.png)
Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången får du spontanfunderingar direkt från S4-konferensen i Miami, GPS-störningar, SBOM-utmaningar, elaka typer som leker kurragömma i våra OT-system, en bokrecension, järnspindlar i våra HMI:er, en ny 62443-certifiering, framsteg för CRA & NIS2 och så en rolig trippeltest i hemmalabbet. (Japp, tre spännande men helt olika produkter möts lite otippat i ett gemensamt test...)
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Många roliga tankar kring förra nyhetsbrevet
Det är alltid extra roligt när det kommer spontana inspel från er läsare på innehållet i nyhetsbrevet. Kring förra utgåvan var det lite extra mycket och dessutom på lite oväntade delar av innehållet, vilket är ännu roligare! Även om du får nyhetsbrevet skickat till dig så är du förstås väldigt välkommen att bidra till samtalet som ibland uppstår på LinkedIn. Följ mig gärna där så hittar du enklare till kommentarerna. Alternativt ett mejl direkt till mig: mats@ot-sakerhet.se.
Några av de kommentarer och diskussioner som uppstod förra gången resulterade i några av de texter längre ned i det här nyhetsbrevet.
Tack för ert engagemang!
Varning för rant!
Ingen som följer mitt nyhetsbrev kan ha missat att jag till största delen är positiv till de lagkrav som är på gång från EU i form av NIS2, CRA, Maskinförordningen osv. Emellanåt hör jag argument i något föredrag eller läser någon artikel som sänder signalen att organisationer "drabbas" av dessa krav. Det är där jag vill markera att jag tänker lite annorlunda. Se det som en chans att ta ditt samhällsansvar utan att din organisation hamnar i ett sämre läge konkurrensmässigt.
Det som samhället, i form av EU, säger är:
Kära verksamheter, vi tycker inte ni tar hänsyn till de risker ni utsätter samhället för när ni slarvar med er säkerhet. Vi förstår att samhällets risker är svåra att väga in när ni tar ekonomiska beslut. Varsågod, nu får ni tillbaka de risker ni skapat för oss i en form som ni faktiskt kan använda; sanktionsavgifter, "framtvingade" kundkrav och personligt ansvar för er ledning. Lycka till!
Jag håller med dem som tycker att det är synd att lagkrav behövs, men med lite klarsynthet ser man att det knappast finns några realistiska alternativ. Från mig skickar jag två tummar upp till EU för att man tar stora kliv framåt på området! Bra, fortsätt så!
Man kan ha många åsikter om EU men i det här sammanhanget fungerar det verkligen. Hade enbart Sverige lanserat något i stil med NIS2 hade man förmodligen som land tyvärr skjutit sig själv i foten genom att "tvinga på" svenska kommersiella verksamheter en massa kostnader försämrar konkurrensförmågan och ger nyttoeffekter även för andra länder. I och med att EU är tillräckligt stort så sätter man konkurrensproblemet ur spel när hela den europeiska marknaden blir otillgänglig för den som inte bryr sig om CRA.
Ursäkta denna lilla rant (vad heter det ordet på svenska?) men jag behövde få ur mig det...
Var har de gömt sig?
En varning från amerikanska CISA nyligen tycker jag var en bra påminnelse om en av mina egna käpphästar! I IT-världen är det stort fokus på ransomware, och det med rätta förstås! Det hörs emellanåt diskussioner kring när vi ska förvänta oss att se fler ransomware-attacker i OT-miljöer, vilket är en relevant fråga och som kan ha spännande filosofiska diskussioner om. Men...
En fråga som jag tycker man glömmer bort i det sammanhanget är att vi kanske har helt fel bild av attackerna i vårt samhälle. Ett lyckat angrepp med ransomware är per definition väldigt svårt att missa, det är ju faktiskt hela idén! Tänk dig istället tanken att ALLA lyckade attacker som du hör om varje dag istället "bara" resulterade i att angriparen i tysthet skaffade sig en eller många bakdörrar för att snabbt och enkelt kunna återvända när det behövs för att skapa maximal oreda vid sämsta möjliga tillfälle.
Det scenariot tycker jag alldeles för få oroar sig över i OT-världen! Med tanke på omvärldsläget borde det vara väldigt aktuellt för alla verksamheter vars produktion är viktiga för ett stabilt samhälle! Det kanske till och med borde till en lagstiftning för att få alla sådana verksamheter att fokusera mer på säkerhet med ett brett tänk kring risker?
Men vänta... Det är ju precis det som vårt kära NIS2 är! Där använder man begreppet "allriskansats" för att trycka just på att vi ska tänka på alla risker som är relevanta - inte bara de som är populära i media! Hur ska du hitta en angripare som planterade en inloggning i ditt system för två år sedan? Här vill det nog till att sluta förlita sig på förebyggande skydd och börja tillämpa aktivt sökande i våra system efter tecken på vilande angripare...
Direkt från S4!
Så var det då äntligen dags för årets OT-höjdpunkt om du frågar mig, S4-konferensen i Miami Beach. Drygt 1000 förväntansfulla deltagare som njuter av framåtlutande och kloka presentationer på tre scener. Och det är ju det framåtlutande som gör S4 så rolig konferens, det är en uttalad strategi från arrangörens sida att man väljer innehåll som hjälper oss genomskåda hur framtiden kan tänkas se ut i branschen. Av de 1000 var vi hela 15 deltagare från Sverige vilket förstås var väldigt roligt i sig!
Som vanligt är skallen full med mängder med intryck från presentationer, diskussioner och roliga möten med nya och gamla bekantskaper. De flesta presentationer kommer publiceras på YouTube senare under året så du kommer kunna ta del av en hel del i efterhand också. Om jag ska rekommendera några favoriter som jag tycker du ska hålla utkik efter så är det bland annat de här:
Dale Peterson inledde själv under parollen "Believe" där han poängterade att vi faktiskt klarar ganska mycket i branschen om vi bara vill och tror på oss själva.
Mest klarspråk fick vi (som vanligt) av Rob Lee från Dragos. Mycket uppfriskande! Ska du bara se en video från S4, så se den här!
Som alltid är slutpanelen där Dale tillsammans med Ralph Langner, Megan Sanford och Zach Tudor reder ut kluriga frågor, både underhållande och fylld med klokskap. Om du bara ska se två videos från S4 så se den här också!
Maggie Morganti på Rockwell berättade vad som hände bakom kulisserna i samband med att en riktigt allvarlig sårbarhet upptäcktes i händerna på en fientlig aktör. Imponerande samarbete mellan organisationer som annars är konkurrenter!
Mest imponerande och rörande var nog Joe Marshall från Cisco Talos som berättade om de akuta insatser han gjort för att stötta Ukrainas elnät med synkroniserad tid trots pågående elektronisk krigföring som slår ut GPS-klockorna de använder. Se den om du börjat tappa hoppet om mänskligheten, Joe är en sann OT-hjälte!
Dave Aitel från Cordyceps Systems slaktade begreppen "Secure by default" och "Software liability" på ett klokt och underhållande sätt.
Vid sidan av alla presentationer pågår en massa andra aktiviteter. En som jag speciellt ser fram emot att höra resultatet från är "Vulnerability Management Pavilion" där 8 leverantörer visar hur de hittar, bedömer, presenterar och rekommenderar åtgärder för sårbarheter i en speciellt uppbyggd testmiljö. De 8 är aDolus, Finite State, Forescout, Framatome, Industrial Defender, Otorio, Runzero och Tenable.
Jag har förstås pratat med många leverantörer och upptäckt en del nya spännande produkter som mycket väl kan tänkas dyka upp i hemmalabbet och i nyhetsbrevet framöver... Nästa år flyttar man hela konferensen till Tampa men förhoppningsvis kommer kvaliteten inte påverkas av att man kan ta in fler besökare!
Storleken har betydelse!
Ett litet förtydligande kring texten från förra nyhetsbrevet om att det finns en oro i en del organisationer som inte egentligen berörs av NIS2 för att de är i "fel" bransch men som skulle kunna hamna under NIS2 i alla fall för att de exempelvis satt upp solceller på taket. Det som behöver påpekas att det här bara är värt att oroa sig över om man är en tillräckligt stor organisation, över 50 anställda eller med mer än 10 miljoner Euro i omsättning. Är ni mindre så faller ni ut av det skälet.
Floskeltoppen?
Något som produkttillverkare i vår bransch är riktigt duktiga på är att ta meningsfulla ord och sedan använda/missbruka dem så mycket att de till slut förlorar sin egentliga mening och mest blir störande floskler. Ett sådant är tyvärr Zero Trust. Jag skriver "tyvärr" för jag tycker Zero Trust är värd ett mycket bättre öde än att ses som en säljfloskel!
En fråga som dök upp från en läsare efter förra nyhetsbrevet var om det inte är dags att reda ut vad som är vad kring just Zero Trust inom OT-säkerhetsvärlden? Jag höll med, men insåg senare att jag faktiskt redan rotat runt i detta en del, främst i nyhetsbrev #45 och nyhetsbrev #43. Jag ska inte upprepa mig i onödan utan refererar till tidigare texter. Glöm förresten inte, apropå det, att det finns en sökfunktion på nyhetsbrevets sida. Jag använder den själv en hel del för att hitta bland mina egna gamla skatter...
Det här är ett område där jag gärna skulle diskutera i mycket mer detalj med någon som kan Zero Trust bättre än jag! Men jag ska ändå konstatera jag fortfarande är positiv till tanken på Zero Trust inom OT-världen, även om man förstås får resonera lite annorlunda jämfört med IT. Mycket beror förstås på vilken typ av system vi talar om och vilka risker man är mest oroad över. I många situationer är det förmodligen dessutom helt enkelt orimligt att tänka sig något annat är blint förtroende, som att ett remote I/O inte skulle lita fullständigt på sin controller...
I gränslandet mellan IT och OT finns det däremot gott om mycket rimliga platser att fullt ut tänka Zero Trust. Inte minst funktioner som är både viktiga och säkerhetsmässigt utsatta, som exempelvis remote access - som jag ju skrev om i förra utskicket. Här kan man ju dessutom dra nytta av "mänskliga" säkerhetsfunktioner som exempelvis eskorterade besök.
Den svenska NIS2-utredningen skjuts fram!
Ursäkta min tendens till click-bait i rubriken, men det är faktiskt i alla fall delvis sant. Den svenska utredningen som tittar på bland annat hur NIS2 och CER ska implementeras i svensk lag har fått utökad tid på sig för vissa delar av arbetet. Tyvärr då för några av de mest spännande delarna, nämligen hur man ska få direktiven att samsas med två andra kritiska svenska lagar, Säkerhetskyddslagen och Offentlighets och Sekretesslagen.
Den första (och stora) delen av arbetet är ju faktiskt avrapporterad i ett massivt dokument på 522 sidor och det finns en del matnyttigt kring även Säkerhetsskydd i den delen. Efter en första genomläsning har jag konstaterat att det mesta följer direktivet väldigt väl (vilket ju faktiskt var syftet med det nya direktivet...) men jag har några reflektioner och saker som jag tycker är intressanta:
Man rekommenderar att NIS2 implementeras i en lag kallad "Cybersäkerhetslagen".
De flesta kommuner, regioner och myndigheter kommer omfattas av lagen.
Alla universitet och högskolor omfattas.
Personer i styrelser (!) får tillsammans med VD ett personligt ansvar för cybersäkerheten och kan i grova fall via domstol förbjudas agera i organisationen om säkerhetsarbetet inte fungerar.
Inga krav på att använda certifierade produkter förrän sådana krav kommer från EU.
Man struntar i att direktivet sätter 17:e/18:e oktober 2024 som startdatum och föreslår istället 1:a januari 2025.
Det är man själv som organisation som ska avgöra om man omfattas av Cybersäkerhetslagen och i så fall anmäla sig till rätt tillsynsmyndighet. (Lite som säkerhetsskyddslagen alltså.)
Det finns ingenting specifikt skrivet om OT-system, industriella system eller något i den stilen. Man talar om Cybersäkerhet men jag tycker nog inte det finns något tvivel om att alla former av Cybersäkerhet avses oavsett om det är IT eller OT.
Man trycker speciellt på att organisationen i sin helhet omfattas av kraven även om det bara är en del av verksamheten som egentligen berörs. Det här är förmodligen klokt, det hade blivit en del kluriga gränsdragningar annars men det gör det där jag kommenterade i förra nyhetsbrevet om gränsdragning för exempelvis stora organisationer som producerar lite el verkar man inte ha identifierat som ett problem. Inte heller den enorma otydligheten kring hur kemikaliebranschen ska avgränsas.
Som förväntat trumfar säkerhetsskydd kraven i Cybersäkerhetslagen. Det betyder även att vissa uppgifter eventuellt inte kan lämnas ut kring exempelvis en NIS2-incident.
MSB pekas ut som sammanhållande i de flesta avseenden men ett antal nya tillsynsmyndigheter läggs till utöver dagens.
På det hela är jag väldigt positiv till resultatet, inte minst för att det är nära till direktivets tänk! Vi ska komma ihåg att allt ovanstående är rekommendationer från utredningen men jag har svårt att se varför det i slutändan inte skulle bli som de föreslår? Det var synd att man inte redde ut fler av frågetecknen i direktivet men det kommer lösa sig över tid!
Eftersom missad anmälan om att man omfattas av lagen finns bland anledningarna till att utdela sanktionsavgifter så blir det viktigt att verkligen göra en riktig analys även om man inte tror att man omfattas. Det kan bli helt avgörande att man kan visa på en riktig argumentation och ett formellt beslut av styrelsen. Det finns gott om klurigheter som gör detta till en bedömningssport och då behöver man vara övertydlig...
Nu är CRA på gång!
I förra nyhetsbrevet skrev jag om utmaningarna med att hålla EUs lagtexter enhetliga med tanke på att de översätts till 24 olika språk. Det har cirkulerat ett rykte om att CRA kommer skjutas fram till hösten just på grund av att den inte hinner bli översatt. Sedan tidigare är det känt att just översättandet generellt är en trång sektor för EU.
Men det verkar vara ett falskt rykte eller åtminstone överdrivet! Den 12:e Mars var CRA nämligen uppe i Europaparlamentet, och helt enligt planerna så röstades det JA till förslaget. Om du är riktigt nördig kan du se omröstningen här. (Det är snabba ryck, ca 30 sekunder för omröstningen även om det efteråt blev lite stök kring någon som uppträtt illa under omröstningen.) Det här betyder inte att CRA är färdigt, det är ett antal ringar till som det ska hoppas igenom, somi princip bara är formaliteter även om det kommer ta ett antal veckor.
En ny bekantskap! (Del 1)
Beckhoff är ett välkänt tyskt märke i automationsbranschen med en lång historik. Jag har förstås stött på dem hos mina kunder, men jag hittills inte haft så mycket egen erfarenhet "hands-on". Det har ändrat sig nu, när en C6017-0020 - "Ultra-compact Industrial PC" dök upp i posten och förstås monterades upp i hemmalabbet direkt. Hade det handlat om utrustning från en annan leverantör hade jag kallat den en "PLC", men som du kommer se är det här lite annorlunda...
Det första intrycket var imponerande - den har den där härliga massiva tyngden av solida material och rejäla kylflänsar. På pappret borde prestandan vara hel okej också; 4-kärnors Intel CPU, 8 GB RAM, 40 GB SSD och 4 stycken portar med Gb Ethernet. Lite senare visade det sig att den dessutom var extrautrustad med Beckhoffs inbyggda mini-UPS. En snabb test visade att den "på tomgång" klarar ungefär 5 sekunders störning i strömmatningen vilket gör att man kan undvika onödiga stopp vid korta störningar. Bra där!
Om man är van vid PLC:er från andra tillverkare kan Beckhoffs tänk kännas ovant. Deras automationsprogramvara, "TwinCAT", går att köra på vilken dator som helst. Men vill man ha en robust hårdvara som tål tuffa miljöer så installerar man mjukvaran på en av deras datorer, liknande den som jag fick fingrarna på. Beckhoff är för övrigt också kända för att de skapade fältbuss-protokollet "EtherCAT" som numera är en fristående IEC-standard som stöds av mängder av tillverkare.
Beckhoffs utrustningar är rent principiellt "vanliga" datorer som i de flesta fall kör Windows eller Beckhoffs variant på FreeBSD, TwinCAT/BSD. I och med det så går det enkelt att kombinera PLC-applikationer med helt andra programvaror. Konfigurationen sker via ett lokal webbgränssnitt vilket gör det enkelt att göra rätt. Jaha, Windows tänker du kanske? Men Beckhoff har inte bara slängt in Windows lite hur som helst utan har sett till att det beter sig på ett sätt som anstår en "PLC". Ett exempel på det är deras "Write filter" som gör att förändringar i systemet inte blir bestående utan att man lätt kan "backa" till en känd konfiguration. BSD-varianten har Jails och kan hantera både Docker-containers och virtuella system samtidigt som man kör TwinCAT-runtime. Riktigt coolt! Framöver kommer det ske en gradvis övergång från Windows till Linux, vilket är en intressant trend...
Hårdvaran finns i en massa spännande varianter som jag verkligen kan se tilltala det kreativa automationsfolket. Det finns allt från de ultrakompakta, där den variant jag testar ingår, hela vägen till brutala serverlösningen "Control cabinet industrial server" med 40 CPU-cores. Vill man exempelvis ha direktanslutning till många nätverk kanske mini-varianten på bilden passar, med 9 ethernet-portar!? (Det är alltså inte en inbyggd switch, utan 9 stycken separata interface!)
Jag hade hoppats skapa ett testprojekt i TwinCAT med någon lämplig testmiljö i FactoryIO, men jag har helt enkelt inte haft möjlighet att lägga den tiden. Men jag kan direkt konstatera att både hårdvara och mjukvara imponerar, allt tuffade igång utan problem så jag får be att återkomma om programmerandet i framtiden! Det ser i alla fall mycket lovande ut. En cool möjlighet är att man kan installera hela utvecklingsplattformen direkt på "PLC:n", tack vare att den ju faktiskt har ett "normalt" operativsystem. Om du har erfarenhet av att bygga system med TwinCAT vill jag väldigt gärna höra om dina erfarenheter!
Jag har närmast lite mer "exotiska" planer för att testa vad hårdvaran i sig går för. Testerna kommer dessutom ske tillsammans med ett par helt andra spännande produkter, en som varit med tidigare i nyhetsbrevet och en nykomling i labbet.
Fler nya bekantskaper... (Del 2)
När jag ändå hade tillgång till den imponerande lilla Beckhoff-datorn smidde jag lite annorlunda planer för att se vad hårdvaran i sig går för. Om du läste min text om Cyolo i förra nyhetsbrevet så vet du att jag gillar deras lösning för säker fjärråtkomst i OT-system. Min tanke nu var att se om man skulle kunna installera hela deras funktionalitet i en hårdvara som går att placera ute i ett minimalt apparatskåp? Planen blev alltså att komplettera min existerande Cyolo-installation i hemmalabbet med ytterligare en Cyolo IDAC-server som körs på Beckhoffs lilla kraftpaket - skulle den räcka till? Det blir dessutom ett test av klustringsfunktionen i Cyolo - är den så enkel att få till som de påstår?
Spännande redan där men det är nu som jag kan presentera ytterligare en nykomling i hemmalabbet...
Det danska företaget Bifrost Connect har också skapat en lösning för säker fjärranslutning, men de har valt en väldigt annorlunda målgrupp och metod jämfört med Cyolo. Det de siktar in sig på är nämligen att komma åt konsol-anslutningar på system via HDMI, tangentbord, mus eller via serieport. De gör det genom att kombinera en molnbaserat tjänst och en batteridriven (!) enhet som fixar den fysiska anslutningen. I det enklaste fallet ansluter du Bifrost-enheten via HDMI och USB för att skapa en simulerad skärm, tangentbord och mus. Batteriet räcker länge men laddas när enheten är ansluten till en USB-port. Kommunikationen mellan enheten och molntjänsten går via en inbyggd 4G-anslutning eller WiFi. De använder krypterad WebRTC som skyddar kommunikationen hela vägen från molntjänsten till enheten, och kan använda TURN-servrar som proxy om det behövs.
Det här lät ju väldigt intressant så jag fick låna ett par enheter av Bifrost Connect. För att göra testet lite mer intressant så anslöt jag en Bifrost-enhet till Beckhoff-datorn dagen innan jag åkte till S4-konferensen... Kommer det funka bra även från andra sidan Atlanten? Det känns som ett bra test, eller hur?
Som förväntat vaknade jag jetlaggad, alldeles för tidigt första morgonen, så varför inte använda tiden till att börja installera Cyolo? Jag tog och installerade om Beckhoff-enheten helt, med Ubuntu-linux som jag sedan installerade mjukvaran Cyolo på. Det låter ju enkelt tills man tänker på att jag behöver hantera datorn i UEFI/BIOS-läge för att välja ny boot-disk mm vilket kräver åtkomst till skärm och tangentbord.... Perfekt för Bifrost Connect med andra ord!
Redan innan det var dags för frukost hade jag redan installerat Ubuntu och startat Cyolo. Smidigt och enkelt utan några större klurigheter!
Jag ska passa påpeka att den nya Cyolo-servern uppförde sig perfekt. Den bildade helt automatiskt ett kluster med den tidigare IDAC-servern och dök upp i administrationsverktyget precis som utlovat. Otroligt imponerande i sin enkelhet! IDAC-servern vill egentligen ha en större disk än vad som finns installerad i min lilla Beckhoff-dator, men för enklare användning fungerar det hur bra som helst! Snyggt jobbat Cyolo!
Beckhoff-datorn å sin sida gör också precis allt den ska och med imponerande prestanda och enkelhet! Nu har jag inte testat att dra nytta av att den har 4 nätverksinterface, men jag ser ingen anledning till att det skulle strula. Snyggt jobbat Beckhoff!
Och när det gäller Bifrost Connect så märktes inte avståndet på något vis, webbgränssnittet kändes i princip som att sitta framför bildskärmen hemma! Förutom alla grundläggande funktioner, som behörighetsstyrning av vem som får ansluta till vilken enhet och loggning av alla aktiviteter, kan de även göra en del andra trick som jag inte haft möjlighet att utforska ännu, men som låter intressanta:
Du kan koppla två enheter till varandra, "rygg mot rygg", över Internet vilket skapar ett slags VPN-lösning mellan dem.
Enheterna har 6GB lagring som man kan presentera som en USB-disk till det anslutna systemet
Man kan ansluta till en ren konsolport, RS232 eller USB. Användbart för nätverksutrustning, OT-prylar och annat med sådan anslutning.
Med två enheter kan man tunnla en serie-ansluten konsolport (RS232 eller USB) på distans.
Det finns en reläport så att man kan styra strömmen till den styrda enheten och därmed göra "hårda" omstarter.
Det finns en ethernet-port vilket gör det möjligt att göra en "lokal" SSH-anslutning från Bifrost-enheten.
Om man vill ha handgriplig kontroll över hur uppkopplingar sker så finns enheten i en version som kallas "Attended Access". Det är en listig lösning där den lilla displayen på enheten visar en sifferkod som man ger till den som ska koppla upp sig. En smart kombination av tvåfaktor-inloggning och operatörs-godkännande! De har en ovanligt vettig beskrivning av säkerhetsaspekterna i deras lösning som är värd att ladda ner och titta på.
Det känns lite fel att jämföra Cyolo och Bifrost Connect. De har förstås likheter, men de problem som de försöker lösa är ganska olika. Bägge gör det dock väldigt bra, och det ska bli intressant att utforska kombinationen av dem båda lite mer! Jag ser dem nämligen inte som konkurrenter, men som intressanta komplement till varandra.
Blir sårbarhetshantering ännu enklare med dioder?
En fråga som dök upp efter min text i förra nyhetsbrevet om att förenkla sårbarhetshantering med en genomtänkt segmentering var om inte nätverksdioder kunde spela en viktig roll i detta? Jag tyckte det var en spännande fråga som förtjänar lite extra uppmärksamhet...
Jag ska direkt säga att jag inte har använt nätverksdioder eller CDS-lösningar med just sårbarhetshantering som mål, men det är ganska uppenbart att det kan ge stora fördelar - även om det i många fall kanske inte ens är huvudsyftet med att införa den typen av teknik.
Mest uppenbart blir det förstås om man överväger en ren nätverksdiod, där ett system som är på "uppströms-sidan" av dioden är fysikaliskt omöjligt att nå från andra sidan. Det är ju faktiskt hela vitsen med dioden och ungefär så bra skydd man någonsin kan få mot nätverksburna angrepp... Men även system "nedströms" kommer i de flesta fall bli svårare att angripa men det beror förstås till en viss del på vilken typ av filtrering som sker i dioden, vilket nätverksprotokoll som är aktuellt och naturligtvis vilken typ av angrepp man vill undvika.
När det gäller CDS-lösningar blir det alltid lite mer av en bedömningssport, men eftersom hela tanken med en sådan lösning är att "plocka isär" kommunikation i sina beståndsdelar kommer de flesta angrepp i praktiken bli väldigt svåra att få igenom en CDS-gateway.
Förutom att skydda mot angreppet blir det i de flesta fall även ett visst skydd mot skadeverkningar även om angreppet faktiskt skulle lyckas. Stöld av information eller manipulation av en process är ju definitionsmässigt omöjligt i "fel riktning" genom en diod.
När det gäller förenkling av sårbarhetshantering bör rimligen diod-liknande teknik vara en hit! I de flesta fall borde analysen av en ny sårbarhet bli enklare och det borde i slutändan även resultera i färre panik-uppdateringar!
Nu har jag faktiskt läst den...
Jag slog ett slag för Andrew Ginters senaste bok redan i nyhetsbrev #57, men då hade jag inte läst den. Nu har jag ändrat på det och kan komplettera med lite egna tankar kring innehållet...
Andrew är kanske mest känd från den podcast han gör hos sin arbetsgivare Waterfall Security. Det går inte att missa att det finns en väldigt tydlig koppling till Waterfalls produkter i boken men det gör ingenting, eftersom resonemangen håller och det är dessutom bra produkter! Boken "Engineering-Grade OT Security - A managers guide" verkar fortfarande gå att få skickad gratis från USA eller köpa direkt från Amazon.
Jag rekommenderar att du läser boken själv, men jag ska i alla fall återberätta några av alla de tankar som jag tycker han fångar på ett bra sätt i boken:
Man hör ofta om skillnaderna mellan säkerhet inom IT och OT men som Andrew mycket riktigt påpekar är det nästan lika stora skillnader inom OT-säkerhet mellan olika branscher! Visst är Safety viktigt överallt, men i vissa verksamheter är det helt avgörande medan andra, med rätta, fokuserar bredare. I vissa branscher finns massor av känslig information i OT-systemen och i andra inte alls. Viktigt att ha med sig när man diskuterar filosofier inom OT-säkerhet!
Boken knyter an till de tankar som blivit moderna på senare år, en återgång till att hantera vissa av de risker som orsakas av moderna OT-teknik med hjälp av säkerhetsåtgärder från helt andra områden, exempelvis mekaniska hinder för allvarliga konsekvenser. Här finns mycket att hämta för att få digital teknik och fysiska processer att gå mer hand i hand...
På samma tema har Andrew en bra diskussion kring den ibland heta debatten om vad en "OT-säkerhetsincident" egentligen är. Man hör ofta att det är ovanligt med "riktiga OT-incidenter" vilket avser att de flesta produktionsstörningar beror på ett för stort beroende av IT-system snarare än att en hacker manipulerat en PLC. Det är en åsikt som jag håller med om men det är egentligen inte så intressant om man trots allt är intresserad av att hålla sin produktion igång! Det sätter också fingret på att det kan finnas IT-system som behöver skyddas som om de var OT-system, ett jobbigt sätt att tänka för en del organisationer...
Ett begrepp som jag arbetat med inom exempelvis kärnkraftsvärlden är det som tidigare kallades "Dimensionerande Hotbeskrivning", DHB och som numera oftast får heta DAF istället "Dimensionerande Antagonistisk Förmåga". I boken talas det om cDBT, "Cyber Design Basis Threat" vilket är samma sak men med fokus just på cyberhot. Det här är ibland något som man får av Säkerhetspolisen om man är en säkerhetsskyddad verksamhet, men det är också något man kan definiera för sin egen verksamhet. Det handlar helt enkelt om att definiera vilka typer av attackförmågor som man ska kunna hantera. Detta är något som jag ofta rekommenderar mina kunder att ta fram eftersom det skapar en enhetlig bild av vad man ska klara av. Det många inte tänker på är att det faktiskt också är en definition av "Risktolerans", det där kluriga begreppet som jag sett få faktiskt göra något bra med. Om man i en cDBT/DAF definierar vilka förmågor och hot man ska klara av så har man ju faktiskt också sagt att "allt annat är det okej att vi inte kan stå emot". Det här kan vara en jobbig diskussion, men oj så viktig!
Ordet "Sårbarhet" orsakar ibland missförstånd. De flesta tänker nog på en brist i en mjukvara som går att fixa med en patch. Men i många sammanhang betyder ordet mycket mer, det är vilken svaghet som helst, i vad som helst, som möjliggör något slags angrepp. Viktig skillnad att ha med sig!
Jag träffade Andrew under S4-konferensen så jag kunde både tacka för en bra bok och bekräfta för honom att jag håller med om hans syn på att OT-säkerhet måste utformas på ett sätt som drar nytta av skydd i både den fysiska processen och "cyberdelarna". Det är tyvärr alldeles för vanligt att man försöker lösa utmaningarna "på samma sätt som IT gör" och helt missar möjligheterna med åtgärder i hur processen är utformad! Det gäller i synnerhet de allra värsta konsekvenserna som man helt enkelt vill bygga bort!
Järnspindeln är här - se upp med dina HMI:er!
Ett nytt spännande forskningspapper beskriver hur man skapat en ny klass skadlig kod riktad mot PLC:er via webb-baserade HMI:er. Det är Ryan Pickren, Tohid Shekari, Saman Zonouz och Raheem Beyah på Georgia Institute of Technology som ligger bakom arbetet.
De drar nytta av att moderna PLC:er ofta har en inbyggd webb-server för att bygga HMI-bilder med. Det tillsammans med den dåliga idén att låta "kontors-datorer" komma åt HMI-bilderna direkt från PLC:n skapar en intressant möjlighet att manipulera PLC:ns beteende. (Alternativt att "OT-datorer" får surfa på Internet, vilket är en ännu sämre idé...)
Jag ska inte försöka mig på att sammanfatta metoden mer än så, utan rekommenderar en genomläsning. Om du är någorlunda hemma i webb-teknik så går det enkelt att förstå denna unika metod. Spännande!
Kul trend!
Det börjar röra på sig så smått bland tillverkarna av OT-produkter när det gäller säkra utvecklingsrutiner. Ett tecken på det är ett ökande intresse för certifiering på det här området och då ofta IEC 62443-4-1. Ett lite extra kul exempel är varumärket Anybus som ingår i den svenska HMS Networks. (Du kanske minns min test av en Ewon-enhet i nyhetsbrev #57?)
De har precis annonserat att de certifierat sig på mognadsnivå 3 av IEC 63443-4-1! Nivå 3 är alltså den näst högsta nivån, det finns från 1 till 4. (Detta trots att -4-1 bygger på CMMI-DEV som ju har fem nivåer. I -4-1 slår man ihop nivå 4 och 5 till en nivå...) Med tanke på att produkter från Anybus ofta byggs in produkter från andra tillverkare så blir det förstås avgörande att de håller minst lika hög nivå av säkerhet som sina direkta kunder! Ett viktigt steg förstås också inför de kommande CRA-kraven. Grattis HMS Networks och bra jobbat!
Konsten att säga nej
Jake Brodsky har skrivit en kort text om det viktiga med att kunna säga nej. En konst som kan tyckas vara enkel, men där det ofta handlar om att kunna ta en diskussion kring vad som är viktigt i den svåra avvägningen mellan att skydda verksamheten och att utveckla den. Det här är något jag stött på i alla branscher jag arbetat med, allt från kryssningsfartyg till verktygstillverkning. Det handlar i slutändan om att säkerställa att rätt beslut tas av rätt person baserat på rätt information.
För att vi säkerhetsmänniskor ska bli respekterade som relevanta personer att ha med i en diskussion finns det några saker där jag tycker vissa kollegor i branschen ibland går lite för långt:
Ta inte säkerhet personligt! Vi tycker det är viktigt med säkerhet, men om du blir upprörd av en diskussion så kommer du förlora den!
Säkerhet har inget egenvärde! På samma sätt som att ingenting är 100% säkert måste vi vara bekväma med att navigera kompromisser där både säkerhet och nytta "får sitt".
Säkerhet är inte motsatsen till nytta! Säkerhetsåtgärder blir mycket enklare att sälja in om de presenteras som möjliggörare av nya sätt att arbeta som man inte "vågat" tidigare.
Tack för den, SÄPO!
En av mina käpphästar är att det gått lite väl mycket inflation i användning av säkerhetsskydd i vissa branscher. Samtidigt ska jag direkt erkänna att det är ett svårt område att bedöma och applicera, i synnerhet när det handlar om OT-säkerhet.
SÄPO har nu skapat ett stöddokument för att hjälpa organisationer att förstå vilka delar av verksamheten som kan vara att betrakta som säkerhetskänsliga. Jag hade kanske hoppats på lite mer klarspråk, men vi fick i alla fall svart på vitt att dagis och begravningsbyråer inte är säkerhetskänsliga. Men visst, det är faktiskt varje organisations eget ansvar att bedöma detta och då ska inte SÄPO skriva ett facit. Läs speciellt avsnitt 3, "Skadekonsekvenser på nationell nivå", det är det viktigaste i mina ögon.
Det här kommer ju dessutom bli ett extra intressant område att följa framöver i och med inträdet i NATO.
Har du tid?
Om du gillade min lilla test av tidsprogramvaran Timekeeper i förra nyhetsbrevet så kanske du gillar Jörgen Städjes text "För Sverige i tiden".
I hans artikel nämner han även sajten gpsjam.org som ger en intressant bild av hur mycket störningar det är kring GPS-systemet och var i världen det sker. Väl värt att ha med sig i bakhuvudet när man pratar om tjänster som hanterar tid eller plats!
Team82 fortsätter i samma stil!
Clarotys forskargrupp Team82 kör vidare i sin kampanj att vända ut och in på OPC UA. Nu är artikelserien uppe i del 9, där de visar hur de hittade problem i Softings integrationsserver "SIS". En intressant djupdykning med videos och allt:
Om du missat någon av de tidigare delarna så finns de förstås tillgängliga:
OPC UA Deep Dive Series (Part 4): Targeting Core OPC UA Components
OPC UA Deep Dive Series (Part 5): Inside Team82’s Research Methodology
OPC UA Deep Dive Series (Part 6): A One-of-a-Kind Exploit Framework
OPC UA Deep Dive Series (Part 7): Practical Denial of Service Attacks
OPC UA Deep Dive Series (Part 8): Gaining Client-Side Remote Code Execution
Vad finns i dina mjukvaror?
Det är mycket snack i branschen kring SBOM (Software Bill Of Materials), alltså innehållsförteckningar för mjukvara som bland annat EU via CRA kommer kräva av alla mjukvaruleverantörer. Det här är fortfarande en väldigt omogen värld där det finns en massa kluriga utmaningar, men där det också sker en massa spännande framsteg. Om du är fundersam över alla utmaningar och vad märkliga akronymer som PURL, spdx, SASBOM, CBOM och CycloneDX betyder så kan jag rekommendera ett avsnitt av Dataföreningens "Prata EU Cyber Resilience Act med oss". Olle E Johansson och Per-Erik Eriksson berättar om det senaste i den här världen.
Ska vi höras?
I ett tidigare nyhetsbrev öppnade jag min kalender för alla som vill diskutera något kring OT-säkerhet. Gensvaret blev fantastiskt så jag kommer repetera den här texten framöver. Jag har redan haft ett antal kul samtal med roliga människor från spännande verksamheter av alla de slag. Du behöver förstås verkligen inte vara proffs på just OT-säkerhet för att det ska bli ett intressant utbyte av erfarenheter och tankar!
En av de saker jag uppskattar allra mest med mitt jobb är att jag får kontakt med så många intressanta organisationer. Mina uppdrag är typiskt antingen korta alternativ långa och "lågintensiva", vilket öppnar för fler kontakter. Det kan vara som tillfälligt expertstöd i ett projekt, som rådgivare till en IT-chef eller som coach till en säkerhetschef under lång tid, som granskare av kravunderlag eller kanske som "djävulens advokat" när det behövs någon som utmanar lite.
Det är verkligen en förmån att få lite insyn i så vitt skilda verksamheter och att få träffa människor med intressanta utmaningar! Det är märkligt att det kan vara så många likheter mellan OT-säkerhetsutmaningarna i robotceller hos en tillverkande industri, fastighetsautomationen i en extremt känslig byggnad, dricksvattenproduktionen i en liten kommun, en gruvas komplexa värld, de medicintekniska system på det lilla sjukhuset, maskinrummet på riktigt stora fartyg eller någon av alla andra spännande verksamheter som jag kommer kontakt med. I princip 100% av gångerna kan jag dela med mig av något jag lärt mig från en tidigare erfarenhet till nästa kontakt.
Normalt sett sker dessa kontakter som en del av ett uppdrag vilket förstås begränsar vilka människor jag kommer i kontakt med. Jag tänkte att det skulle vara kul att komma i kontakt med fler verksamheter, spännande eller vardagliga, även utan ett aktivt uppdrag, för att se vad vi kan lära av varandra.
Som ett experiment provar jag att öppna kalendern för alla som vill höras för att bolla någon intressant fråga. Vad som helst som har med OT-säkerhet att göra! Du får naturligtvis själv avgöra vad du kan dela med dig av eftersom det formellt sett inte finns några sekretessavtal på plats.
Plocka åt dig en timme här! Vad vill du prata om? Segmentering? NIS2? Samarbete IT & OT? Cool teknik? Ladder Logic kontra Structured Text? Active Directory? Hemmalabbet? Incidentövningar? Du väljer!
Vem är Mats?
Jag är till vardags säkerhetsrådgivare kring OT på AFRY. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.