OT-Cybersecurity op het bordje van IT of toch niet?

De digitale beveiliging van proces/productie-omgevingen wordt ook wel eens ondergebracht bij de IT-afdeling. Deze afdeling heeft vaak onvoldoende kennis van de procesomgeving en de unieke eigenschappen ervan. Een andere aanpak van cybersecurity is dan ook noodzakelijk.

Zodra organisaties beseffen dat hun productie-omgeving of procescontrole omgeving (ook wel Operationele Technologie of OT genoemd) kwetsbaar is voor digitale incidenten, brandt regelmatig de discussie los door wie dit moet worden opgepakt. Omdat IT-afdelingen zich al langer bezighouden met cybersecurity, en vanuit historie al meer binding hebben met beslissers op managementniveau, wordt OT-cybersecurity gemakshalve onder de verantwoordelijkheid van de IT-afdeling geplaatst.

Veel organisaties gebruiken de ISO 27001-norm voor informatiebeveiliging. Omdat de IT-afdeling bekend is met deze norm, geven zij cybersecurity voor de OT ook graag vorm volgens dezelfde norm. De IT-specialisten hebben veelal onvoldoende kennis van de specifieke eigenschappen en belangen van de proces automatiseringsomgeving. Hierdoor wordt onbedoeld voorbij gegaan aan de daarbij behorende eisen voor cybersecurity. Men wil simpelweg een eenduidige aanpak voor zowel de IT als de OT met mogelijk ongewenste gevolgen van dien.

Andere invalshoek

Waar het binnen de IT draait om beveiliging van informatie, gaat het binnen de OT echter om de beschikbaarheid van systemen en de integriteit, ofwel de veiligheid van het proces. Wat als u binnen de procescontrole omgeving het zicht verliest op het primaire proces? Om het maar niet te hebben over het verlies van controle over het proces. Bij sectoren zoals drinkwater, energie en chemie is het essentieel dat men te allen tijde controle over het proces heeft. Verlies van controle kan zelfs leiden tot catastrofale incidenten.

Het is van belang de dialoog tussen de IT- en de OT-specialisten binnen de organisatie gaande te houden. De OT-specialisten kennen de afwijkende dynamiek van de OT-omgeving en kunnen uitleggen waarom zaken als bijvoorbeeld access management, patchen, antivirus en veranderingsmanagement binnen de OT-omgeving op een heel andere wijze verlopen dan binnen de IT-omgeving. Juist door de dialoog te zoeken en goed te luisteren naar de belangen van OT kan een gezamenlijke aanpak van cybersecurity goed werken.

Internationale norm: de IEC 62443

De OT-tegenhanger van de IT-norm ISO 27001 is de IEC 62443. Deze internationale norm is de wereldwijde standaard voor cybersecurity voor industriële automatisering en controlesystemen. Deze norm biedt handvatten voor het verbeteren van de digitale beveiliging en veiligheid van de OT-omgeving.

De IEC 62443 bestaat uit meerdere delen, die elk ingaan op een apart aspect van cybersecurity. Er zijn delen voor implementatie van een cybersecurity-managementsystem (de tegenhanger van het ISMS in IT) en het opstellen van cybersecurityvereisten voor systeemintegratoren en dienstverleners die uw OT infrastructuur bouwen en onderhouden. Een apart deel behandelt risicomanagement en een ander deel beschrijft technische vereisten die behoren bij verschillende cybersecurity-weerstandsniveaus. De overige delen gaan weer in op andere onderwerpen.

Om een goed begrip van de norm te krijgen, is het verstandig een training over de norm te volgen. De NEN heeft samen met Hudson Cybertec een divers trainingsprogramma voor de IEC 62443 ontwikkeld. Tijdens de training leren de deelnemers van ervaren consultants die zelf dagelijks betrokken zijn bij complexe OT-cybersecurityvraagstukken, hoe zij de IEC 62443 kunnen toepassen binnen hun eigen organisatie, of kunnen toepassen tijdens projecten bij hun opdrachtgevers. Er is ook een training voor IT professionals die met cybersecurity voor OT te maken hebben of krijgen.

Begin met een nulmeting

Naast voor de hand liggende zaken als het opzetten van een security-organisatie, het inpassen van OT in de bestaande organisatie of het in kaart brengen van de cybersecurityrisico’s is het van belang te weten waar je als organisatie vandaag staat. Een nulmeting helpt hierbij.

Tijdens een nulmeting wordt gekeken naar zowel organisatorische als technische aspecten. Als belangrijk onderdeel hiervan wordt gedurende een aantal dagen het OT-netwerk gemonitord om te zien of er onverwachte afwijkingen zijn in netwerkverkeer of verbonden assets. Zo wordt in kaart gebracht welke mogelijke onmiddellijke problemen er zijn en waar de kansen liggen om snel en efficiënt verbeteringen door te voeren en de digitale weerbaarheid te verhogen.

En hoe nu verder?

Met de resultaten en aanbevelingen uit een nulmeting kan men aan de slag. Het securitybeleid kan worden aangescherpt of dient te worden ontwikkeld, netwerksegmentatie binnen de OT-omgeving doorgevoerd, en continu monitoring van de OT-omgeving geïmplementeerd. Met een volledig vanuit OT-perspectief ontwikkelde monitoringoplossing verhoogt u niet alleen uw digitale weerbaarheid, maar heeft u ook altijd een actueel inzicht in aangesloten assets, netwerkverkeer en zelfs de compliancy ten opzichte van verschillende standaarden.

Voor een optimale digitale weerbaarheid dienen de te nemen maatregelen altijd in overeenstemming te zijn met de te beschermen belangen en de securityrisico’s waaraan de organisatie bloot staat. Door te rade te gaan bij een specialist krijgt u advies hoe u uw OT-omgeving optimaal kunt beschermen. Zo weet u zeker dat uw organisatie de juiste maatregelen neemt voor het borgen van de digitale weerbaarheid.

Bron: Securitymanagement, 19 november 2020

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.