2021-07-08

Var läcker din båt?

Det är lätt att det blir ett tjatigt att höra om ständiga attacker mot viktiga i system i samhället runt om i världen. Hur ska man orka hålla engagemanget uppe och engagera alla i arbetet, så det inte bara blir "säkerhetsfolket" som bryr sig?

Känner du måltavlan på ryggen?

Häromdagen läste jag en artikel av Vytautas Butrimas som, precis som vanligt, gör en radda kloka observationer. Huvudpoängen är att organisationer som sysslar med kritisk infrastruktur aldrig får glömma att de är väldigt utsatta. Att allting som de gör (eller låter bli att göra) kommer aktörer i omvärlden att försöka utnyttja.

Det här är förstås egentligen inga nyheter för någon. Samtidigt tycks det vara lätt att glömma att slutmålet för angriparna inte är att slå mot den kritiska infrastrukturen i sig utan att använda den som ett slagträ mot samhället i stort. Dels som en störning och dels som en kraftfull psykologisk effekt. Det här är viktigt att komma ihåg när man sitter där i sin risk-workshop och undrar "varför skulle någon vilja angripa oss?". Att alltid känna måltavlan på ryggen och att alltid peka på jobbiga begränsningar är tufft. Här är det viktigt att man har vettiga rutiner för belysa risker i alla typer av ändringar som kan påverka säkerheten.

Vad kommer mot oss?

Något som jag personligen tycker är en underskattad komponent i det sammanhanget är att ge organisationen en gemensam syn på de hot som man står inför. Om alla i organisationen har samma bild av vad man behöver skydda sig mot blir säkerhetsarbetet oerhört mycket enklare.

Organisationer som har verksamheter som faller under säkerhetsskyddslagen och som tillhör någon av de två högsta konsekvensnivåerna (och därför kallas "Särskilt säkerhetskänslig verksamhet"), får ju en så kallad DHB, "Dimensionerande Hotbeskrivning", av SÄPO och tillsynsmyndigheterna.

Även om man inte bedriver säkerhetskänslig verksamhet, eller inte ens kritisk infrastruktur, tycker jag något i stil med en DHB är ett fantastiskt kraftfullt sätt att definiera sin egen kravnivå. Det är något som passar alla typer av organisationer! Men se samtidigt upp så att ni inte stoppar in en massa onödigt känslig information i i beskrivningen, den får inte bli "hemligstämplad" - innehållet behöver ju vara känt inom den egna organisationen för att kunna göra någon nytta!

Om man sedan lyckas kombinera känslan av en ständig måltavla på ryggen med tänket "assume breach", dvs. att man antar att angreppen redan lyckats och därför behöver kunna upptäckas och hanteras så har man sannolikt den perfekta inställningen till sitt säkerhetsarbete!

Inget av det här är specifikt för OT-säkerhet men jag tror att det är extra viktigt för oss. Eftersom vi ofta har lite mer extrema konsekvenser med i vår riskekvation och eftersom vi gärna blir lite begränsade i vilka säkerhetsåtgärder som är möjliga att använda blir det helt avgörande att klyschan "Säkerhet är en del i allt vi gör" faktiskt inte är en klyscha. Jag skulle vilja utöka den till att "Säkerhet är en del i allt som ALLA gör" så att vi får med alla på tåget.

Vi sitter i samma båt!

Lite på samma tema har det börjat gå upp för allt fler att IT och OT inte bara är ett hot mot varandra utan att de båda två tillsammans ofta är helt avgörande för att kunna bedriva en verksamhet. Tiden när vi kunde "köra vidare utan IT" är förbi för de flesta verksamheter. Det är lite märkligt att så många blev förvånade över att man "stoppade driften" av pipelinen i östra USA nyligen på grund av ett IT-angrepp. Det beror kanske delvis på att man inte förstår hur den typen av verksamhet funkar och delvis på att händelsen fördummats i diverse media som att "de inte ville köra produktionen om de inte kunde fakturera".

Det talas om "konvergensen mellan IT och OT", vilket många väljer att tolka som att systemen växer ihop. Jag ser det inte på det sättet, även om förstås integrationen mellan de två världarna ökar. Istället är det viktiga att verksamhetens risker blir allt mer gemensamma mellan IT och OT. Stannar produktionen så har den stannat, om det var IT eller OT som "ställde till" det spelar mindre roll.

Vi har i alla fall passerat punkten där man inte längre kan skylla bristande säkerhetsarbete på "att man inte visste". Om verksamhetens ledning inte arbetar aktivt med risker och säkerhet idag så är man antingen inkompetent eller förd bakom ljuset. Att medvetet välja att göra ingenting är självklart fortfarande möjligt men det är inte längre ett automatiskt utgångsläge. Vi som arbetar med säkerhet har ett stort ansvar att förmedla en korrekt bild till vår ledning och våra medarbetare!

Vem är Mats Karlsson Landré?

Mats Karlsson-Landré

Jag är till vardags säkerhetsrådgivare på Atea i Västerås. Det innebär att jag stöttar våra kunder kring alla former av säkerhetsutmaningar, exempelvis informationssäkerhet, IT-säkerhet, OT-säkerhet, fysiskt skydd, säkerhetsskydd och personalsäkerhet. 

Området OT-säkerhet har ett speciellt fokus där jag också ger ut ett nyhetsbrev på www.ot-säkerhet.se. OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Med IT använder man teknik för att hantera information. Inom OT använder man liknande teknik men för "Operations", alltså att få fysiska saker under kontroll. Det kan exempelvis vara att styra maskiner i en fabrik, elproduktionen i ett kraftverk eller kemiska processer i ett raffinaderi. Inom IT är fokus ofta på att skydda hemligheter men inom OT blir det oftast viktigast att hålla en funktion tillgänglig och korrekt. Det innebär att säkerhetsarbetet behöver se väldigt annorlunda ut.

Du är välkommen att kontakta mig på mats.karlsson-landre@atea.se.

Mer läsning?

Den här artikeln är ett utdrag från mina nyhetsbrev kring OT-säkerhet som du hittar här.