Cybersecurity management volgens IEC 62443

De grens tussen IT en OT (Operational Technology) vervaagt. In het OT domein van vandaag en morgen hebben we geen machines meer met een IT component, maar we hebben te maken met complexe IT systemen die acteren op veranderingen in de fysieke wereld. Deze systemen zijn vaak volledig geïntegreerd in het proces.

De nieuwe wereld is cyber-fysiek

Dit cyber-fysieke grensvlak is uniek ten opzichte van de IT wereld. Complexe chemische processen en gevaarlijke handelingen die op dit grensvlak verlopen kunnen bij fouten zorgen voor serieuze HSE-incidenten. Cyber-fysiek vormt daarmee een business risico voor organisaties. Het is dan ook van groot belang om deze risico’s in kaart te brengen en cybersecurity te gaan managen.

Hoewel er dus meer bewustwording is voor cybersecurity worstelen veel bedrijven nog met een belangrijke vraag: Waar moet ik beginnen? Marcel Jutte, managing director van Hudson Cybertec: “Waar bedrijven enkele jaren geleden nog worstelden met awareness, zien we nu veelal een roep om concrete hulp om een start te maken met cybersecurity.”

Een business case

Een internationaal chemiebedrijf heeft, net als vele anderen, de weg gevonden naar Hudson Cybertec. Ze zijn zich terdege bewust van de HSE consequenties die het primaire proces kan veroorzaken indien er cybersecurity-incidenten optreden, en het proces hierdoor in een onveilige toestand zou komen. Ook safety-PLC’s kunnen het slachtoffer worden van een cyberaanval en daardoor niet, of anders werken dan verwacht. Dit kan grote (fysieke) gevolgen hebben. Het chemiebedrijf wilde cybersecurity gaan managen, maar had geen inzicht in de huidige securitystatus.

De nulmeting

Een security assessment heeft inzichtelijk gemaakt hoe het bedrijf er op dat moment voorstond.

Deze nulmeting vormde een startpunt voor verbeteringen. Uit het assessment kwam duidelijk naar voren welke stappen de organisatie moest nemen om cybersecurity op het gewenste niveau te krijgen.

Zo ontbrak een actueel securitybeleid en bijbehorende procedures. Daarnaast bleek het noodzakelijk om de securityorganisatie op een goede wijze in te richten. Om al deze zaken in goede banen te leiden, leverde Hudson Cybertec een interim-CISO die cybersecuritymanagement ingericht heeft en als klankbord voor het senior management van het chemiebedrijf fungeerde. Daarbij was aandacht voor zowel mens, organisatie en techniek.

Basis voor het cybersecuritymanagement vormt de IEC 62443, de internationale de facto norm voor cybersecurity van industriële automatisering & controle systemen. Hudson Cybertec wordt internationaal gezien als subject matter expert  op dit gebied en is actief betrokken bij de normontwikkeling.

IEC

Prioriteiten stellen bij een beperkt securitybudget

Omdat de budgetten beperkt waren, zijn er prioriteiten gesteld voor het cybersecuritymanagement. Door het vastleggen van een scope heeft de organisatie richting gekregen voor security. Hierbij zijn keuzes gemaakt, waarbij het chemiebedrijf het meest profiteert van de verbeteringen. Zo werd er gekozen om duidelijke verantwoordelijkheden voor cybersecurity te beleggen in een compacte security organisatie en een securitybeleid met een basisset aan procedures op te stellen. Jutte zegt: “Er is daarbij slim gebruik gemaakt van zaken die er al waren en nog actueel waren, zoals een high-level risicoanalyse. Hierbij werd vooral gekeken naar de extra impact van cyber (en cyber-fysiek) op de high-level risico’s voor de organisatie.”

Duidelijkheid voor de organisatie

Door de securityorganisatie klein te houden, kan er snel worden geschakeld binnen de organisatie. Er is gekozen om vanuit verschillende disciplines input te geven in de organisatie. Hierdoor zijn zowel IT als OT vertegenwoordigd. Het nieuwe beleid en procedures zijn bewust beknopt gehouden. Het maakt voor alle medewerkers duidelijk wat van hen wordt verwacht op gebied van security, zowel op gebied van cyber als fysiek.

Goed getraind personeel vermindert de securityrisico’s

De organisatie onderkent het belang van personeel om het niveau van cybersecurity omhoog te brengen. In samenwerking met het bedrijf heeft Hudson Cybertec een programma opgesteld voor het verbeteren van de security awareness bij de medewerkers. Het awareness programma zorgt ervoor dat de medewerkers van het chemiebedrijf zich beter bewust worden van de securityrisico’s waarmee ze dagelijks te maken hebben. Hierdoor zijn de cybersecurityrisico’s al afgenomen, terwijl het programma nog loopt. “Bij een security awareness programma is periodieke herhaling belangrijk.” weet Jutte, “Na een tijdje worden medewerkers weer wat minder alert. Herhaling verankert de bewustwording bij de medewerkers.”

Netwerksegmentatie

Op technisch vlak is besloten om de bestaande IT en OT infrastructuur te segmenteren. De bevindingen die gedaan waren tijdens de nulmeting gaven duidelijk aan hoe de segmentatie vorm gegeven kon worden. Het Zone & Conduit model uit de IEC 62443 fungeerde als leidraad bij het opstellen van een zonemodel. Met kleine investeringen was het mogelijk hier een grote verbetering in cybersecurity te bewerkstelligen.

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.