Geen safety zonder cybersecurity

Safety staat in de procesindustrie al jarenlang hoog op de agenda, terwijl dat voor cybersecurity pas recent relevant is geworden. Toch is de tegenstelling tussen cybersecurity en safety een vrij arbitraire tegenstelling. Er zijn weliswaar verschillen tussen de twee begrippen, maar er zijn zeker ook overeenkomsten. Sterker nog, zonder goede cybersecurity kan je ook geen safety realiseren, menen Marcel Jutte, Managing Director, en William van der Veen, Senior Safety/Security Consultant, beiden werkzaam bij Hudson Cybertec.

Een Safety Instrumented System (SIS) is de ‘last automated line of defense’ van een productieproces in de industrie en is als zodanig vastgelegd in de IEC 61511 norm. Een SIS is daarmee feitelijk een geautomatiseerde bewaking van het proces om in geval van nood het proces gecontroleerd veilig af te schakelen en een rampscenario te voorkomen.

Offline

Maar die SIS systemen zijn steeds vaker het doelwit van cyberaanvallen, weet Van der Veen. “Door in het beginstadium van een cyberaanval het SIS systeem buiten werking te stellen, of offline te krijgen, kan in een vervolgstadium van de aanval serieuze schade aan de productie-installatie en letsel aan medewerkers toegebracht worden. Dat zijn dus serieuze aanvallen met potentieel grote schades tot gevolg. Het laat ook goed zien dat er onderdelen van het proces zijn waar safety en cybersecurity heel dicht bij elkaar komen.”

Safety en cybersecurity – overeenkomsten

Laten we eerst eens kijken naar die overeenkomsten tussen safety en cybersecurity, want volgens Van der Veen zijn die er wel degelijk. “Cybersecurity en safety vergen een vergelijkbare aanpak en methodologie om de risico’s te beheersen. Middels een risicoanalyse (RVA) dienen risico’s geïdentificeerd te worden, geanalyseerd of geprioriteerd en daarna gemitigeerd of gereduceerd middels maatregelen.” Ook de volgorde van risicoreductiestappen is bij cybersecurity min of meer hetzelfde als bij safety. “Je begint met de risico’s; eerst maak je de systemen intrinsiek veilig, zodat een gevaar simpelweg niet aanwezig is. Denk bij safety voor mechanische gevaren aan het beperken van de snelheid van bewegende delen en denk bij cybersecurity aan het segmenteren of zoneren (DMZ invoeren) van het industriële netwerk”, legt Van der Veen uit.

“Wanneer een bedrijf de cybersecurity niet geregeld heeft, is de safety ook niet geborgd”

PBM’s en passwords

Na deze eerste stappen kunnen technische maatregelen genomen worden: hekken in geval van safety, firewalls in geval van cybersecurity. Om de nog overgebleven risico’s te beheersen, moeten procedurele maatregelen genomen worden, bijvoorbeeld door Persoonlijke Beschermings Middelen in geval van safety, of door een goed wachtwoordbeheer voor cybersecurity. Als laatste dient men informatie te verschaffen over de restrisico’s. “Dan moet je bij cybersecurity en bij safety vooral denken aan awareness training”, licht Van der Veen toe.

SIL en SL

Nog een overeenkomst tussen safety en cybersecurity is dat voor beiden in een methode is voorzien voor de beoordeling of waardering van systemen met betrekking tot de betrouwbaarheid en veiligheid van de processen. “Wat Safety Integrity Levels (SIL) zijn voor safety, zijn Security Levels (SL) voor cybersecurity”, vertelt Van der Veen. “Middels SL’s kan de mate van cybersecurity weerbaarheid van IACS beschreven worden. Ook zijn SL’s een maatstaf voor de capaciteit van producten om aan een bepaald cybersecurity niveau te kunnen voldoen.”

Safety en cybersecurity – verschillen

Verschillen tussen safety en cybersecurity zijn er echter ook. Safety is al lange tijd een bekend onderdeel van de bedrijfsvoering van industriële bedrijven. Onder andere duidelijke wet- en regelgeving op het gebied van safety heeft er toe geleid dat safety gemeengoed is geworden. Omdat safety gemeengoed is geworden, zijn er ook vaak specifieke budgetten voor safety.

CSMS

Voor cybersecurity is het bovenstaande nog veel minder het geval, weet Jutte. “Bij cybersecurity moet vaak eerst nog het management overtuigd worden van het nut en de noodzaak, voordat er budget vrijgemaakt wordt. Ook moet vaak eerst nog een Cyber Security Management Systeem (CSMS) ingericht worden om alle aspecten, namelijk mens, proces en techniek, te beheersen op het gebied van cybersecurity-risico’s en het opstellen van een cybersecurityplan. Het cybersecurityplan is feitelijk dat wat een V&G plan is voor safety. Wij helpen veel bedrijven bijvoorbeeld door een CSMS in te richten of door het invullen van een CISO/COSO rol.” Waar bij safety de gevaren zijn te omschrijven in een eindige lijst, moet men bij cybersecurity altijd rekening houden met mogelijk nieuwe kwetsbaarheden, zoals zero days (bedreigingen die nog niet algemeen bekend zijn).

Continuïteit borgen

Volgens Van der Veen is er een integrale aanpak van zowel safety als cybersecurity nodig om de continuïteit van de bedrijfsvoering te borgen. “Hierbij zijn zowel cybersecurity als safety van belang”, meent hij. “Wanneer een bedrijf de cybersecurity niet geregeld heeft, is de safety ook niet geborgd. Cyberrisico’s introduceren weliswaar niet perse nieuwe gevaren met betrekking tot safety, maar de genomen safety beheersmaatregelen kunnen wel buiten werking gesteld worden door gebrekkige cybersecurity. Dan heb ik het nog niet eens over milieuschade en imagoschade.”

Cyber-certificering

De IEC 62443 is inmiddels de wereldwijd geaccepteerde cybersecurity normenreeks voor Industrial Automation & Control Systems (IACS). De normenreeks beschrijft middels het opzetten van een CSMS en middels uit te voeren RVA’s, hoe de Security Levels (SL’s) bepaald kunnen worden, zodat de risico’s en kwetsbaarheden van veiligheidssystemen beheerst kunnen worden. “Op deze manier maak je de safety van de processen weerbaarder tegen aanvallen zoals Triton”, verduidelijkt Jutte. “Safety is nu onderdeel van CE-markering. In de nabije toekomst zal iets soortgelijks ook voor cybersecurity gaan gelden. Er zal middels een RVA aangetoond moeten worden dat de genomen mitigerende maatregelen afdoende zijn om de cyberrisico’s en cyber-kwetsbaarheden van de betreffende IACS te beheersen. Ook is de verwachting dat cybersecurityproducten een “cybercertificering” krijgen om hun cybersecurity capability mee aan te geven, vergelijkbaar met SIL”, besluit Jutte.

Bron: ‘Process Control (editie 4), juni 2019’

Lees hier het volledige artikel, bovenstaand bericht is slechts een samenvatting.

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.