.png)
Dags för det femtionde nyhetsbrevet kring OT-säkerhet! Det firar jag med en jubileumstävling där du kan vinna spelet "Backdoors & Breaches". Läs mer lite längre ner.
Den här gången tittar vi på mina intryck från årets S4-konferens, funderar över var alla OT-attacker egentligen tog vägen, rotar bland alla årsrapporter som nu landat hos oss, diskuterar vidare kring CRA, tittar på threat hunting med OT-fokus, funderar över vad tålighet kan innebära för organisationen, applåderar intåget av Rust i inbyggda system, navigerar med MITRE, funderar vad ost från Schweiz har med OT-säkerhet att göra och så blir vi krigsplacerade.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, på Mastodon, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Vinn ett spel i jubileumstävlingen!
Det här är den femtionde utgåvan av nyhetsbrevet, vilket ska firas med både en tävling och ett nytt rekord i antalet läsare!
Du kan vinna OT-versionen av det smått legendariska spelet "Backdoors & Breaches", som helt enkelt går ut på att träna incidenthantering inom OT!
Reglerna är enkla:
Hjälp till så att nummer 50 av det här nyhetsbrevet får fler läsare under dess första vecka än något av mina tidigare utskick. Gör något kreativt! Tipsa dina kollegor! Dela på LinkedIn! Tvinga dina barn att läsa! Spela in en TikTok-video! Skriv insändare i lokaltidningen! Annonsera på blocket! Tatuera din partner! Skriv en låt!
Berätta för mig på mats@ot-sakerhet.se att du vill vinna. (Din email-adress kommer inte missbrukas för någonting annat!) Berätta gärna vilka stordåd du gjort för att sprida nyhetsbrevet till fler lyckliga läsare! Kreativitet belönas - det kan förbättra dina odds att vinna!
Jag kommer vara en massivt självsvåldig, extremt maktfullkomlig och 100% egenmäktig jury samtidigt som jag är en oanat stenhård men också löjligt egotrippad och fullständigt mutbar domare.
Jag ska fundera vidare på reglerna in i det sista och det kan vara så att om det går riktigt bra så skickar jag med en D20-tärning också till vinnaren.
Vi får se...
Intryck från S4x23!
Det snurrar väldigt många tankar och intryck i huvudet efter årets S4-konferens! Precis som tidigare håller den extremt hög kvalitet, det är verkligen ingen tvekan om att det är den främsta OT-säkerhetskonferensen i världen! Intresset är helt uppenbart enormt för denna typ av frågor och de tusen biljetterna såldes helt slut i år. 75% av deltagarna är från USA men det var folk från 28 länder på plats, inklusive 13 från Sverige.
S4 håller verkligen stilen, det finns en uttalad strategi att enbart ha presentationer som är framåtlutade och utvecklande. Man är extremt hård mot sponsorerna, även de som betalat mest får ingen automatisk tid på scen utan får komma med relevanta idéer till presentationer som alla andra. Det betyder att nästan alla presentationer är riktigt intressanta och tänkvärda! Vill man ta del av sponsorernas säljargument får man gott om tillfälle till det vid sidan av presentationerna...
Riktigt roligt att se att man fått riktigt bra gensvar på de satsningar man gör på att locka kvinnor till konferensen genom att skänka bort 100 extra biljetter och att en lång rad icke-vinstdrivande organisationer helt utan kostnad fick framträdande platser i konferensanläggningen.
Organisatören Dale Peterson gick ut hårt i sin keynote och ifrågasatte vad vi egentligen vet om effektiviteten i alla våra säkerhetsåtgärder - hur mycket hjälper eller stjälper de verksamhetens försök att vara mer stabil, effektiv och tålig? Han gjorde en smart jämförelse med gamla kartor där man hade ett ord för oviljan att lämna vita fläckar, "Horror Vacui", och istället fyllde i med gissningar om allt mellan floder och mystiska monster. Han vände det till en uppmaning aldrig glömma vad det egentliga målet med vårt säkerhetsarbete är - en bättre och starkare verksamhet!
Dale följdes av Andrea Jones-Rooy, professor i Data Science och - skulle det visa sig - ståuppkomiker och cirkusartist! Det är första gången jag sett någon byta kläder under sin keynote-presentation och jag har definitivt aldrig sett någon göra volter under ett, i övrigt, väldigt seriöst anförande! Otroligt roligt! Hon lärde oss att man inte bara måste tänka utanför boxen utan även GÅ utanför den i jakten på bra sätt att hantera en extremt komplex tillvaro!
Sedan följde tre dagar fyllda med otroligt lärorika presentationer och inspirerande möten med imponerande människor. Jag kommer säkert återkomma efter hand till många av dem och jag rekommenderar verkligen att du håller koll på S4 på YouTube där många av presentationerna släpps efter hand under året. Några som stack ut lite extra var:
Dales intervju av Michael Fischerkeller som är en av författarna till en väldigt spännande bok kring "Cyber Persistence Theory". Enkelt uttryckt har de gjort en trovärdig definition av hur annorlunda Cyber-hotet är mellan stater jämfört med konventionella hot och krigshandlingar. Jag kommer läsa boken och återkommer med mina tankar! Du kan också höra intervjun i Dales podd.
Lesley Carhart, som är Director of incident response på Dragos, berättade hur man göra framgångsrika tabletop-övningar i OT-världen. Det här är ju ett ofta underskattat verktyg för att utveckla beredskapsförmågor, underskattat både i betydelsen att det ger mycket mer än de flesta tror men också underskattat i mängden erfarenhet som krävs för att det ska bli riktigt bra.
Roni Gavrilov på OTORIO berättade om deras vansinnigt imponerande forskning kring processnära utrustning. Jag har skrivit en separat artikel om det här lite längre ner i nyhetsbrevet.
Jos Wetzels på Forescout berättade också om forskning, i deras fall har de visat hur en angripare kan hoppa mellan utrustning med hjälp av fältbussar! Både detta och OTORIOS forskning uppmärksammades nyligen av DarkReading.
Jeff Smith på Dynics berättade om erfarenheter från SDN, Software Defined Networking i OT-nätverket. Det är värt att påpeka att vi alltså talar om nätverk "långt ner", nära de fysiska processerna. Den som läste mina noteringar efter förra årets S4 minns att jag var entusiastisk kring SDN. Det här är en teknik som är mogen och som börjar användas i stora implementationer, vilket kommer vända upp och ner på mycket framöver. Visst kommer det ta tid men eftersom fördelarna är så stora tror jag att det kommer gå oväntat fort ändå!
Rafael Maman från Sygnia hade en presentation baserad på den rapport jag skrev om i förra nyhetsbrevet, om hur han och många med honom tror att framtidens automationssystem kommer se ut. Det är en radikal skillnad och det kommer förstås även förändra säkerhetsarbetet i grunden! Vissa branscher kommer vara mycket snabbare än andra på den här bollen men det ska bli väldigt intressant att se hur snabbt det går!
I många sammanhang kom diskussionerna in på bristen på folk med kompetens inom området. Många kloka tankar från många håll. Andrea Kittelson från Rockwell Automation som pekade på möjligheterna att utveckla människor från lite oväntade bakgrunder och vikten av att kunna förklara varför OT-säkerhet är ett intressant område att utvecklas inom. Ralph Langner påpekade att vi måste tänka annorlunda, branschen växer alldeles för snabbt för att vi ska ha en chans att komma ikapp, det måste bli fokus på att automatisera rutinmässigt säkerhetsarbete och samtidigt säkerställa att vi faktiskt jobbar med åtgärder som har meningsfulla effekter i verkligheten.
Tävlingen Pwn2Own avgjordes som vanligt under konferensen. Vinnarna var Team82 från Claroty som kammade hem drygt 120 000 dollar. Som en extra knorr använde de ChatGPT för att utveckla en av sina exploits, vilket sannolikt är första gången i en sårbarhetstävling. I motsats till en del sporter så delas inte vinnarkavajer ut utan istället varseljackor och ruggade laptops, mer passande i vår bransch... Grattis!
Avslutningspanelen bestod i år av förutom Dale själv, även Megan Sanford, Zach Tudor och den alltid vasse Ralph Langner. Om du bara ska se en inspelning från årets S4 så är det nog den, det sägs oerhört mycket klokt på kort tid! Men än så länge finns inte så många videos tillgängliga, men vill du se en mer teknisk presentation kan kanske Reid Wightmans dragning kring sårbarheter i kompilerad PLC-logik vara något:
Inte fullt lika tekniskt blir det i Michelle Jewells presentation kring hur man kan använda verktyg och information från verksamheter inom organisationen:
Hur gick det egentligen med SBOM Challenge då?
En spännande del från S4x23 som jag inte lyckats hitta så mycket material kring var utmaningarna kring SBOM. Jag har inte lyckats hitta något material från INL som arrangerade det hela och ingenting från konferensen, det närmaste jag kommer är en text från Finite State som var en av de deltagande företagen.
Övningen tycks ha varit nyttig om än något av ett anti-klimax, delvis på grund av att de olika deltagarna hade väldigt olika sätt att ta sig an uppgifterna och i vissa fall tydligen inte hade funktionalitet som täckte vad (åtminstone jag själv tycker) som är grundläggande funktioner. Det här är fortfarande en extremt ung bransch om än väldigt het. Vi får se om det kommer ut fler slutsatser efter hand?
Korpen berättar!
Det har drällt in en massa årsrapporter från alla möjliga myndigheter och företag men just nu kan väl knappast få kännas lika relevanta som den från MUST.
Många viktiga insikter och tankar som förstås domineras av kriget i Ukraina men även Kina tar en framträdande plats. Några sidor får vi specifikt om cybersäkerhet och samhällskritisk infrastruktur.
Fler årsrapporter?
Förutom årsrapporten från MUST så finns det mycket material att läsa från en lång rad källor som tittar både bakåt och framåt:
Sedan finns det en del leverantörer som fortfarande envisas med oskicket att kräva dina kontaktuppgifter för att få läsa deras material. Jag väljer att inte länka till dem...
Debatten fortsätter om CRA!
Debatten kring EUs förslag till "Cyber Resilience Act", CRA, fortsätter - framför allt kring hur Open Source världen påverkas. På EUs site kan man läsa de 131 inskickade texterna som gav feedback på det då liggande förslaget. Orkar man inte så har Simon Phipps valt ut delar från 18 av dem som representerar helheten väl.
Personligen följer jag detta med stort intresse. Vi får se vad som händer härnäst...
Jaga dina hot!
Dean Parsons har publicerat en tre-delad och riktigt bra genomgång av Threat Hunting i OT-världen under titeln "They're shooting at the lights". (Vilken film refererar titeln till?) De första två delarna är artiklar och den tredje en webcast.
Första delen fokuserar på safety-aspekter, nyttan med TH, gratiskällor för hotinformation och hur man knyter ihop människor, processer och teknik.
Andra delen tittar på prioriteringar, datakällor och hur man bygger sitt upplägg.
Den tredje delen är en webcast som knyter ihop säcken:
Du är speciell och dina sårbarheter också!
I förra nyhetsbrevet skrev jag om SSVC, Stakeholder-specific Vulnerability Categorization, en metod från CISA och SEI som ska hjälpa organisationer analysera vad en viss sårbarhets betyder för dem utifrån den egna organisationens förutsättningar. För den som är intresserad av att lära sig mer finns en timmes utbildningsvideo från CISA:
Men var är alla attacker?!
Ric Derbyshire har skrivit en riktigt bra artikel som sammanfattar det lite motsägelsefulla nuläget kring oron för attacker mot viktiga OT-system samtidigt som vi i praktiken ser väldigt få sådana i verkligheten.
Jag ska inte ge mig på att sammanfatta artikeln utan rekommenderar verkligen en genomläsning! Jag håller med om alla hans slutsatser inklusive tanken att det kommer "börja hända saker framöver..."!
Men! Det är ju å andra sidan verkligen inte NOLL attacker som är framgångsrika. En bra sammanställning finns att läsa här i ett papper från Lancaster University som publicerades 2021. De har med en rad historiska händelser inklusive några som jag har missat sedan tidigare.
Trådlöst och cloud-management sänker djupledsförsvaret!
OTORIO var välrepresenterade på S4 där Roni Gavrilov också presenterade deras tankeväckande forskning kring sårbar OT-utrustning som är exponerade helt öppet via trådlösa protokoll eller på Internet. Det finns många varianter på hur man segmenterar OT-nätverk i flera lager, oftast inspirerat av en gammaldags Purdue-modell. Tanken är att använda klassiskt djupledsförsvar så att känslig utrustning skyddas bakom flera lager av säkerhetsåtgärder.
Något som man ser alldeles för ofta är att trådlös utrustning placeras "långt ner" i modellen, på ett sätt som tar bort alla de skyddande lagren om angriparen fysiskt finns i närheten. Det kan exempelvis vara en accesspunkt för WiFi eller en 4G-router som erbjuder åtkomst till ganska känsliga nätverk om man kan "ta sig in" trådlöst. Ganska uppenbart om man tänker efter, och det kan förstås vara tillräckligt säkert i många fall. Problemet blir när man lurar sig själv genom att ha ett välskyddat nätverk och tänker att den där trådlösa manicken därmed är välskyddad...
Speciellt illa blir det förstås om man råkar konfigurera någonting fel så att exempelvis management-gränssnittet exponeras på Internet. Och det är precis här som en av poängerna i OTORIOs forskning ligger, de hittade hundratusentals industriella enheter uppkopplade mot mobilnätverk, där tre av fabrikaten dessutom hade sårbara administrationsgränssnitt exponerade... De har tittat på flera andra jobbiga varianter, exempelvis enheter som använder administrationstjänster på Internet. I ett speciellt tråkigt exempel kunde de länka ihop tre olika sårbarheter och på det sättet få root-rättigheter i tusentals routrar genom att angripa deras administrationstjänst som är avsedd att vara på Internet!
Läs gärna deras rapport, den är välskriven och kan säkert vara tankeväckande om man inte funderat i dessa banor tidigare.
Tankar kring nya ISA TR84!
I förra nyhetsbrevet skrev jag om den nya versionen av ISA TR84. Jag snubblade över en liten artikel av John Powell från Optiv som skriver om förändringarna och hur de påverkar säkerhetsarbetet men han ger också bakgrunden till Safety-frågor generellt och hur Safety relaterar till Security. Viktiga frågor för de flesta som sysslar med OT-säkerhet och/eller Safety.
Cyber-fysisk risk!
En av mina hjältar i branschen, Sinclair Koelemij, talade på S4 i år. Som uppföljning till sin presentation om riskbedömning har han nu även skrivit en liten artikel kring just risk i Cyber-fysiska system. Han berör semi-kvantitativa metoder och "Rings of Protection Analysis", ROPA.
Väl värt att läsa för den som är intresserad av detta viktiga ämne och när videon med hans dragning på S4 släpps så är den definitivt värd att se. Inte omöjligt att du ser mig långt fram i publiken.
Tålighet!
En annan av mina hjältar är Richard Seiersen som skrivit böcker som "The Metrics Manifesto: Confronting Security with Data" och "How to Measure Anything in Cybersecurity Risk".
I dessa dagar är det mycket tal om "Resilience", alltså ungefär "tålighet" på svenska. I en artikel nyligen pekar han på behovet av att få olika metoder för att adressera risk att dra åt samma håll, istället för att i någon mån förstöra för varandra. Han pekar på man var för sig sparar in på säkerhetsåtgärder och försäkringar vilket tillsammans skapar en ohållbar situation. Han beskriver hur vi ska skapa "Cyber Resilient Leaders". Många kloka ord. Som vanligt!
Det mesta verkar rosta!
Den som är det minsta intresserad av programmering eller programmeringsspråk lär inte ha missat uppståndelsen kring språket Rust på senare tid. Det ska vara säkert, snabbt och bra på att hantera Samtidighet vilket gör det väldigt intressant för alla former av inbyggda system och i förlängningen OT-prylar.
Kanske lite off-topic än så länge i det här nyhetsbrevet men ändå intressant! Jag läste nyligen om ramverket Embassy som tillför asynkron hantering till Rust vilket förstås är en väldigt viktig del i inbyggda system. Se gärna Christopher Hunts presentation kring hur de byggde ett nytt laddsystem för elbilar från grunden i Rust:
Hantering av sårbarheter i NIS2 och CRA?
EUs cybersäkerhetsorganisation ENISA har släppt en rapport kring framtidens sårbarhetshantering inom EU. NIS2 ställer ju krav på medlemsländerna att ha etablerat en nationell policy för koordinering av sårbarhetsannonsering till den 17:e oktober nästa år. Förutom NIS2 kommer ju dessutom många besläktade krav via CRA. (Som jag skrev om i Nyhetsbrev #48.)
Med tanke på att ENISA kommer ha stor påverkan på hur länderna implementerar sina lösningar är det en viktig och intressant rapport. Det här är ju som jag skrivit om tidigare ett område som man snabbt märker att tillverkarna idag hanterar väldigt olika. Även om jag definitivt tycker att det finns viktigare saker att fokusera på än att jaga sårbarheter i en typisk OT-miljö så tycker jag samtidigt att det är enormt bra att det här styrs upp! Det är inte okej hur vissa tillverkare år efter år låtsas som att de inte har fixat en enda sårbarhet i sina produkter.
Jag noterar att Sverige tillhör den minoritet av länder som idag helt saknar en policy kring detta. Rimligt att det blir lite extra utmanande för oss då samtidigt som vi kan lära av andra.
Rapporten verkar bygga på ett rejält arbete. De tar upp ämnen som exempelvis:
Utmaningar kring att ha en nationell policy för detta
Juridiska klurigheter som uppstår
Hur open-source ska hanteras
Bug bounty program
Tekniska utmaningar kring prioritering och automation av åtgärder
Jag rekommenderar en genomläsning om man är det minsta intresserad av någon av ovanstående punkter!
Enkelriktad video!
Nu är del två av mitt samtal med Advenica ute. Den här gången är det datadioder och deras användning inom OT som står i fokus. Den förra videon hittar du här.
Jag skrev även en gästblogg hos dem nyligen kring utmaningarna i att hitta enkla svar på svåra frågor, i synnerhet när man sysslar med OT-säkerhet.
Navigera med MITRE!
MITRE har släppt något man kallar "Cyber Resiliency Engineering Framework Navigator" eller "CREF Navigator". Det är en grafisk representation som gör det möjligt att "klicka runt" i NISTs SP 800-160 och SP 800-53 för att utforska hur man bygger tåliga system med kopplingar till MITRE ATT&CK och andra bra underlag. Tror det kan vara en både lärorik och användbar tjänst!
Navigera bland hotaktörer och sårbarheter!
Sedan tidigare finns "ICS Advisory Projekt" där man kan navigera runt bland leverantörer, sårbarheter och produkter. Det har varit en väldigt användbar tjänst i vissa situationer!
Nu har projektet utökats med en liknande tjänst för APT-hot som bygger på MITRE ATT&CK v12, MITRE D3FEND, och LOLBAS. Förmodligen riktigt användbart när man ska komma igång med hotanalys och threat hunting. Prova!
Missbrukat CVSS kommer i ny version!
I förra nyhetsbrevet hade jag ett par texter kring CVSS som används för att försöka sätta en allvarlighetsgrad på sårbarheter. För den som tycker att det är ett spännande område finns en lista med planerade förändringar i version 4 av CVSS.
Det ser ut att vara en del vettiga förbättringar på gång men man får förstås komma ihåg att i de flesta fall är det viktigare att ha koll på hur den aktuella produkten används i den egna verksamheten. För den analysen kan man få en del hjälp av de olika komponenterna som bygger upp det slutgiltiga betyget. Hos FIRST finns både all dokumentation och en praktisk kalkylator.
Daniel Stenberg (mest känd som skaparen av cURL) skrev nyligen en svavel-osande artikel kring hur NVD, National Vulnerability Database, tydligen skapar sina egna tolkningar av hur allvarliga vissa sårbarheter är. Att den här hanteringen var snurrig, subjektiv och lättmanipulerad hade jag förstått sedan tidigare, men det här sätter alltihopa i ytterligare ett nytt och jobbigt ljus. Jag vet inte riktigt vad jag ska tycka längre...
Det är nära mellan skratt och gråt!
Legenden och provokatören Ralph Langner delade den här bilden nyligen på alla världens sociala medier. Med hjälp av den klassiska cirkeln från NIST CSF pekar han på slagsidan i väldigt många säkerhetsprogram.
Det är förstås med glimten i ögat och säkert delvis för att promota hans utmärkta mjukvara OT-BASE men det finns definitivt väldigt mycket sanning i detta också.
Hade jag gjort min egen version så hade jag kanske lagt till "Firewall made of swiss cheese bypassed by Active Directory" vid "Protect". Detta för att illustrera det vanliga fenomenet att man på pappret gjort ett försök till separation av IT och OT, men i praktiken blir brandväggen bara en onödigt dyr router, eftersom man misslyckats med integrationerna mellan de två världarna och skapat enorma mängder av brandväggs-öppningar. Den slutgiltiga dödsstöten för separationen mellan IT och OT är att man använder samma Active Directory på båda sidorna om brandväggen och därför kortslutit den på ett extremt effektivt sätt.
Men en viktig sanning i Ralphs budskap, som stämmer med min egen upplevelse, är att många går och köper en IDS-lösning när de i första hand är ute efter att inventera nätverken och få hjälp att bedöma risker. Vissa blir besvikna, men det är också extremt vanligt att man redan från början vet att man inte kommer kunna reagera på larm från IDS-funktionen. Ta nu inte detta som att jag är kritisk mot IDS-system, för det är jag verkligen inte. Nozomi, Dragos mfl är fantastiska system! Men som vanligt gäller det att fokusera på de problem man faktiskt vill prioritera!
Klarar du inte att hantera larm från en IDS själv men ändå vill ha intrångslarm så finns det riktigt bra SOC-tjänster för OT att köpa. Det finns några dåliga också så se upp att du inte fastnar i olämpliga teknikplattformar. Här vill det till att tänka till i förväg!
Det börjar dyka upp bra tjänster och produkter kring "Respond" och "Recover" också. Jag har för liten egen erfarenhet av dem så jag ska inte peka på något speciellt, men automatiska backuplösningar för OT-utrustning, snabbåterställningshårdvara för Windows och andra delvis nyskapande produkter är kul att se.
Tänk på att "Identify" inte bara handlar om att inventera tekniken utan också att förstå verksamheten, de fysiska processerna och de risker som är viktigast!
Debatten kring CRA fortsätter!
Debatten om förslaget till ny EU-förordning "Cyber Resilience Act", går vidare. De mest ifrågasättande synpunkter jag sett har kopplingar till hanteringen av Open Source. Det har kommit remiss-yttranden från alla möjliga håll. Netnod och Internetstiftelsen publicerade sitt remiss-svar som innehåller en hel del kloka synpunkter medan Konsumentverket valde att inte ha en enda synpunkt. Men jag har sett både omfattande och korta svar från Teknikföretagen, DIGG, Tullverket, PTS, Energiföretagen, Vetenskapsrådet, TechSverige, SOFF och en massa andra organisationer. Medan NIS2 rullade igenom förhållandevis enkelt kommer CRA att bli en klurigare nöt att knäcka...
En liten artikel av Daniel Appelquist på Snyk sätter fingret på varför vissa ord inte fungerar så bra längre. I det här fallet "Supply Chain" i kombination med Open Source.
Rita upp säkerheten!
I en lång artikel av Sarah Fluchs, Rainer Drath och Alexander Fay utforskar de hur man med hjälp av ett visuellt språk skulle kunna få hjälp att utforma och besluta kring säkerhetsåtgärder i OT-system redan när de utformas. Jag har inte landat i någon egen åsikt kring detta ännu, men tanken verkar klok. Läs och berätta vad du tycker!
Gör det enklare för säkerhetsingenjörer!
Sarah Fluchs talade på årets S4-konferens om hur vi kan göra det enklare att bygga in säkerhet redan när en anläggning designas. Videon är inte ute ännu men Sarah har publicerat en artikel med samma innehåll.
Som vanligt med Sarah är det en massa kloka insikter som är bra att ta till sig!
Några event...
Nu börjar planeringen för årets events komma igång. Om du är på plats på några av dessa tillställningar kommer vi kanske ses där?
Jag kommer köra ett pass kring kopplingen mellan NIS2 och OT-säkerhet på den spännande konferensen "Cyber security: Kritisk Infrastruktur" i Stockholm den 28:e mars.
På Elektronikmässan i Göteborg den 19:a April kommer jag delta i en "expertpanel" som arrangeras i samband med att en handbok för cybersäker utveckling i IoT lanseras. (Som jag gjort ett pyttelitet bidrag till.) Återkommer med mer detaljer kring detta.
Den 10:e Maj håller MSB för tredje gången sin NIS-konferens i Stockholm. Den här gången lär det kunna bli lite extra intressant med tanke på att NIS2 är aktiv och nedräkningen tickar på tills de olika delarna träder i kraft.
Det är fler på gång men som fortfarande diskuteras. Det kan väl inte "SCADA" att vara med på en viss OT-konferens i Stockholm till hösten eller några stora leverantörs-event?
Tack!
Ett varmt tack till de som hört av sig så här långt angående mitt lilla tiggarbrev i förr-förra nyhetsbrevet, det uppskattas verkligen! Önskemålet finns kvar men nu är det framför allt automationsprylar som saknas, har du en gammal PLC, DUC, VFD, remote IO eller något annat kul liggande så kan det få ett lyckligt hem hos mig! Gamla demonstrations-uppsättningar är förstås väldigt intressant! Det behöver verkligen inte vara nya saker eller i perfekt skick - tvärtom så är det ju ofta de äldre sakerna som är mest intressanta och utmanande i OT-världen.
Kriga på jobbet?
MSB har uppdaterat sitt stöd kring framtagning av krigsorganisationer så att även privata organisationer och företag finns med på ett bra sätt.
Med tanke på hur beroende många verksamheter är av sina OT-system och av att system hålls säkra vill det förstås till att de redan sällsynta människorna med rätt kompetens fortsätter vara tillgängliga vid höjd beredskap eller krig!
Visualisera mera!
På sajten csf.tools får vi en rolig möjlighet att visualisera hur olika krav-ramverk relaterar till NIST Cyber Security Framework.
Än så länge finns inte OT-ramverken IEC 62443 eller NIST SP 800-82 med men jag har sett att det är ett antal som önskat sig det så det kommer nog. Tills dess är även de mer generella delarna också intressanta!
Nya infall kring riskanalys!
Allt säkerhetsarbete handlar i grunden om att bedöma och hantera risker. Jag snubblade nyligen över två artiklar på ämnet som utforskar lite nya vinklar i ämnet. De är verkligen helt olika inbördes sett, men gav i alla fall mig lite att fundera över.
Den ena har titeln "A Threat-Intelligence Driven Methodology to Incorporate Uncertainty in Cyber Risk Analysis and Enhance Decision Making", skriven av Martijn Dekker och Lampis Alevizos. Titeln beskriver ganska väl vad den handlar om.
Den andra är skriven av Mark F. Witcher och heter "Principles of Relational Risk Analysis (ReRA) - An alternative approach to understanding your risks".
Ingen av dem fokuserar på OT-säkerhet men riskarbete är som sagt alltid relevant!
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.