Vad är OT-säkerhet egentligen?
Det pratas allt mer om OT-Säkerhet. Vad är det och vad är det som gör det så speciellt? Och är det verkligen inte bara en variant på it-säkerhet? Här rätar jag ut frågetecknen och ger dig min syn på saken.
När jag pratar om OT-säkerhet får jag nästan alltid frågan: Vad betyder OT? Menar du "Off-Topic" eller vaddå? OT är fortfarande ett ganska nytt begrepp men som jag tycker börjar sätta sig så smått. En annan fråga kan vara: Är det verkligen någon skillnad mot it-säkerhet? I den här posten ger jag min högst personliga syn på vad OT-säkerhet är och varför det är så annorlunda mot informationssäkerhet och it-säkerhet men också vad likheterna är.
Förkortningen OT brukar uttydas "Operational Technology" eller "Operations Technology". På sistone har den svenska varianten "Operativ Teknik" börjat dyka upp. Bokstaven "T" berättar att man använder modern digital teknik, ungefär på samma sätt som i "IT". O:et för "Operational" syftar på att man hanterar något slags fysisk process till skillnad från I:et i IT som ju berättar att vi hanterar information. Alla som sett "Fem myror" vet att det är "O:et i ordet som gör det"! Så även här!
Vad är risken?
Och det är faktiskt redan i betydelsen av orden som man kan genomskåda det som gör OT-säkerhet speciellt. Allt säkerhetsarbete handlar ju om att förebygga skador. För informationssäkerhet och IT-säkerhet försöker vi skydda information. Inom OT-säkerhet handlar istället om att undvika att fysiska skador eller störningar inträffar eller får svåra konsekvenser.
Vilka skador som man behöver undvika beror förstås på vilken typ av verksamhet man har. I en automatiserad tillverkningsindustri är kanske de värsta skadorna att en medarbetare skadas av en robotarm som rör sig på fel sätt eller att en maskin blir förstörd om den används på fel sätt. I en kemisk industri kan man tänka sig dödsfall på grund av en explosion eller miljöskador på grund av utsläpp som skadar miljön. I sjukvården kan farliga situationer uppstå om medicinsk utrustning inte fungerar som den ska eller om ventilationen lägger av. Men även även mindre allvarliga händelser måste förstås förebyggas så att inte produktionen störs eller kvaliteten på produkterna försämras.
Är det alltid svart eller vitt?
Det är inte alltid gränsen mellan IT och OT är så tydlig, det är inte helt ovanligt att man hanterar känslig information i någon form av OT-system. Det finns gott om exempel i sjukvården, i läkemedelsindustrin och i högteknologisk tillverkningsindustri. Det gör förstås att det kan bli extra klurigt att få till ett bra skydd av systemen så att både information och fysisk funktion får lagom mycket skydd. Man hamnar lätt i situationer där skyddet av information hamnar i konflikt med en bra processkontroll.
En viktig likhet mellan IT- och OT-säkerhet är att, när man gör det på rätt sätt, så drivs arbetet utifrån något slags riskanalys där man tittar på konsekvenserna för verksamheten som ska skyddas. Även om det är helt olika risker som man är nervös för så har inget säkerhetsarbete något egenvärde utan att förstå verksamhetens behov. Det är i det här sammanhanget man lättast ser att motsvarigheten till OT-säkerhet egentligen inte är ren IT-säkerhet, utan kombinationen av informationssäkerhet och IT-säkerhet. Man behöver förstå riskerna i helheten och man kombinera åtgärder som är både baserade på digital teknik med rena mekaniska skydd och säkra arbetsmetoder.
Ledningssystem för OT-säkerhet?
När man pratar om informationssäkerhet så kommer man nästan alltid in på att man vill ha ledningssystem för sin verksamhet och då är standarden ISO 27001 numera den absolut vanligaste att luta sig mot. Det har gjorts många försök att att "skruva till" standarden så att den ska passa utmaningarna inom OT också, det vore ju praktiskt! På samma sätt finns många försök att formulera om metoder för riskanalys och informationsklassning för att passa OT. Det vanligaste synsättet inom informationssäkerhet är "C-I-A" (Confidentiality, Integrity och Availability) dvs. Hemlighet, Riktighet och Tillgänglighet som används för att beskriva konsekvenser och känslighet. Jag har hittills aldrig sett något sådant försök leda fram till en bra modell, det är förmodligen helt enkelt för annorlunda förutsättningar inom OT för att kunna överföra tänket från informationssäkerhet dit.
Alla dessa förkortningar!
I ett försök att ersätta "C-I-A" med andra begrepp som passar bättre för OT har det uppstått en del nya kombinationer. Tanken är att man ska kunna beskriva vad som är viktigt i den egna verksamheten och vilka risker man ser. En populär variant är "C-O-O" som står för Controlability (processen är under kontroll), Observability (vi kan se vad som händer i processen) och Operability (vi kan påverka processen). En annan är "S-R-P" vilket uttyds som Safety (ingen ska bli skadad), Resilience (processen tål störningar) och Performance (processen är effektiv). I praktiken tycker jag att man ofta behöver använda en kombination av alla nio begrepp för att kunna bli riktigt säker på att man talar om samma sak.
Det finns hopp!
Att 27001 inte passar så bra för OT betyder inte att vi saknar något att luta oss emot när vi vill styra upp vårt säkerhetsarbete med hjälp av en erkänd standard. Inom OT så är sedan länge ISA/IEC 62443 sedan länge den dominerande standarden. Den kallades tidigare ISA 99 och hänger tätt ihop med en annan standard som hette ISA 95 som beskriver hur man bygger en bra systemarkitektur i en komplex verksamhet. 62443 har tre stora delar, en del handlar om hur vi arbetar, en del om hur våra system skyddas och den tredje delen riktar sig till de som utvecklar systemkomponenter för OT-världen. Om man inte tillverkar OT-utrustning är det normalt de två första delarna man fokuserar på och de ger relativt handfast hjälp i säkerhetsarbetet. Standarden har en del utmaningar, den är framför allt ganska omfattande och har tagits fram över lång tid, så det finns en del motsägelser mellan nyare och äldre delar som man får hantera. Det finns också en del bra stöd utanför standarderna kring hur man i praktiken bäst kan hantera riskbedömningar och säkerhetsåtgärder.
OT kontra nya NIS-direktivet?
Intresset för OT-säkerhet har ökat betydligt under senare år. Det finns flera skäl till det. Det viktigaste är nog den allmänna digitaliseringen i samhället vilket ofta påverkar OT-verksamheter som plötsligt ska integreras med omvärlden, vilket drar med sig helt nya risker. Ett annat skäl är nya regleringar från Sverige och EU, främst då uppdateringen av säkerhetsskyddslagen som började gälla 2019 och NIS-direktivet som blev svensk lag 2018. Speciellt NIS-direktivet har lett till en tydligt ökad aktivitet från tillsynsmyndigheter vilket lett till ett ökat intresse från berörda verksamheter. Strax före jul 2020 lade EU fram ett förslag till ett nytt NIS-direktiv, "NIS2", som en del av en ny cybersäkerhetsstrategi för EU. NIS2 är en rejäl skärpning av det nuvarande direktivet med utökade krav, betydligt fler branscher som omfattas och rejäla sanktionsmöjligheter för tillsynsmyndigheterna. Jag har skrivit en del om NIS2 i en tidigare post om du vill läsa mer.
Lästips!
Om du vill lära dig mer om OT-säkerhet kan jag rekommendera dessa resurser:
