Nyhetsbrev OT-Säkerhet #51

Dags för ett nytt nyhetsbrev kring OT-säkerhet.

Den här gången får du vinnaren i jubileumstävlingen, ett riktigt spännande boktips, det senaste kring NIS2 och CRA, konsekvens-prioritering, en hackad pipeline i Kanada, olika syften med segmentering, lögnen från Oldsmar, robusthet kontra tålighet, säker utveckling av IoT, MITREs syn på leverantörer, Nytt från SÄPO och Energimyndigheten, OPC UA, Livsmedelsverkets turné och så har jag lärt mig ett nytt ord!

Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!

Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.

Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!

Vi har en vinnare!

För att fira utgåva 50 utlyste jag en tävling där man kunde skaffa sig större chans att vinna genom att se till att sprida nyhetsbrevet till fler läsare.

Jag kan nu glatt meddela att vinnaren heter Mikael Brolin. Mikael gick så långt att hans kollegor på Seco Tools i Fagersta bad mig avsluta tävlingen så att Mikael skulle sluta gå runt och jaga folk att läsa nyhetsbrevet... Snyggt jobbat Micke! Nu får du jaga dem att spela spelet istället!

Nyhetsbrev 50 slog precis som jag hade hoppats ett tydligt rekord i antal läsare under sin första vecka. Tack till er alla som hjälpte till att sprida det!

En inspirerande bok!

Jag läser boken "Industrial Cybersecurity - Case studies and Best Practices" av Steve Mustard. Jag avvaktar med en full recension tills jag har läst färdigt den, men jag är redan imponerad och kommer skriva en del reflektioner över intressanta delar som jag lärde mig av eller som jag kanske inte håller med om.

Redan från början märker man att Steve, i motsats till många andra som skriver om OT, verkligen förstår både IT och OT. Han kan jämföra dem utan att fastna i de vanliga fällorna där kreativ OT-säkerhet bara handlar om att rita om Purdue-modellen på ett nytt sätt.

Han tar oss igenom många viktiga ämnen och gör det på ett sätt som ändå håller boken nere på en rimlig tjocklek, 250 sidor. Det kan faktiskt vara så att det här är den boken som jag många gånger själv funderat på att skriva. Nu behöver jag inte det...

Dale Peterson intervjuade nyligen Steve i podden "Unsolicited Response" och de kommer in på en hel del intressanta ämnen:

Ett exempel på en intressant reflektion i boken är skillnaden i säkerhetskultur mellan IT-utvecklare och OT-ingenjörer. Där IT idag i väldigt stor utsträckning lutar sig mot någon variant av agilt arbetssätt, håller OT emot och stannar i ett vattenfallsliknande tänk och med ett strukturerat arbete enligt principerna i Systems Engineering. Det kan förefalla trögt och bakåtsträvande men beror förstås på de annorlunda förutsättningarna kring risk. Agilt arbetssätt har "Fail Fast" som ett av sina ledord, vilket är möjligt eftersom man kan dra nytta av ett utforskande arbetssätt. Misslyckas man så har man "bara" förlorat arbetstid för ett gäng utvecklare. Inom OT kan konsekvenserna vara att fysisk utrustning måste byggas om eller i värsta fall blir förstörd vilket leder till helt andra förluster i arbetstid och kalendertid. Där "Safety" är avgörande tappar man ju dessutom i någon mån den rigorösa analysen av konstruktionen. Personligen har jag på senare tid delvis ändrat uppfattning kring detta, efter att ha sett de makalösa saker som kollegorna på AFRY skapar med hjälp av digitala tvillingar. Tack vare att man nu kan prova sig fram i emulerade fysiska miljöer tidigt i projektet fångar man feltänk tidigt. Man sparar dessutom massor med tid under driftstart eftersom alla irriterande småbuggar redan hittats under simulerade igångsättningar. Det passar inte i alla sammanhang men i väldigt många!

Glada tillrop från myndigheterna!

Ett ovanligt brett internationellt samarbete presenterades nyligen under rubriken "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default". Det är CISA, FBI och NSA från USA tillsammans med cybersäkerhetsmyndigheter från Australien, Kanada, Storbritannien, Tyskland, Nederländerna och Nya Zeeland som tagit fram materialet.

Man kan se det som en uppmaning till både tillverkare och köpare att fokusera på säkerhet tidigt i utvecklingsprocesserna så att komponenter och system utformas på ett säkert sätt redan från början och "automatiskt" blir säkra vid en normal installation. Man har ungefär samma syfte som EUs kommande CRA, "Cyber Resiliency Act". Det är inget speciellt fokus utan man siktar på både "IT" och "OT".

Det är just nu oklart för mig om det kommer något slags fortsättning på detta eller om man nöjer sig med de bra och tydliga referenser man ger till "Secure Software Development Framework" (SSDF), också känt som NIST SP 800-218.

Det börjar röra sig kring NIS2! Men sakta...

Det är roligt att se hur mycket intresse de kommande utmaningarna kring NIS2 har börjat väcka. Gensvaret när jag talar om det här på konferenser och i andra sammanhang är starkt. Jag har sedan länge kunder i en massa spännande branscher, men intresset för NIS2 har givit mig möjligheten att få stoppa in huvudet i en radda nya spännande världar!

Det som verkligen förvånar och oroar mig, är att det ändå är så många av de företagsledare som jag träffar som fortfarande aldrig ens hört talas om NIS2, även när det är helt uppenbart att deras verksamhet faller in under direktivet. Det känns som att det i synnerhet gäller tillverkande industri och definitivt alla verksamheter som faller under det luddiga begreppet "Tillverkning, produktion och distribution av kemikalier"...

Vanliga kommenterar är något i stil med "...men vi är ju så små?" eller "Hur kan vi anses vara samhällsviktiga?" Här finns det verkligen en utmaning kring att få ut informationen! De som inte kan föreställa sig att de är samhällsviktiga tenderar nog inte heller att lyssna till den här typen av information...

Behöver du hjälp att förstå hur ni berörs av NIS2 är det förstås bara att höra av dig! Du kommer igott sällskap, I nästan alla mina uppdrag agerar jag rådgivare eller coach till säkerhetschefer, ledningsgrupper, systemarkitekter, IT-chefer, produktionschefer eller någon annan roll med direkt ansvar för en stabil och säker produktion. När det kommer till att möta kraven i just NIS2 är det extremt viktigt att få ihop ett samlat säkerhetsarbete tvärs igenom alla verksamhetsdelar och inte minst säkerheten nära produktionen som nästan alltid fått "sköta sig själv" tidigare.

Två riktigt lovande tendenser som jag tycker mig se kring NIS2, är dels att intresset på styrelsenivå har ökat, förmodligen tack vare att NIS2 pekar så hårt på ledningens ansvar och dels att den löjliga inflation i användning av säkerhetsskydd som finns inom vissa kommunala verksamheter kanske börjar dämpas lite av att NIS2 "räcker till".

Debatten kring CRA fortsätter!

EUs förslag "Cyber Resilience Act", CRA, fortsätter att skapa debatt. Ett intressant inspel kommer från Python Software Foundation, som ligger bakom Python-språket. De kommer med en ganska brutal varning:

Det har även skickats ett öppet brev från en rad viktiga organisationer inom området. Även de varnar för konsekvenserna:

Alla, inklusive Python-folket, ställer sig bakom nyttan som CRA försöker skapa. Utmaningen är att organisationer inom open-source inte har de intäkter som krävs för att kunna riskera de enorma böter som CRA kan orsaka kring eventuella säkerhetsproblem.

Vi får se vart detta tar vägen. Med tanke på hur mycket öppen källkod som används i alla kommersiella produkter är det här en oerhört viktig fråga!

EU trycker ännu mer på gasen!

Precis när detta skrivs kommer en annonsering från EU om en ny kravmassa som i alla fall jag inte hört om tidigare: "EU Cyber Solidarity Act".

Det verkar vara en gemensam satsning på att hantera hot mot kritisk infrastruktur och andra gemensamma viktigheter. Det här får vi nog anledning att återkomma till...

Hjälp att prioritera!

Ett intressant inspel kommer från Danielle Jablanski, som normalt jobbar på Nozomi. Det är en beskrivning av en metod för att snabbt och grovt göra en bedömning av hur allvarliga konsekvenser som kan uppstå i en organisation.

Det intressanta är att den försöker sätta en standardiserad och gemensam skala så att man kan jämföra även mellan helt olika verksamheter och organisation.

Ryssar i Kanada?

Det har varit en hel rubriker på senare tid angående ett påstått hack av en kanadensisk gas-pipeline. Alltid pålitlige Sinclair Koelemij ger oss en rejäl analys av de fakta som är kända och hans bedömning av det som kan ha hänt.

Det här är en viktig påminnelse för de röster (vilket ibland inkluderar min) som pekar på att det verkar vara väldigt få framgångsrika "riktiga" OT-attacker, alltså attacker mot process-nära utrustning som faktiskt får något slags fysisk konsekvens. Påminnelsen är att en framgångsrik attack inte behöver märkas! I relationen mellan länder kan det vara mycket intressantare att "spara" och "vårda" den makt man skaffat sig över exempelvis kritisk infrastruktur för att sedan använda den vid ett taktiskt fördelaktigt tillfälle...

Tänk som en OT-person när du segmenterar!

Jake Brodsky påminner oss om en väldigt viktig poäng kring nätverkssegmentering. En fälla som "IT-säkerhetsfolk" lätt faller i är att man ser segmentering enbart som ett sätt att minimera åtkomst och därmed minskar möjligheten till angrepp. Jake trycker på att Tillgänglighet ofta har högre prioritet än andra säkerhetsaspekter (förutom Safety då...) vilket också betyder att en extremt viktig del av segmentering är att minimera påverkan av felsituationer.

Men det finns alltid minst två sidor på varje mynt! Som vanligt finns det inga enkla svar på svåra frågor och sällan ett facit som passar alla. Det kan definitivt vara helt rätt att bygga sitt nät på stora switchar eller att använda "Software Defined Networking", som vanligt behöver man förstå produktionens förutsättningar och dess risker för att kunna välja en klok väg!

Tänk också på att vi nu främst pratar om "horisontell segmentering" där separata processdelar ska hållas isär. Att segmentera "på höjden", i stil med klassiskt Purdue-tänk, brukar inte leda till samma utmaningar även om jag ibland stöter på verksamheter som blandar kontors-IT och tillverknings-OT i samma nätverksswitchar eller använder samma management-verktyg! (Och det måste inte alltid vara fel!)

Det här med hur man logiskt ska skära kakan när man segmenterar är ofta klurigare än man kan tro. IEC 62443 beskriver en bra modell där man bygger "Zones" och "Conduits" baserat på riskprofiler i produktionen, men deras metod är lite omständlig att följa i praktiken. NIST har precis släppt en intressant skrift "NIST CSWP 28 - Security Segmentation in a Small Manufacturing Environment" som beskriver en betydligt enklare tankemodell som passar bra i lite mindre verksamheter. Den är skriven för tillverkande industri men tänket kan nog ses som ganska bransch-oberoende.

Av en slump snubblade jag över ett dokument som ENISA släppte förra året kring hur man kan göra segmentering i järnvägsbranschen. Det är ett intressant dokument som bygger på metodiken från IEC 62443 och som garanterat är användbart även om man inte är i tåg-branschen. Det som jag fastnade för det här citatet:

Vi har blivit lurade!

Jag misstänker att de flesta av mina läsare redan är medvetna om att en av de mest omskrivna OT-attackerna på senare år, den mot dricksvattenförsörjningen i lilla Oldsmar, var en bluff. Som jag förstått det var det någon form av misstag eller slarv som med en snabb lögn skylldes på elaka hackers för att slippa ta eget ansvar.

Det här var ju en av de få attacker mot OT-system som fick verklig uppmärksamhet hos "gemene man" och som därmed skapade en del insikter om hur illa det kan gå. I övrigt är det ju onekligen fortfarande så att de flesta attacker som drabbar OT-verksamheter ytterst sällan drabbar "den riktiga OT-utrustningen" utan diverse "IT-prylar" som produktionen är beroende av för att fungera. Fortfarande dåligt men viktigt att hålla isär!

Den stora lärdomen är väl (som vanligt) hur viktigt det är att ha en bra säkerhetskultur även om det i det här fallet var omvänt mot det vanliga, där man ska våga erkänna säkerhetsmisstag. Sedan är ju fortfarande en del kloka tankar kopplat till exempelvis fjärruppkopplingar fortfarande sanna oavsett om Oldsmar var en lögn.

Robust eller tålig?

Robusthet ("Robustness") eller Tålighet ("Resilience") är två begrepp som är viktiga när man arbetar med processer som ska fungera under jobbiga förutsättningar. Sinclair Koelemij har som vanligt kloka tankar att dela med sig av kring både likheter och skillnader mellan de två begreppen!

Modernisera utan att köra i diket!

En av höjdarna på årets S4 var Marianne Bellotti som berättar om sina erfarenheter kring utbyte av gamla system mot nya och utbytet av gammal teknik mot ny teknik.

Om du bara har tid för höjdpunkterna så rekommenderar jag det hon säger vid 19:52 om hur man lätt hamnar i samma situation igen efter ett moderniseringsprojekt. Ska man byta ut teknik mot ny, så är det ett gyllene tillfälle att se över hur man sköter om sin teknik också!

Vill du ha en till så titta i början vid 1:25 för den självklara men jobbiga sanningen att gamla system är framgångsrika system! Det är lätt att fnysa åt gammal teknik som överlevt men det finns ofta viktiga skäl till att de finns kvar!

Utveckling av säker IoT?

På Elektronikmässan i Göteborg deltog jag i en "expertpanel" den 19:a April som arrangerades i samband med att en handbok för cybersäker utveckling inom IoT lanserades. (Som jag gjort ett pyttelitet bidrag till.)

Boken är gratis och du kan hämta den här, men den finns även att få tag på i bokform!

Det finns mycket tänkvärt i boken även om du inte tycker att du sysslar med "IoT" eller att du inte sysslar med produktutveckling. Det finns många referenser till OT-säkerhet och många resonemang kring IEC 62443 som är viktiga för alla!

En speciellt bra sak som boken trycker på är att utmaningarna kopplat till livscykelhantering av utrustning som driftsatts och hur viktigt det är att se till att lösningar som man väljer/utformar har stöd för det. Det är definitivt relevant för både OT och generellt kring IoT!

Framtidens utveckling för IoT och OT?

Ett riktigt tankeväckande föredrag från årets S4 kom från Colin Breck på Tesla som verkligen slog ett slag för WebAssembly som en plattform för helt andra saker än dess ursprungliga användningsområde. Det här är verkligen "bleeding edge" och inget som har börjat användas brett, men är du intresserad av programmering eller vart processnära programmering är på väg kan jag verkligen rekommendera hans presentation. Det är också ett underbart exempel på varför S4 är en så unik konferens i och med att de är så framåtlutade i sitt val av presentationer. Missa inte frågestunden på slutet som lyfter några viktiga poänger, exempelvis hans syn på att IoT-området rör sig bort från molnet!

Vettiga mål!

Amerikanska CISA har publicerat en uppdatering av CPG, "Cross-Sector Cybersecurity Performance Goals". Uppdateringen innebär bland annat att den synkar bättre mot NIST CSF. CPG är en ganska användbar lista med handfasta åtgärder som man kan prioritera och välja bland för att ständig förbättra sina säkerhetsförmågor. För varje åtgärd bedöms komplexitet, kostnad och hur effektivt den förbättrar säkerheten. Oerhört vettigt är att det finns ett antal OT-specifika punkter som hjälper mycket.

Det är tre delar, en kort rapport som beskriver upplägget, en checklista för praktiskt arbete och en excelfil med alla detaljer. Jag har inte haft möjligheten att använda den praktiskt ännu men jag kan definitivt se nyttan med den, både för att mäta att man rör sig framåt och för att ge stöd i prioriteringar.

Håll ögonen på MITRE och dina leverantörer!

Något som är väldigt i ropet på senare tid är säkerhet kopplat till våra leverantörskedjor. Det var en läxa som vi lärde oss den hårda vägen när Kaseya/Visma/Coop drabbade oss så tydligt. Det är ju också något som EU trycker väldigt hårt på i NIS2 och i det kommande CRA!

MITRE är ju som säkert bekant en källa till många kloka systematiska sätt att närma sig svåra säkerhetsutmaningar. De har nu sakta börja lansera delar av sitt "MITRE System of trust" som handlar just om risker kopplat till leverantörer. Det finns inte så mycket som är praktiskt användbart ännu men det kommer säkert utvecklas snabbt och det kan definitivt redan användas för inspiration!

Nytt från SÄPO och Energimyndigheten!

För den som berörs av säkerhetsskyddslagen så är det förmodligen intressant att SÄPO precis (och till slut...) har kommit med uppdateringar till en del av sina vägledningar. Det ska främst vara justeringar till förändringarna i lagen som kom för något år sedan.

Ungefär samtidigt kom Energimyndigheten med en vägledning kring säkerhetsskydd för fjärrvärme. Väldigt grundläggande nivå kan jag tycka men eftersom mognaden inom säkerhetsskydd varierar mycket är det ändå ett viktigt och bra initiativ.

Allt om OPC UA!

Clarotys forskningsgrupp "Team 82" har publicerat första delen i en serie artiklar som ska handla om säkerheten i OPC UA. De brukar producera bra material och den första delen kring historiken bådar gott inför kommande delar.

Den första delen handlar till största delen INTE om OPC UA, utan om föregångaren "OPC Classic" som ju egentligen består av flera delar: OPC DA, OPC AE, OPC HDA, OPC XML DA och OPC DX. Det byggs (tyvärr) fortfarande nya anläggningar baserat på OPC Classic men det är verkligen dags att börja styra om mot OPC UA. (Eller något annat modernt sätt att kommunicera.)

Intressant nog drog TXOne nästan samtidigt också igång en serie artiklar kring säkerheten i OPC UA. Vi får väl läsa dem parallellt framöver och se vilken som är intressantast!

I vilket fall som helst är det väldigt positivt att OPC UA och dess säkerhet lyfts fram mer! I grunden skapar OPC UA en massa bra nya möjligheter, men som vanligt kan man strunta i att implementera alla fina säkerhetsfunktioner och då blir förstås resultatet därefter...

Jänkarna jobbar också på!

Det är mycket fokus på NIS2, CER, CRA och alla de andra regelverken som EU raddar upp nu, men det händer intressanta saker även på andra marknader. Nozomi har gjort en bra sammanfattning av vad USA nyligen gjorde för utökningar och förändringar i kraven kring medicintekniska system. Kan nog säkert vara intressant även om man inte är i branschen.

Livsmedelsverket är på turné!

Ett av de mest eftersatta områdena som jag själv sett när det gäller OT-säkerhet är den svenska dricksvattenförsörjningen. Både skrämmande och tråkigt att se hur illa det ser ut på vissa ställen. (Men det ska sägas att det finns också en hel del exempel där man sköter det riktigt bra!)

Jag får nog passa på att ändå ge Livsmedelsverket en liten guldstjärna, de har gjort ett bra jobb utifrån det nuvarande NIS-direktivet och verkligen fått upp intresset på många håll. Nu lanserar de "Handboken för krisberedskap och civilt försvar för dricksvatten" och då ger de sig ut på en utbildningsturné. Det är inte fokus på OT-säkerhet utan informationssäkerhet och krigsorganisation men allt som lyfter säkerhetsmedvetenheten är bra i mitt tycke!

Fjärranslutna leverantörer...

Amerikanska myndigheten FERC har reviderat NERC CIP-003 till nya versionen 9 där man trycker på att fjärruppkopplingar från leverantörer ska hanteras på ett strukturerat och säkert sätt. Även om du inte är i el-branschen kan det finnas en del inspiration kring det viktiga och kluriga området fjärrsupport.

Glöm inte säkra huset!

TXOne har gett ut en liten text kring utmaningarna med säkerhet inom fastighetsautomation, ett område som vanligen dessutom är väldigt eftersatt.

Det här är något som många glömmer bort eller helt enkelt tänker att de litar på att fastighetsägaren tar sitt ansvar. Eftersom konsekvenserna kan slå väldigt hårt mot den egna verksamheten är det förstås viktigt att kravställa eller på annat sätt se till att detta hanteras bra!

Tiden är ur led!

Från universitetet i Hamburg har vi fått ett dokument skrivet av Doganalp Ergenc, Robin Schenderlein och Mathias Fischer kring hur man kan identifiera attacker mot TSN-nätverk. TSN, "Time Sensitive Networking", är ett pågående arbete inom IEEE 802.1 för att standardisera hur man ska säkerställa att verksamheter som är känsliga för att leveransen av nätverkstrafik störs tidsmässigt kan få bra stöd i "normala nätverk". Det börjar finnas stöd för det här i diverse kommersiella produkter.

Med dokumentet kommer diverse utökningar till den välkända IDS-mjukvaran Zeek för att den ska kunna identifiera händelser som är unika för TSN-nätverk. Det här är ett första steg mot att implementera säkerhet kring detta intressanta område.

IIoT och IEC62443?

Jag berättade i nyhetsbrev #48 om ISA-TR62443-4-3 "Application of the 62443 standards to the Industrial Internet of Things" som jag tycker verkar bli ett bra och användbart dokument. En av presentationerna på årets S4 gjordes av Ryan Dsouza från AWS som pratade just om utmaningarna att kombinera IIoT med IEC 62443. Jag håller kanske inte med om allt han säger och man får förstås vara medveten om att det är något av en partsinlaga med tanke på hans arbetsgivare, men det är ändå viktiga infallsvinklar han belyser.

Jag har lärt mig ett nytt ord!

Jag har just sett den första användningen av det ny-engelska ordet "Phygital" i ett OT-sammanhang! Det här är tydligen ett begrepp som används inom marknadsföring för att sätta ord på när man närmar sig kunden både digitalt och i den fysiska världen.

Ska vi gissa att det kan bli ett alternativ till "Cyber-Physical" och "Cyberfysisk" framöver? Kanske även det svenska "Fygital"? :-)

Vem är Mats?

Jag är till vardags säkerhetsrådgivare kring OT på AFRY i Västerås. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.

Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.

Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.

Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !

Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.

Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!

Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!

Du hittar tidigare nyhetsbrev på ot-säkerhet.se.