.png)
Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du musikaliska versioner av OT-säkerhet och NIS2! Jag berättar också hur mycket böter som delats ut kopplat till nuvarande NIS-direktivet, avslöjar hur man blir riktigt efterklok, serverar några riktigt jobbiga sanningar, tittar närmare på batteri-system, söker en kollega, funderar på hur vi reagerar på hybridhot, tittar på ett par årsrapporter och säger tack till både Livsmedelsverket och MSB.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
För den som är musikaliskt intresserad finns nu nyhetsbrevets första egna låt med den uppkäftiga titeln "Purdue is not security!". Valet av genre föll på industri-metall förstås, som sig bör... Tankar på den?
Sjung med!
ot-säkerhet.se come follow me, don't even have to pay a fee. Purdue was never a security plan, do your zoning properly man! The time for point to point is gone, now Unified Namespace has won. Now let's make OT secure again, or all our work has been in vain...
Är det så att du kanske föredrar ett lite mer poppigt sound? Kanske tänker du mycket på NIS2? Då har jag ett alternativ bara för dig:
Okej... Jag inser att jag inte ska satsa på en musik-karriär... Men det är inte omöjligt att det kommer något mer i framtiden om det uppskattas?
Hur många röda kort har delats ut?
Jag insåg nyligen att jag inte hade koll på hur mycket "böter" som drabbat svenska organisationer för att de inte skött sig enligt NIS-direktivet. Att vissa av tillsynsmyndigheterna varit aktiva med tillsyning och delat ut en hel del anmärkningar är välkänt. Men hur mycket smisk har egentligen delats ut för sådana förseelser? Och varför är det så tyst om att detta faktiskt sker?
För att förstå detta bättre har jag på sista tiden lekt undersökande journalist och begärt ut den här informationen från de aktuella myndigheterna (Post- och Telestyrelsen, Energimyndigheten, Transportstyrelsen, Livsmedelsverket, Inspektionen för vård och omsorg och Finansinspektionen). Det jag ville veta var vilka sanktionsavgifter de beslutat om, vilka organisationer som berörts och vilka regelbrott de straffats för. Resultatet visade sig mycket intressantare än jag hade trott och dessutom på fler sätt än väntat...
Generellt sett ser svaren från de olika myndigheterna väldigt olika ut, vissa har delat ut förvånansvärt många böteslappar, medan andra inte har gjort det alls. I vissa fall är det rejäla belopp vi pratar om och i andra ett större antal småbelopp. Vissa skillnader kan ju förstås bero på skillnader mellan branscher och i vilken takt de olika myndigheterna tagit fram sina föreskrifter, men ändå...
En väldigt tydlig skillnad mellan de olika myndigheterna är hur de hanterar information om vilka organisationer som "berörs". I ett par fall vägrar man lämna ut namnen på organisationerna eftersom man har belagt den informationen med sekretess enligt Offentlighets- och Sekretesslagen. Samtidigt berättade andra myndigheter gladeligen exakt vilka verksamheter som hade anmält sig som berörda av NIS. (För den som är nyfiken på detaljer kring sekretessen så refererar man till OSL 18 kap 8 § vilket också prövats i rättsfall, exempelvis Kammarrätten i Jönköping mål nr 3039-20.)
Det jag egentligen var ute efter i första hand var ju att förstå hur det stod till med just sanktionsavgifterna. Även här visade det sig vara stor skillnad mellan sektorer och mellan myndigheter. Det absolut vanligaste är att organisationen missat eller varit sen med att anmäla sig, det "kostar" alltid 5 000 kronor hos en av myndigheterna, medan de andra myndigheterna drar till med mellan 15 000 och 90 000 kronor. En annan vanlig förseelse är brister i hur man hanterat en inträffad säkerhets-incident och där ligger beloppen i spannet mellan 70 000 och 200 000 kronor.
Riktigt dyrt blir det om man får allvarliga anmärkningar under en tillsyn av verksamhetens säkerhetsarbete, där startar fakturan på en dryg miljon och det högsta beloppet jag hittat är nästan 4 miljoner. I ett fall, som jag känner till sedan tidigare, var förhållandet mellan storleken på beloppet (1,5 miljon) och storleken på organisationen riktigt tuff! Tro alltså inte att myndigheterna håller igen med piskan bara för att du är liten eller har svagare ekonomi!
Brister i anmälan | Incidenthantering | Tillsyn | |
Totalt antal | 78 | 4 | 17 |
Maxbelopp | 90 000 | 200 000 | 3 750 000 |
Snittbelopp | 24 000 | 115 000 | 1 155 000 |
Allt detta handlar alltså om regler som direkt eller indirekt kopplar till det första NIS-direktivet. Jag ser ingen anledning att tro att våra tillsynsmyndigheter kommer hålla igen mer när NIS2 implementerats. Tvärtom! Då finns fler och tyngre straff att ta till! Nu är ju inte viljan att undgå straff den bästa drivkraften för säkerhetsarbete, men nog skulle det kännas bättre att lägga de där 4 miljonerna på säkerhetsåtgärder istället för att betala dem till en myndighet?
Det som förvånar mig mest med allt detta är att man från myndigheternas sida inte tar chansen att berätta för alla andra berörda verksamheter hur det kan gå om man inte sköter sig. Även om man hemlighåller namnet på organisationen så är det ju en missad chans att "motivera" andra att skärpa till sig ännu mer! Men där kanske det blir skillnad med NIS2 eftersom man kan tvingas att själv berätta för hela världen varför man fått en "sanktionsavgift". En riktig skampåle-paragraf alltså!
Helt uppenbart är det viktigt att hantera NIS2-kraven ordentligt framöver. Några generella insikter kan man dra kring hur man minimerar risken för att få spö:
Se till att ta analysen av om ni omfattas på allvar. Även om ni inte tror ni omfattas så tycker jag det är en väldigt bra idé att ändå göra en enkel men formell analys. Glöm inte att låta högsta ledningen fatta beslut om vägvalet, oavsett om det blir att ni omfattas eller inte!
Om ni omfattas av reglerna så glöm inte att göra en formell anmälan! Lätt gjort att man glömmer den lilla detaljen...
Siktar ni på att uppfylla NIS2 så är min bedömning att man inte ska försöka hitta något facit, för det kommer det ändå inte att finnas. Säkerställ att ni jobbar systematiskt med att identifiera och hantera risker med fokus på er egen produktion. Glöm inte att NIS2 handlar om att bygga en "cyber-robust" produktion, vilket kan innebära att andra delar av verksamheten inte behöver lika mycket säkerhetsfokus!
Var inställda på att ni aldrig kan förebygga risken för incidenter helt. Ni måste vara beredda på att hantera att tråkiga saker faktiskt händer. Läs även artikeln nedan om att bli efterklok, det är otroligt viktigt att kunna förklara vad som hände efteråt!
Konsten att bli riktigt efterklok!
Om du följer något slags nyhetsflöde inom cybersäkerhet har du garanterat inte missat den enorma läckan av konfigurationsdata som drabbat en stor grupp användare av Fortinet-prylar. Som vanligt har den fått ett putslustigt namn: FortiGate-skandalen...
En artikel på samma tema påpekade klokt att, även om man varit snabb på att installera säkerhetsrättningar, så behöver man dessutom dubbelkolla att inte det elaka typerna ändå hann utnyttja sårbarheterna innan du hann rätta dem. (För då hjälper det inte att patcha!) Just det här tycker jag är en poäng som lätt tappas bort! För det är en viktig poäng! Och en riktigt svår poäng att göra något åt i verkligheten!
Eftersom jag arbetar på ett företag som erbjuder en framstående OT-SOC, alltså säkerhetsövervakning fokuserad på OT-drivna verksamheter, så hamnar jag ofta i samtal om nyttan med övervakning. Den primära nyttan med en SOC är förstås att någon snabbt upptäcker en angripare och att man därför tidigt kan få stopp på angreppet, innan det lett till jobbiga konsekvenser.
Jag märker dock att många organisationer missar att diskutera en annan nytta, som är nästan lika viktig. Förmågan att efter en attack kunna titta i backspegeln och avgöra vad som egentligen hände! Och detta oavsett om man lyckades stoppa angreppet tidigt eller om det dessutom hann börja leda till tråkiga konsekvenser. Det värsta som finns när man städat upp efter ett angrepp är att inte veta vad som egentligen hände! Hur kom de in? Vad ställde de till med egentligen? Har vi lyckats åtgärda allting? Kan de ställa till samma oreda igen imorgon? Kan vi lära oss något till nästa gång?
Det här får ytterligare en dimension för de organisationer som omfattas av någon av alla nya och gamla lagstiftningar kring cybersäkerhet. Ta NIS2 som exempel, där en av de viktigaste kraven är att man i efterhand ska kunna redogöra i detalj för vad som hände. NIS2 förbjuder inte säkerhetsincidenter, men man kan råka riktigt illa ut om man har så dålig koll på läget att man inte kan analysera vad som gick snett! Är det dessutom så att din verksamhet omfattas av svenskt säkerhetsskydd så behöver du eventuellt kunna spara all den informationen länge (10 eller 25 år), så att motsvarande analys kan ske om man inser långt senare att man drabbats av en säkerhetsincident.
Så fundera noga över vilken information du behöver samla in för att kunna göra en bra analys och vilka förmågor som behövs för att kunna tolka informationen. Du behöver se till att insamlingen startats i god tid innan incidenten, för när incidenten inträffat är det redan för sent... För att kunna bli efterklok i framtiden så behöver du vara klok idag...
Vill du bli ytterligare lite klokare så kommer MSB anordna ett webbinarium den 28:e mars kring ämnet säkerhetsövervakning. Gratis och förmodligen fyllt av klokheter:
Varför en stark Security Operations Center (SOC)-förmåga är avgörande för att stärka samhällets motståndskraft
Hur monitorerings- och realtidsövervakning bidrar till att skydda kritiska system och tjänster
Praktiska steg för att bygga eller förbättra SOC-förmåga för offentlig sektor
Brittiska risker!
Storbritannien publicerade nyligen den officiella/publika versionen av deras riskbedömning "National Security Risk Assessment", (NSRA) i form av en riskförteckning, "National Risk Register" (NRR).
Som vanligt i den här typen av dokument från britterna så är det genomarbetat och bra. En hel del användbart för oss OT-människor i olika sammanhang men fungerar även som en utmärkt sammanfattning av hotläget i "Cybervärlden".
Jobbiga sanningar...
Chris Hughes skriver under rubriken "Cybersecurity's Delusion Problem" om en utmaning som jag verkligen håller med om. Det här att vi "säkerhetsmänniskor" gärna blir fanatiska och en-frågefokuserade i vår iver att göra allting säkert. Jag har ofta stött på motstånd när jag påpekar att vi behöver stötta ledningen i organisationerna att kunna jämföra risker mellan olika områden - för det finns faktiskt värre saker i livet än cyberrisker!
Jag tycker det blir väldigt tydligt när man ställer frågan "Hur mycket risk är lagom?" till olika personer. En typisk cybersäkerhetsmänniska kommer nästan garanterat svara något i still med att "Mindre risk är alltid bättre!". Ställer du samma fråga till en styrelsemedlem kan du räkna med ett svar i linje med "Så mycket som möjligt. Men inte för mycket!".
Tricket med risk är inte att undvika dem. Det viktiga är att ha koll på dem så man kan göra kloka och informerade val. Att ta risker är att skapa fördelar och möjligheter men gör man det blint och på magkänsla så kommer man snabbt hamna i diket.
Det här är för övrigt en av sakerna jag brukar lyfta som en fördel med att styrelsen pekas ut så hårt i NIS2. Kloka styrelser kommer kräva att organisationen kan visa en samlad bild av riskbelastningen och därmed måste vi kunna jämföra risker från helt olika områden. "Ska vi byta ut de gamla PLC:erna i produktionen eller är det faktiskt viktigare att renovera fabrikstaket?"
Dragos ger oss sin syn på världen!
Dragos har släppt sin "8th annual year in review, 2025 OT/ICS Cybersecurity Report" som är väl värd att läsa. Jag ska dessutom ge dem extra beröm för att de, i motsats till alla andra i OT-säkerhetsbranschen, inte tvingar oss att ge bort vår mejladress till dem för att få läsa rapporten! Bra!
Det är en ganska omfattande (56 sidor) genomgång av hur Dragos uppfattar hotlandskapet och hur det går för "försvararna" i deras utveckling mot mer mognad och effektivare säkerhetsarbete.
Hacktivisterna har varit ganska aktiva under senare tid vilket får mycket uppmärksamhet i rapporten. Naturligtvis också en hel del kring trenderna runt ransomware men också den spännande rubriken "Legacy malware" där man diskuterar att gammal skadlig kod, som exempelvis WannaCry, fortfarande "gömmer sig" i existerande system.
I kapitlet "Vulnerabilities" pekar de på den intressanta utmaningen att förstå fältbusstrafik när protokoll körs "ovanpå varandra" i flera lager. De nämner exempelvis EtherCAT som Omron kör över NXBus-protokollet och bakar in alltihop i http-förfrågningar!
Jag har varit på CCE-kurs!
Jag hade nyligen förmånen att få gå en utbildning i CCE-metoden, "Consequence-driven, Cyber-informed Engineering". Det är Idaho National Labs, INL, organisationen som utvecklade metoden som också kör dessa påkostade intensiv-utbildningar kallade "ACCELERATE". Jag kan verkligen rekommendera dessa kurser, som dessutom är gratis. Å andra sidan genomförs de bara i USA, så resan tillkommer förstås...
Om du läst mina nyhetsbrev tidigare så vet du att jag propagerat för den här metoden tidigare. Det finns en bok utgiven som jag recenserade i nyhetsbrev #26 men du kommer långt även med ett av INLs whitepapers. I grunden handlar det om att identifiera de allra värsta händelser som kan drabba en producerande verksamhet, alltså inte bara de som är väldigt jobbiga, utan händelser som kan:
få organisationen att gå under
orsaka enorma skador eller förlust av människoliv
få allvarlig påverkan på samhället
Det som gör metoden så intressant är att man identifierar katastrofala händelser som kan utlösas via digitala angrepp, men man försöker inte lösa problemet med "cyber-åtgärder". Istället siktar man på att hindra en angripare genom att fysiskt ändra i processen så att konsekvensen blir fysiskt omöjlig. Mitt favoritexempel för att illustrera tänket är lite fånigt: "Om det är farligt att köra en pump baklänges så kan en backventil vara ett effektivare skydd än att sätta motorstyrningen bakom en brandvägg".
En annan aspekt som gör metoden så intressant är att den verkligen gör precis de svåra antaganden som vi säkerhetsmänniskor alltid säger att man ska göra, exempelvis "assume breach" - alltså att angriparen redan är i våra system och därmed spelar det mindre roll hur de tog sig dit! Man förutsätter också att angriparen vet mer om systemen och tekniken i dem än vad vi själva vet. Tuffa antaganden, men viktiga på den här nivån!
Jag ska inte upprepa allt fantastiskt med metoden, där hänvisar jag till min tidigare text i nyhetsbrev #26, men några nya reflektioner vill jag ändå göra:
Det här är en makalös metod för att identifiera och åtgärda de absolut värsta händelser som kan drabba organisationer. En av styrkorna är att man tvingas tänka långt utanför boxen och där kanske hittar risker som ingen tidigare "vågat" tänka på.
Metoden passar väldigt väl för verksamheter som lyder under säkerhetsskyddslagen. Både CCE och säkerhetsskydd tar ingen hänsyn till sannolikheter, det handlar bara om att se till att allvarliga händelser inte KAN hända. Klockren kombination!
Även kopplat till NIS2 passar CCE bra om man tar fasta på att direktivet trycker hårt på att allt säkerhetsarbete ska vara risk-drivet och att åtgärderna ska vara proportionella.
CCE kan möjligen vara lite förvirrande om man jobbar strikt enligt IEC 62443-3-3, men även den är ju i grunden risk-driven så om man bara gör riskanalyser med tungan rätt i munnen så fungerar det utmärkt!
En potentiell utmaning med att använda CCE för att uppfylla NIS2, Säkerhetsskydd eller något annat regulatoriskt krav skulle kunna vara att tillsynsmyndigheterna ibland blir alldeles för detaljerade i sina krav. Om det i mitt exempel ovan finns ett uttryckligt krav på att skydda alla farliga pumpar med en brandvägg så kanske inte en backventil accepteras som ett bättre alternativ. Låt oss hoppas att myndigheterna respekterar den risk-drivna approachen i exempelvis NIS2!
Metoden kan uppfattas som tung, vilket den också är om man tar sig an en komplex produktionsprocess. Som motvikt till det kan den med fördel genomföras "iterativt" så att man bara fokuserar på den absolut värsta konsekvensen först och sedan repeterar i den takt man orkar med. Det pågår ett intressant arbete på Luleå Tekniska Högskola där Ebba Linnea Nilsson och Hampus Ettehag tittar på hur man bäst kan anpassa metoden till de förmågor som en mindre organisation har. Det ska bli spännande att se vad de landar i.
Det finns gott om delar i metoden som kan vara inspiration för att förbättra konventionella metoder för riskbedömningar. Många organisationer jag jobbar med har inte tidigare tänkt igenom hur de genomför riskanalyser eller vilket värde de egentligen kan ge. Om inte annat så tvingar CCE-tänket organisationer att få "IT-folk" och "process-folk" att prata med varandra!
Hör gärna av dig om du är nyfiken på att prova det här i din verksamhet! mats@ot-sakerhet.se
Batterier?
Användningen av batteri-teknik i vårt elnät ökar. I takt med att de blir allt viktigare blir säkerheten i dem allt mer kritisk. En radda intressanta rapporter INL (Idaho National Labs) är väldigt intressanta i sammanhanget och innehåller dessutom en del referenser till arbete utfört enligt CCE-metoden.
INLs sida för batterier och energilagring
Rapporten "Battery Energy Storage Systems Report" från US DoE
White paper "Application of Cyber-informed Engineering för protecting BESS"
Till det ska vi verkligen inte glömma den (som vanligt) välskrivna artikeln "BESS Cyber physical risk" av Sinclair Koelemij.
Bli min kollega!
Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet! Vi söker i hela Sverige!
Hybrida hot och knattefotboll
Jag vill slå ett slag för Anton Lifs texter, han kommer ständigt med kloka insikter om den kluriga värld som vi verkar i. I senaste utgåvan reagerade jag lite extra på en mening i ett stycke som egentligen handlar om att hybrida hot inte ska ses som snällare.
Meningen han skrev är:
Men när det väl är sensationella angrepp (ex. Nordstream) så fastnar vi alla i fällan, och allt fokus riktas mot ett och samma håll.
Det där är något jag tänkt på också, både kring världshändelser som kabelsabotage i Östersjön, men även i mindre skala, exempelvis inom OT-säkerhetsbranschen. Det är väldigt lätt att fastna i de frågor som fått rubriker på sista tiden! Ibland känns det som att vi är spelare i ett knattefotbollslag - ni vet där alla spelare springer efter bollen istället för att fundera på var på planen man själv kan göra bäst nytta utifrån sina egna förutsättningar...
För en säkerhetsperson handlar det nog mest om att våga tänka fritt när man gör sina riskanalyser och funderar över vilka åtgärder som får bäst effekt. Ska vi satsa stenhårt på försvar genom att bara förebygga att motståndaren gör mål eller ska vi även höja blicken, förstå spelet och leta efter nya möjligheter framåt?
Reaktioner på förra nyhetsbrevet
Det stora intresset kring Clavisters OT-satsning och deras nya NetWall 200R gick inte att missa! Kul att de får erkännande för det de gör. Jag kommer följa deras fortsatta utveckling på OT-sidan med stort intresse, men måste ärligt säga att de redan nu är ett riktigt starkt kort i kampen mellan OT-brandväggar! Den svenska flaggan på prylarna gör definitivt inte saken sämre...
Den senaste versionen av mjukvaran sägs komma att lanseras inom ett par veckor, men jag har förstått att det redan nu är fritt fram att diskutera offerter eller ordna en provkörning!
Det kommer alltid ett gäng kloka kommentarer på det LinkedIn-inlägg där nya nyhetsbrev annonseras, så även den här gången. Mest genialisk var nog Lina Bengtsson som utökade min liknelse mellan bilbälten och cybersäkerhet med att regelbunden besiktning har ett stort värde. Så är det ju verkligen!
Realtid!
Begreppet realtid är inte alltid så lätt att förstå för nybörjare i branschen. I en uppföljare till artikeln om skillnaderna mellan SCADA och DCS som jag nämnde i förra nyhetsbrevet så skriver nu Sinclair Koelemij om "riktig" process-styrning och hur en angripare skulle kunna störa dessa systems cykeltider för att på så sätt påverka den fysiska processen.
Som alltid, välskrivet och läsvärt när det kommer från Sinclair!
Samtidigt kommer skrytvideos från Siemens och Audi om hur de virtualiserat PLC:er och placerat dem i en datorhall 8 kilometer bort. Naturligtvis en helt annan typ av verksamhet och helt andra krav, men ändå en tydlig påminnelse att utvecklingen av tekniken och metoderna ständigt utvecklas!
Obligatorisk läsning!
Sarah gör det igen!
Namnet Sarah Fluchs har dykt upp ett antal gånger tidigare i nyhetsbrevet, senast i nyhetsbrev #64 där jag pekade på hennes avhandling.
Nu har hon släppt ett gratisverktyg för att göra "Cyber Decision Diagrams". Verktyget bygger på det kommersiella verktyget “Security Engineering Tool” (SET) som Sarah också ligger bakom. Du hittar en av hennes texter här som förklarar mycket av tänket.
Utforska gärna det här arbetssättet och hör av dig med dina reflektioner! mats@ot-sakerhet.se Det här är ett intressant utvecklingsområde!
Tack Livsmedelsverket!
Livsmedelsverket har släppt en uppdaterad version av "Handbok i krisberedskap och civilt försvar för dricksvatten".
Viktigt material i största allmänhet om man är i vattenbranschen. Extra kul tycker jag personligen bilaga 2 är som innehåller en stor samling scenarier för övningar - viktigt att göra ofta!
När det gäller säkerhetsfrågor så pratas det tyvärr nästan bara om skydd av information och nästan ingenting om skydd av process-systemen, vilket ju känns lite märkligt? Men i övrigt ett riktigt bra dokument!
Tack MSB!
Ett annat bra dokument som tyvärr pratar ännu mindre om OT-säkerhet är MSBs "Resultatredovisning av Cybersäkerhetskollen 2024". Det är trots detta ett bra dokument, men som pekar på väldigt dåliga saker inom samhällsviktig verksamhet - den generella säkerhetsnivån är helt enkelt bedrövlig...
Det skulle vara väldigt intressant att komplettera "Cybersäkerhetskollen" som ju bygger på "Infosäkkollen" och "IT-säkkollen" med "OT-säkkollen". Den skulle i så fall rimligen behöva omfatta ungefär samma områden som både "Infosäkkollen" och "IT-säkkollen", men då med fokus på fysisk produktion. Ett vanligt missförstånd är att IT-säkerhet och OT-säkerhet är varandras motsvarigheter eftersom de har så lika namn. Men det är min erfarenhet att OT sällan finns med på radarn när organisationer pratar om "Analys av informationssäkerhetsrisker", "Kontinuitetshantering" eller "Ledningens styrning"... Så i praktiken behöver OT-säkerhet driva samma frågor som både informationssäkerhet och IT-säkerhet gör.
Minimera mera!
I en artikel av Marco Felsberger sätter han fingret på två av mina allra käraste käpphästar för hur vi skapar robusta verksamheter och system:
Minimera systemen, "Minimum viable systems"
Begränsa skadeverkningarna, "Bounded impact"
Det är en gammal sanning att komplexitet och säkerhet är varandras fiender. Det betyder både att vi behöver skala av det som är överflödigt ("Härdning") men också att vi ska kunna falla tillbaka till minimalt systemstöd och ändå leverera. Den andra delen av resonemanget är att vi kan begränsa skadorna vid haverier/attacker och på så sätt öka tåligheten i verksamheten. Begreppet "Limiting the blast radius" är ganska talande sammanhanget.
Marco avslutar med en radda citat-värda tankar, där "resilience is about survival, not perfection" är min favorit. Det är lite samma grundtanke som i CCE (se ovan), att vårt fokus behöver vara på de händelser som helt kan utplåna vår organisation och verksamhet. När vi har koll där så kan vi börja med finliret...
Får jag svära lite i kyrkan?
Det är fortfarande en del "OT-folk" som inte vill ta ordet "Molnet" i sin mun. Var eventuella kopplingar till något slags moln passar eller inte passar är extremt situationsberoende, men jag tror de flesta av oss sedan länge insett att världen inte är så svart-vit att man bara kan avfärda ett teknikområde helt.
Håkon Olsen har skrivit en väldigt bra artikel som säkert kan hjälpa till att desarmera frågan om det fortfarande behövs. Om inte annat så är den också fylld med en rad goda idéer!
Din egen eller någon annans kryptering?
Det har varit en hel del rubriker på sistone kring infiltration av teleoperatörer av en hackergrupp som precis som vanligt fått en massa fåniga namn: "Salt Typhoon", "RedMike", "Ghost Emperor" och "Famous Sparrow". Innan dess var det gruppen "Volt Typhoon" som angrep kritisk infrastruktur med hjälp av routrar och brandväggar som de tagit över. Det här med att nätverksutrustning tas över är ju ett riktigt jobbigt hot att hantera. Som angripare går det att ställa till riktigt tråkiga saker, i synnerhet när det handlar om nätverkstrafik som var tänkt att bara åka runt i "interna nätverk"...
Det påminner mig om en diskussion som jag hamnar i emellanåt. Det handlar om hur mycket vi egentligen kan lita på teleoperatörer och andra leverantörer av nätverk? Inte för att de är onda - tvärtom, utan för att de har alldeles för komplexa lösningar för att kunna hålla elaka angripare ute från sina nät. Konsekvensen för mig är att man ska akta sig för att se leverantörernas nät som en säkerhetslösning. Att de är duktiga på att få fram vår trafik är det inget tvivel om, men mitt förtroende för att trafiken är väl skyddad mot insyn eller ändring är ganska låg.
Mitt råd brukar helt enkelt vara att alltid själv ha rådighet över skyddet av känslig trafik, oftast genom att använda något slags krypterade tunnlar i näten. Och, Ja, jag menar även mobiltrafik med privata APN eller leverantörer som erbjuder olika former av krypterade tunnlar inne i sina nät. Och, Ja, jag inser att det inte är självklart att vi klarar att skydda våra egna nätverksprylar så fantastiskt mycket bättre. Och, Ja, jag inser att många tycker jag har fel eftersom det inte finns några bevis... Men det är i alla fall något som man borde ta ett medvetet beslut om!
Jag skulle förresten gärna se att vi börjar ge dessa kriminella grupper lite mindre glamorösa namn, som det är nu låter de onödigt coola! Jag förslår att vi byter ut namnet på den här gruppen från "Salt Typhoon" till något mer förolämpande. Vad tror du om "Fluffy Poop", "Farty Pants" eller kanske "Smelly Armpit"?
Snart i en podd-spelare nära dig!
Jag och Johan Guste gästade ett avsnitt av podden "Cyber Chats & Chill" som fantastiska Margarita Sallinen och Linda Nieminen driver. Det blev ett kul samtal om högt och lågt inom OT-säkerhet - allt från Stuxnet till relationsrådgivning.
Avsnittet är inte släppt ännu när detta skrivs, men det finns många andra bra avsnitt så om du inte har lyssnat på dem tidigare så har du tid på dig nu som uppvärmning till vårt!
Gartner tycker till om OT-säkerhetsplattformar
Gartner släppte nyligen en uppdaterad analys av alla de stora "OT-säkerhetsplattformarna". Även om den här typen av analyser har sina begränsningar så är det i alla fall åtminstone en bra startpunkt för den som vill välja eller byta system.
Vem är Mats?
Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.