AMP + OT = sant

Skrivet av Chanelle Kero

Hej bloggen! Chanelle heter jag och har jobbat som OT-/informationssäkerhetskonsult här på Omegapoint i lite mer än ett år nu. Jag är då en del av den fjärde årskullen av Academy Master Program (AMP) och får därmed äran att skriva lite inlägg här på sidan.

Mitt fokus är OT-säkerhet, där OT står för Operational Technology. OT är likt IT ett samlingsbegrepp för många olika typer av system, komponenter och så vidare, med den enda (och rätt stora) skillnaden att det har ett industrifokus jämfört med de mer traditionella IT-systemen som har ett tydligare affärsfokus. OT-system består av hård- och mjukvara som interagerar med och övervakar den fysiska industriella miljön, i form av infrastruktur, processer och enheter, i realtid. Denna hård- och mjukvara upptäcker förändringar genom den ständiga övervakningen av miljön och kan därmed skapa förändringar i processer direkt när det behövs.

Kort och gott är OT ett samlingsbegrepp som inkluderar industriell infrastruktur och alla dess underliggande nätverk, system och komponenter. OT-säkerhet syftar därmed på att säkra upp dessa typer av miljöer, där digitala intrång kan ge fysiska skador.

Jag sökte till AMP för att jag ville ha möjligheten att fördjupa mig inom OT-säkerhet då det är ett område som först och främst är väldigt aktuellt med tanke på omvärldsläget då det är dessa typer av system som ofta är måltavlor för angrepp, exempelvis genom ransomware. Den ökade digitaliseringen ställer också till det lite för dessa typer av system som ofta är väldigt gamla och länge varit helt isolerade från Internet. Dessutom är OT ett relativt nytt och outforskat område för många (delvis inkluderat mig själv), så jag vill bredda på både min och andras kompetens kring just detta!

Mitt mål med AMP och vägen dit

Mitt mål med AMP kan man dela in i två delmål. För det första vill jag bidra till att OT-system blir säkrare så att de kan klara av dagens säkerhetsutmaningar i en osäker och alltmer digitaliserad omvärld. Jag ämnar därför att ta fram ett underlag med OT-säkerhetsåtgärder i en mer kortfattad form som kan användas likt en checklista för att kontrollera att systemen och nätverken svarar upp mot de krav som bör uppfyllas baserat på existerande direktiv, standarder, ramverk och så vidare. Tanken är också att inkludera förslag på implementation för vardera säkerhetsåtgärd så att brister kan åtgärdas på ett enklare sätt.

För det andra så vill jag gärna bidra till att allt fler får upp ögonen för OT och allt vad det innebär. Därför ämnar jag att hålla kontinuerliga pass på kompetensdagarna där fokus kommer vara mer på de organisatoriska aspekterna av OT på en grundläggande nivå, så att så många som möjligt kan delta och förhoppningsvis lära sig något nytt.

För att uppnå mina två delmål finns det en hel del aktiviteter för mig att genomföra, exempelvis:

  • En förstudie där existerande publikationer identifieras och analyseras, inkluderat här är exempelvis det nya NIS2-direktivet samt vägledningar och standarder inom området.

  • Deltagande på konferenser, seminarium, webinarium, etc., både för kompetensutveckling samt nätverkande med branschkollegor.

  • Samarbete med OP-kollegor och kollegor på mitt externa uppdrag så att jag får både bollplank och granskare av mitt material.

  • Fördjupa mina kunskaper om OT-säkerhet genom att kontinuerligt hålla mig uppdaterad om vad som händer och sker, samt kika på att kanske ta en OT-specifik certifiering.

Avslutningsvis

Jag tror och hoppas att min tid som AMP-student kommer vara givande och utvecklande. Jag har en känsla av att jag kommer lära mig en hel del och ser fram emot vad som komma skall!

Chanelle Kero
Föregående

Bidrag till Omegapoints leveransförmåga genom ”Design Patterns as a First Line of Defence” 
Nästa

The DevOps loop and "Release on Demand"