top of page
Sök
    • 30 juni 2021

Nyhetsbrev OT-Säkerhet #30 - Måltavlor, Industri 4.0 och Jubileum

Jag firar att det trettionde nyhetsbrevet är utgivet med en snabb kopp kaffe innan det är dags att fortsätta skriva på nummer 31 och 32. Nej, allvarligt talat så känns det riktigt stort att "ha fyllt 30"! Jag hade aldrig trott att gensvaret skulle bli så här stort när jag drog igång nyhetsbrevet för snart två år sedan och skickade det första utskicket till mina dåvarande fyra (!) läsare... Nyhetsbrevet kommer förstås alltid att vara extremt nischat, men med tanke på just detta så är de 500-700 läsare ett inlägg har idag helt fantastiskt! Det har börjat dyka upp läsare utanför Sverige med önskemål om engelska men jag kommer hålla kvar i att skriva på svenska som förstaspråk.

Den här gången känner vi måltavlan på våra ryggar, funderar vilket sätt vi ska stava till "Industrie 4.0", läser en ny del i NAMURS NOA-serie och hittar nya sätt att mäta risker. Du får också mina bästa pod-tips och en massa annat.


Ett riktigt varmt tack till er alla som läser mina spretiga tankar om detta udda, men ack så viktiga, ämne. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det i allra högsta grad är ett hobby-projekt, då det till största delen skrivs hemma i TV-soffan.


Framöver kommer jag försöka öka tempot lite i utgivningarna men istället låta innehållet bli motsvarande kortare. Jag siktar på att ge er nyhetsbrev ungefär var 14:e dag framöver även om det kan variera lite, inte minst över sommaren.


Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket är anledningen till mina texter. Jag skrev nyligen ett inlägg på Atea-bloggen som förklarar mer.


Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se. Framöver kommer också vissa artiklar från nyhetsbreven publiceras på Ateas officiella blogg tillsammans med en del annat som jag skriver där.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

 

Känner du måltavlan på ryggen?

Häromdagen läste jag en artikel av Vytautas Butrimas som, precis som vanligt, gör en radda kloka observationer. Huvudpoängen är att organisationer som sysslar med kritisk infrastruktur aldrig får glömma att de är väldigt utsatta. Att allting som de gör (eller låter bli att göra) kommer aktörer i omvärlden att försöka utnyttja.


Det här är förstås egentligen inga nyheter för någon. Samtidigt tycks det vara lätt att glömma att slutmålet för angriparna inte är att slå mot den kritiska infrastrukturen i sig utan att använda den som ett slagträ mot samhället i stort. Dels som en störning och dels som en kraftfull psykologisk effekt. Det här är viktigt att komma ihåg när man sitter där i sin risk-workshop och undrar "varför skulle någon vilja angripa oss?". Att alltid känna måltavlan på ryggen och att alltid peka på jobbiga begränsningar är tufft. Här är det viktigt att man har vettiga rutiner för belysa risker i alla typer av ändringar som kan påverka säkerheten.

Något som jag personligen tycker är en underskattad komponent i det sammanhanget är att ge organisationen en gemensam syn på de hot som man står inför. Om alla i organisationen har samma bild av vad man behöver skydda sig mot blir säkerhetsarbetet oerhört mycket enklare. Organisationer som har verksamheter som faller under säkerhetsskyddslagen och som tillhör någon av de två högsta konsekvensnivåerna (och därför kallas "Särskilt säkerhetskänslig verksamhet"), får ju en så kallad DHB, "Dimensionerande Hotbeskrivning", av SÄPO och tillsynsmyndigheterna. Även om man inte bedriver säkerhetskänslig verksamhet, eller inte ens kritisk infrastruktur, tycker jag något i stil med en DHB är ett fantastiskt kraftfullt sätt att definiera sin egen kravnivå. Det är något som passar alla typer av organisationer! Men se samtidigt upp så att ni inte stoppar in en massa onödigt känslig information i i beskrivningen, den får inte bli "hemligstämplad" - innehållet behöver ju vara känt inom den egna organisationen för att kunna göra någon nytta!

(Image credit: www.mddionline.com)

Om man sedan lyckas kombinera känslan av en ständig måltavla på ryggen med tänket "assume breach", dvs att man antar att angreppen redan lyckats och därför behöver kunna upptäckas och hanteras så har man sannolikt den perfekta inställningen till sitt säkerhetsarbete!


Inget av det här är specifikt för OT-säkerhet men jag tror att det är extra viktigt för oss. Eftersom vi ofta har lite mer extrema konsekvenser med i vår riskekvation och eftersom vi gärna blir lite begränsade i vilka säkerhetsåtgärder som är möjliga att använda blir det helt avgörande att klyschan "Säkerhet är en del i allt vi gör" faktiskt inte är en klyscha. Jag skulle vilja utöka den till att "Säkerhet är en del i allt som ALLA gör" så att vi får med alla på tåget.

Lite på samma tema har det börjat gå upp för allt fler att IT och OT inte bara är ett hot mot varandra utan att de båda två tillsammans ofta är helt avgörande för att kunna bedriva en verksamhet. Tiden när vi kunde "köra vidare utan IT" är förbi för de flesta verksamheter. Det är lite märkligt att så många blev förvånade över att man "stoppade driften" av pipelinen i östra USA nyligen på grund av ett IT-angrepp. Det beror kanske delvis på att man inte förstår hur den typen av verksamhet funkar och delvis på att händelsen fördummats i diverse media som att "de inte ville köra produktionen om de inte kunde fakturera". Det talas om "konvergensen mellan IT och OT", vilket många väljer att tolka som att systemen växer ihop. Jag ser det inte på det sättet, även om förstås integrationen mellan de två världarna ökar. Istället är det viktiga att verksamhetens risker blir allt mer gemensamma mellan IT och OT. Stannar produktionen så har den stannat, om det var IT eller OT som "ställde till" det spelar mindre roll.


Vi har i alla fall passerat punkten där man inte längre kan skylla bristande säkerhetsarbete på "att man inte visste". Om verksamhetens ledning inte arbetar aktivt med risker och säkerhet idag så är man antingen inkompetent eller förd bakom ljuset. Att medvetet välja att göra ingenting är självklart fortfarande möjligt men det är inte längre ett automatiskt utgångsläge. Vi som arbetar med säkerhet har ett stort ansvar att förmedla en korrekt bild till vår ledning och våra medarbetare!

 

Mer NOA från NAMUR!

Det duggar tätt mellan storstilade leveranser. Bara dagen efter att "Top 20 Secure PLC Coding Practices" lanserades (som du såg i förra nyhetsbrevet) dök nästa del av NAMUR Open Architecture (NOA) upp. Nu är det dokumentet NE 176 “NAMUR Open Architecture – NOA Information Model“ som är tillgängligt, den tredje delen av totalt fem planerade.


Det här är femte delen i min serie om standarder och ramverk. Första avsnittet handlade om ISA/IEC 62443 och finns i nyhetsbrev #26. I nyhetsbrev #27 tittar jag på NAMUR NOA. I nyhetsbrev #28 tittade jag på NIST CSF, NIST 800-53 och NIST 800-82 men du fick också lite mer om NOA som en bonus. I förra nyhetsbrevet tittade jag på den nya versionen av CIS Controls och funderade på hur den passar för OT. Har du önskemål om vad jag ska ta upp framöver så får du väldigt gärna höra av dig!

Jaha? Kanske du undrar... "Informationsmodeller! Vad har det med OT-säkerhet att göra?" Inte så mycket på ytan kanske men i praktiken tycker jag att det är helt avgörande för säkerheten i en OT-verksamhet som börjat ta sig mot "Industri 4.0". Om det är någonting som förstör de bästa säkerhetsmässiga intentioner så är det integrationer mellan system där man tagit genvägar. Usla API:er, dåliga nätverksprotokoll och allmänt kass koll på vad som kommunicerar med vad, leder ofelbart till att den där fina segmenteringen förstörs och din dyra brandvägg blir bara en schweizer-ost med blinkande lampor...

Det som är kul med att just den här delen blev tillgänglig är att vi nu har tillgång till de tre viktigaste delarna. Det som vi inte fått ännu är "NE 178 – NOA Verification of Request" och "NE 179 – NOA Aggregating Server" som förvisso är viktiga och intressanta men inte helt nödvändiga för att börja använda det här smarta tänket. Och precis det är ju viktigt att komma ihåg - man måste ju inte använda alla detaljer i NOA utan kan också nöja sig med att luta sig mot tänket. Det gör vi hos några av mina kunder just nu, där det viktiga är att se datainsamlingen som en separat funktionalitet värdig egna system och egna nätverk så att man inte påverkar befintliga produktionsutrustningar. Hur långt man vill gå med exempelvis diodbaserade envägslösningar kan man ju låta styras av sina riskanalyser.


I mitten av juni gick konferensen "Dialog Days - Edition Process Automation", anordnad av den spännande tillverkaren Phoenix Contact, av stapeln. En av diskussionspassen var just kring NAMUR NOA. Kan vara intressant om du vill förstå NOA bättre.


Hur passar då det här med NOA in i "Industri 4.0"? Varför ges NOA-dokumenten ut på engelska och tyska? ...och är det uppenbart vad vi egentligen menar med "Industri 4.0"? Ett ämne som jag tyckte var värd en egen liten text...

 

Industri 4.0? Industry 4.0? Industrie 4.0?


Är det bara olika stavningar av samma koncept eller finns det mer i den underliggande betydelsen? Jag har hittills inte sett någon officiellt uttalad skillnad men jag börjar personligen se viktiga skillnader som kommer kunna leda till riktigt dyra missförstånd som dessutom får säkerhetskonsekvenser!

När man kommer ner under ytan på begreppen "Industri 4.0", "Industry 4.0" eller "Industrie 4.0" märker man att det finns två ganska olika betydelser av dem. Orginalet är förstås det formella "Industrie 4.0" som definieras av "Plattform Industrie 4.0" som i sin tur drivs av tyska staten. Den andra är något slags luddigare och mer vardaglig betydelse i stil med att "stoppa in IoT-sensorer, dataflöden och analytics i industrin för att göra smarta saker!". Och det kanske är precis så att vi ska skilja på begreppen? Personligen kommer jag i fortsättningen försöka använda "Industrie 4.0" när jag tänker på den tyska formaliserade betydelsen och "Industry 4.0" för den enklare varianten. Apropå enklare så har "tyskarna" nu börjat förkorta "Industrie 4.0" till "I4.0", så nu har vi ett begrepp till!

För den som inte trängt in i det enorma arbetet som "Plattform Industrie 4.0" bedriver kan det vara svårt att inse omfattningen av resultatet och de löften som det ger. Det blir speciellt tydligt när man kommer in på det som kallas AAS eller "Asset Administration Shell". Extremt förenklat kan man säga att det är en datamodell för hur man beskriver vilket fysiskt objekt som helst i en industri, oavsett om det är en produkt, en maskin, ett dokument eller en motor. Datamodellen är standardiserad och finns beskriven ner på fältnivå för både kommunikation mellan organisationer och för dataflöden i en produktionsprocess. Det finns samarbeten som ska säkerställa att exempelvis ID-nummer för alla dessa typer av prylar blir standardiserade på ett sätt som fungerar både i de tekniska standarder som förordas (framför allt OPC UA) men också i en massa andra standarder för kommunikation och fältbussar. Men det är inte bara teknik utan även metoder för att köpa och sälja tjänster online som passar in direkt i organisationer som följer standarderna.


Det står naturligtvis var och en fritt att ta till sig alla dessa tankar och standarder i den omfattning man vill. Extremerna är väl att antingen gå all-in eller att sno själva tänket i exempelvis "NAMUR Open Architecture" men applicera det på ett eget sätt. Högst personligen är jag osäker på hur den extremt formaliserade "tyska modellen" kommer lyckas i framtiden. Min osäkerhet beror just på den enorma komplexiteten i helheten även om jag förstås tilltalas av den enorma elegans som genomsyrar mycket av tänket.

Att det till stor del drivs av tyska organisationer hindrar inte att vi andra använder resultatet eftersom allting dokumenteras på både tyska och engelska. Däremot sker en del spännande diskussioner på tyska och där blir i alla fall jag snabbt utelåst även om jag försöker putsa upp min skol-tyska.


Säkerhetsmässigt har det ju definitivt fördelar med hög standardisering men jag ser också risker om man tillämpar standarder och lösningar som man inte riktigt förstår själv och därmed inte kan hantera riskerna med. För risker finns det ju. I allting. Alltid... Däremot gillar jag personligen att plocka riktigt snygga koncept, som exempelvis NOA, för att applicera en arkitektur hos mina kunder som bygger på tänket även om vissa tekniska lösningar är annorlunda.


 

Är allt redan sagt om risker?

Om du har följt mitt nyhetsbrev ett tag så har du läst mina kritiska tankar kring riskanalys. (Exempelvis konsekvensdrivet riskarbete i Nyhetsbrev #25 och #26 eller kvantitativa metoder i Nyhetsbrev #16.) Då vet du att jag har lite svårt för de där klassiska workshoparna där man i grupp gissar sannolikhet och konsekvens för ett antal hopfantiserade risker. Fastän det är kvalitativa enheter man "mäter" med så försöker man sedan gärna sig på att multiplicera dessa "värden" på risk och konsekvens. Allt för att det ska kännas som man varit noggrann och matematiskt exakt.

Men... Det var faktiskt inte det jag tänkte gnälla om den här gången... Nej, jag snubblade nyligen över en 11 år gammal artikel på den medicinska sajten "Medical Device and Diagnostic Industry". Nog för att det finns en massa spännande OT-teknik inom sjukvården men den här gången var det riskanalys det handlade om med en lite ny vinkel som jag gillade. De lyfter fram ett antal andra dimensioner, utöver sannolikhet och konsekvens, som är värda att fundera över och använda för att gradera risker. Flera av resonemangen känner jag igen från min tid inom kärnkraftsbranschen.


Jag ska inte försöka återberätta hela artikeln utan rekommenderar att du läser den. De "nya" vinklarna som man föreslår att man utökar sin analys med är:

(Image credit: www.mddionline.com)

  • Detectability, vilket på svenska väl blir "upptäckbarhet". Alltså hur lätt är det att upptäcka händelsen innan den får sin konsekvens. En väldigt sannolik risk med hög konsekvens förvandlas ju från läskig till bara störig om den är enkel att upptäcka innan skadan uppstår. Man får förstås vara noga med att bedömma rätt sannolikhet så att resonemanget går ihop.

  • Correctability som då kanske blir "åtgärdbarhet" eller "hanterbarhet"? Det handlar om att man vill prioritera de risker som är enkla att åtgärda för att få maximal total riskreduktion i säkerhetsarbetet. Här får man förstås se upp så det inte går över styr men eftersom vi sällan har obegränsat med resurser blir det gärna viktigt att satsa på rätt häst.

  • Product Utility är det klurigaste av dessa medicintekniska resonemang att dra en vettig parallell till för OT-säkerhet. Översatt till svenska och OT blir det "verksamhetsnytta" eller kanske "riskaptit"? Det handlar om att det kan vara lättare att "stå ut med" risker för system som ger stor nytta eller tvärtom att man inte tolererar att risker orsakas av system som ändå inte ger stor nytta. Värt att resonera om speciellt i sammanhang där risker uppstår i ett system men "drabbar" ett annat.

Som vanligt får man se upp med att skapa för komplexa modeller. Det är lätt gjort att man lurar sig själv med känslan av att vara väldigt noggrann och vetenskaplig. Även om man inte använder dessa dimensioner som formella mätvärden så är det perfekt att ta en diskussion kring.

 

Jobba med mig i Västerås - utan att vara där!

Innan jag blev konsult var jag helt säker på att det inte kunde vara roligt! Och inte kunde väl jag något som en kund skulle vara intresserad av att betala för? Det visade sig att jag verkligen hade helt fel! Just den där erfarenheten från "riktiga verksamheter" är helt avgörande för att bli en extra trovärdig konsult. Har man redan gått i kundens skor så kommer man inte rekommendera något som inte fungerar i praktiken! Och att få lära sig om en massa olika och jättespännande verksamheter är vansinnigt roligt!

Säkerhetsbranschen växer så det knakar! Jag behöver fler kollegor inom alla former av säkerhet! Helst vill jag förstås ha kollegor i Västerås men det betyder inte att du måste befinna dig fysiskt här. Du kan få samma knasiga chef som jag har men sitta någon annanstans! Eller så kan du förstås tillhöra något av alla våra andra roliga kontor!


Så här står det i vår annons just nu. Eftersom jag skrev texten i den själv, så håller jag förstås verkligen med om att: "Säkerhet på Atea är lika spännande och omväxlande som våra kunder! Oavsett om kunden redan är avancerad i sitt säkerhetsarbete eller en omogen nybörjare behöver vi dig med en rejäl dos kompetens och erfarenhet. Ditt kunnande kan vara brett och spänna över flera områden eller mer specialiserat på ett område som du brinner speciellt för. Exempel på kompetenser som vi har stora behov av är informationssäkerhet, it-säkerhet, GDPR, OT-säkerhet, riskanalyser, säkerhetsskydd, identitetshantering och NIS-direktivet. "


Hör av dig! Oavsett var du vill jobba och med vad!

 

Poddar?

Just poddar är något som jag använder väldigt mycket för att hänga med i vad som händer i branschen! Jag föredrar de poddar som tenderar att vara "snabba på bollen" och plocka upp nyheter före alla andra. Här är en uppdaterad lista med mina egna favoriter, både kring säkerhet och annat.


OT-Säkerhet:

  • @BEERISAC: ICS Security Podcast Playlist” – Som namnet indikerar är det inte en egen podcast utan en spellista med utvalda avsnitt från andra poddar. Det som är väldigt bra är att här hittar man avsnitt som handlar om OT även om podcasten inte är OT-specifik.

  • Unsolicited Response Podcast” – Pod som drivs av Dale Peterson som är mest känd som organisatör för OT-konferensen ”S4”.

  • The industrial Security Podcast” – Pod som ges ut av utrustningstillverkaren Waterfall (mest kända för att tillverka nätverksdioder).

Andra säkerhets-poddar:

  • SANS Internet Stormcenter Daily StormCast” – En daglig pod (5-10 minuter) om aktuella händelser.

  • Risky Business” – En australiensisk pod som är min favorit av alla säkerhetpoddar.

  • The Cyberlaw Podcast” - Ett gäng jurister i USA diskuterar de olika lagstiftningarna runt om i världen som påverkar säkerhet och privacy. Mer underhållande än man kanske tror…

  • "Dataministeriet" - Jag är inte enormt intresserad av privacy-frågor men den här podden har haft många intressanta gäster och diskussioner kring dataskydd och privacy.

  • "Hacking Humans" - En pod om social engineering i olika former.

Några andra favoritpoddar som inte har ett dugg med säkerhet att göra:

 

Lite skryt

I förra nyhetsbrevet skrev jag om leveransen från projektet "The Top 20 Secure PLC Coding Practices Project". Det var tydligen något som projektet uppskattade så nu finns Nyhetsbrevet listat på deras webbsida under rubriken "Resources in Swedish". Kul!

 

Tips om event och mer läsning!

Den 26:e Augusti går årets Xday av stapeln. Jag är en av talarna under rubriken "Stå stadigt med säker OT". Exakt vad jag kommer prata om får ni höra om ni är med! Skynda att anmäla dig!



Det pratas en del kring alternativ till CVSS som standard för att gradera sårberheter. En artikel från spanska Incibe CERT diskuteras IVSS och en del andra tänkbara möjligheter. https://www.incibe-cert.es/en/blog/industrial-cvss-alternative-calculations-different-needs



Eric Cosman reder ut en del vanliga missförstånd kring vad Purdue-modellen egentligen är till för och hur dess betudelse tonats ner i ISA 62443 numera. https://www.arcweb.com/blog/whats-fuss-about-purdue-model



Steffan Sørenes gör en riktigt bra genomgång av NAMUR NOA och Industri 4.0 som ställer en rad intressanta följdfrågor. https://www.linkedin.com/pulse/implementation-namur-open-architecture-noa-era-iot-cloud-sørenes/


Intressanta insikter eller balla fönster som imponerar på chefen? Hos TxOne och deras nya OT Threat Atlas får du båda i ett! https://www.tr.txone-networks.com/



Intressant artikel om TAP och SPAN för att få insyn i OT-nätverk. Jag har skrivit om detta ämne tidigare när jag tittade på produkterna från Keysight i nyhetsbrev #27 och nyhetsbrev #17. https://industrialcyber.co/article/evaluating-network-taps-vs-span-in-ot-critical-infrastructure-environments/


För den som vill läsa mer av mina alster så finns några av mina artiklar med koppling till OT-säkerhet på Ateas officiella blogg.

 

Det här nyhetsbrevet vänder sig till mottagare med intresse av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.


Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats.karlsson-landre@atea.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!


Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats.karlsson-landre@atea.se. Jag lovar att din mejladress inte används till något annat än detta!


Du hittar tidigare nyhetsbrev på ot-säkerhet.se.

bottom of page