Het niveau van technische automatisering in de grootschalige industrie stijgt snel. Hierdoor kunnen ze kwetsbaar worden voor allerlei vormen van digitale criminaliteit. Hetzelfde geldt voor vitale infrastructuren als de energiedistributie, of geautomatiseerde bruggen, sluizen, gemalen en waterkeringen. Het is inmiddels een veelgehoorde uitspraak: ‘Leg deze cruciale voorzieningen met hun hoog geautomatiseerde technieken ongeoorloofd digitaal stil, en het hele land gaat plat’.
Om dat te voorkomen moeten zij voldoen aan steeds strengere nationale en internationale voorschriften op het gebied van cyber security. Niet alleen organisatorisch en administratief. Ook als het gaat om de automatisering van de primaire technische bedrijfsprocessen.
Aantoonbaar vakbekwaam
Om daaraan te kunnen voldoen stellen zij ook steeds hogere eisen aan hun toeleveranciers en dienstverleners in het industrieel-technische midden- en kleinbedrijf (MKB). Tot deze omvangrijke en belangrijke categorie binnen de Nederlandse economie behoren onder meer machine- en apparatenbouwers, automatiserings- en installatiebedrijven, adviseurs, installateurs en inspecteurs. Al deze partijen moeten zowel onderling als naar opdrachtgevers toe hun vakbekwaamheid bij de industrieel-technische cyber security steeds nadrukkelijker kunnen aantonen. Alleen zo kan de digitale veiligheid binnen de keten van industrieel toeleveren en uitbesteden als geheel worden opgebouwd, gesloten en gewaarborgd, om te voldoen aan de internationale wet- en regelgeving en de bijbehorende normen.
Training en certificaat
Deze technici kunnen bij NEN een 3-daagse training over de internationale cyber security-norm IEC 62443 volgen. Deze norm is de internationale de facto standaard voor cybersecurity van industriële automatisering en controlesystemen.
De IEC 62443-norm biedt praktische handvatten voor het opzetten van een effectief cyber security-beleid voor industriële proces- en productie-omgevingen. Mens, techniek en organisatie sluiten hierbij op elkaar aan. Zowel eindgebruikers en opdrachtgevers als technische dienstverleners hebben hiermee een gezamenlijk en uniform uitgangspunt bij het beschermen van hun (primaire) technische bedrijfsprocessen tegen cyber-aanvallen.
IACS
De training gaat niet over de technisch-inhoudelijke kennis van de ‘Industrial Automation & Control Systems’ (IACS). Die mag bij industriële en infrastructurele automatiseerders als bekend worden verondersteld. De training is vooral gericht op de inhoud van het normenkader, dat een gesloten samenwerking van de afzonderlijke disciplines binnen de industriële en infrastructurele veiligheidsketen als geheel mogelijk maakt. Hierbij gaat het vooral om het beheer, het management en de organisatie rondom de IACS in relatie met cybersecurity.
Bovendien biedt de training ook het MKB handvatten om hun eigen interne geautomatiseerde industriële productieprocessen beter te beveiligen. Die worden namelijk in toenemende mate gekoppeld aan de systemen van opdrachtgevers en afnemers.
Op deze wijze kan de digitale industrieel-technische veiligheidsketen als geheel worden gesloten.
Certificaat
Sinds eind 2017 is er bij de NEN ieder kwartaal de mogelijkheid om na de training het examen voor het certificaat af te leggen, ook voor hen die de training al eerder hebben gevolgd. Hiermee kunnen zij hun vakbekwaamheid met betrekking tot de norm IEC 62443 voor deze technische veiligheid waarborgen naar eigen collega’s, naar andere technici of bedrijven met wie wordt samengewerkt. En tot slot samen naar hun gezamenlijke opdrachtgevers toe. De training en het examen zijn allebei conform de norm IEC 62443 en sluiten aan bij de bestaande en nieuwe Europese wet- en regelgeving.
MKB
Één op de vijf MKB’ers is in het verleden zelf ook al eens slachtoffer geworden van cyber crime, vertelt Marcel Jutte, managing director van Hudson Cybertec, de onafhankelijke cybersecurity solution provider voor het IACS-domein, ofwel operationele technologie (OT), in Den Haag. Jutte: “Tot nu toe is dat meestal nog zonder al te grote gevolgen gebleven. Maar dat kan snel veranderen. Vanwege de aantrekkende economie tegenover een snelgroeiend tekort aan vakbekwaam technisch personeel is het industriële MKB ook haar eigen productieprocessen in toenemende mate aan het automatiseren. Hierbij moeten dezelfde beveiligingsvoorschriften en –normen in acht worden genomen.”
Hudson Cybertec is van oorsprong gericht op cyber security voor industriële automatisering en controlesystemen, zowel in het binnen- als in het buitenland. Zij is actief in met name de grote in het oog springende takken van de risicovolle industrie en de vitale infrastructuur, onder andere in de energievoorziening , de watersector en de olie & gas industrie.
Veiligheid en continuïteit van de productieprocessen zijn hierbij al sinds jaar en dag belangrijke aspecten. Door de snelle ontwikkeling en toenemende automatisering en integratie van de IACS-omgevingen is de noodzaak voor cyber security steeds evidenter geworden.
In dit segment van de markt is het bewustzijn daarvan de afgelopen jaren snel gestegen, signaleert Jutte. En dat vertaalt zich door naar de eisen die zij stellen aan het enorme aantal industrieel-technische toeleveranciers in het midden- en kleinbedrijf, ook in Nederland. Ook deze bedrijven dienen nu aantoonbaar vakbekwaam aan de aangescherpte wet- en regelgeving plus bijbehorende normen voor industriële digitale veiligheid en beveiliging te voldoen. Uiteindelijk kan alleen zo de keten van toelevering tot en met eindproductie als geheel worden beveiligd.
De zwakke schakel
Jutte: “Juist in Nederland maken deze MKB-ondernemingen vaak hoogwaardige geautomatiseerde machines, producten en deelsystemen voor de grote, vitale en kwetsbare infrastructuren en takken van industrie in binnen- en buitenland. Dit MKB dreigt nu de zwakke schakel te worden in de cyber security-keten. Deze bedrijven hebben hun interne administratieve en logistieke automatisering doorgaans wel voor elkaar, net als de industriële automatisering die zij toepassen in hun eigen productielijnen en in de machines en (deel)systemen die zij toeleveren aan andere sectoren binnen de industrie. Maar dit geldt nog niet voor de aantoonbare beveiliging ervan tegen cyber crime.”
Waterdicht
Met de digitalisering van de samenleving wordt de noodzaak van een waterdicht internationaal systeem voor cyber security dan ook dringender. De Europese Richtlijn Network & Information Security (NIS), in Nederland de Netwerk en Informatiebeveiliging Richtlijn (de NIB-Richtlijn), wordt eind dit jaar ook in ons land definitief verplicht bij nationale wetgeving in de hoedanigheid van de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Sectoren als de ziekenhuizen, of communicatie- en energiebedrijven, en de risicovolle takken binnen de zware industrie hebben dan definitief een meld- en zorgplicht op dit gebied, net als de beheerders van vitale infrastructuren.
In het kader daarvan dienen bedrijven en organisaties ook eisen te stellen aan hun technische toeleveranciers en dienstverleners binnen het MKB. Diverse overheidsinstanties, eindgebruikers in de vitale infrastructuur, alsmede de eerste industriële installatiebedrijven/systemintegrators hebben hun specialisten daarom al door de NEN laten examineren op hun kennis van de IEC 62443 norm.
MKB-assessment
Hudson Cybertec breidt haar dienstverlening intussen steeds verder uit o.a. naar het industrieel-technisch MKB. Ook het Ministerie van EZK ondersteunt deze schakel in de veiligheidsketen in toenemende mate, onder meer samen met de branche- en ondernemersorganisaties binnen MKB-Nederland. Hierbij wordt samengewerkt met universiteiten, kennisinstituten en bedrijven als Hudson Cybertec.
Deze onafhankelijke cybersecurity solution provider heeft speciale korte ‘cyber security assessments’ of ‘cyber security scans’ voor ondernemers in het industrieel-technisch MKB ontwikkeld, die eveneens gebaseerd zijn op de IEC 62443 norm.
Jutte: “Vaak hebben deze bedrijven al contact met IT-ers, maar dan gaat het vooral om de administratieve automatisering. Nu gaat het om de cyber security van de automatisering in hun eigen productiesystemen, en de machines en technische systemen die zij leveren aan andere bedrijven. Wanneer zij industriële installateurs, engineers, adviseurs of eigen medewerkers inschakelen die hiervoor zijn opgeleid en gecertificeerd, dan hebben ze al aan een groot deel van hun aangescherpte verplichtingen voldaan.”
Lees het volledige artikel hier
HUDSON CYBERTEC