.png)
Den här gången tittar jag på ett märkligt USB-minne med Bluetooth, funderar kring motsvarigheten till informationssäkerhet för OT-säkerhet, visar upp nyheter i min bokhylla och en massa annat spännande!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter.
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här artikeln delas eller i Säkerhetsbubblan på Facebook. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på den här artikeln och genom att dela den vidare. Tack för hjälpen!
Mats filosoferar...
En tanke slog mig häromdagen! Vi brukar ju ofta jämföra IT-säkerhet och OT-säkerhet med varandra. Även om det är väldigt mycket som skiljer dem åt, både kring metoder och vad man försöker skydda, så handlar båda två om att skydda tekniska system så att de kan utföra det som de är tänkta att göra.
En annan viktig relation som IT-säkerhet har är med informationssäkerhet. I det klassiska tänket ställer informationssäkerhet krav på IT-säkerhet för att skydda den information som hanteras i IT-systemen. I praktiken är det inte så enkelt alla gånger men lutar man sig mot ISO 27001 så är det den världsbilden som gäller.
Men, då kan man ju undra... Vad är motsvarigheten till informationssäkerhet för OT-säkerhet? Varifrån kommer kraven som OT-säkerhet ska uppfylla? Ja... Det är ju en bra fråga...
Ibland hör man vissa som försöker vränga till ett resonemang där informationssäkerhet går att använda till allt, även för att kravställa OT-säkerhet - systemen hanterar ju trots allt något slags information även om syftet är att styra någonting fysiskt. Det är ett resonemang som snabbt faller platt till marken. (Även om det förstås kan vara delvis sant för vissa system som faktiskt hanterar både information och fysiska processer.)
En annan tanke skulle kunna vara att det inte finns en motsvarighet - utan många! Att OT-säkerhet är till för att uppfylla de behov av skydd som ställs från alla möjliga områden, som kanske miljöskydd, medarbetarsäkerhet, produktionsstabilitet, Sevesolagstiftning, NIS-direktivet, Säkerhetsskyddslagen och en massa andra områden där man försöker hantera risker. Det här resonemanget håller förvisso bättre men det blir ju ganska rörigt och spretigt när det är så många som ska kravställa var för sig.
Efter att ha resonerat kring detta insåg jag att svaret egentligen kan vara mycket enklare än så. Åtminstone om man har valt att luta sig mot standarden ISA/IEC 62443. Slarvigt uttryckt kan man säga att 62443 är för OT-Säkerhet vad 27000-serien är för Informationssäkerhet. De som följt mitt nyhetsbrev ett tag vet att jag är svag för den här standarden och att jag var nummer två i Sverige att certfiera mig som "ISA/IEC 62443 Cybersecurity Expert".
Precis som de flesta moderna standarder för ledningssystem är 62443 baserad på att man bedömer sina risker och väljer sitt skydd utifrån riskerna. Tanken är att olika delar av en verksamhet behöver olika skydd och att man ska kunna ha tillräckligt bra skydd överallt utan att slösa resurser genom att ta i för mycket. När infosäk-folket brukar bedömma "Konfidentialitet", "Riktighet" och "Tillgänglighet" tittar vi OT-människor mest på tillförlitlighet i systemen och att vi inte ställer till något som skadar människor eller miljö. Standarden sätter sedan en metod för hur man skyddar och segmenterar sina system baserat på risker som de utsätter verksamheten för. Även om kraven kan komma från olika källor kan de samsas i en gemensam modell för hur man beskriver risker och skyddsnivåer.
En närbesläktad diskussion (som jag var inne på i förra nyhetsbrevet) är vilka begrepp man bäst använder för att beskriva riskerna istället för "Konfidentialitet", "Riktighet" och "Tillgänglighet"? Populära förslag brukar vara "Controlability", "Observability", "Operability", "Safety", "Resilience" och "Performance".
Min personliga syn att är alla begreppen är bra och att man absolut kan kombinera dem efter behov. Om man råkar ha information som ska skyddas mot att stjälas eller förvanskas så kan man förstås kombinera dem med begreppen från Informationssäkerhet.
Om jag ska återvända till ursprungsfrågan så är väl egentligen min insikt att frågan var fel ställd från början! OT-säkerhet har faktiskt mer likheter med informationssäkerhet än med IT-säkerhet, åtminstone om man utgår från ISA/IEC 62443 och ISO 27001. Man måste utgå från en bedömning av vad som är värt att skydda, bygga hela sitt tänk utifrån skyddsbehoven och sedan utforma teknik och processer efter det. Jag kan verkligen rekommendera att man tittar närmare på 62443-standarden om man vill jobba strukturerat med OT-Säkerhet och utforma skyddet av sina system baserat på verksamhetens risker.
Jag hoppas dessutom att jag kan återkomma med en lite mer nyanserad bild av vad som bäst driver riskarbetet inom OT enligt 62443 efter att ha läst böckerna som jag berättar om här nedanför. Min förhoppning är att de kommer knyta ihop skyddet av OT-system tydligare med kraven på riskreducering i den fysiska processen. Håll tummarna! :-)
Den coolaste stickan i stan?
För en gångs skull har jag testat något som jag först var väldigt skeptisk till men som jag sedan bytte åsikt om! För varför i himelens namn ska man ha Bluetooth i ett krypterat USB-minne?
Minnet vi talar om är "DATASHUR BT" från iStorage. Ett FIPS-certifierat krypterat minne med mellan 4 och 128 GB lagring och "USB 3.2 SuperSpeed" anslutning. Minnet är IP57-skyddat så det tål både damm och vatten bra. Bluetooth används för att låsa upp krypteringen och för diverse inställningar från en app i din mobiltelefon.
Skeptisk och luttrad som jag är, föreställde jag mig genast en lite väl ambitiös ingenjör någonstans som har kokat ihop en teknisk lösning som är snygg men som vid minsta provokation rasar ihop som ett korthus och tillåter att allt data på stickan går att ladda ner via Bluetooth. Verkligen inte något man vill lita på!
Men... Sedan visade det sig att tillverkaren hade riktigt bra svar på alla mina elaka frågor och stolt visade upp en lösning där hanteringen av data separerats från blåtandsdelarna.
Nu skall jag direkt säga att jag inte lagt någon tid på att försöka hacka det lilla underverket men min erfarenhet är att en leverantör som har riktigt vettiga svar på svåra frågor redan har tänkt på många fler attackvägar än vad jag själv kan komma på... Ett litet men bra exempel är att man behöver ha det 8-siffriga nummer som minnet är märkt med för att ansluta minnet till appen. Koden sitter så att den inte går att se när minnet är anslutet vilket gör det mycket svårare att tjuvkika...
En riktigt stark finess som man definitivt inte ska underskatta är att appen inte bara "låser upp" krypteringen, det är faktiskt så att innan minnet låsts upp så syns det inte överhuvudtaget som USB-enhet i det system där det anslutits. Minnet kan därför inte ens teoretiskt utsättas för lömska USB-attacker i stil med BadUSB förrän det är upplåst. (Jag skrev om olika typer av USB-attacker i nyhetsbrev #19.)
Men varför ska man ha Bluetooth i ett USB-minne då? ...och i synnerhet när det handlar om OT-system? Ja, för det första handlar det ju om ett minne med inbyggd kryptering. Om man inte har behov av det så faller förstås hela meningen med minnet! Och varför ska man då kryptera ett minne? Att man har känslig information och att små minnen är lätta att tappa bort är förstås ett uppenbart svar men det finns fler anledningar. En kan ju vara att man inte vill riskera att någon kollega ändrar filer på minnet av misstag. Det vanligaste sättet som det sker är att man "lånar" ett minne som hamnar i någons dator där minnet smittas med något läskigt virus som sedan följer med runt till andra system.
Det finns ju andra sätt att låsa upp krypterade minnen än via Bluetooth. Det vanligaste är att minnet har en liten knappsats på sig där man skriver in en PIN för att låsa upp lagringen. Eventuella andra finesser får man ställa in med kryptiska kombinationer av knapptryckningar som inte går att komma ihåg. Till det här minnet finns en app där man matar in sitt lösenord på ett vettigt tangentbord och då kan man förstås göra inställningar på ett mycket tydligare sätt. Den enda klurigheten jag kommit på är om din organisation eller din kund av något skäl inte tillåter mobiltelefoner nära OT-utrustningen, då är nog det här inte lösningen för dig.
Om vi tittar igenom inställningarna så hittar vi ett antal riktigt intressanta funktioner. Först hittar vi lösenordsbyte och redan här förstår vi varför en app är bättre än en knappsats - du kan ha ett riktigt lösenord istället för en PIN-kod!
Det finns stöd för 2-faktorsidentifiering och lösenordsåterställning som tyvärr bara har stöd för SMS men det är förstås bättre än inget. Mer om detta med bortglömda lösenord lite senare...
Sedan kan du välja att appen ska komma ihåg lösenordet vilket förstås sänker säkerheten en smula. Biometriskt lås finns också och är förmodligen en bättre lösning i de flesta fall.
Sedan blir det väldigt intressant! Du kan säga åt minnet att automatiskt låsa sig efter en viss tid. En annan riktigt bra funktion är att minnet kan fås att låsa sig om du går iväg längre än fem meter med telefonen.
Att enkelt kunna sätta minnet i skrivskyddat läge är en fantastisk funktion för att kunna dela med sig av data till system som man inte litar på fullt ut. Ingen risk att minnet blir nedsmutsat med skadlig kod!
Vissa av de här funktionerna (2-faktor, lösenordsåterställning och remote wipe) sköts av en molntjänst. Det kan man förstås ha invändningar emot och då är det fritt fram att inte slå på de funktionerna. MEN! Det finns fler möjligheter om man skaffar den utökade molntjänsten...
Vad är den absolut vanligaste anledningen till att information försvinner när den lagras krypterat? I min erfarenhet är det att folk glömmer lösenordet till sitt minne! Det finns lite olika lösningar för att kunna hantera den typen av situationer på ett bra sätt. Ett av dem är att ha centralt managerade minnen där en superadministratör kan återställa lösenord som tappats bort. Det är givetvis inte lämpligt i alla situationer så man får förstås göra sin egen riskanalys innan man drar igång den typen av verktyg! Men man kan ju se det som ett 2-faktorsskydd i och med att informationen ändå bara är tillgänglig om man har minnet i sin hand.
Från iStorage kan man köpa "iStorage datAshur BT Remote Management Web Console" som möjliggör hantering av alla minnen i en organisation. Jag har inte provat den själv men den verkar onekligen kunna lösa alla viktiga problem. Med den typen av verktyg har jag sparat oräkneliga arbetstimmar åt tidigare arbetsgivare när medarbetare slarvat med sina lösenord... I och med att det alltid finns en koppling till en app så finns även lite ovanligare funktioner som att man kan blockera en användare från att använda "sitt eget" minne (exempelvis om en medarbetare lämnar företaget) eller sätta begränsningar i VAR eller NÄR minnet får användas. Intressant...
Sammantaget är det här ett snabbt och solitt minne som bör passa de flesta verksamheter som inte totalförbjuder trådlös teknik i sina system. Möjligheterna med Bluetooth är faktiskt riktigt vettiga i verkligheten och inte bara en gimick.
För OT-världen ger styrningen via en app möjlighet att hantera minnen som fysiskt sitter på platser där de är svåra att komma åt. Exempel på viktiga funktioner är snabbheten, fjärrstyrt skrivskydd, automatisk låsning om man går ifrån det och att det går att komplettera med central managering.
Säkerhetsskyddschef med ett diplom!
I Nyhetsbrev #21 berättade jag att jag skulle inleda Företagsuniversitetets diplomeringsutbildning för säkerhetsskyddschefer. Nu är utbildningen slut och jag har fått mitt diplom.
Jag vill återkoppla att det, precis som jag förstås hoppades, är en riktigt bra utbildning som jag verkligen rekommenderar! För den som är intresserad av att vidareutveckla sig inom det här komplexa men intressanta området kan jag verkligen rekommendera den här kursen. Hör gärna av dig till mig om du har några funderingar.
Ett rejält kursmaterial, bra arrangemang, en otroligt erfaren lärare i Per Fjellman och en radda riktigt tunga gästföreläsare gör detta till en helt unik kurs! Att genomföra den på distans har förstås sina sidor men också vissa fördelar och det är ingenting som jag tycker drog ner på kvalitén.
Nyheter i bokhyllan!
Nu när jag är fullärd i allt som har med säkerhetsskyddsarbete att göra **ironi**, dök förstås tanken "vad ska jag lära mig nu då?" upp... Jag insåg att det var länge sedan jag läste en intressant bok om säkerhet. Så jag slog till på tre stycken på en gång!
Två av böckerna har delvis ett gemensamt tema, nämligen hur man låter sitt risk- och säkerhetsarbete bli konsekvensdrivet. Det finns flera skäl till att detta är ett allt mer populärt sätt att arbeta. Rent praktiskt brukar det vara ett arbetssätt som är effektivt och framkomligt i praktiken - helt enkelt därför att det tenderar att vara mycket enklare att komma överrens om vilka konsekvenser som är värst jämfört med att i grupp besluta sannolikheten för någon jobbig händelse. Speciellt svårt är det att säga något vettigt om sannolikheter när det gäller händelser som orsakas av människor, oavsett om det är elaka hackers eller insiders.
Att jobba konsekvensdrivet är inte samma sak som att bara fokusera på att minska konsekvenserna även om det också är ett väldigt kraftfullt verktyg. Speciellt brukar ledningsgrupper gilla att veta vad det värsta som faktiskt kan hända är. Sannolikheten är förstås också intressant men den vet alla är mer svårbedömd.
Ett citat som är ganska talande är "I can deal with disruption, what I can't handle is destruction of long-lead-time-to-replace capital equipment" som yttrades av VDn på ett av USA största elbolag. Det han syftade på var att de kan hantera att saker fallerar men när saker som tar lång tid att tillverka eller byta ut blir förstörda. Några exempel på hans värld är enorma transformatorer som kan ta flera år att få levererade eller att tusentals, geografiskt spridda, skyddsreläer förstörs samtidigt. Vissa saker får bara inte kunna hända...
Det här med att jobba med konsekvenser har jag varit inne på i några tidigare nyhetsbrev, bland annat Nyhetsbrev #21 och Nyhetsbrev #15.
"Countering Cyber Sabotage" är en sprillans nyutgiven bok av Andrew Bochman och Sarah Freemen från Idaho National Laboratory (INL) som behandlar det lite poppiga ämnet "Consequence-driven, Cyber-informed Engineering (CCE)". Om ni missat att ämnet är poppigt brukar ni nog inte hänga på OT-konferenser eller lyssna på OT-poddar. CCE tar den spännande ansatsen att vi redan är hackade och att angriparna bara väntar in rätt tid att slå till. Eftersom sannolikheten att bli hackad per definition då är 100% måste åtgärderna mot allvarliga skada då väljas baserat på vilka konsekvenser som kan uppstå i olika scenarier.
CCE bör rimligen gå bra att kombinera med PHA-begreppet från nedanstående bok, som angriper samma problem från lite andra vinklar. I grunden handlar båda två om att skydda vår verksamhet mot ond bråd död, miljökatastrofer och andra mindre roliga händelser genom att komplettera våra "hackbara" system med skydd som inte går att hacka - ofta olika typer av fysiska åtgärder i själva processen. Tricket är förstås att kombinera skydd mot hackning och skydd mot konsekvenserna av hackning på ett sätt som ger oss bästa effekt till lägsta kostnad.
"Security PHA Review for Consequence-Based Cybersecurity" gavs ut för ett drygt år sedan. Den fokuserar på begreppet "Process Hazard Analysis (PHA)" som är ett strukturerat sätt att göra riskanalyser för fysiska processer, ofta genom en så kallad HAZOP (HAZard and OPerability studies). PHA-analyser görs normalt med fokus enbart på händelser som orsakas av slumpmässiga fel i en anläggning. Boken utökar de existerande PHA-metoderna för att lägga till möjligheten att identifiera farliga scenarier som skulle kunna orsakas av OT-attacker. På köpet får man en strukturerad metod för riskanalys vilket saknas i 62443-standarden. I standarden sägs bara att man ska göra riskanalyser och på vad, men inte hur. Observera att denna PHA-analys inte är samma sak som den PHA-analys ("Preliminary Hazard Analysis") som beskrivs i Räddningsverkets "Handbok för riskanalys" som bland annat MSB pekat på i samband med Seveso-utbildningar.
Den tredje boken "Advanced PLC Hardware & Programming: Hardware and Software Basics, Advanced Techniques & Allen-Bradley and Siemens Platforms" är egentligen inte en säkerhetsbok. Den ska förhoppningsvis kunna stärka mig lite ytterligare i mina förståelse för de system som vi försöker skydda. Precis i allt säkerhetsarbete behöver man förstå de verksamheter man försöker skydda för att det ska bli ett bra resultat. Det finns ju faktiskt en anledning (eller förmodligen flera) till att det fysiska skyddet av en bank, ett fängelse och ett kärnkraftverk ser ganska olika ut trots att man skulle kunna tro att de har ganska mycket gemensamt...
Det här är tre böcker som jag har stora förhoppningar om men jag får återkomma med recensioner och insikter när jag har börjat avverka dem.
Vill du ha kompisar?
Jag har fått frågor från ett par läsare som är intresserade av att få kontakt med andra som arbetar med OT-säkerhet för att utbyta erfarenheter. Jag har funderat på sätta ihop något slags rundabords-träffar, helt utan vare sig kostnad eller sälj-agenda från någon av deltagarna. Jag tänker mig små grupper som över tiden kan bygga förtroende för varandra och genom nätverkande kan hitta samarbeten och inspiration. I dessa tider blir det väl rimligen träffar på distans men förhoppningsvis kan vi snart komplettera med "fysiska träffar". Blir intresset stort kan jag tänka mig olika grupper för olika branscher, roller eller geografiska platser.
En annan tanke på samma tema är ett online-forum där man kanske lite snabbare och enklare kan bolla enskilda frågor. Det skulle i så fall vara fristående från alla former av sociala medier för att inte exkludera någon och de som medverkar skulle enbart vara personer med bekräftad identitet för ökat förtroende. Även här skulle det vara kostnadsfritt och frikopplat från både sig min arbetsgivare eller något annat kommersiellt intresse.
Är något av dessa tankar intressanta så är det väldigt viktigt att du hör av dig så att jag blir motiverad att dra detta i mål. Skriv en rad till mig på mats.karlsson-landre@atea.se.
Vattnet i Florida!
Ingen som läser det här nyhetsbrevet har missat ståhejet kring incidenten i Oldsmars vattenverk. Det finns massor skrivet om händelsen, exempelvis Nozomi, Krebs on Security, Arstechnica och CISA. Man kan (bevisligen) ha väldigt olika åsikter om det som hände, varför det hände och hur farligt det egentligen var i praktiken.
Jag ska inte trött ut dig med ytterligare en tolkning av incidenten utan bara konstatera att namnet Oldsmar nu har gått till historien och kommer tillsammans med namn som Maroochy, Stuxnet, BlackEnergy, Kemuri, Crashoverride och Triton att dyka upp säkerhetskonferensernas Powerpoint-bilder under lång tid framöver.
Vi får se till att göra bästa nytta av incidenten för att illustrera varför det är viktigt arbete vi gör inom OT-Säkerhet och att hotet mot samhällets infrastruktur finns där, oavsett varifrån det egentligen kommer. Personligen kommer jag nog minnas Oldsmar lite extra för att de inblandade var så transparanta om vad som hänt och skötte informationen ovanligt bra. Det är ju något som visat sig vara uppskattat, oavsett om du är sheriff i Oldsmar eller säkerhetschef på Norsk Hydro.
Jobba med mig - nu ännu mera!
I förra nyhetsbrevet berättade jag om den Lösningsarkitekt för Säkerhet som vi söker till Atea i Västerås.
Nu vill vi också ha en erfaren kollega kring informationssäkerhet där vi har många spännande möjligheter, inte bara kring OT-kunder.
Dessutom vill vi ha en erfaren DataCenter-specialist som vi kan släppa lös i kundernas säkerhetsklassade miljöer.
Är du rätt person eller känner du den? Hör av dig till mig eller läs mer på vår karriär-sida.
Läsvärt!
Ett blogginlägg på Ateas officiella blogg som jag själv skrev kring förslaget till nytt NIS-direktiv. https://www.atea.se/it-specialisten/sakerhet/ett-helt-nytt-nis-direktiv-ar-pa-vag/
MSB släppte nyligen sin årsrapport för 2020 kring det nuvarande NIS-direktivet. Riktigt läsvärd med mycket intressanta poänger. De har också givit ut "Samlad informations- och cybersäkerhetshandlingsplan 2019–2022 Redovisning mars 2021" som bland annat pekar på en nationell satsning på säkerhet i "cyberfysiska system" och även en fortsatt samverkan med FOI kring en nationell Cyber Range, dvs möjlighet att öva på att hantera angrepp.
Jag tidigare pekat dig till fantastiska rapporter och andra publikationer från FOI, Totalförsvarets Forskningsinstitut. Deras sajt är en rejäl skatt med välgjorda och innehållsrika texter på alla möjliga områden som jag verkligen rekommenderar att du tittar närmare på.
ISA och ISAGCA (ISA Global Cybersecurity Alliance) har lagt fram sin plan för 2021 och kommer glädjande nog bedriva en hård satsning kring allas vår favorit-standard ISA/IEC 62443.
Den som använder mobil kommunikation och känner för lite tekniska experiment kan titta närmare på EFFs projekt CrocodileHunter. Ett spännande open-source verktyg för att leta efter falska basstationer, ofta kallade "IMSI Catchers", "Stingsrays" eller "Hailstorms".
Det här är ett spännande område som förstås inte är specifikt för OT-Säkerhet men som inte ska underskattas. Det kan jag personligen skriva under på baserat på egen erfarenhet...
Apropå mobilkommunikation så snubblade jag över en artikel och ett riktigt genomarbetat papper från Trend Micro kring säkerheten i användningen av 5G i bilar: "Cybersecurity for Connected Cars - Exploring Risks in 5G, Cloud, and Other Connected Technologies". Läs och njut!
Mer på samma tema är en artikel om attacker mot LoRaWAN från Trend Micro. LoRaWAN är ju en av de mer framträdande kommunikationsmetoderna som är speciellt anpassat för IoT-världen med väldigt låg bandbredd men också extremt låg energiförbrukning.
Dragos har gjort en ny variant på årsrapport för 2020 där du kan utforska deras data interaktivt förutom den klassiska rapporten. Kul och intressant!
Det här nyhetsbrevet skickas till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré på Atea Sverige och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se .