.png)
Dags för en maxad utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du reda på nyhetsbrevets framtid, att NIS2 blir ännu mer försenat, varför en OT-SOC är en bra idé, hur det egentligen stod till ombord på skeppet som raserade bron i Baltimore, vi lär oss hur man tänker själv, möter en ny spännande bekantskap i labbet, australiensiska principer för OT, hur man får gratis pengar till säkerhet, vad vi har glömt i NIS2, hur man hackar safety-system i kärnkraftverk, du får en inbjudan till Cybernoden och så kommer ett skepp lastat med mängder av larm.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nyhetsbrevet läggs inte ner!
Jag fick en del oroliga frågor om nyhetsbrevets framtid efter att jag berättade på LinkedIn att jag skulle byta arbetsgivare. Men jag kan lugna alla som eventuellt är oroliga, min tanke är att nyhetsbrevet ska fortsätta precis som vanligt. Kanske till och med att det blir lite nytändning tack vare nya intryck och perspektiv i vardagen?
Jag arbetar numera på svenska företaget Sectra, ett fascinerande företag som bland annat är känt runt om i världen för supercoola bildhanteringssystem inom sjukvården och för megasäkra kryptosystem. Jag finns i en grupp som jobbar med kritisk samhällsinfrastruktur och då i synnerhet kring en väletablerad tjänst för "Managed Detection and Response" (MDR eller "SOC-tjänst") som är byggd från grunden med OT-säkerhet i fokus.
En annan orolig fråga som dykt upp är om jag inte kommer vara tillgänglig som rådgivare längre. Även där kan jag lugna dig om du är fundersam, konsultandet är en fantastiskt rolig del av mitt arbete som jag inte ger upp i första taget. Behöver du stöd, ett bollplank, lite utbildning eller kanske att någon agerar djävulens advokat i en workshop så är det bara att höra av dig! OT-säkerhet är hett just nu, inte minst kopplat till NIS2. Det är klokt att ha etablerat kontakten i förväg, redan innan man akut behöver det där stödet, så att vi kan bli snabba på bollen!
En tredje vanlig fråga är "Varför just Sectra"? Det är en fråga som det finns många svar på, men det viktigaste svaret för mig personligen är att jag redan tidigare jobbat nära Sectras vassa medarbetare, så jag vet precis hur stimulerande det här kommer bli. Ett annat, och kanske lite mer grandiost svar handlar om att leva som jag lär. Det handlar om att jag söker mig mot lösningen på just det feltänk som jag tycker har varit allra vanligast hos mina kunder.
Jag brukar ta hjälp av det välkända hjulet från NIST Cyber Security Framework för att illustrera vad jag menar. Det handlar helt enkelt om att många organisationer (medvetet eller omedvetet) lägger för mycket av sitt krut på tårtbiten "Protect", vilket ger en rejäl slagsida på säkerhetsarbetet. (Jag har skrivit om detta flera gånger förut, senast i nyhetsbrev 61.)
Sectra har förstås ett uppenbart fokus på att stötta både "Detect" och "Respond" med vår väletablerade MDR/SOC-tjänst. Det finns dessutom väldigt naturliga kopplingar från en bra SOC-verksamhet till att hålla hög kvalitet i asset-information ("Identify") och att ge "Recover" bästa möjliga förutsättningar att återställa en havererad produktion. För att allt detta ska bli effektivt och anpassat till varje verksamhets unika förutsättningar är förmågan att mäta och leda ("Govern") centralt och något som vi gärna stöttar som rådgivare!
Nu får det räcka, det här var inte tänkt som en reklam för Sectra utan mer som en förklaring till varför min nya arbetsplats känns som ett väldigt naturligt steg framåt för mig. Det ska bli enormt roligt att utforska OT-branschen med Sectra-glasögon på och jag vet att jag kommer att lära mig massor! Om du är sugen på en riktig OT-SOC så berättar jag förstås gärna mer, oavsett om det är som potentiell kund eller kollega!
Nej, det var inte en cyberattack!
Du minns säkert den tragiska olyckan i Baltimore när containerfartyget Dali körde ner en bro vilket orsakade sex dödsfall. Genast efter händelsen cirkulerade en massa teorier om att avancerade OT-attacker mot fartygets system var orsaken till att man förlorade kontrollen över fartyget.
Nu har U.S. Department of Justice lämnat in en stämning där man pekar på ganska avancerade felgrepp och slarv som ligger bakom att fartygets elsystem slogs ut upprepade gånger. Som synes har man gjort en del "intressanta" modifieringar av fartygets system...
Nix! NIS2 kommer inte vid nyår!
Det blir mer och mer uppenbart att den nya cybersäkerhetslagen, som skulle implementera NIS2 vid årsskiftet, inte kommer att bli klar i tid. Från källor "väldigt nära händelsernas centrum" har jag fått beskedet att riksdagen kommer få en proposition tidigast under våren 2025 och då lär det inte bli någon lag förrän om ett år. Samma besked ges nu också på MSB:s hemsida. Vi hör liknande signaler även från andra länder, exempelvis Danmark, Tyskland, Spanien och Nederländerna.
Det här är förstås synd men betyder förmodligen väldigt lite i praktiken. Med tanke på hur långsamt implementationen går i de flesta organisationer som jag har kontakt med så är det kanske tur? En sak är klar för de flesta, det betyder inte att man kan ta det lugnt med NIS2-arbetet. Vill man ha lite stöd så har MSB precis uppdaterat sin text "Skydd av samhällsviktig verksamhet". Den innehåller en vettig checklista med vad som kan vara bra att göra men ingenting om hur.
En juridisk finess i sammanhanget är begreppet "EU-rättens direkta effekt" som jag ska vara väldigt försiktig med att tolka här med tanke på att jag inte pluggat juridik en enda sekund av mitt liv... Men som jag förstår det så har det slagits fast i rättsfall inom andra områden att ett EU-direktiv gäller som lag i ett land om landet inte har implementerat direktivet i tid. Det har dock en massa begränsningar och verkar framför allt handla om att privatpersoner kan hävda rättigheter som de får via exempelvis ett direktiv. Däremot får inte staten använda ett direktiv som krav på en privatperson. Här får gärna jurister i läsekretsen höra av sig med sina insikter! mats@ot-sakerhet.se
Principer från down-under!
ASD, Australian Signals Directorate, har publicerat ett kort dokument med 6 principer för OT-säkerhetsarbete. ASD är en myndighet som producerar väldigt bra material och det stämmer även i det här fallet! Man har dessutom förankrat materialet med motsvarande myndigheter i USA, Kanada, Storbritannien, Nya Zealand, Tyskland, Nederländerna, Japan och Sydkorea.
I nyhetsbrev #51 skrev jag om ett liknande samarbete kring "Secure by design/default" och nu är det alltså OT-säkerhetens tur!
Man kan tycka att det blir lite väl flummigt att komprimera det viktigaste till bara 6 principer men de har faktiskt gjort det riktigt bra och kommentarerna till respektive princip innehåller en del guldägg. Väl värt att titta på!
Gratis pengar till säkerhet!
Sveriges nationella samordningscenter för forskning och innovation inom cybersäkerhet (NCC-SE) är en del av MSB. De har just nu en utlysning där mindre företag kan få bidrag för cybersäkerhets-åtgärder. De har totalt 23 miljoner att dela ut och man kan få upp till 600 000 per sökande.
Det kan handla om att öka kompetensen, att åtgärda risker eller att bättre möta nya krav från EU, exempelvis NIS2, CRA eller någon av alla de andra nya lagarna.
Det bortglömda kravet i NIS2!
Hysterin kring NIS2 och den kommande svenska cybersäkerhetslagen ökar för var dag som går. Det är förvisso bra med ordentlig uppmärksamhet, men tyvärr hamnar diskussionerna ofta på fel saker. Det tenderar att bli fokus på att uppfylla kraven på säkerhetsåtgärder, vilket i sin tur oftast beror på att diskussionerna startas av leverantörer som vädrar morgonluft.
I direktivets artikel 21 finns 10 punkter med säkerhetsåtgärder som anses vara en nedre skamgräns för vad man ska ha på plats. Det nämns till exempel saker som kryptering, multifaktorinloggning och cyberhygien, men också mjuka frågor som incidenthantering, personalsäkerhet, riskanalys, leverantörskrav och katastrofhantering. Allihop är bra krav men de beskrivs extremt kort, i vissa fall bara ett ord (!), så exakt vad som krävs är verkligen inte speciellt tydligt. Det passar förvisso bra ihop med det allmänna kravtänket i NIS2 som kan sammanfattas under parollen "Tänk själv!".
Bland dessa 10 punkter finns en som jag nästan aldrig hör diskuteras, men som jag tycker är fantastiskt viktig. Och svår... Det "Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet". Det vill säga, du ska mäta hur effektivt ditt säkerhetsarbete tar hand om dina risker. En bra effektivitet i det här sammanhanget bör ju rimligen betyda att risker sänks mycket i förhållande till vad säkerhetsåtgärderna kostar. Det betyder att vi behöver ha koll på riskerna och säkerhetsåtgärderna samt hur de relaterar till varandra.
Det låter ju spontant som ett klokt och viktigt krav. Men vad betyder det i praktiken? Och vad behöver man för att klara det? Och det är här som det geniala med det här kravet blir tydligt! Det tvingar nämligen oss att ha riktigt bra ordning på alla de andra åtgärderna. Men det blir också tydligt att det kan bli väldigt omständligt och tungt...
Vi behöver vi förstå vilka risker vi utsätter oss själva och samhället för
Vi behöver förstå vilka åtgärder vi har på plats, deras verkliga nytta och vad de kostar
Vi behöver förstå vilka åtgärder som i verkligheten påverkar vilka risker
Vi behöver förstå vilka risker som orsakas av våra leverantörer och hur våra krav påverkar de riskerna
I praktiken kan mätandet uppenbart bli en enorm börda i sig, och det är ju förstås inte meningen. Det finns säkert en massa genvägar man kan ta och förenklade uppskattningar som kan göras. Men vi kommer aldrig undan från att ha ordentlig koll på risker och åtgärder!
Men det finns en väldigt stor nytta för den egna organisationen med det här. Om man lyckas väl med detta kan man plötsligt prioritera bland nya och existerande åtgärder baserat på vilken nytta de faktiskt gör. Det är precis det här som behövs när man ber om pengar till ett nytt säkerhetsinitiativ eller ska försvara sin budget!
LARM! LARM! LARM!
Ett område som på flera sätt angränsar till OT-säkerhet är genomtänkt larmhantering i kontrollsystem, alltså hur man hanterar situationer där ett system inte vet hur det ska bete sig och därför behöver larma en människa. Det här är något som sedan länge är känt som ett viktigt område, men som vanligt går inte teori och praktik alltid hand i hand.
Inom sjöfarten har detta seglat upp (!) som ett allvarligt problem på senare år. I takt med att man drar ner bemanningen ombord på fartyg blir larmhantering, på gott och ont, allt viktigare. Lloyds Register har under ledning av Asger C. Schliemann-Haug undersökt situationen för att förstå om den är ohållbar och vad som kan göras för att förbättra den. De har analyserat erfarenheter från 65 vakthavande personer på 15 fartyg från 10 av världens största företag inom sjöfart. Summerat kan man säga att den 182-sidiga rapporten säger att det finns utrymme för förbättring... Om du föredrar det så finns det även en summering på 24 sidor.
Jag har tidigare hört en presentation av innehållet på en träff med Maritime Cyber Guild och jag blev helt häpen över hur illa det står till i många fall och vilka skrämmande exempel man tar upp på hur det kan gå! Här finns mycket att lära även för andra branscher. Inte minst kring hur larmhantering inom själva OT-säkerhetsarbetet ska ske för att få snabba reaktionstider och detta utan att bränna ut personalen - något som tyvärr är ett vanligt problem.
Det där med att tänka själv...
En av höjdpunkterna i den kommande svenska cybersäkerhetslagen är hur man håller koll på säkerheten kring de leverantörer som man är beroende av. Det här är ju ett område där vi minns ett antal spektakulära attacker kopplade till exempelvis Solarwinds och Kaseya. Det är ett område där jag fortfarande hör missförstånd kring vad kraven i NIS2-direktivet egentligen säger. Det vanligaste är nog "Om du är leverantör till någon som omfattas av NIS2 så kommer du automatiskt också omfattas av direktivet". (Så är det ju alltså inte!)
Om man vill djupdyka i det här området och de juridiska klurigheterna som hör till, så kan jag rekommendera Vendela Schörlings uppsats på området. Om du läser noga så kommer du upptäcka att jag haft ett finger med i spelet under arbetet. Du hittar många kloka resonemang kring juridik, riskanalys och ansvarsfördelning. Mycket nöje med läsningen!
En trio brandväggar i labbet!
Det är knappast en nyhet för någon att bra nätverkssegmentering är grundstommen i de flesta OT-säkerhetsprogram. Om man ska segmentera "långt ut" i produktions-näten behöver man ha utrustning som överlever i sådana fysiska miljöer. Ofta vill man dessutom bygga brandväggsregler på detaljer i OT-protokollen och då behöver man förstås grejor som förstår dem...
Det är här de ruggade OT-brandväggarna firar triumfer på egen hemmaplan. Monterade på DIN-skena, drivna med 24 Volt likspänning och fyllda med OT-specifika lyxfinesser är de perfekta att hantera de utmaningar som är vanliga i robotceller, maskiner och andra ställen med grupper av känsliga komponenter. Med rejäla kylflänsar och vibrationståliga komponenter tål de att bokstavligen sitta i händelsernas centrum.
I labbet finns nu en spännande trio av dessa brandväggar. Den till höger på bilden känner ni kanske igen sedan tidigare, det är TxOne EdgeFire som jag skrev om senast i nyhetsbrev #31. En av mina favoriter, vars kanske starkaste sida är deras virtuella patchning baserad på sårbarhetsinformation från ZDI, Zero Day Initiativ. I mitten ser du en riktigt spännande nykomling som egentligen "inte finns ännu", det är väletablerade svenska brandväggstillverkarna Clavister som nu ger sig djupare in i OT-världen med brandväggen "NetWall 200R". Jag har ett förserie-exemplar med serienummer noll (!) som jag kommer att återkomma till i ett framtida nyhetsbrev. Till vänster på bilden sitter dagens huvudperson, en Anybus Defender 6004 DPI FW, en alldeles ny produkt på marknaden - på sätt och vis...
Anybus är ett av varumärkena inom svenska bolaget HMS Networks. HMS är ju något av ett doldis-bolag om man inte är i branschen själv, men du kanske vet att deras produkter går att hitta i fantastiskt många olika sammanhang, inklusive i produkter från andra produkttillverkare.
En typ av produkt som HMS inte haft tidigare är OT-brandväggar, men det har de alltså åtgärdat nu. De har faktiskt gjort det på två sätt, dels köpte nyligen HMS Networks det amerikanska företaget Red Lion Controls och fick då en väldig massa nya och spännande produkter under sina vingar.
Men HMS nöjde sig inte där, de har också etablerat ett samarbete med amerikanska företaget Dynics och säljer deras trevliga brandväggar under Anybus-flagg. Det är en av dessa som nu dykt upp i mitt lilla labb, närmare bestämt en "Anybus Defender 6004 DPI FW"...
Jag kan direkt avslöja att det här är en riktigt trevlig bekantskap, faktiskt en av mina absoluta favoriter i den här kategorin! I grunden liknar den de flesta produkter av den här typen; ett vettigt webb-gränssnitt där man konfigurerar alla aspekter av funktionaliteten. Har man lite fler enheter finns även programvaran "Anybus Cybersecurity Console" för enklare "mass-drift".
Känslan i gränssnittet kan kanske beskrivas som "en avancerad hemmarouter", vilket jag menar som en komplimang och som jag verkligen tycker är bra i det här sammanhanget. Du kommer känna dig hemma oavsett om du är nätverksproffs eller automationsingenjör. Det är lätt att hitta i menyerna och hjälptexterna är extremt bra.
De grundläggande funktionerna kring nätverket och de "normala" brandväggsfunktioner är kraftfulla och enkla att få till. Det finns gott om avancerade funktioner under "Advanced"-flikarna om man behöver göra något som är lite utöver det vanliga. I tillverkande industri är vettiga NAT-funktioner viktigt och det finns på plats. Så långt är det två tummar upp från min sida.
Hur är det då med funktioner som både tilltalar OT-folket och säkerhetsnördarna? Brandväggsinställningarna har en sektion som heter "Industrial protocols" där man kan bygga regler, regelgrupper och profiler på ett smart sätt. Det finns en "Analysis"-funktion suger i sig inspelad nätverkstrafik och presenterar förslag på regler för att göra det enklare att genomskåda vad som faktiskt behöver ha regler.
Riktigt elegant är att man hanterar de här reglerna separat från underliggande IP-regler. Se nedanstående exempel på en regel för MODBUS TCP som struntar i IP-adresser, portnummer etc och enbart filtrerar på ren MODBUS-information. Snyggt!
Just nu finns det bara stöd för MODBUS TCP och EtherNet/IP (CIP) på den här detaljeringsnivån men ytterligare ett antal protokoll är redan på väg. Om du har en åsikt om vilka protokoll som vore intressantast att faktiskt kunna filtrera på så får du gärna höra av dig! mats@ot-sakerhet.se
Den här produkten är baserad på opensource-brandväggen pfSense som i sin tur bygger på FreeBSD. Att den bygger på pfSense är förstås en stor del av förklaringen till den stora flexibiliteten i produkten. Men det ger också en annan riktigt spännande möjlighet! Genom "Packages" kan man enkelt lägga till väldigt avancerad funktionalitet. I den långa listan hittar du bland annat super-intressanta mjukvaror som:
ArpWatch (Reagerar på exempelvis ARP-spoofing)
Snort (IDS/IPS)
Softflowd (Exporterar nätverksinformation via NetFlow)
Squid (Webb-proxy)
Suricata (IDS/IPS mm)
Wireguard och Tinc (VPN)
Zeek (Nätverksanalys)
Möjligheterna som ges via Packages är nästan obegränsade och det ska bli spännande att se hur den här delen tas emot av marknaden. Hårdvaran är relativt kraftfull så den pallar att köra avsevärt mer än ren brandväggsfunktion! Om du redan använder det här i någon form av OT-sammanhang så vill jag gärna höra mer! mats@ot-sakerhet.se
På det hela taget är det här en fantastiskt intressant produkt! De erbjuder extremt flexibla möjligheter att lösa dina utmaningar utan att gränssnittet känns förvirrande eller komplext. Förhoppningsvis kommer vi se stöd för fler OT-protokoll inom kort och ännu fler möjligheter med "Packages". En detalj som verkligen tilltalar mig är att licenserna är "eviga", alltså ingen oro att någon licens löper ut och stoppar någon viktig funktion! Säkerhetsuppdateringar ingår också på livstid.
Vill du höra HMS själva prata om det här så finns exempelvis den här videon med Thomas Vasen på YouTube:
En OT-avhandling!
Sarah Fluchs är ett välkänt namn i branschen som har varit drivande på många spännande områden, exempelvis i projektet "Top 20 Secure PLC Coding Practices" som jag skrivit om tidigare.
Nu har hon levererat sin avhandling som handlar om en visuell modell för att fatta, dokumentera och kommunicera beslut kring hur cyberfysiska system utformas.
Vad är annorlunda med utbilda i OT-säkerhet?
Ett spännande samarbete mellan ISAGCA, INL, Idaho State University och DOE har resulterat i ett dokument som innehåller en mycket stor mängd kunskaper som de bedömer behöver vara annorlunda i en cybersäkerhetsutbildning riktad mot OT-miljöer jämfört med "vanliga" cybersäkerhetsutbildningar. Och det är verkligen en diger lista de fått ihop, så man måste nog verkligen ta fasta på ordet "guidance" i titeln: "CURRICULAR GUIDANCE: Industrial Cybersecurity Knowledge".
Med tanke på att ser ut att börja lossna även i Sverige kring denna typen av utbildningar, så finns det nog en hel del inspiration att hämta här!
NIS2 handlar mest om OT-säkerhet!
NIS2 trycker på två saker; dels starka nationella strukturer för cybersäkerhet, och dels ”cyber-robust” produktion i organisationer som är viktiga för samhället.
Om vi funderar över den där robusta produktionen, så inser vi direkt att de flesta organisationer som ingår i NIS2 producerar något ”fysiskt”. Det är tillverkande industrier, energiproduktion, transporter, dricksvatten, avlopp, avfall, livsmedel och kemikalier. Det är dessutom sektorer som innehåller väldigt många organisationer och där den samhällsviktiga verksamheten är helt beroende av god OT-säkerhet.
IT-säkerhet är förstås också viktigt, men samhället kommer inte bry sig så mycket om ert fakturasystem står still eller om din budgetrapport för oktober är otillgänglig. Men om produktionen stannar blir det snabbt problem!
Inget ont om banker, kommuner, IT-driftleverantörer, DNS-tjänster och rymdtjänster – de är väldigt viktiga! Men de är betydligt färre och har i de flesta fall relativt moget säkerhetsarbete redan idag. Den stora utmaningen framöver finns därför i organisationer som behöver OT-säkerhet, både för att de tenderar av vara mer omogna och för att de är många fler!
Just nu är det många som nyvaket ställer ganska grundläggande frågor kring NIS2 i diverse forum på nätet, exempelvis: ”Vad är det jag behöver göra egentligen?”. Det är förstås en väldigt bra fråga, egentligen precis den fråga som alla behöver ställa sig. Problemet är att man ofta får ett och samma svar tillbaka; ”Det är bara att implementera ISO 27001!”.
Svaret är i sig inte fel. Men som nörd inom OT-säkerhet drar det direkt i gång några stora varningsflaggor i mitt huvud. Jag ska vara väldigt tydlig med att jag verkligen gillar ISO 27001 och att jag tror att det är rätt väg för nästan alla organisationer! De där varningsflaggorna hänger mer ihop med de typiska dikeskörningar som jag sett lite för många gånger i organisationer som gett sig på att bygga ett ledningssystem med hjälp av ISO 27001. Flera av dikeskörningarna blir dessutom lite extra allvarliga när det handlar om NIS2 i kombination med OT-säkerhet.
En väldigt vanlig dikeskörning är att man fokuserar alldeles för mycket på Annex A i ISO 27001, alltså listan över säkerhetsåtgärder som kan vara relevanta enligt standarden. Jag hävdar att det är den minst viktiga delen av standarden och att den egentligen borde tas bort helt. Det viktiga finns tidigare i dokumentet, kapitel 4 till 10; att förstå organisationens förutsättningar, planering, styrning av säkerhetsarbetet, att löpande utvärdera hur det går och att jobba med ständiga förbättringar. De här dikeskörningarna är ett problem även utan NIS2 och OT-säkerhet, men det tenderar att göra problemet mycket större om man rusar i väg för att implementera klassiska IT-säkerhetsåtgärder.
Riktigt bra kan det bli om man kombinerar kapitel 4 till 10 i ISO 27001 med del 2 av IEC 62443. Det kräver förstås lite extra jobb men resultatet kan bli riktigt välanpassat till både IT och OT. Samtidigt!
Hur man skyddar ett kärnkraftverk
Ruben Santamarta har just publicerat en riktig djupdykning i ett vanligt förekommande skyddssystem för kärnkraftverk. Eftersom jag är "uppvuxen" i kärnkraftsbranschen är jag förstås lite extra nördigt intresserad men det finns godis här för alla!
Årets SCADA-Säkerhet har gått av stapeln!
I mitten av september spenderade jag två dagar på konferensen "SCADA-Säkerhet" i Stockholm. Som man förstår av det lite ålderdomliga namnet är det en konferens som funnits i ett antal år nu och som samlar en trogen publik. Det var två dagar av föredrag, men kanske framför allt två dagar av riktigt roliga diskussioner med både nya och gamla bekantingar. Ett stort tack till alla jag träffade där för många inspirerande samtal!
Favoriterna bland föredragen var nog:
Björn Eriksson som är gruppchef komplexa cyberbrott (KCB) på Polismyndigheten som pratade om hur polisen arbetar vid cyberattacker. Hörde många kommentarer efteråt om att det var viktigt att få höra.
Jimmy Persson som är utvecklings- och säkerhetschef på Svenska Stadsnätsföreningen pratade om robusthet och fysiskt skydd på ett sätt som jag tror många organisationer kan ha nytta av även i helt andra branscher. Du kan läsa deras anvisningar för fiber och för anläggningar.
Anders Jonson som är medlem i ENISA AHWG – EUCS/AI pratade om hur framför allt NIS2 kommer påverka branschen.
Ted Strandberg som är projektledare på RISE tog avstamp kring det uppdaterade Radiodirektivet från EU och vad som händer runt om det.
Cybernoden!
Har du koll på Cybernoden? Om inte så tycker jag du ska titta närmare och om din arbetsgivare inte redan är medlem så är det faktiskt gratis!
Den officiella förklaringen av vad Cybernoden är: "Cybernoden är Sveriges nationella kompetensgemenskap inom cybersäkerhetsforskning och innovation och drivs av RISE på uppdrag av NCC-SE inom ramen för ECCC, och är finansierat av Vinnova."
Det finns en lång radda temagrupper, så det finns garanterat någon som passar oavsett vilken typ av säkerhetsarbete du är intresserad av! Men den roligaste gruppen är förstås "Säkerhet i ICS/OT" som jag och Thomas Vasen leder! Hör av dig om du vill vara med och bidra till diskussionerna! ( mats@ot-sakerhet.se )
ENISA har inte så mycket fokus på OT?
EUs cybersäkerhetsmyndighet ENISA har just publicerat "ENISA Threat Landscape 2024", deras analys av hotläget mot EU och världen. Rapporten är intressant i sig, men ännu mer intressant kan det tyckas att OT-säkerhet nämns exakt en enda gång i ett dokument på 131 sidor...
Men? Vem är det som kör egentligen?
Välkände profilen Joe Weiss har publicerat ett 24-sidigt dokument under rubriken "Who’s in charge of OT security?" där han skriver kloka saker kring den "eviga frågan" om hur vi ska få IT och OT att fungera bra tillsammans.
NSSS24 och CRA
I slutet av september gick konferensen Nordic Software Security Summit av stapeln i Stockholm, organiserad till största delen av Olle E. Johansson. Jag var inte där själv men har förstått att den var mycket uppskattad av deltagarna.
Något som kan intressera läsarna av det här nyhetsbrevet var Filipe Jones Mourao från Europeiska Kommissionen som i sin keynote-dragning berättade om läget kring Cyber Resilience Act, CRA:
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.