U

Start » Learning Centre » Blogg » OT-säkerhetsexperten: Så relaterar OT-säkerhet till NIS2

OT-säkerhetsexperten: Så relaterar OT-säkerhet till NIS2

Mats Karlsson Landré arbetar som Lead Expert OT Security Advisor på AFRY och var med som talare på konferensen SCADA-säkerhet 2023. Efter konferensen berättade han för oss om hur NIS2-direktivet kommer att påverka organisationer och hur sambandet mellan NIS2 och OT-säkerhet ser ut.

 

Kan du berätta lite om dig själv och din roll som säkerhetsrådgivare?

Jag har arbetat med säkerhetsfrågor sedan mitten av 90-talet med en bakgrund från tillverkande industri och kärnkraftsvärlden. Jag har haft förmånen att kunna arbeta väldigt brett, allt från webbapplikationshackning till fysiskt skydd och från säkerhetsskydd till industriella kontrollsystem. Numera fokuserar jag nästan helt på OT-säkerhet, alltså säkerhetsarbete där någon form av fysisk konsekvens är viktig att undvika. Som säkerhetsrådgivare agerar jag främst som just rådgivare, coach eller specialistkompetens för att stötta kundens ledning eller nyckelpersoner nära produktionen. Som ett hobbyprojekt driver jag www.ot-sakerhet.se där jag skriver om aktuella ämnen.

 

Vad var det du pratade om på konferensen SCADA-säkerhet?

OT-säkerhet och NIS2 är två väldigt heta områden var för sig. Jag utforskade vad som händer när de möts och pekade på vad som kan vara viktigt att tänka på då.

 

Finns det några vanliga missförstånd kring det här?

Ett vanligt feltänk som jag stött på är att tillverkande industriorganisationer tror att de ska fokusera på produkternas säkerhet i stället för förmågan att producera dem. Säkerheten i produkterna tas om hand i andra EU-krav, exempelvis har vi fått ett rejält uppdaterat Maskindirektiv för ”farliga” produkter och det är ett direktiv på gång kallat ”Cyber Resilience Act” som ställer ganska brutala krav på cybersäkerheten i själva produkten.

Annars är det just industriföretag som i många fall fortfarande inte förstått att de kan betraktas som samhällsviktiga och därmed lyder under NIS2. Det är viktigt att förstå att ingen myndighet kommer knacka på dörren och berätta om detta – organisationen förväntas själva göra analysen och sedan förbereda sig.

 

Hur kommer NIS2-direktivet påverka organisationer?

Det kommer slå väldigt olika beroende på vilken bransch man är i och hur mogen organisationen är i sitt säkerhetsarbete. Om man redan uppfyller dagens NIS-direktiv så blir påverkan något mindre men för andra kan det bli en riktigt tuff resa. Ett område är kraven på organisationens ledning som leder till att de måste ta en aktiv roll i hur säkerhetsarbetet fokuseras, bedrivs och följs upp. Ett annat område är kraven på säkerhet hos leverantörer till organisationen. Här tror jag att det kan bli jobbigt för kundansvariga och jurister när en massa kunder plötsligt vill omförhandla avtal för att ställa vassare krav på säkerhet. Det är förstås också en stor möjlighet för leverantörer som är snabba på bollen och kan visa att de är värda att leverera till NIS2-organisationer!

 

 

Hur ser sambandet ut för NIS2 och OT-säkerhet?

För organisationer med någon form av fysisk produktion kommer säkerheten kring OT-systemen bli det mest centrala i NIS2-arbetet. NIS2 går ut på att säkerställa att verksamheter som producerar produkter som är viktiga för samhället kan fortsätta att göra det trots angrepp eller störningar. Ett område som blir väldigt viktigt är att arbeta med riskdrivna åtgärder så att man fokuserar sina resurser på de ställen där de faktiskt har effekt. Det kräver ganska annorlunda arbetssätt och verktyg jämfört med klassiskt IT-säkerhetsarbete.

 

Vad är några typiska utmaningarna kring OT-säkerhet?

Ofta är OT-säkerheten eftersatt jämfört med IT-säkerheten och förutsättningarna är radikalt annorlunda än vad de flesta IT-verksamheter är vana vid. Det finns nästan alltid äldre men kritisk utrustning kombinerat med begränsningar i hur man får ändra i anläggningen. Man måste ha ett annat angreppssätt och hantera risker på sätt som kan vara ovana. Det finns dessutom ofta direkta kopplingar till risker för människoliv eller miljöpåverkan vilket får riskanalyserna att bli väldigt annorlunda.

 

Du avslutade din presentation med kloka tips till deltagarna – berätta!

Ja, några av dem var:

  • Utnyttja att OT-säkerhet är annorlunda till er fördel. Det finns säkerhetsåtgärder som ofta blir väldigt effektiva i den mer statiska OT-världen men som fungerar dåligt i IT-världen.
  • Utgå gärna från standarder när ni utformar ert säkerhetsarbete men skriv inte av ISO 27001 och IEC 62443 när ni gör ert ledningssystem. Det behövs instruktioner och handledningar som faktiskt kan användas i vardagen.
  • Satsa inte alla era resurser på att förebygga incidenter. Det går inte att helt undvika incidenter och då vill det till att organisationen kan ta emot en smäll utan att ”gå ner för räkning”. NIS2 förbjuder inte att man har incidenter men det kräver att man är duktig på att hantera dem!

 

Vill du se mer av Mats Karlsson Landré? Kika på vår video där vi pratar OT tillsammans!

 

 

Relaterade artiklar