Nyhetsbrev OT-Säkerhet #37

Den här gången avslöjar jag mitt nya jobb och letar efter nya kompisar som vill arbeta med OT-säkerhet tillsammans med mig, försöker komma ihåg vad det är vi försöker skydda egentligen, funderar över hur man ska tänka kring riktigt extrema konsekvenser, tipsar om årets julklapp, tittar på elektromagnetiska hot och en massa annat!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i en egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tipsa gärna om artiklar eller händelser som jag borde skriva om! Tack för hjälpen!

Extrema konsekvenser?

Hur ska man hantera risker med extremt allvarliga konsekvenser men som samtidigt är otroligt osannolika?

Jag har varit inne lite på detta tidigare, exempelvis i nyhetsbrev #24 och nyhetsbrev #26 när jag skrev om CCE, "Consequence-driven, Cyber-informed Engineering". I CCE-metoden låter man just konsekvenserna styra hur man arbetar med säkerhet.

En av mina käpphästar kring riskanalyser är fällorna kring att slentrianmässigt använda enkla riskmatriser. Jag har tidigare skrivit om detta flera gånger och nyligen snubblade jag över ett forskningspapper kallat "The Risk of Using Risk Matrices". Det är skrivet med fokus på olje- och gasindustrin men är extremt relevant för de flesta verksamheter. När vi pratar om just extrema risker är ett tydligt problem det som man kallar "Range Compression", dvs att man tvingas klumpa ihop risker som egentligen har väldigt olika karaktär på grund av den skala man använder i sin matris. Om du är intresserad av den här typen av utmaningar gav jag en del bra boktips i nyhetsbrev #16.

Säkerhetspodcasten pratade nyligen om Asymptotiska risker i avsnitt 211 och även om det inte handlade om OT-risker så är det väldigt relevant för oss också. Lyssna gärna på dem, det kommer många klokskaper där!

De här resonemangen ligger också nära en av mina andra käpphästar, nämligen att inte fokusera för mycket på att enbart undvika problem. Man måste balansera skyddet mot händelser med en tillräckligt bra förmåga att upptäcka och hantera de händelser som oundvikligen kommer inträffa TROTS alla våra fina skydd.

Där kommer ju även klassiska komponenter som katastrofplanering och krishantering in som viktiga delar för att kunna hantera allvarliga situationer utan att framstå som fullständigt inkompetent. Många minns nog hur mycket beröm Norsk Hydro fick för sitt agerande under deras stora incident trots att de kanske inte var speciellt framstående rent tekniskt.

Lite besläktat med detta är förstås risker som drabbar oss utifrån, exempelvis händelser i samhället. MSB släppte nyligen en samling riktigt intressant material kring hur företag kan tänka kring civil beredskap. Personligen kan jag tycka att det faktiskt finns en rejäl nytta med att diskutera kring den här typen av "svåra" risker eftersom lösningarna som kommer ur en sådan övning ofta är fantastiskt bra för att skapa tålighet mot alla typer av störningar! Lite som att seriöst planera för en zombie-attack kan ge nya idéer för att hantera en "vanlig" pandemi eller upplopp på stan.

Under ny flagg!

Som jag berättade i förra nyhetsbrevet kommer jag byta arbetsgivare och nu kan jag avslöja vart jag tar vägen! Från mitten av Januari kommer jag ingå i en rejäl satsning på OT-säkerhet på AFRY. (Tidigare kanske mest känt som ÅF i Sverige och Pöyry i Finland.) Jag kommer fortfarande vara tillgänglig för nya och gamla kunder som konsult och säkerhetsrådgivare en stor del av min tid.

Nyhetsbrevet kommer jag fortsätta driva, precis som tidigare, helt i privat regi. Jag tar som alltid väldigt gärna emot förslag till hur nyhetsbrevet kan bli bättre. ( mats@ot-sakerhet.se ) Om du själv har något du vill dela med dig av så tar jag gärna in gäst-skrivare!

Det ska bli fantastiskt roligt att prova på ett riktigt ingenjörsföretag med alla nya möjligheter som det ger kring OT-säkerhet! Speciellt ser jag fram emot att vara en del i "Greenfields-projekt", alltså när man bygger nya anläggningar och därmed kan "göra rätt" kring säkerheten från början. En annan spännande vinkel blir militära OT-system som tillför en hel del nya roliga utmaningar. För mig egen del kommer det här ge en rejäl ny skjuts till min personliga utveckling tack vare alla nya kollegor med riktigt vassa kunskaper inom alla möjliga industriella verksamheter!

Följ med!

Nu finns det en fantastisk chans för fler att hoppa på AFRY-tåget redan från start. Vi söker ett antal nya kollegor som vill fokusera på OT-säkerhet i någon form. Det kommer behövas både vassa teknik-skills, folk som gillar ledningssystem, proffs på industriell arkitektur eller något annat område med något slags anknytning till OT-säkerhet. Det spelar ingen roll var i landet du finns! Det finns en annons ute.

Vad är det vi ska skydda egentligen?

DNV släppte tidigare i höstas dokumentet "Cyber security for power grid protection devices", som är en samling rekommendationer som tagits fram baserat på forskning man gjort tillsammans med bland annat Svenska Kraftnät.

Dokumentet fick genast beröm från lite olika håll men också viss kritik, den senare främst i form av ett inlägg från Joe Weiss. I rättvisans namn ska det sägas att det inte bara kommer kritik från Joe, han stjälper också en stor skopa beröm över dokumentet för kopplingen till ISA/IEC 62443 och för att dokumentet fyller ett viktigt syfte i största allmänhet.

Det Joe kritiserar är att dokumentet helt fokuserar på att skydda systemen men inte tittar på sårbarheter i själva kraftsystemet. (Det som brukar kallas nivå 0 och 1 enligt Purdue-modellen.) Det kan tyckas vara hårklyverier men det är något som jag brukar gilla att påminna om också, nämligen att våra säkerhetsåtgärder är till för att skydda verksamheten - inte OT-systemen som verksamheten använder.

Joe släppte häromdagen ytterligare ett inlägg som belyser den stora mängd styrsystem-relaterade olyckor och incidenter som finns dokumenterade runt om i världen. Det är alltså händelser som direkt eller indirekt orsakats eller förvärrats av brister i styrsystem men som myndighetskrav från organisationer som amerikanska TSA inte tar med i sitt scope. Riktigt intressant läsning!

Man kan jämföra det med vanlig informationssäkerhet där ibland vi tenderar att fokusera lite för mycket på datorerna och glömmer vad det är för något vi försöker skydda egentligen. Jag tror personligen det finns en ytterligare koppling till just det exemplet eftersom min egen (och högst ovetenskapliga) spaning är att de som oftast tenderar att falla i den här fällan kommer från IT-sidan. Är man en "automations-människa" verkar det komma lite mer naturligt att tänka på helheten. Kanske fördomsfullt från min sida men jag tycker mig ha sett sådana tecken...

Ordet "sårbarhet" betyder också två helt olika saker beroende på sammanhanget. Inom IT så är det en rent teknisk term medan det i OT-världen avser vilken svaghet som helst som går att utnyttja emot oss. Jag har sett samma missförstånd uppstå även inom andra områden, exempelvis inom säkerhetsskydd och inom olika typer av Safety-analyser.

Annars tycker jag att DNVs dokument är väldigt bra och definitivt förtjänar en genomläsning även om man inte är i kraftindustrin! Det är förmodligen en av de bättre introduktionerna jag sett till säkerhetsarbete inom OT, exempelvis har de ett vettigt exempel på hur man kan bygga "Zones" och "Conduits". Rekommenderas!

Jag ska också passa på att slå ett slag för en artikel av Ron Ross som talar om "glastaket" som vi slår i när vi bara arbetar med säkerhet som ett tillägg till våra system. Det är ju en viktig poäng med "Security by design" inom alla områden men det blir lite extra tydligt och kraftfullt i vår OT-värld!

Vad vet du om elektromagnetiska hot?

MSB har gett ut en riktigt bra webb-kurs kring elektromagnetiska hot! Det här är ett område som ofta glöms bort i riskanalyser och säkerhetsarbete men som är både relevant och intressant.

Kursen har tre delar:

1. Introduktion till EM-hotet - Som ger exempel på hur händelser skulle kunna gå till och ger en introduktion till de vapen som kan vara aktuella.

2. Incidenthantering, Rapportering och Skydd

3. Risk- och Sårbarhetsanalys kring EM-hot

MSB har en massa bra resurser på det här området om man vill lära sig ännu mer.

Hur många svenskar blir vi på S4x22?

I januari återkommer det som väl måste anses vara den mest kända OT-säkerhetskonferensen i världen. S4x22 går av stapeln 25:e - 27:e Januari med en utbildningsdag den 24:e. Det skulle ju vara väldigt roligt om vi var en grupp svenskar som gjorde Miami South Beach osäkert tillsammans!

Utbildningsdagarna från tidigare år finns numera att ta del av på Youtube, OnRamp respektive Highway. Kan verkligen rekommendera dem! Den här gången blir det "Autobahn", så nu lär det väl bli åka av!

Hör gärna av dig om du har planer på att ta dig dit! mats@ot-sakerhet.se

Vår favorit har blivit befordrad!

Allas vår favoritstandard ISA/IEC 62443 har blivit utnämnd till en "Horisontell standard"!

Jaha? ...undrar du... Vad betyder det då? Ja, det undrade jag också! Tydligen är det en stor grej, det är en beteckning som utvalda standarder får om de är användbara inom ett väldigt brett område, exempelvis många olika branscher. ISO 27001 är sedan tidigare en sådan.

Om man läser annonseringen så är i alla fall ISA som utvecklar standarden väldigt stolta över det här och även över en del annan uppmärksamhet som standarden fått på sistone. Bland annat har FN och NATO officiellt tagit upp den i olika sammanhang.

Årtiondets sårbarhet?

Det har varit svårt att missa super-sårbarheten Log4Shell i Apaches bibliotek Log4j och allt ståhej som har varit kring den på sista tiden.

Tenable påpekar artigt att vi på OT-sidan inte kan ignorera den heller och ger några goda råd. De har ju definitivt rätt i detta och som vanligt har man ju en extrem fördel om man har en uppdaterad bild av vilka hård- och mjukvaror som faktiskt finns installerade i anläggningen.

Det här är ju också ett klockrent skolboksexempel på varför det är så viktigt att inte bara ha brandväggsregler som begränsar vad som får ansluta till ett OT-nätverk utan även hur OT-nätverket får ansluta ut till omvärlden!

Med tanke på att det (ungefär som vanligt) har kommit flera uppdateringar som inte löste problemet fullt ut blir sitiationen väldigt rörig. Den enda rekommendation jag kan ge är att anta att alla typer av produkter är påverkade och att noga bevaka de rekommendationer som respektive leverantör ger.

Årets julklapp?

En stark kandidat till årets julklapp måste vara Pascal Ackermans bok "Industrial Cybersecurity" som kommit ut i en uppdaterad andra upplaga.

Det är en rejäl bok på 800 sidor uppdelad i fem delar:

1. Grunderna kring OT-säkerhet

2. Säkerhetsmonitorering

3. Threat hunting

4. Säkerhetsgranskning

5. Incidenthantering

Som namnet hintar om är det här en tekniskt inriktad bok. Är man istället nyfiken på riskanalyser utifrån verksamhetens perspektiv, utmaningar kring organisationsmodeller eller någon annan "mjukare" fråga så finns det andra böcker som fokuserar mer på det.

Jag har inte kommit så långt i mitt läsande ännu så jag ska inte komma med något betyg ännu men så här långt verkar det väldigt lovande och genomarbetat. Jag hör många positiva reaktioner från andra som läst den, så en försiktig rekommendation kan jag nog våga mig på!

Tips om event och mer läsning!

MITRE släppte nyligen en playbook kring hotmodellering för medicintekniska system.

Förutom att vara superintressant för dig som jobbar med sådana system borde den också kunna vara en bra introduktion till hotmodellering i största allmänhet, kanske i synnerhet för OT-folk med tanke på att hoten indirekt är fysiska.

Luftgap (alltså att man inte har någon nätverksanslutning till omvärlden) är en svår och omdiskuterad säkerhetsåtgärd.

ESET släppte nyligen en studie över 17 familjer med skadlig kod som använder USB-enheter för att sprida sig även i system utan nätverksanslutning. Det finns även lite summerande information.

EUs cybersäkerhetsorganisation ENISA har släppt en rapport kallad "Railway Cybersecurity - Good Practices in Cyber Risk Management" . Verkar (som vanligt när det kommer från ENISA) vara ett vettigt och kompakt dokument som ger stöd som är enkelt att omsätta i praktiken.

Vi får ett gäng exempelscenarier som beskriver attacker, konsekvenser, stakeholders, påverkade system och lämpliga åtgärder. På åtgärdssidan refererar man till det ganska okända NIS-dokumentet "Reference document on security measures

for Operators of Essential Services" . (Som i sig inte är ett dumt dokument!)

Ett intressant papper från Dragos som tittar på komplexiteten i OT-system och hur den kan hanteras i riskanalyser med speciellt fokus på skydd mot ransomware.

Vill du hacka industrirobotar? Då kan "Robot Hacking Manual" vara intressant för dig! Det är en enorm samling information som Víctor Mayoral-Vilches löpande sammanställer och underhåller.

Svenska Kraftnät har publicerat en öppen hotbildsbeskrivning kopplad till elförsörjning. Mycket användbart som input till riskanalyser om man är i den branschen men förmodligen riktigt nyttig i delar även för helt andra verksamheter.

En intressant artikel av Camille Singleton på IBM X-Force om vad som är känt kring angrepp mot OT-verksamheter. En ovanlig detalj är att de pekar på våra Historian-servrar som en viktig del i angrepp och försvar. De ger också en radda handgripliga rekommendationer.

CSA, Cybersecurity Agency of Singapore har släppt en uppdaterad version av sitt ramverk för kompetenser kopplat till OT-säkerhet. Väl värd att ta inspiration av även för oss i Sverige!

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.