Vad är några typiska utmaningarna kring OT-säkerhet och finns det skillnader mellan olika branscher? Mats Karlsson Landré arbetar som Lead Expert OT Security Advisor på AFRY och är aktuell som talare på SCADA-säkerhet 2023. Vi fick möjlighet att ställa några frågor till honom inför konferensen där han bla berättar om hur NIS2-direktivet kommer att påverka organisationer, sambandet mellan NIS2 och OT-säkerhet samt vad som är viktigt att tänka på när de möts.
Kan du berätta lite om dig själv och din roll som säkerhetsrådgivare?
Jag har har arbetat med säkerhetsfrågor sedan mitten av 90-talet med en bakgrund från tillverkande industri och kärnkraftsvärlden. Jag har haft förmånen att kunna arbeta väldigt brett, allt från webbapplikationshackning till fysiskt skydd och från säkerhetsskydd till industriella kontrollsystem. Numera fokuserar jag nästan helt på OT-säkerhet, alltså säkerhetsarbete där någon form av fysisk konsekvens är viktig att undvika. Som säkerhetsrådgivare agerar jag främst som just rådgivare, coach eller specialistkompetens för att stötta kundens ledning eller nyckelpersoner nära produktionen. Som ett hobbyprojekt driver jag www.ot-sakerhet.se där jag skriver om aktuella ämnen.
Vad kommer du att prata om på konferensen SCADA-säkerhet?
OT-säkerhet och NIS2 är två heta områden var för sig. Jag tänker utforska vad som händer när de möts och peka på vad som kan vara viktigt att tänka på då.
Hur kommer NIS2 -direktivet påverka organisationer?
Det kommer slå väldigt olika beroende på vilken bransch man är i och hur mogen organisationen är i sitt säkerhetsarbete. Om man redan uppfyller dagens NIS-direktiv så blir påverkan ganska liten men för andra kan det bli en tuff resa. Det är väldigt många industrier som fortfarande inte insett att de omfattas av direktivets krav, de kommer dessutom få bråttom…
Och hur ser sambandet ut för NIS2 och OT-säkerhet?
För organisationer med någon form av fysisk produktion kommer säkerheten kring OT-systemen det mest centrala i NIS2-arbetet. NIS2 går ut på att säkerställa att verksamheter som producerar produkter som är viktiga för samhället kan fortsätta att göra det trots angrepp eller störningar.
Finns det andra regelverk från EU som kommer påverka företagen?
NIS2 handlar om den egna produktionen men även kraven på produkterna som produceras är på väg att skärpas. EU har just beslutat om ett rejält uppdaterat Maskindirektiv för ”farliga” produkter och det är ett direktiv på gång kallat ”Cyber Resilience Act” som ställer ganska brutala krav på cybersäkerheten i själva produkten.
Vad är några typiska utmaningarna kring OT-säkerhet och finns det skillnader mellan olika branscher?
Ofta är OT-säkerheten väldigt eftersatt jämfört med IT-säkerheten. Klassiska utmaningar är att förutsättningarna är så radikalt annorlunda än vad de flesta IT-verksamheter är vana vid. Ofta äldre utrustning och begränsningar i hur man får ändra i anläggningen. Man måste ha ett annat angreppssätt och hantera risker på sätt som kan vara ovana. Det finns dessutom ofta direkta kopplingar till risker för människoliv eller miljöpåverkan vilket får riskanalyserna att bli väldigt annorlunda.
Vad hoppas du på att deltagarna ska ta med sig av din presentation?
Förhoppningsvis insikter och inspiration kring hur man kan ta sig an sin OT-säkerhet oavsett om det är något man arbetat med tidigare eller inte.
Finns det någon annan talare eller programpunkt på konferensen som du är nyfiken på?
Kristina från Vattenfall verkar ha en rad spännande ämnen så det blir nog en favorit, men det är flera som jag kommer lyssna noga på. Ett hett område som flera verkar vara inne på, och som det finns vitt skilda åsikter om, är användningen av moln-tjänster i det här sammanhanget och hur de ska skyddas.