artikel

Handvatten om je te wapenen tegen cybercrime

HSE

Om je te kunnen wapenen tegen cybercrime introduceerde NEN de training ‘Cyber Security voor Industrial Automation & Control Systems’. Hardnekkige misvattingen worden hier de kop in gedrukt. Daarnaast krijgt de security professional handvatten om in een industriële automatiseringsomgeving een protocol op te zetten en te implementeren in overeenstemming met IEC 62443.

Handvatten om je te wapenen tegen cybercrime

Eindgebruikers en toeleveranciers binnen industriële proces- en productieomgevingen beschikken niet altijd over de nodige expertise om productieprocessen cybersecure te maken. ‘Uit assessments die we bij bedrijven uitvoeren, blijkt dat veel bedrijven zich wel bewust zijn van de problematiek, maar tegelijkertijd hebben ze hun systemen en processen nog niet voldoende beveiligd om cyberaanvallen te voorkomen’, stelt Marcel Jutte. Jutte is managing director van Hudson Cybertec, gespecialiseerd in cyber security in technische omgevingen.
Cybersecurity speelt daarnaast nog op een ander niveau. ‘Niet alleen het productiebedrijf moet beveiligd zijn; ook de geproduceerde producten en oplossingen moeten cybersecure zijn. Bij veel bedrijven hoort de integratie van cybersecurity om de geproduceerde oplossingen veilig te laten communiceren met andere systemen, niet tot de primaire processen. Dit kan leiden tot desastreuze gevolgen. Wanneer dergelijke producten in bijvoorbeeld vitale infrastructuur zoals drinkwaterbedrijven worden geïmplementeerd en deel uitmaken van een groter proces, moeten deze ten allen tijde veilig hun werk kunnen doen. Dat wordt nog wel eens vergeten.’
Er is een tekort aan security professionals die kunnen omgaan met de complexiteit die Industrie 4.0 met zich meebrengt. NEN heeft daarom in samenwerking met Hudson Cybertec een driedaagse training opgezet om deelnemers  – zowel system integrators als eindgebruikers – op te leiden tot IEC 62443 security professionals. De nadruk van de training ligt op het praktisch gebruik van de normenreeks IEC 62443, de standaard voor beveiliging van Industrial Automation & Control Systems.

IT versus OT

Uit de trainingen blijkt dat bedrijven nogal eens aanlopen tegen het verschil tussen IT en OT (operational technology), stelt Jutte. ‘Veel bedrijven onderkennen het verschil tussen IT en OT en de andere beveiligingsaanpak die erbij hoort, nog niet. Operationele Technologie (OT) is primair ontworpen om zo betrouwbaar mogelijk te opereren met een zo hoog mogelijke beschikbaarheid. Als het besturingssysteem uitvalt of er zijn andere calamiteiten, dan zou het proces moeten kunnen blijven draaien, no matter what. Installaties zijn vaak al jaren geleden ontworpen, zijn erg robuust en zodanig ingericht dat risico’s zoveel mogelijk worden beheerst. Bij IT is daarentegen snelheid, connectiviteit, rekenkracht en communicatie veel belangrijker.
Bedrijven die menen dat een IT-afdeling ook de beveiliging van de industriële automatisering en control systems erbij kan nemen, komen er daarom al snel achter dat die combinatie niet zo goed te maken is. Het gaat om twee totaal andere werelden die op een hele andere manier zijn opgebouwd.’ Jutte geeft een concreet voorbeeld. ‘In de IT-wereld worden regelmatig updates van software gedaan om de security te verbeteren. Als servers daardoor korte tijd uit bedrijf zijn, zorgt dit doorgaans niet voor grote problemen. In de industriële automatisering of bij gebouwgebonden besturingen is dit veel lastiger. Er is doorgaans geen mogelijkheid om een systeem een half uur buiten bedrijf te stellen om software-updates te doen. Daarnaast brengen updates mogelijk ook bugs met zich mee die besturingssystemen volledig in de war kunnen sturen, met alle gevolgen van dien. IT en OT zijn twee aparte werelden en zijn wat cybersecurity betreft ook op een andere manier te benaderen.’

Schijnveiligheid

Nog een aspect dat regelmatig voorkomt, is schijnveiligheid, geeft Jutte aan. ‘Bedrijven denken ten onrechte dat ze hun systemen veilig hebben ingericht. Bijvoorbeeld omdat ze de procesautomatisering met een firewall volledig hebben gescheiden van de kantoorautomatisering. Binnen de procesautomatisering of OT zijn er echter veel meer aspecten die ervoor kunnen zorgen dat het netwerk kan worden binnengedrongen. Denk bijvoorbeeld aan de instrumentatielaag waarbij de instrumentatie soms onnodig open staat. Dit zorgt voor een verhoogd risico op ongenode gasten.’

Waar te beginnen?

De IEC 62443-training van de NEN kaart deze misvattingen aan en geeft inzicht in hoe bedrijven er echt voor staan wat betreft cybersecurity. ‘Een van de belangrijkste aspecten is het doen van een nulmeting. Waar sta je als bedrijf als het gaat om cybersecurity. Om dit te achterhalen kun je een assessment uitvoeren waarin drie pijlers nader worden onderzocht.
Een eerste is people (mens). Denk daarbij aan vragen als: Zijn werknemers zich bewust van de problematiek en potentiele risico’s? Welk opleidingsniveau hebben de werknemers? Als iemand een usb-stick in een scada-systeem plugt, kan dit al voor problemen zorgen. Een tweede pijler is techniek: zijn alle technische voorzieningen cybersecure? Wat moet er verder nog worden ingericht om het risico zoveel mogelijk te elimineren? De laatste pijler, organisatie, gaat in op procedures, policies en protocollen. Zijn deze opgesteld en worden ze nageleefd? De training gaat hierop nog dieper in zodat deelnemers een stevig handvat hebben om cybersecurity-management in te richten in de organisatie. Dat is eigenlijk de kern van de zaak. Heel veel bedrijven weten eigenlijk niet waar te beginnen. ’

Indelen in zones

Het assessment leidt tot een risico-inventarisatie en een aantal maatregelen om processen anders in te richten. ‘Dit kan gaan van eenvoudige maatregelen zoals het plaatsen van een slot op de deur van de serverruimte, het opstellen van procedures tot het opleiden van mensen.’
Het opleiden van mensen blijkt één van de bottlenecks. ‘Intern moeten de security professionals weten hoe assets in het netwerk hangen terwijl ze naar buiten toe een volwaardige gesprekspartner moeten worden met externe partijen.’
Jutte licht beide aspecten toe. ‘Het is belangrijk om het overzicht te houden op de wijze waarop systemen in het netwerk aan elkaar zijn gekoppeld. Door dit in kaart te brengen wordt het mogelijk je netwerk in te delen in zones. Je kunt dan bepalen welke zones met elkaar mogen communiceren en hoe/of er mag worden gecommuniceerd met bijvoorbeeld de kantoorautomatisering dat op een heel andere manier is ingericht. Door daarnaast bepaalde kritische apparatuur in specifieke zones te bundelen, kun je voor extra beveiligingsmaatregelen in die zones zorgen. Dit leidt tot een verhoogde veiligheid.’

Communicatie met externe partijen

Ook in de externe communicatie moet de security professional weten van de hoed en de rand. ‘Maakbedrijven schrijven regelmatig een tender uit, gericht aan system integrators. Hierbij geven ze specifieke eisen op maar ontbreekt vaak het cybersecurity-aspect. Wanneer niet wordt aangegeven dat in het projectteam minimaal x-aantal mensen aanwezig moeten zijn die gecertificeerd zijn wat betreft de IEC 62443, of dat het ontwerp volgens de IEC 62443 moet zijn ingericht (security by design), dan is dit een enorme gemiste kans. Wordt dit niet expliciet geëist, dan zal de system integrator dit niet automatisch meenemen in de offerte om zichzelf niet uit de markt te prijzen.
Leg je bij procesautomatisering system integrators in een tender wel op dat de systemen worden ingericht zoals de IEC 62443 het voorschrijft, dan heb je cybersecurity al voor een deel ondervangen. Zo heeft de afdeling ‘inkoop’ dus ook een belangrijke rol in het proces. Een bijkomend voordeel is dat bij meerdere samenwerkingsverbanden met externe partijen, deze allemaal vanuit dezelfde basis – de IEC 62443 – zijn opgebouwd.  Dat is een enorme stap voorwaarts.’
Dit zogenoemde security by design, biedt nog een voordeel, geeft Jutte aan. ‘Is er vanuit de maakindustrie meer vraag naar security by design, dan zullen ook meer system integrators zich gedwongen voelen zich verder te verdiepen in de IEC 63443-reeks en zich ook willen laten certificeren. Op die manier kunnen bedrijven zich steeds beter wapenen tegen cybercrime via automatisering.’


Inhoud training IEC 62443-reeks en examen

De IEC 62443-normenreeks is een wereldwijd geaccepteerde standaard om cybersecurity in te regelen. De normenreeks biedt praktische handvatten voor het opzetten van een effectief cybersecurity beleid voor industriële proces- en productieomgevingen. NEN biedt de training aan in samenwerking met Hudson Cybertec. Na het afronden van het examen is de deelnemer aantoonbaar een ‘IEC 62443 security professional’ die de kennis heeft om in een industriële automatiseringsomgeving een protocol op te zetten en te implementeren in overeenstemming met IEC 62443 en Europese regelgeving.
De norm geeft handvatten voor het verbeteren van de digitale beveiliging en veiligheid van proces- en SCADA-omgevingen.

Programma

Onder andere deze onderwerpen komen tijdens de training aan bod:
– de inhoud van de belangrijkste delen van de IEC 62443-reeks;
– hoe cyberaanvallen plaatsvinden;
– hoe verschillende hackingtools werken;
– het opzetten van securityprogramma met de IEC 62443 Cyber Security normenreeks voor IACS;
– het analyseren en adresseren van risico’s;
– het monitoren en verbeteren van cyber security management;
– het design en de validatie van veilige systemen;
– relevante (Europese) wetgeving

Examen

Het examen kan elk kwartaal worden afgelegd.

Reageer op dit artikel
Lees voordat u gaat reageren de spelregels