.png)
Den här gången skriver jag om två nya delar i standarden ISA 62443, acceptabla dödssiffror, personliga tankar kring säkerhetskultur, nyheter från NIST, cybersäkerhet i kärnkraftsbranschen, farliga backuper och smartare segmentering!
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet kommer se väldigt annorlunda ut, vilket också är anledningen till mina texter. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
En ny del i ISA 62443!
En sprillans ny del i 62443-standarden är på väg att spikas. Det är "ISA-62443-2‑2: IACS Security Protection" som är ute på sin andra remissrunda. Det är fritt fram för alla med tillgång till arbetsmaterial från ISA99 att komma med kommentarer fram till slutet av November.
Den här delen ger ledning kring hur man skapar, mäter och validerar något som man valt att kalla "SPS, Security Protection Scheme". En SPS är helt enkelt en bild av det totala skyddet, alltså kombinationen av de stödprocesser som kommer från del 2-1 av standarden och de tekniska skydden (inklusive segmenteringen i "Zones and Conduits") från del 3-2.
Det viktigaste som vi får i del 2-2 är ett (någorlunda) entydigt sätt att mäta hur väl vi i verkligheten implementerat de skyddsåtgärder som tagits fram. Det är användbart både som en del av SAT inför driftsättningen men också regelbundet för att följa upp att utvecklingen går åt rätt håll.
Personligen kan jag väl tycka att 2-2 (precis som de flesta andra delar i standarden) är något i överkant vad gäller komplexitet och detaljeringsgrad kring hur man ska göra. Att inte kunna se skogen för alla träd är ett talessätt som känns lämpligt i sammanhanget... Men syftet är både viktigt och bra; det är lätt att man bestämmer och utformar en massa bra skydd som man sedan inte riktigt lyckas implementera fullt ut. Här får man stöd att hålla ögonen på bollen även över tid...
På det hela taget känns det här som en viktig pusselbit som saknats tidigare. Det ska bli spännande att se de första organisationerna börja implementera den!
...och en till!
Det är faktiskt en draft till som är kopplad till 62443 ute på remiss just nu. Det är "62443-1-5, Scheme for IEC 62443 cyber security profiles" som är ute på sin första runda. Förutom att det är ett nytt dokument så är det också det första tecknet på en kommande ny serie av dokument, serie 5.
Tidigare har standarden haft fyra serier och sett ut ungefär som på bilden. Serie 1 är allmänna delar, serie 2 fokuserar på administrativa processer, serie 3 är teknik och serie 4 gäller de som tillverkar OT-komponenter.
Nu kommer vi så småningom få en femte serie där något som kallas profiler ska finnas. Profiler är enkelt uttryckt anpassningar av en eller flera delar av standarden till specifika behov för en viss bransch eller ett visst syfte.
Det nya dokumentet "62443-1-5" beskriver hur man tar fram dessa profiler. En profil är inte tänkt att tillföra några nya krav utan ska enbart peka ut vilka krav som är relevanta och vilka miniminivåer som ska uppnås.
Det här tror jag kan underlätta införandet av standarden i många typer av organisationer. Hur väl det kommer fungera är svårt att bedöma baserat på dokumentet så vi får vänta tills de första profilerna börjar dyka upp.
Vad kan säkerhet lära av säkerhet?
En vanlig fråga jag brukar få är om det är bättre att försöka lära IT-säkerhetsfolk att förstå OT-världen eller att uppfostra OT-folk i IT-säkerhet. Mitt första svar brukar vara att det beror mer på individen är dess utbildning.
Men jag har på senare tid insett att det finns ett annat svar också... Som jag tror jag egentligen gillar bättre... Det viktigaste är nog att man arbetat nära någon form av produktion - helt oavsett vad man haft för jobb. Och då menar jag fysiskt nära, så att man har fått lära sig det lite speciella grundtänket och känslan som finns i verksamheter där saker kan hända som kan vara farliga för dig själv, för utrustningen eller för dina kollegor. Där det är viktigt att jobba med säkerhetskultur av andra skäl än att folk inte ska klicka på spam-länkar. Där säkerhet handlar om att maskiner inte ska gå sönder, folk inte ska bli skadade och miljön inte ska ta stryk. Kanske man lärt sig förstå eller praktiskt använda mystiska begrepp som "HuP-verktyg", "TAK-mätning", "kompiskoll", "FAT/SAT", "ställtider", "Poka-Yoke" eller "takt". Man förstår instinktivt de väldigt annorlunda förutsättningarna som (nästan) alltid råder jämfört med IT-säkerhet och informationssäkerhet. Där nästan allt man gör på ett eller annat (indirekt) sätt har med säkerhet i någon form att göra.
Fast då är det ju traditionellt inte OT-säkerhet som stått i fokus utan det mer traditionella arbetet med skydd mot personskador och miljöpåverkan. Viktiga frågor utan tvekan men jag ser tyvärr fortfarande att man missar OT-aspekter i dessa riskanalyser. Jag tror det här är vägen in för OT-säkerhet på de platser där den fortfarande inte är en naturlig del i det övergripande säkerhetsarbetet.
Jag provocerar säkert en och annan med detta men jag tror att de flesta kan lära sig segmentera nätverk eller programmera PLCer efter några väl valda kurser och lite övning. Att ta till sig en säkerhetskultur som passar i typiska OT-miljöer tar tid och praktisk erfarenhet... Här vet jag att det kommer finnas många åsikter och förmodligen många som inte håller med mig. Hör gärna av dig eller kommentera den här utgåvan på LinkedIn. Jag vill uppriktigt förstå fler synvinklar och erfarenheter!
NIST ger oss ett facit!
Jag har tidigare skrivit om dokument från NIST, framför allt i Nyhetsbrev #28 där jag gick igenom "NIST Cybersecurity Framework", "NIST Special Publication 800-53" och "NIST SP 800-82". Nu har NIST släppt en draft av ett nytt dokument i 1800-serien som har det smidiga namnet "NIST 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector".
Om du inte känner till 1800-serien så är det en samling dokument som är tänkta att vara "how-tos", alltså handfasta och praktiska rekommendationer kring hur man hanterar olika kniviga ämnen - i det här fallet OT-säkerhet för tillverkande industri. Det som är lite speciellt är att man gör det i samarbete med ett antal tillverkare och använder deras produkter rätt av som exempel på hur man kan göra. För min egen del hade jag inte koll på Dispel och GreenTec sedan tidigare men i övrigt är det idel välkända namn som medverkar. Vissa har förekommit i nyhetsbrevet tidigare, exempelvis ConsoleWorks från TDI Technologies som var med redan i nyhetsbrev #18!
Det här är ett massivt dokument på drygt 300 sidor, uppdelat i tre delar. Det huvudsakliga innehållet beskriver hur man implementerar funktioner från "NIST CSF" med hjälp av dessa produkter. Som synes är det väldigt olika produkter:
Säkerhetsfokuserade produkter som applikationskontroll i Carbon Black, sårbarhetshantering i Tenable.ot eller styrsystem-nära säkerhet i Dragos och Azure Defender
Fjärråtkomst på ett säkert sätt via ConsoleWorks
Generella historian-funktioner mm via OsiSoft PI Server.
Tillsammans kokar de en ganska heltäckande soppa som bör gå alldeles utmärkt att utnyttja även om man inte använder just de här produkterna. I grunden är det ett ganska bra sätt att tänka brett genom att utgå från CSF.
Jag kallade skämtsamt dokumentet för ett facit i rubriken, men man ska nog hellre se det som en receptsamling. Man kan byta ut de ingredienser som man saknar mot andra som man redan har hemma i skafferiet.
Men det hjälper förstås också till att sätta ljuset på eventuella hål i det egna säkerhetsarbetet. Personligen ser jag väldigt ofta en stark slagsida mot preventiva skyddsåtgärder. En av mina favoritdelar i CSF är de fem grundläggande delarna, "Identify", "Protect", "Detect", "Respond" och "Recover". När man diskuterar utifrån dessa blir det ofta väldigt tydligt att alltför mycket tid och pengar ägnas åt "Protect" medan de övriga får betydligt mindre att dela på. Slarvar man med "Identify" blir alla de andra delarna (inklusive "Protect") betydligt mindre effektiva. Missar man någon av delarna i trojkan "Detect", "Respond" och "Recover" blir man väldigt sårbar om det hårda skalet man försöker skapa via "Protect" skulle brista.
Hur många ska dö det här årtusendet?
Sinclair Koelemij ger oss första delen i en serie blogginlägg om komplexa riskanalyser i sammanhang där det ställs detaljerade krav från samhället. Det kan vara saker som hur ofta ett visst antal människor "får" dödas i olyckor.
En speciellt intressant del av den här typen av riskbedömningar är att kraven från samhället innehåller sannolikheter (eller egentligen frekvenser, hur ofta får det hända en dödlig händelse) eftersom kraven traditionellt är utformade för slumpmässiga händelser som jordbävningar, utrustningsfel eller översvämningar.
Men när vi pratar om angrepp från människor försöker vi oftast undvika att prata om just sannolikheter eftersom det blir näst intill omöjligt att definiera hur ofta en målinriktad angripare lyckas. Hur hanterar man den här skillnaden på ett bra sätt i sitt riskarbete? Om verksamheten sedan ska hanteras enligt det svenska säkerhetsskyddet där man från myndigheterna uttryckligen säger att man inte ska ta hänsyn till sannolikheter utan enbart gå på konsekvenser, då gäller det att hålla tungan rätt i munnen!
Om du har funderat över begrep som SIS, SIL och SIF får du här en genomgång med ett tydligt exempel. Vi får lite diskussioner kring skillnaden mellan attacker mot "vanliga" styrsystem gentemot attacker mot skyddssystemen, de så kallade SIS-systemen (där TRISIS/TRITON är det, än så länge, mest kända exemplet).
Kort sagt - läs den!
IAEA levererar igen!
Internationella Atomenergiorganisationen IAEA har levererat ett nytt dokument! "IAEA Nuclear Security Series No. 42-G - Computer Security for Nuclear Security". IAEA är en organisation med nära band till FN, den rapporterar till FNs säkerhetsråd och till dess general-församling. Uppdraget är att verka för fredlig användning av kärnteknik och samtidigt motverka farlig eller aggressiv användning.
Jag är ju själv "uppvuxen" i kärnkraftsbranschen och måste säga att jag gillar de flesta av IAEAs dokument inom många områden. Det här dokumentet är bara 86 sidor och är inte speciellt inriktat på OT utan har också ett stort fokus på att skydda känslig information och på fysiskt skydd av känsliga anläggningar. Det är faktiskt inte skrivet för enskilda organisationer utan har stater som sin publik! Trots detta kan det vara en bra inspiration för hur man kan driva sitt säkerhetsarbete som enskild organisation, kanske i synnerhet om man har en verksamhet som är av det mer känsliga slaget.
Ett viktigt koncept i den kärntekniska världen är "Graded Approach", dvs att man ska har rätt skydd på rätt plats - vare sig mer eller mindre! Det är verkligen något jag tagit med mig från min tid i kärnkraftsvärlden. Här kan verkligen andra typer av verksamheter lära sig av IAEA och andra organisationer i den här branschen. Inte minst verksamheter som lyder under säkerhetsskyddslagen, där jag allt för ofta ser att man överreagerar, nästan i blindo, och applicerar närmast förlamande skyddsåtgärder med bred pensel över alldeles för många verksamhetsdelar. Det är svårt att få medarbetarna att respektera säkerhetsåtgärder som uppenbart är överdrivna och därmed bara stör verksamheten!
Läs gärna detta och andra IAEA-dokument även om du är i helt andra branscher!
Farliga backupsystem!
Team82 från Claroty har på senare tid hittat vansinnigt spännande sårbarheter i OT-produkter. Den här gången har de tittat på applikationer som (bland annat) hanterar backup av komponenter och system inom OT med närmast skräckinjagande resultat. Det blir ju inte bättre av att varje produkt hade en hel radda sårbarheter...
Rockwell Automation FactoryTalk AssetCentre, 9 sårbarheter (CVSS 10.0)
MDT AutoSave, 7 sårbarheter (CVSS 10.0)
AUVESY Versiondog, 17 sårbarheter (CVSS 9.8)
Precis som i IT-världen är backupsystem extremt viktiga att skydda ordentligt och sårbarheter i dem blir därmed oftast katastrofala. Dessutom har dessa system en tendens att sätta nätverkssegmenteringen ur spel eftersom de kan ha bakvägar till system som annars är separerade från varandra.
Kloka ord kan hittas även i reklam...
Ett bra white-paper från Cisco kring "Edge"-baserade arkitekturer för OT-nät i en modern värld där det klassiska DMZ-tänket inte duger längre. Det här är egentligen inget nytt men det blir allt fler som inser att det inte fungerar speciellt bra när man bara sätter likhetstecken mellan Purdue-modellen och nätverkssegmentering. Om man implementerar någonting som liknar Industri 4.0 ovanpå en befintlig "klassisk" OT-miljö så blir det extremt tydligt att tänket inte håller! Jag har skrivit om en del liknande resonemang tidigare, exempelvis "NAMUR Open Architecture" i nyhetsbrev #27 och #30.
De pekar elegant på de två besläktade områdena synlighet och segmentering. Ett av standardråden jag ger till mina kunder är att inte ha för bråttom med segmentering. För att kunna segmentera behöver man först ha örnkoll på vad som finns i nätverket och hur det som finns där kommunicerar. Med ett bra verktyg som förstår OT-protokoll och som kartlägger miljön blir det sedan vansinnigt mycket enklare och bättre att segmentera.
När det gäller synlighets-delen jämför de lösningar såsom TAP, SPAN mm. De slår förstås ett slag för sina egna switchar som gör det möjligt att få synlighet överallt utan att bygga en extra infrastruktur för synligheten. Kombinerat med Cisco Cyber Vision är det faktiskt en riktigt snygg lösning som ser en massa fördelar i praktiken. (Som faktiskt funkar hyfsat även om man inte har switchar från Cisco.)
Tips om event och mer läsning!
CSA (Cyber Security Agency of Singapore) verkar vara en intressant organisation som producerar en del spännande läsning. Härom veckan kom "Operational Technology Cybersecurity Competency Framework (OTCCF)" som är ett dokument som försöker beskriva kompetenser och roller kring OT-säkerhetsområdet tillsammans med en stiliserad beskrivning av karriärvägar.
Jag har inte själv landat i vad jag tycker om innehållet men det kan definitivt vara bra som inspiration för den som är sugen på att arbeta inom det här fantastiska området. Det kan nog också vara ett bra stöd för den som har den otacksamma uppgiften att författa rollbeskrivningar eller platsannonser...
En bra artikel av Jason Christopher som ger rekommendationer för vad man ska spendera sin säkerhetsbudget på. Jag håller verkligen med om grundteserna som är det gamla citatet "Prevention is ideal, but detection is a must!" kombinerat med "But detection without response is of little value!".
Jag ser ofta att allt för mycket tid och pengar spenderas på att försöka förhindra angrepp och andra händelser men att man samtidigt missar att bygga förmågor kring att upptäcka incidenter och att hantera dem.
Två, lite olika, perspektiv kring kopplingen mellan "Zero Trust" och "OT". Pricksäkra ord från Dale Peterson och andra tankar, även de är kloka, från KPMG.
Kloka råd från Accenture kring hur man kan bli bättre på riskhantering inom OT.
En presentation av Daniel Ehrenreich på GTACS 2021 kring hur man genomför vettiga hotanalyser i OT-världen.
Ett kort dokument som belyser tre viktiga aktiviteter för att få säkerhetsarbetet inom IT och OT att fungera tillsammans. De tre matchar vad jag brukar mässa om när jag är ute och föreläser om det här:
Se till att ledningen förstår konsekvenserna om OT skulle haverera eller saboteras.
Välj ett gemensamt sätt att värdera risker över hela organisationen.
Utbilda IT i OT-säkerhet och OT i IT-säkerhet! Om man förstår varför den andra gruppen människor beter sig som de gör blir samarbetet mycket bättre!
En bra artikel som sammanfattar allt det viktiga med hantering av certifikat i OPC UA.
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.