Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet!
Några höjdpunkter den här gången är att jag blev lurad av Fortinet, vi får nytänk kring Security Levels i IEC 62443, en ny version av CVSS, jag frågar mig hur det går med NIS2 egentligen, ny awarenessutbildning för OT, nytag (igen) i sjöfarten, CSAF, jag besöker en podd, analys av DOS-attacker mot OPC UA, EU rör sig framåt kring CRA/EUCC och så lär vi oss om ”Conways Lag”..
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
CVSS i ny version!
CVSS är en standard för att bedöma hur allvarlig en sårbarhet är. Jag har skrivit om utkasten till version 4 av CVSS tidigare, i Nyhetsbrev #50 och Nyhetsbrev #53. Nu har den skarpa versionen släppts av FIRST tillsammans med all dokumentation och en kalkylator.
Vid en första anblick ser det ännu mer komplicerat ut än tidigare versioner och det visar sig att det intrycket är rätt! Det är definitivt fler "rattar" att skruva på när man ska bestämma allvarligheten hos en sårbarhet samtidigt som det faktiskt får den här versionen att kännas mer rättvisande och sund.
Precis som i version 3 blir resultatet från en bedömning en siffra mellan 0 och 10 som ska vara en sammanfattning av sårbarhetens allvarlighet samt en kryptisk sträng som beskriver alla aspekter som vägts in i siffran. I version 4 kan den bli ganska lång om alla aspekter bedöms, exempelvis:
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:L/VA:H/SC:H/SI:L/SA:H/E:A/CR:H/IR:M/AR:L/MAV:P/MAC:L/MAT:P/MPR:N/MVC:L/MVI:L/MVA:N/MSC:L/S:P/AU:Y/R:I/V:C/RE:H/U:Red
Siffran och strängen skickas normalt med när en sårbarhet annonseras.
Som bilden illustrerar är det fyra huvudgrupper av bedömningar som ska göras. De är:
Base Metrics - Sårbarhetens egna egenskaper som inte kommer förändras över tid. Här finns två undergrupper: Exploitability Metrics och Impact Metrics. Den förstnämnda kan man säga beskriver hur enkelt det är att utnyttja sårbarheten medan den andra (Impact Metrics) beskriver konsekvenserna för systemet själv men också för andra system vars säkerhet är beroende av det beskrivna systemet.
Threat Metrics - Beskriver hur sårbarheten kan förändras över tid vilket i praktiken är om det finns kända sätt att utnyttja sårbarheten. Bedömningen bör därför inte skilja mellan olika organisationer.
Environmental Metrics - Beskriver hur sårbarheten är applicerbar i en viss organisation eller en viss del av en organisation. Sårbarheten kanske har en annan påverkan än den generella eller kan utnyttjas på ett annat sätt. Man kanske har något slags skydd som gör sårbarheten svår att utnyttja eller så är det sårbara systemet väldigt viktigt.
Supplemental Metrics - Här kan man beskriva påverkan på yttre faktorer och från yttre faktorer. Mest relevanta faktorer för OT-säkerheten är förmodligen om sårbarheten kan leda till farliga situationer ur ett Safety-perspektiv och hur svår återställningen efter en attack blir. Ingen av dessa påverkar det numeriska "betyget" på sårbarheten men kommer med i den beskrivande strängen som kan påverka hur den egna organisationen prioriterar sårbarheten.
Det är viktigt att notera att Base Metrics och Supplemental Metrics normalt sett definieras av den som rapporterar sårbarheten medan Environmental Metrics och Threat Metrics definieras baserat på mottagarens ögonblicksuppfattning. Det betyder alltså att en klok idé är att ta leverantörens definition och sedan modifiera den utifrån de egna förutsättningarna innan man tar beslut om hur sårbarheten ska hanteras.
Nu är jag inte någon stark förespråkare för att man maniskt ska jaga sårbarheter i sin OT-miljö, det är typiskt ett svårt och dyrt sätt att få hög säkerhet. Men det betyder inte att det är en dålig idé, i synnerhet om man kommit en bit på väg i att bygga en arkitektur som går att försvara. Den nya versionen av CVSS känns vettig just för att det är enkelt att göra egna bedömningar utifrån den egna organisationens förutsättningar och därför fokusera på det som verkligen har effekt på riskerna.
På väg ner i diket?
När jag frågar organisationer om deras syn på hur NIS2 kommer beröra dem är det roligt att höra att många numera faktiskt vet om att NIS2 kommer. Samtidigt blir jag förvånad över den stora andelen som fortfarande inte förstått hur stort scope NIS2 har. Onödigt många har därför inte heller gjort den allra enklaste formen av analys för att reda ut hur de berörs. I synnerhet gäller detta tillverkande industrier, som väldigt ofta inte kan ta till sig tanken att deras produktion skulle kunna betraktas som samhällsviktig. Det är tyvärr dessutom vanligt att få reaktionen "det finns ju inte ens en svensk lag ännu", speciellt från jurister. Det är förvisso sant men det indikerar på en ganska dålig insikt om vad ett EU-direktiv i praktiken är.
Att man som verksamhet inte förstår att man är viktig för samhället är ju för övrigt precis det problem som NIS2 är tänkt att lösa. Allt säkerhets- och riskarbete handlar om att balansera riskkostnader mot kostnaderna för att göra någonting åt riskerna. Problemet är att en typisk industri som gör riskanalyser kring deras system sällan tar med konsekvenser av typen "Om vi inte kan producera våra varor så påverkas samhället negativt". Man fokuserar normalt enbart på konsekvenser för den egna organisationen och indirekt även kunderna. Det EU nu gör med hjälp av NIS2 är att man säger:
Eftersom ni inte anstränger er nog för att minska riskerna för samhället så kommer samhället skapa nya risker för er. De kommer i form av sanktionsavgifter, personligt ansvar för ledningen och hårdare krav från era kunder. De riskerna kan ni minska genom att göra er produktion mer robust.
Då är det ju lite ironiskt att så många verksamheter fortfarande inte förstått att det är på väg att läggas en massa nya risker i deras vågskålar. Riskerna som vi oavsiktligt skapat för EU:s gemensamma marknad kommer tillbaka och biter oss i rumpan som sanktionsavgifter...
Nu är vi inne på "upploppet", det är mindre än ett år kvar innan alla krav ska vara uppfyllda. Visst, tillsynsmyndigheterna kommer vare sig vilja eller kunna jaga misskötta organisationer redan dag ett. Men om din organisation råkar ut för en större incident den 18:e oktober och ni inte tagit NIS2 på allvar så kommer det ändå ganska snabbt kunna bli jobbigt för ledningen!
Tack vare direktivets stora fokus på att man måste ställa säkerhetskrav på sina leverantörer, kommer väldigt många organisationer beröras indirekt genom sina kunder. Möjligheten att skapa konkurrensfördelar genom att vara snabb på bollen finns fortfarande kvar ett tag till, men det tåget lämnar också stationen nu.
En typisk ledningsgrupp som får förklarat för sig vad direktivet är och det ganska brutala ansvar som det lägger på både företagsledning och styrelse brukar snabbt förstå allvaret... Att sedan reda ut hur organisationen berörs är faktiskt ett relativt litet jobb om man är van vid sådana analyser och ger i de flesta fall ett ganska entydigt resultat. Jag hoppas att "ryktet" om NIS2 kommer börja sprida sig mellan styrelserummen, för det är fortfarande märkligt tyst i media om denna stora omställning. Tyvärr är det också väldigt tyst från myndighetshåll, speciellt om man jämför med andra länder, där exempelvis Finland sticker ut som ett föregångsland, där allmänna informationsmöten hålls regelbundet. Myndigheter, politiker och verksamheter träffas för att lyssna på varandra.
Många ledningar, styrelser och säkerhets-ansvariga kommer få ett jobbigt uppvaknande under 2024 och då blir det tufft att hinna komma på banan.
Något som är viktigt att ta med sig är att EUs definition av samhällsviktig verksamhet inte alltid matchar den som de flesta människor spontant har själva. Se till att göra en analys för din egen organisation och för era viktigaste kunder!
Dags för oss att tänka om?
När Sinclair Koelemij skriver en artikel är det alltid intressant och klokt. Det gäller för övrigt även när han presenterar på konferenser, vilket ni som var på plats i Solna på AFRYs OT-säkerhetskonferens i slutet av september märkte.
Nu har han skrivit en artikel som utmanar det etablerade och lite stelbenta tänket från IEC 62443-3-3 kring Security Levels. Och det är just det stelbenta som är en av källorna till problemet vilket gör det svårt att använda ett mer modernt och riskbaserat angreppssätt när man designar sina system. Jag kan bara konstatera att jag håller med om vad han säger.
En utmaning med ett "klassiskt" riskbaserat angreppssätt är att vi saknar information om sannolikheter. Det är helt enkelt för ovanligt med angrepp mot OT-system! Sinclair slår därför ett slag för ROPA (Rings of Protection Analysis) som ett starkt alternativ. Hans tidigare text om ROPA har jag skrivit om i Nyhetsbrev #50 och varför inte titta på hans dragning från S4 i våras kring semikvantitativa riskanalyser av cyberfysiska risker:
När du ändå är igång så tycker jag gott du även kan läsa Sinclair artikel "Process Safety and OT Security – A Symbiotic Relationship" där han slår ett slag för triaden "COO" istället för "CIA" som vi känner igen från IT-säkerhetsvärlden. Tänkvärt om du inte funderat över den här typen av frågor tidigare!
Du skulle också bli lurad!
Det landade en riktigt rolig grej i mitt hemmalabb, en FortiDeceptor från Fortinet. Det här är en produkt som utvecklats mycket de senaste åren och det var roligt att upptäcka alla nya funktioner. Den finns som virtuell maskin eller hårdvaror i två olika format. Den variant jag tittat på är en ruggad version som är mycket väl anpassad för tuffa fysiska miljöer. Det är en stadig kloss som kanske inte är så stor, men som tack vare de rejäla kylflänsarna ändå väger in på 6 kilo och ger ett massivt intryck.
I grunden är syftet med produkten att på olika sätt lura en angripare genom att skapa fejkade men samtidigt väldigt "naturtrogna" system och applikationer på nätverken. Angriparen ska luras att ge sig på dessa låtsas-resurser vilket då genast avslöjar angreppet och möjliggör en analys av vad angriparen gör.
För att göra det lätt för en angripare att hitta till de fejkade systemen kryddar man sina "riktiga" system med "Tokens". Det kan exempelvis vara cachade inloggningar, databas-anslutningar, fildelningar och konfigurationsfiler. Det här är saker som angripare letar efter som ett verktyg för att röra sig mellan system, vilket passar oss utmärkt i fall vi kan få angriparen att röra sig mot ett av våra lockbeten.
Det här är kraftfull teknik även i IT-världen men i hos oss i OT-sammanhang blir det ännu mer avgörande eftersom vi kan placera dessa enheter i nätverk och system som normalt sett är väldigt statiska. Tack vare det sticker ovanliga beteenden ut extra mycket vilket gör det mycket utmanande för en angripare att röra sig i systemen utan att väcka uppmärksamhet.
Enkelt förklarat kör en FortiDeceptor ett antal virtuella system som presenteras på nätverket. Det är en lång rad olika systemtyper som kan skapas: Windows 7/10/11/2016/2019/2022, Ubuntu Desktop, CentOS, ESXi och ELK. Dessutom kan du installera dina egna standard-images för organisationen inklusive AD-integration! Så långt är det redan imponerande men sedan börjar det bli riktigt intressant när vi kommer till "IoT"...
I kategorin "IoT OS" kan du skapa fejkade skrivare av olika fabrikat, Cisco-routrar, IP-kameror och en massa annat. I andra kategorier kan du skapa medicintekniska system som exempelvis infusionspumpar men också kassasystem, ERP-system (som SAP) och stödsystem för MQTT, CoAP och XMPP.
Sedan blir det förstås ännu intressantare när vi kommer till OT-prylar. Här hittar vi fejkade versioner av utrustning från exempelvis Kamstrup, Liebert Spruce, Niagara, Rockwell, GE, Schneider, Moxa, Siemens och Phoenix Contact. Dessa kan nås via "rätt" protokoll och tjänster, som kan vara DNP3, HTTP, Modbus TCP, ENIP, BACNET, TRICONEX, S7COMM, IEC104, Profinet och en massa andra! Här hade det verkligen hänt saker sedan jag tittade på den här produkten för ett antal år sedan!
Ett intressant sätt att använda en FortiDeceptor är att sätta den i "DMZ Mode". Tanken med det är att den finns i ett DMZ, antingen nära Internet eller mellan två interna nätverk - i vårt fall typiskt mellan "IT" och "OT". Det här är förstås ett riktigt kraftfullt sätt att fiska efter de fula fiskar som gärna söker sig till den utsatta miljö som ett typiskt DMZ är. Riktigt användbart! Eftersom ett DMZ är ett tufft ställe att befinna sig även för en FortiDeceptor så låser systemet ner sig när man går till det här läget, vilket begränsar vad man kan göra med lösningen i övrigt. Bra tänkt!
Det här är i grunden en passiv lösning men det finns bra möjligheter att få saker att hända automatiskt när ett angrepp upptäcks. Man kan integrera med en rad olika fabrikat av Sandboxar så att angreppskod som fångas under en attack automatiskt skickas på analys direkt. Om man använder nätverksutrustning från Fortinet kan man välja att få automatisk blockering/karantän av angripare och det finns också integrationer till motsvarande funktioner hos en massa andra leverantörer. Det här är något som förstås är extremt kraftfullt men också något man får vara lite försiktig med i OT-miljöer så man inte råkar "skjuta sig själv i foten"...
Apropå speciella saker inom OT så finns förstås ett riktigt snyggt stöd för "MITRE ATT&CK for ICS". Ett bra hjälpmedel för både incidentanalys och förebyggande arbete. Dessutom kan du slå på "Asset discovery", vilket - precis som det låter - hjälper till att (passivt) identifiera vad som finns på de nätverk som den är ansluten till. Ett bra stöd i den ständiga utmaningen att underhålla bra inventarieinformation!
Det här är ett riktigt smidigt system att jobba med. Det är enkelt att komma igång men samtidigt har man alla möjligheter att göra riktigt avancerade konfigurationer av de fejkade systemen.
Om man har stora installationer med många FortiDeceptors kan en av dem ta rollen som manager och styra hur de övriga konfigureras. Om man vill automatisera användningen av FortiDeceptor så finns det ett JSON API där de viktigaste funktionerna kan styras och mätas.
Hör gärna av dig om du har funderingar eller kanske idéer kring hur den här tekniken kan användas på kreativa sätt!
Är du medveten om medvetenheten?
Om du jobbar inom industrin har du sannolikt stött på SSG, Standard Solutions Group. SSG startades på 50-talet som en underavdelning till SCA, och skulle hantera och ta fram interna standarder. Numera ägs SSG gemensamt av SCA, Billerud, Korsnäs, Södra Skogsägarna, Holmen, StoraEnso och Metsä Board. SSG är nog mest kända för "SSG Entre", en tillträdesutbildning för alla som ska som ska komma in och arbeta på en industrianläggning och därför behöver generell kunskap om bland annat arbetsmiljö, tillstånd, krav och miljö.
SSG driver olika nätverk och arbetsgrupper som tar fram branschgemensamma standarder för industrin och nyligen har en arbetsgrupp inom nätverket IT och automation tagit fram "SSG Cyber Security", en awareness-utbildning med fokus på verksamheter som använder OT. Vi är alla vana vid (och trötta på?) vanliga awareness-utbildningar, där vi gång på gång får lära oss att inte klicka på länkar och använda USB-minnen. "SSG Cyber Security är motsvarande utbildning men med fokus på tillverkande industri där tanken är att alla medarbetare ska få ökad medvetenhet om hur modern teknik påverkar säkerheten i en anläggning och vilken roll deras eget beteende har för att det ska fungera på ett säkert sätt….
Jag har inte stött på något liknande tidigare och det är dessutom något som jag efterlyst i olika sammanhang. För full transparens ska jag vara tydlig med att jag varit med att ta fram utbildningen, men jag måste ärligt säga att jag tycker slutresultatet blev bra! Det ska bli intressant att höra hur den tas emot ute i verksamheterna!
Det här med awareness-utbildning är ett område som det finns många åsikter om. Jag tänkte genast på den här videon där den ständigt intressante och kloke Ralph Langner berättar varför den här typen av utbildning är skräp! Den är några år gammal men i princip fortfarande lika relevant...
Jag håller med Ralph i mycket av det han säger, men personligen tycker jag att den här typen av medvetandegörande är viktig. Samtidigt får man inte se det som en komplett lösning. Att utbilda är bara början, men utan att göra det kommer vi inte få bra effekt på allt annat säkerhetsarbete! Om inte medarbetare, konsulter och entreprenörer är medvetna om varför säkerhet är viktigt och vad deras egen roll är så kommer de aldrig att acceptera de säkerhetslösningar som sätts på plats. Om man inte är medveten kommer man inte ha en chans att ifrågasätta konstigheter eller vilja prioritera säkerhet över andra resultat!
En viktig poäng som Ralph gör är att det finns alldeles för många "OT-säkerhetsexperter" som inte har en aning om hur vardagslivet "på golvet" ser ut. En tråkig sidoeffekt av att det är svårt att få tag på erfaret OT-säkerhetsfolk är att självutnämnda experter på andra typer av säkerhet gärna uttalar sig om vad som är rätt och fel inom OT-säkerhet. Ofta får de dessutom inget mothugg...
Ralph pekar själv på lösningen, se till att bjuda in folket från IT-avdelningen eller säkerhetsavdelningen till en dag i verksamheten. Det gäller även oss konsulter, i ett nytt uppdrag propsar jag alltid på att få en rejäl genomgång ute i verkligheten. Alla verksamheter är olika och det vill till att förstå vad som är unikt hos varje kund! Ibland har jag förmånen att bli inbjuden på studiebesök hos spännande verksamheter, vilket jag alltid tackar ja till eftersom det är jätteroligt och i 100% av fallen resulterar i att både jag och verksamheten får nya insikter.
Magplask eller inte?
Som jag har skrivit i tidigare nyhetsbrev tar sjöfartsindustrin ett rejält tag i OT-säkerhetsfrågor på ett sätt som känns ganska framsynt. Nästa steg i det är klassningssällskapens samarbetsorganisation IACS som publicerat ett par dokument (UR E26 och UR E27) som skall börja gälla skarpt från årsskiftet. Eller rättare sagt... Skulle börja gälla då! I en pressrelease nyligen drog man tillbaka dokumenten och lovar nya versioner av dokumenten och "sjösättning" 6 månader senare. Den nya revisionen av E27 finns redan på IACS site medan E26 ska komma innan årsskiftet.
CISA börjar med CSAF!
Varning! Om du ogillar förkortningar kan denna artikel orsaka svåra besvär!
För dig som jagar sårbarheter är den amerikanska myndigheten CISA en användbar källa till annonseringar av nya sårbarheter. CISA har just annonserat att de nu utökar denna annonsering genom att även sprida samma information i CSAF-format. Samma resonemang har börjat komma från produkttillverkare också, exempelvis annonserade Siemens detta i våras tillsammans med deras avsikt att på sikt avveckla andra format, exempelvis PDF, Text och CVRF.
Ett stort problem med de ständigt ökande mängderna sårbarheter som upptäcks är att annonseringen har olika format och innehåll beroende på vem källan är. CSAF är ett försök att råda bot på detta genom att annonseringen sker i ett standardiserat och maskinläsbart format som bygger på JSON. Formatet utvecklas av standardiseringsorganisationen OASIS, som för övrigt driver en väldig massa standardiseringsarbeten inom oväntat många dataformat - några av de mest kända är MQTT, SAML och OpenDocument.
Det finns dessutom definierade metoder för hur detta knyts samman med SBOM, (Software Bill Of Materials), och andra viktiga delar kring att bedöma sårbarheter, exempelvis VEX. Här kommer det ske väldigt mycket utveckling de närmaste åren! Att vi sedan behöver fundera på om det är vettigt att jaga sårbarheter inom OT-säkerhet, det återstår fortfarande...
Om du är en av de som börjat använda VEX kring OT så är jag nyfiken att höra mer om dina erfarenheter! Hör gärna av dig! mats@ot-sakerhet.se
Jonas Berge och Conways lag!
Melvin E. Conway är något av en legend inom datavetenskapen, inte minst för att han myntade Conways lag:
Organizations, who design systems, are constrained to produce designs which are copies of the communication structures of these organizations
En annan person som, i min högst personliga åsikt, också borde betraktas som en legend av klokskap är Jonas Berge. Inte nog med att han nyligen kryddade en (som vanligt) läsvärd artikel med citat från Conway, han gör också en radda kloka observationer kring kopplingen mellan Conways lag och varför den ständigt missförstådda Purdue-modellen ser ut som den gör. Vi får dessutom en moderniserad uppfattning av hur dataflöden kan se ut!
Byt media!
Om du börjar bli trött på att läsa mina texter kan du variera dig genom att lyssna på ett avsnitt i Advenicas podd "Cyberlandet" där jag är med för att diskutera OT-säkerhet med fokus på VA-branschen. (Vatten och Avlopp!) Det är en vansinnigt viktig verksamhet som innehåller mycket OT men som samtidigt väldigt ofta saknar resurser för att bedriva ett rimligt säkerhetsarbete.
DOS-attacker mot OPC UA!
Team82 från Claroty fortsätter publicera intressanta tekniska artiklar med fynd från deras säkerhetsforskning kring OPC UA. Den här gången (del 7) tittar de på möjligheter att slå ut system genom olika former av utmattningsattacker. Väl värt att läsa för att få nya vinklar på hur vi och våra system kan råka illa ut!
Med rätta märker jag ett ständigt ökande intresse för säkerheten i OPC UA. Även TxOne har dragit igång en serie intressanta artiklar på området: Del 1, Del 2, Del 3.
Nästa uppköp!
OT-säkerhet är en het bransch men med väldigt osäkra värderingar av hur mycket pengar det egentligen är möjligt att tjäna. De senaste åren har det varit en lång rad med uppköp och nu köpte Rockwell Automation nyligen OT-säkerhetsföretaget Verve. Jag ska inte ge mig på en analys för jag tycker Dale Peterson redan gjort det bra i två artiklar: 1 och 2.
S4x24 börjar ta form!
Min favoritkonferens, S4, går nästa gång av stapeln i början av Mars. Nu har man börjat annonsera delar av agendan och det ser lyckligtvis precis lika intressant ut som vanligt! Man har redan sålt närmare 700 av de 1100 biljetterna så nu börjar det bli dags att slå till om du inte ska bli utan!
Av någon anledning körs det varken Pwn2Own eller Capture-The-Flag i år, men det bör inte påverka huvudkonferensen det minsta. Däremot blir det "the Vulnerability Management Pavilion", där ett antal utvalda företag ska få försöka skapa en så bra bild som möjligt av ett "riktigt" OT-system som byggs upp på plats, med fokus på förstå systemets uformning och att hitta sårbarheter. Det blir inte en tävling med poäng i år utan mer jämförelser och insikter om skillnader. Det är dessutom tillåtet för företagen att samarbeta om det finns nytta med att exempelvis förse en SBOM-produkt med en bättre inventerielista från en scanner som sedan får tillbaka information om detaljer om prylarna. Ska bli intressant att se! De företag som fick plats är:
Företag med scannerprodukter:
Framatome
RunZero
Tenable
Företag med fokus på SBOM:
aDolus
Finite State
Företag inom detektion och risk:
Forescout
Industrial Defender
Otorio
I våras var vi hyfsat många svenskar på plats, det vore kul om det blir minst lika många nästa gång! Arrangörerna har verkligen lyckats skapa ett unikt event med minimalt av säljpitchar på scen och extremt framåtlutande presentationer. Det är här det händer!
En annan konferens på gång!
Värme & kraftföreningen har sin höstkonferens den 14:e till 15:e november. Jag kommer göra ett gästspel där för att prata om NIS2 i förhållande till OT-säkerhet.
CRA och EUCC närmar sig!?
Ett av de mest omdiskuterade lagförslagen inom EU på senare tid, "CRA" - Cyber Resilience Act rör sig sakta framåt, åtminstone tycks det så på pappret. Senaste livstecknet är ett dokument fyllt med förslag till ändringar som publicerades sista augusti. Jag har inte dykt i vad som föreslås ändras eftersom den största frågan, den kring hur Open Source ska hanteras fortfarande inte verkar ha landat. Jag har en känsla av att ingen kommer vara helt nöjd när vi en gång får ett slutgiltigt beslut - vilket i och för sig brukar tyda på en rimlig kompromiss för alla partner. Den som lever får se...
Det rör sig också EUCC, det tänkta regelverket kring EUs cybersäkerhets-certifiering. Den som vill dyka i EUs senaste tankar kring detta kan titta här tillsammans med ENISAs schema här. Det är nu man på riktigt börjar se hur alla dessa regleringar kommer passa ihop, då det finns många kopplingar mellan CRA, NIS2, ENISA och EUCC via deras respektive dokument och via EUs Cybersäkerhetsakt.
Stöd för Top 20 Secure PLC Coding Practices
Jag har skrivit förut om projektet Top 20 Secure PLC Coding Practices som tog fram 20 av de viktigaste sätten man som PLC-programmerare kan hjälpa systemet att bli säkert och robust. Den som tycker att detta är viktigt kan eventuellt få lite stöd från en resurs som företaget Fortiphyd lagt ut på GutHub och som beskriver hur utrustning från en radda olika tillverkare stöder de olika metoderna. Just nu verkar Siemens, Honeywell, Mitsubishi, Omron, Rockwell, Schneider och Yokogawa finnas med och dessutom finns en plugin för CISAs verktyg CSET.
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.