Cyberweerbaar maken van OT-systemen

Cybersecurity voor Operational Technology (OT) is een specialisme. Dit verklaren Marcel Jutte en Sebastiaan Koning van Hudson Cybertec, solution provider op het gebied van cybersecurity voor OT.

Een specifieke tak van sport

“Cybersecurity voor OT is heel wat anders dan voor IT-systemen”, zegt Marcel Jutte, managing director van Hudson Cybertec. “Bij dit laatste moet je aan de automatisering van kantooromgevingen denken. Maar bij OT gaat het primair om processen. In de Botlek heb je het dan over de chemie en raffinaderijen. Op de werkvloer daar zijn het niet de stropdassen, maar de overalls die de boel runnen.” Het zijn dus volstrekt andere afdelingen, die elk een verschillende aanpak vergen om de cyberweerbaarheid te vergroten. Want als er in een OT-omgeving iets misgaat, legt Jutte uit, heb je met heel andere gevolgen te maken. “Stel dat een mailserver platgaat. Dan neemt iedereen een extra kop koffie, en als de back-up terug is, gaat men gewoon weer verder met zijn werk. Dat terwijl een fout in de besturing van een fabriek in de chemische sector heel andere gevolgen kan hebben, tot aan explosies en mogelijke doden aan toe. Cybersecurity in OT vereist daarom een andere aanpak.”

Legacy

Jutte spreekt in dit verband van ‘een stukje specialisering’. “Bezint eer ge begint. Ook als je iets gaat testen, moet je dat in OT goed voorbereiden.” Hij haalt het voorbeeld aan van het doorvoeren van patches, iets wat over het algemeen wordt gepropageerd in een IT-omgeving. “Maar als je dit op een besturingscomputer in OT doet, heb je kans dat alles wat eraan is gekoppeld niet of trager werkt met alle mogelijke gevolgen van dien.” Sebastiaan Koning, bij Hudson Cybertec werkzaam als senior consultant, heeft nog een ander voorbeeld. “Een IT-beheerder was bij een fabriek alle servers aan het updaten, zowel van de primaire als secundaire processen. Als gevolg hiervan lag de besturing plat en waren er ettelijke uren nodig voordat de productie weer kon worden hervat.” Een andere karakteristiek van OT is dat er veel ‘legacy’ is, zoals Koning dit noemt. Anders gezegd: oude besturingssystemen, die niet zijn vervangen omdat dan het productieproces moet worden stilgelegd. “Een systeem dat al twintig jaar in bedrijf is, is geen uitzondering. Dergelijke oude apparatuur vergroot de kwetsbaarheid.”

Eerste stap

“Ik ben blij dat cybersecurity voor OT meer aandacht krijgt”, moet Jutte van het hart. Koning sluit zich daarbij aan. “In de OT-wereld is lang onderschat wat er nodig is om tot een hogere digitale weerbaarheid te komen. Dat besef begint nu meer te komen.” Hudson Cybertec kan bedrijven hierbij op verschillende manier begeleiden, om te beginnen met een OT cybersecurity quickscan. Jutte: “Voor bedrijven is dit vaak een eerste stap om te zien waar ze staan. Op basis van de uitkomsten kun je goed in kaart brengen waar de kwetsbaarheden zitten.” Koning spreekt uit ervaring wanneer hij zegt dat dit voor veel bedrijven een eye-opener is, zowel op organisatorisch als technisch vlak. “Naast de bevindingen geven we ook mogelijke ‘quick-wins’ aan. Oftewel met minimale aanpassingen, maximaal resultaat behalen om cyberrisico’s in te perken. Daarna kan eventueel een uitgebreider plan van aanpak worden opgesteld met cybersecuritymaatregelen die je kunt implementeren.”

“Cybersecurity doe je nooit alleen; er zijn altijd vormen van samenwerking”

Samenwerking

Leidend daarbij is het internationale normenkader voor ‘Cybersecurity voor Industriële Automatisering & Controle Systemen’, beter bekend als de IEC 62443. “Dit biedt handvatten op het gebied van de verschillende maatregelen die je kunt nemen”, legt Koning uit. Dit begint met te kijken naar algemeen organisatorisch niveau, door bijvoorbeeld in kaart te brengen wat de risico’s zijn als een systeem of installatie(deel) uitvalt. Ook kunnen stappen worden vastgesteld wat er in zo’n situatie moet gebeuren. “Cybersecurity doe je nooit alleen”, vindt Jutte. “Er zijn altijd vormen van samenwerking. Zo werken we samen met de NEN ten behoeve van IEC 62443-trainingen en zijn we aangesloten bij meerdere belangen- en brancheorganisaties. Daarnaast werken we intensief vóór en samen met onze opdrachtgevers om cybersecurity naar een hoger niveau te brengen. Onze aanpak valt als systematisch en pragmatisch te karakteriseren.”

Dreigingen

Koning adviseert bedrijven om in het pakket aan eisen aan toeleveranciers en systeemintegratoren zeker ook cybersecurity op te nemen. “Natuurlijk is elk bedrijf hoofdelijk verantwoordelijk, maar het is hierbij wel zaak om de hele keten mee te nemen.” Tot slot waarschuwt Koning de cyberdreiging niet te lichtzinnig op te vatten. “De dreigingen wijzigen en nemen toe”, stelt hij. Hij wijst op recente aanvallen na de NotPetya-hack bij Maersk in 2017, zoals op een Noorse aluminiumproducent en een Belgische weefgetouwenfabriek vorig jaar. “We hebben ook gezien dat er specifieke malware is ontwikkeld gericht op safety-systemen in de OT. Die vormen de laatste ‘verdedigingslinie’ in geval van een incident. Het is zaak te voorkomen dat die hierdoor worden geraakt.”

OT monitoring

“Als je niet weet wat je hebt, kun je ook geen maatregelen nemen”, zegt Sebastiaan Koning van Hudson Cybertec. Het bedrijf kan voor klanten in kaart brengen welke assets zich werkelijk in hun systeem bevinden en hoe deze met elkaar communiceren. In rapportages worden onder meer gedetecteerde verdachte zaken uit de datastromen gemeld. “Zo houd je controle en kun je vervolgstappen nemen.”

Bron: Europoort Kringen – augustus 2020

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.