Gästblogg: Mats Karlsson Landré
Jag fascineras relativt ofta av att OT och OT-säkerhet betraktas som ett enhetligt område som är lätt att sammanfatta och där säkerhetsarbetet enkelt kan förklaras med några snabba ord. Det är märkligt nog lika vanligt att det kommer från ”IT-folk” som från ”OT-folk”…
Generellt tycker jag man underskattar skillnaderna mellan helt olika verksamheter som på något vis använder sig av ”OT”. Kan man verkligen dra många likheter mellan säkerhetsarbetet för reaktorstyrningen i ett kärnkraftverk och för en robot som staplar skokartonger på en lastpall? Eller för fastighetsautomationen på ett fängelse? Eller för produktionen av läsk enligt ett hemligt recept? Eller för skeppsövervakningen på ett av flottans fartyg? När man tänker så känns det ganska uppenbart att det finns ganska stora skillnader i både prioriteter, risker, hot och tekniska förutsättningar.
Den absolut vanligaste förenklingen är förmodligen att man ska vända på CIA-triaden när man går från IT till OT (Confidentiality, Integrity och Availability. På svenska Hemlighet, Riktighet och Tillgänglighet. Alltså tanken att inom IT är det alltid hemligheter som är det viktigaste att skydda och inom OT är det alltid tillgänglighet. Den där stackars riktigheten får aldrig vara viktigast. Jag brukar invända att resonemanget inte ens stämmer inom IT och informationssäkerhet, så varför skulle OT vara så mycket enklare? Och även om det vore sant så talar vi oftast om information i första fallet och en fysisk process i det andra, alltså två företeelser som är ganska svåra att jämföra.
En annan klyscha brukar vara att inom OT handlar allt om Safety, alltså att det inte ska uppstå konsekvenser som är farliga för människor eller miljö. Och visst, i och med att vi hanterar fysiska maskiner och processer så finns det en poäng i att sätta skyddet av medarbetare högt. Men! Det är sällan de flesta allvarliga riskerna i en OT-riskanalys handlar om Safety eller att speciellt mycket fokus i OT-säkerhetsarbetet hamnar där. Därmed inte heller sagt att Safety är oviktigt. Tvärtom är det tyvärr lite för ofta man glömmer bort den typen av frågor i riskarbetet. Men! I många verksamheter är det ganska enkelt att bygga bort vissa Safety-risker, speciellt om man tänker lite utanför boxen.
Mitt favoritexempel är styrningen av en pump som, om den skulle bli hackad, skulle kunna köras baklänges och därigenom skapa en farlig situation. I stället för att lägga enorma resurser på att skydda all potentiellt sårbar utrustning kan ju lösningen vara att sätta en backventil på rörledningen! Här kan man ju för övrigt dra en fantastisk parallell till Advenicas lösningar för envägskommunikation. På samma sätt som en fysisk backventil kan ta bort konsekvenserna av en hackad pumpstyrning kan en datadiod göra en rad attacker helt verkningslösa.
På sistone har jag börjat få frågan varför jag inte gillar Purdue-modellen? Jag förstår att man kan tolka det så, men jag har egentligen ingenting emot modellen i sig själv – den är en bra metod för att beskriva system och flöden. Där det brukar gå snett är när man tänker sig att bygga segmentering inom nätverk och system längs nivåerna i modellen. I de flesta typer av verksamheter blir inte det en meningsfull segmentering! När jag trycker emot lite brukar man landa i att det är viktigt att dela på ”IT” och ”OT” och där har jag förstås inga invändningar. Men det behöver man ingen Purdue-modell för att förstå…
Vi ska förstås jobba med segmentering, men då föredrar jag det riskbaserade tänket från IEC 62443 där man bygger sina säkerhetszoner lite friare. Om man absolut vill ha en snygg modell vill jag gärna slå ett slag för en släkting till Purdue-modellen, nämligen NOA-modellen från NAMUR, som är en elegant lösning på att hantera den allt större mängden ”IIoT”-enheter som dyker upp i allt fler verksamheter. Även den drar nytta av en ”backventil” i nätverket för att säkerställa att osäkra IIoT-prylar inte går att komma åt från IT-världen.
Mitt svar på frågan ”Finns det enkla svar på svåra frågor?” är uppenbarligen nej. Men ibland är de svåra frågorna inte fullt så svåra som man tror. Det kan handla om att man bara är överväldigad av en komplex omgivning och inte ser ”skogen för alla träd”. Förmågan att ta ett kliv tillbaka ibland och se utmaningarna i lite perspektiv kan ibland hjälpa oss att dela upp skogen i mindre dungar som vi lättare kan ta oss an. Vågar vi dessutom kombinera vårt helikopterperspektiv med lite okonventionellt tänkande så kanske det i stället handlar om ”bra svar på bra frågor”?
Mats Karlsson Landré
Jag driver sajten www.ot-sakerhet.se men till vardags kallar de mig ”Lead Expert OT Security Advisor” på AFRY.
