problem" som drabbar oss 2038. I mitten av Januari 2038 kommer nämligen alla system som bygger på tideräkningen från Linux att plötsligt åka tillbaka i tiden till december år 1901! Med tanke på hur mycket utrustning som innehåller olika varianter av Linux-system så står vi inför jobbiga tider... Att det här ska vara löst kan det vara dags att börja ta med som krav när ni köper system framöver? Wikipedia har en bra genomgång.

Nybörjare inom OT?

Jag får emellanåt frågor kring hur man bäst tar sig in i OT-säkerhetsbranschen. Personligen tror jag man har enorm nytta av att ha arbetat med något annat i verksamheter där OT är viktigt - inte för att lära sig om OT-säkerhet utan för att det ger en bra förståelse för fokuset på Safety-frågor, hur viktig stabil produktion är och vad som är typiska utmaningar i vardagen. Till det måste man förstås lära sig en massa kring automationsteknik hur den används i processautomation.

Och så måste man förstås lära sig en massa om själva säkerhetsarbetet inom OT. Här kan jag tipsa om två artiklar (Artikel 1 och Artikel 2) av Manjunath Hiregange där en massa bra resurser raddas upp! Han publicerade förresten också nyligen en sammanställning över metoder för assessments. En annan resurs skriven av Dieter Sarrazyn innehåller också mycket godis! Mycket nöje!

Vi har fått vägledning!

Energimyndigheten har publicerat 47 sidor vägledning till den NIS-föreskrift som kom förra året. Som de flesta föreskrifter innehåller den "Allmänna råd" som inte alltid är är så hjälpsamma som man kan tro av namnet. Därför är en vägledning av det här slaget väldigt användbar för att det ska bli lite tydligare hur kraven ska tolkas i praktiken. Som en liten extra bonus får man referenser till standarder och ramverk som är relevanta för respektive krav. Snyggt!

Att vägledningen är användbar för de organisationer som berörs av tillsyn från Energimyndigheten är ju uppenbart men jag tror den kan vara bra som hint om ungefär vad vi kan vänta oss från övriga tillsynsmyndigheter framöver. Nu har Energimyndigheten satt nivån, upp till bevis övriga myndigheter!

MITRE uppdaterar CWE!

MITRE som kanske är mest känt för sitt ATT&CK-ramverk har fler strängar på sin lyra. En av dessa är CWE, Common Weakness Enumeration, som är ett systematiskt sätt att beskriva svagheter i mjuk- och hårdvaror. De annonserade just att de gjort ett ganska omfattande lyft i CWE för att få detta att passa ännu bättre i OT-världen.

Du kan ha stött på CWE i sårbarhetsannonseringar, ofta tillsammans med akronymerna CVE och CVSS. CWE beskriver vad det är för svaghet som orsakar sårbarheten, CVSS försöker beskriva allvarlighetsgraden på en skala som går upp till 10.0 och CVE är ett löpnummersystem som hjälper oss att referera till rätt sårbarheter.

CWE kan kännas lite akademiskt och överarbetat, men personligen gillar jag att det hjälper mig att tolka sårbarhets-annonseringar enklare. Det blir ett enhetligt sätt att beskriva problemet, istället för att varje leverantör eller säkerhetsforskare ska hitta egna ord.

Hur blir framtiden?

Rafael Maman från Sygnia har publicerat ett riktigt roligt, bra och vasst formulerat papper som tar avstamp i vad som historiskt ligger bakom många av dagens sätt att arkitekturellt jobba med OT-säkerhet och ställer det mot initiativ som de tänker sig kan vara framtidens sätt att bygga automationssystem. Man pekar främst på O-PAS från OPAF (Open Process Automation Standard från Open Process Automation Forum) som vår bästa chans och med NAMURs NOA (NAMUR Open Architecture) som ett tänkbart alternativ.

Jag ska inte ge mig på att återberätta innehållet, det är väl värt att läsa för sig. Jag håller med om det mesta som de skriver om även om jag inte har någon stark åsikt om hur framtidens automations-system kommer se ut. Om du läst mina texter förut vet du att jag gillar NAMURs NOA-arkitektur, åtminstone när det handlar om hur man får in IIoT-teknik på ett bra sätt om man envisas med en klassisk Purdue-liknande modell. Ska man gissa så blir det förmodligen en blandning av de ledande tankesätten som till slut "vinner".

Jag skulle gärna höra från dig som har erfarenhet och åsikter om bra och dåliga sätt att bygga automationssystem idag och i framtiden. Oavsett hur det blir så blir det intressant och den riktigt stora utmaningen blir väl det enorma skifte i kompetenser som kommer behövas för att ta oss i en ny riktning.

Snart smäller det i Miami!

Den 13:e februari drar årets S4-konferens igång och det blir fullsatt. Nu är alla biljetter slutsålda! Riktigt kul också med stort deltagande från vårt håll i världen, vi är tretton deltagare från Sverige och nästan lika många vardera från Danmark, Finland och Norge. Många bekanta namn och en hel del nya också. Ska bli riktigt roligt!

Också roligt är att arrangörerna lägger väldigt mycket kraft på att hjälpa "worthy causes", dvs organisationer som på olika sätt arbetar för att stötta samhället. De får alldeles gratis de bästa utställarplatserna.

Räkna med att jag återkommer i nästa nyhetsbrev med en väldig massa nya intryck! Blir det bara hälften så bra som sist så kommer jag ändå vara nöjd. Jag passar på att bjuda på en inspelning av en draging som Joe Slowik höll förra året:

NIST Cybersecurity Framework 2.0!

NIST har dragit igång arbetet med en uppdaterad version av sitt användbara ramverk CSF. I ett "Concept Paper" beskrivs vad målen är och hur man tänker sig att detta ska gå till. Enligt planen ska allt vara klart om ungefär ett år.

En stor skillnad verkar bli att man bryter ut alla delar som har med Governance att göra (främst från Identify) och lägger då till en ny funktion "Govern" till de gamla fem (Identify, Protect, Detect, Respond och Recover). Jag tror det kan vara ett bra sätt att komma åt säkerhetsarbete som bara går ut på att kunna bocka av kravlistor. Det verkar också bli mycket fokus på Supplychain-säkerhet och på att mäta säkerhetsförmågor.

Jag gillar det nuvarande ramverket och tycker att NISTs tankar om nästa version låter vettiga. Det ska bli spännande att se hur kommande utkast ser ut!

Vilken är bäst?

Apropå ramverk och standarder så snubblade jag över en rapport från UL nyligen som jämför Common Criteria med ISA/IEC 62443, vilket är en jämförelse som jag inte stött på så ofta. För att de ska vara jämförbara så får man fokusera på del 4 av 62443 som ju också handlar om krav på produkter.

Det här är förvisso ett område som kan tänkas bli mycket mer intressant framöver med tanke på EUs kommande krav på certifiering av produkter inom EUCC, "EU Cybersecurity Certification", som vad jag förstår är tänkt att bygga på Common Criteria. EUCC är i sin tur kopplat till CRA (som jag skrev om i förra nyhetsbrevet) där alla "kritiska produkter" ska certifieras. Det är verkligen mycket på gång från EU samtidigt!

Mer om CRA!

Om du blev nyfiken efter min text om de nya CRA-regleringen från EU i förra nyhetsbrevet och vill höra mer om detta kan jag rekommendera en inspelning från en riktigt bra dragning som Dataföreningen hade. Per-Erik Eriksson och Olle E. Johansson berättade om det liggande förslaget och framhåller en rad viktiga poänger. Inte alls inriktad på OT-säkerhet men väldigt intressant!

Dataföreningen kommer köra fortsatta diskussioner kring CRA en gång i månaden även framöver och träffarna är öppna även för dig som inte är medlem. Första gången var i slutet av Januari då man fokuserade på utmaningarna för Open Source-världen.

Just CRA och Open-Source var ämnet för ett debatt-inlägg på "The Register" nyligen, där Rupert Goodwins ondgjorde sig över hur detta kan påverka FOSS, "Free and Open Source Software". Många bra argument och en del intressanta kommentarer också, där den här blev en favorit:

Apropå EU-regelverk så siktar vår svenske minister för civilt försvar, Carl-Oskar Bohlin, enligt en intervju mot att NIS2 kommer bli svensk lag redan i år! Det är i så fall imponerande snabbt om det är ett korrekt citat! De 21 månader som EU pekat på är ju förvisso maxgränsen för implementation i respektive land! Sedan vill det förstås till att nya och gamla tillsynsmyndigheter hinner bygga upp tillräckligt med kompetens och resurser för att möta den tidplanen. Spännande!

Klokskaper från ISA GCE!

Hos ISA GCE, ISAs Global Cybersecurity Alliance, har man dragit igång en artikelserie i tolv delar om hur man bygger ett OT-säkerhetsprogram skriven av Muhammad Yousuf Faisal. Än så länge finns fyra delar ute och jag tycker det ser riktigt lovande ut, det är mycket klokskap utan att bli långrandigt.

De fyra första delarna handlar om:

1. Säkerhetsanalyser och granskning.

2. Policies och governance.

3. Nätverksarkitektur och segmentering.

4. Intrångsdetektering och anomalianalys.

Kritisk infrastruktur med WEF i Davos

World Economic Forum hade i mitten av Januari sitt stora årliga möte i Davos. En intressant diskussion kring kritisk infrastruktur mellan Øyvind Eriksen VD för norska Aker, Robert M. Lee som grundade OT-säkerhetsföretaget Dragos, Josephine Teo som är minister för cybersäkerhet i Singapore, Albaniens premiärminister Edi Rama och ledd av James Harding sätter fingret på en rad viktiga poänger.

Tack!

Ett varmt tack till de som hört av sig så här långt angående mitt lilla tiggarbrev i förra nyhetsbrevet, det uppskattas verkligen! Önskemålet finns kvar och det behöver verkligen inte vara nya saker eller i perfekt skick - tvärtom så är det ju ofta de äldre sakerna som är mest utmanande i OT-världen.

Siffror, träd och sårbarheter!

Man kan ha många åsikter om kring sårbarhetsforskning inom OT-världen. Är det meningsfullt eller till och med viktigt? Vad är i så fall viktigast och varför?

Om man tycker att sårbarheter ändå är lite meningsfulla att hålla koll på så har SynSaber i en rapport tittat närmare på några aspekter av alla OT-sårbarheter som rapporterades under andra halvan av 2022. Det finns en del att fundera kring i materialet!

Nyligen släppte amerikanska CISA sin guide "CISA Stakeholder-Specific Vulnerability Categorization Guide" som just beskriver en träd-liknande metod för att prioritera sårbarheter utifrån hur den egna organisationen påverkas. Att metoden fick ett namn som förkortas "SSCV" är förstås ingen slump utan en skämtsam koppling till "CVSS" som ju är den förhärskande metoden att ge sårbarheter en allvarlighetsgrad mellan 1 och 10. Basversionen av CVSS är i grunden per definition helt opåverkad av enskilda organisationers förhållanden och tittar bara på sårbarheten i sig själv istället för att väga in faktisk exponering, svårighet att åtgärda och verkliga konsekvenser som andra metoder ibland väger in.

Någon som definitivt tycker att det fokuseras för mycket på att jaga sårbarheter är grundaren av Dragos, Robert M. Lee. I en artikel jag läste nyligen ger han uttryck för detta. Han är noga med att påpeka att det inte är oviktigt, men att det inte hör till de viktigaste åtgärderna och att man måste titta på helheten kring vilka risker man utsätter sin anläggning för. Jag håller verkligen med om att sannolikheten att råka störa en verksamhet via en OT-patch ofta är större än att sårbarheten man åtgärdar faktiskt utnyttjas av en hacker!

Jag tittade förresten nyligen på formlerna som ligger bakom uträkningen av en sårbarhets CVSS-poäng sedan version 3.1. Jag får erkänna att jag blev lite chockad över den oväntade komplexiteten, man hittar en del sådana här uttryck. Ja, det är "upphöjt till femton"!

Nytt från ISA!

För den som rör sig i gränslandet mellan "Security" och "Safety" kan draft-versionen av utgåva 3 av ISAs tekniska rapport "ISA-TR84.00.09-2023 Part 1: Cyber Security Related to the Safety Lifecycle" vara riktigt intressant.

ISA tar tacksamt emot kommentarer ett tag till. Alltid kloka Sarah Fluchs har gjort sin analys tillgänglig på LinkedIn.

Att ta sig från IT till OT...

Clarotys forskargäng Team82 har publicerat en artikel kring hur sårbarheter i en Historian-mjukvara från GE skulle kunna användas som språngbräda för en angripare som vill ta sig från ett IT-nätverk in i ett någorlunda välskyddat OT-nät.

De aktuella sårbarheterna publicerades i mitten av januari men det är inte sårbarheterna i sig som är intressanta. Det viktiga är att det trycker på hur viktigt det är att skydda systemen som sitter mellan IT- och OT-världarna. Ett extremt vanligt exempel är just Historian-system som sitter där för att samla in information från OT-sidan och göra den tillgänglig på IT-sidan.

Det här illustrerar väldigt tydligt att det inte räcker med att bara göra grunderna i säkerhetsarbetet, i det här fallet ha ett DMZ-nät och dubbla brandväggar, för att känna sig "färdig". Exempelvis är aktiv övervakning av trafiken viktig och förstås att man har designat kommunikationen mellan de olika systemen på ett sätt som begränsar exponering och attackytor.

Våga vägra vara passiv!

En gammal "sanning" som jag personligen inte ställer upp på längre är att det är omöjligt att köra aktiva skanningar i nätverk med ömtåliga OT-produkter. Visst finns det saker att se upp med och man kan definitivt inte bete sig som "IT-folket" gör i sina nätverk. Men med en OT-anpassad produkt får man generellt mycket bättre resultat än att enbart förlita sig på att passivt lyssna på existerande nätverkstrafik.

Jag tycker att RunZero (före detta Rumble, grundat av HD Moore) formulerade det bra i en text nyligen. Visst, de är verkligen part i målet, men jag håller definitivt med i princip. Nu kan jag inte uttala mig om just deras produkt, den har jag för lite erfarenhet av, men aktiv skanning är definitivt något som man har nytta av i insamlingen av fullständig inventarie-information med hjälp av OT-anpassade verktyg som OTORIOs RAM2, Claroty eller Nozomis Guardian.

Ett botemedel mot panik!

OT-säkerhetsbranschen är svår att navigera med väldigt mycket buzzwords och med extremt mycket skrämselpropaganda. Om du vill ha lite blodtrycksdämpande intryck så rekommenderar jag nedanstående video med Ralph Langner. Den har förvisso ett par år på nacken så detaljerna stämmer inte fullt ut längre, men i grunden har han (som vanligt) några riktigt bra poänger.

Några event...

Nu börjar planeringen för årets events komma igång. Om du är på plats på några av dessa tillställningar kommer vi kanske ses där?

Jag kommer köra ett pass kring kopplingen mellan NIS2 och OT-säkerhet på den spännande konferensen "Cyber security: Kritisk Infrastruktur" i Stockholm den 28:e mars.

På Elektronikmässan i Göteborg den 19:a April kommer jag delta i en "expertpanel" som arrangeras i samband med en lansering. Jag återkommer med mer detaljer kring detta.

Det är fler på gång men som fortfarande diskuteras. Det kan väl inte "SCADA" att vara med på en viss OT-säkerhetskonferens till hösten eller några roliga leverantörs-event?

Orolig för DCOM och OPC Classic?

I ett nyhetsbrev nyligen skrev jag om Microsofts tvingande förändringar och/eller förbättringar i DCOM som slår igenom snart och då riskerar att störa en rad applikationer som exempelvis använder OPC Classic. Vännerna på OTORIO har nu släppt ett gratisverktyg som kan hjälpa till att hantera utmaningarna kring detta. Det är ett PowerShell-skript som du hittar på Github.

OT-fiske?

Mandiant har gjort en intressant studie kring phishing-mejl med innehåll som kan tänkas vara fokuserade på att lura mottagare i "OT-världen".

Det här är ju något som är värt att fundera på. Personligen tror jag vi kommer börja se mycket mer phishing framöver som är skruvade mot OT-folk. Det går ju rimligen att göra dem riktigt bra med tanke på hur lätt det är att ta reda på vilken typ av verksamhet man sysslar med. En variant på detta är förstås vattenhål-attacker där angriparen sprider intressanta länkar i ett användarforum eller någon annan plats där man tenderar att lita mer på innehållet.

Kranar!

Amerikanska myndigheter har dragit igång en undersökning kring en rad typer av säkerhetshot kopplade till kranar i hamnar. Det verkar vara en komplex historia som inkluderar fysisk övervakning via kameror, störningar i GPS-system och mystiska containers ombord på fartyg.

Kranar i hamnar är förstås en känslig komponent, dels för att de är viktiga för väldigt leverantörskedjor men också för att de kan ha en del oväntade integrationer till både IT- och OT-världen.

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.