Hoe staat cybersecurity er anno 2021 voor in de industrie, watersector en infrastructuur? Volgens Michael Theuerzeit, Lead Consultant bij Hudson Cybertec en Marcel Jutte, Managing Director bij Hudson Cybertec, is er meer aandacht voor cybersecurity. Bovendien komen er steeds meer certificeringen die ook van toepassing zijn op het OT/PA-domein. Daar staat tegenover dat het voor de gemiddelde zolderkamerhacker nog nooit zo makkelijk was om aan effectieve tools te komen voor cybercrime.
Wat hebben de infra, industrie en watersector met elkaar gemeen als het om cybersecurity gaat? Alle drie sectoren hebben te maken met zowel een IT/KAdomein als een OT/PA-domein. Waar het OT/PA-domein nooit bedacht is om met het internet verbinding te maken, wordt met de huidige digitalisering steeds vaker verwacht dat die connectivity een vereiste is. Hudson Cybertec is marktleider op het gebied van OT-cybersecurity: Jutte en Theuerzeit praten ons bij.
IEC 62443
Eén van de meest in het oog springende ontwikkelingen op het gebied van cybersecurity is de toenemende aandacht voor certificering. Naast het feit dat steeds meer bedrijven het belang van de internationale IEC 62443 norm inzien, is er ook nationaal steeds meer aandacht voor cybersecurity. “Zo zien we dat in Nederland de Cybersecurity Implementatierichtlijn (CSIR) steeds meer vorm en ook een steeds bredere adoptie krijgt”, vertelt Jutte.
De Cybersecurity Implementatierichtlijn is oorspronkelijk door Rijkswaterstaat opgesteld voor haar eigen weg- en waterinfra. In de richtlijn werd aan opdrachtnemers inzichtelijk gemaakt wat er van de partijen verwacht werd op het gebied van cybersecurity op OT-gebied. De CSIR ontstond omdat de richtlijn vanuit de Rijksoverheid, de BIR (Baseline Informatievoorziening Rijksoverheid, een afgeleide van de ISO 27001) zich beperkte tot de kantoorautomatisering (IT of KA). De BIR is inmiddels vervangen door de BIO (Baseline Informatievoorziening Overheid), maar deze heeft dezelfde focus op IT.
OT
Omdat de BIR overging in de BIO, is de Cybersecurity Implementatierichtlijn ook toe aan vernieuwing. De nieuwe versie van de CSIR voor Rijkswaterstaat is er inmiddels. Jutte: “Hudson heeft actief bijgedragen aan de totstandkoming van de CSIR. In de CSIR zijn onderdelen van de IEC 62443 opgenomen, maar ook van andere internationale normen. Deze versie van de CSIR is voor Rijkswaterstaat geschreven, om bij grote infraprojecten de cybersecurity in het OT-domein te kunnen waarborgen, bijvoorbeeld bij de grote renovatie van de technische infrastructuur op de Afsluitdijk. “Maar denk ook aan de nieuwe aansluiting op de A15 en de Blankenburgtunnel: allemaal grote projecten waarbij men veel te maken heeft met OT-objecten.”
“Voor de procesindustrie wordt de CSIR relevant op het moment dat bedrijven de verwerking van
afvalwater uitbesteden aan een partij die onder de CSIR valt…”
Veralgemenisering
Nu de CSIR voor Rijkswaterstaat gereed is, gaan er steeds meer stemmen op om die richtlijn ook voor andere toepassingen te gaan inzetten. Bijvoorbeeld binnen het Beheer Akkoord Water (BAW): in het BAW zijn partijen als Rijkswaterstaat, de waterschappen, Interprovinciaal Overleg, de VNG en de drinkwaterbedrijven vertegenwoordigd. Theuerzeit: “Het doel van de veralgemenisering van de CSIR is om deze geschikt te maken voor andere partijen dan alleen Rijkswaterstaat. Net zoals de IEC 62443 nu breed geaccepteerd wordt, zou het goed zijn als ook de CSIR op een bredere acceptatie kan rekenen. We richten ons nu nog vooral op de waterschappen, maar op korte termijn zouden ook andere BAW-partners kunnen aansluiten.” Voor de procesindustrie wordt de CSIR relevant op het moment dat bedrijven de verwerking van afvalwater uitbesteden aan een partij die onder de CSIR valt.
“Je ziet nu dat Europa die NIS aan het updaten is en op termijn met een zwaardere NIS2 zal komen…”
Compleet beeld
De CSIR is niet simpelweg een nationale vorm van de reeds bestaande IEC 62443. Theuerzeit: “Het zijn twee verschillende dingen. De IEC 62443 is een norm die beschrijft dat je bepaalde zaken met betrekking tot cybersecurity moet regelen. Er staat wat je moet doen, maar niet hoe je dat nu precies moet doen. In de CSIR wordt er gesproken over maatregelensets: er staat heel concreet in omschreven hoe je maatregelen moet doorvoeren. Naast technische eisen en proceseisen worden er op een aantal risicogebieden concrete maatregelen voorgeschreven. Daarnaast bevat de CSIR ook richtlijnen met best practices. De CSIR geeft dus een concrete invulling voor cybersecurity maatregelen.”
Vanuit wetgeving hoeven bedrijven formeel (nog) niet te voldoen aan de IEC 62443. Theuerzeit: “We hebben in Nederland een digitale zorgplicht, zoals is vastgelegd in de Wbni (Wet beveiliging netwerk en informatiesystemen, red.). Die Wbni is een afgeleide van de Europese NIS-directive (Directive on security of Network and Information Systems, red.). Je ziet nu dat Europa die NIS aan het actualiseren is en op korte termijn met een zwaardere NIS2 zal komen. Je moet dan als organisatie kunnen aantonen dat je voldoet aan die NIS2. Dat kun je aantoonbaar maken met een normenkader als de IEC 62443. Maar ook de CSIR biedt een heel mooie operationele uitwerking, waarmee je kunt laten zien dat je de zorgplicht uit de NIS2 serieus neemt.”
Cybersecurity is een proces, geen project
Binnen de chemische industrie helpt Hudson Cybertec bedrijven om hun digitale weerbaarheid te verhogen. Deze bedrijven hebben niet alleen te maken met het beheer van hun eigen installaties, maar ook met leveranciers van onder andere meet- en regelapparatuur die toegang tot die systemen hebben. Theuerzeit: “We zijn bij een organisatie als externe CISO (Chief Information Security Officer, red.) aan de slag om de security-organisatie op te tuigen en cybersecurity gestructureerd te managen. Doorzettingsvermogen en continuïteit zijn daarbij belangrijk voor een goed resultaat.” Ook dat laatste is een hardnekkig misverstand in de industrie, weet Theuerzeit. “Cybersecurity is een proces, geen project. Als je denkt dat cybersecurity ooit af is, snap je cybersecurity niet. Het dreigingsbeeld verandert dagelijks. Dat betekent dat je als organisatie mee moet veranderen. Vooral voor de vrij conservatieve procesindustrie, waar ze nu al weten wat er over vijf jaar aan onderhoud zal plaatsvinden, is die vereiste flexibiliteit nog weleens lastig.”
Ook in de olie & gas sector loopt Theuerzeit regelmatig tegen interessante uitdagingen aan. “Als je kijkt naar gedeeltelijke greenfield situaties, zie je bestaande platformen die worden uitgebreid. Er wordt dan bijvoorbeeld een nieuw olie- of gasveld gekoppeld aan het bestaande platform. Dat betekent dat je te maken krijgt met nieuwe infrastructuur, compressoren en allerlei andere apparaten die nodig zijn voor de processing. Al die nieuwe apparatuur moet op een of andere manier worden gekoppeld aan de bestaande infrastructuur die wellicht al vijftien jaar oud is. Wij helpen die partijen mee met advies, risico analyses, kwetsbaarhedenbepalingen, enzovoorts. Op het moment dat zo’n project overgaat van de projectfase naar de operationele fase, verandert de dynamiek. Je hebt dan geen EPC-contractor meer die zich bezighoudt met het project. Wij kunnen er voor zorgen dat de cybersecurity niet tussen wal en schip valt, gedurende alle fases van de plant lifecycle.”
Op de agenda
Maar er zijn meer trends waar te nemen dan de bovenstaande ontwikkelingen met betrekking tot normeringen. Met enige regelmaat komen er in de media berichten voorbij waar er verslag wordt gedaan van geslaagde hacks, nieuwe vormen van cybercriminaliteit en constateringen over de mate van cybersecurity van bepaalde sectoren. “Onlangs konden we nog in de media lezen dat veel Nederlandse gemeenten niet voorbereid zijn op cyberaanvallen”, vertelt Theuerzeit. “Als je dat soort berichten leest, zou je kunnen denken dat het er slecht voorstaat als het om cybercrime gaat, maar de werkelijkheid ligt wat genuanceerder.” Theuerzeit constateert een toename van bewustzijn met betrekking tot cybercrime. “Tot in de boardroom staat het onderwerp cybersecurity nu beduidend vaker op de agenda dan een aantal jaren geleden. En dat komt dus, let wel, onder andere juist door die berichten in de media. De CEO’s van grote bedrijven lezen die berichten ook en willen dan weten hoe hun eigen organisatie ervoor staat qua digitale weerbaarheid.”
“Een phishing mailtje van vroeger zag je van mijlenver al aankomen.
Tegenwoordig moet je echt goed kijken of het nu echt of fake is…”
Scriptje
Dat er meer aandacht in de media is voor cybercriminaliteit hoeft niet te betekenen dat er ook meer cyberaanvallen zijn uitgevoerd. Toch rapporteren diverse onderzoeksbureaus een forse toename in het aantal cyberaanvallen in de coronatijd. Een onderzoek van Mimecast heeft het zelfs over een toename van bijna vijftig procent. Theuerzeit is daar niet verbaasd over: “Tot een paar jaar geleden moest je echt wel wat kunnen om een cyberaanval uit te voeren. Tegenwoordig is tooling en kennis breed verkrijgbaar, ook voor de zolderkamerhacker. Het wordt daardoor steeds makkelijker om een cyberaanval uit te voeren. Je kunt de broncode van Stuxnet gewoon downloaden, deze eenvoudig aanpassen en dan kan je sommige installaties al vrij gemakkelijk stilleggen.”
Daarnaast worden technieken, onder andere de social engineering, die vaak vooraf gaat aan serieuze cyberaanvallen, steeds moderner en makkelijker beschikbaar. “Je kunt bij social engineering bijvoorbeeld gebruik maken van deep fakes, waarbij video beelden gemanipuleerd worden en het lijkt alsof je met een vertrouwd persoon in een video-call zit. De technieken worden steeds geavanceerder. Een phishing mailtje van vroeger zag je van mijlenver al aankomen. Tegenwoordig moet je echt goed kijken of het nu echt of fake is.
“Je wilt niet dat wachtwoorden als plain text verstuurd worden”
OT Insight
Juist als het steeds lastiger wordt om aanvallers buiten de deur te houden, wordt het belangrijker om maatregelen te nemen die ervoor zorgen dat je ziet als een aanvaller is binnengedrongen en de schade daarvan minimaliseert. Monitoring is daarbij uitermate belangrijk. “Dat moet je dan wel doen op een manier die past bij jouw situatie”, verduidelijkt Theuerzeit. “Monitoring in een OT-systeem vraagt om heel andere tools dan monitoring in een IT-systeem. Bijvoorbeeld onze monitoringoplossing, genaamd ‘OT Insight’ is dan ook gebouwd juist voor de OT-omgeving.”
Compliance monitoring
En over monitoring gesproken: er komt zowel in de industrie, de watersector als de infrastructuur ook steeds meer aandacht voor compliance monitoring. Theuerzeit: “Vooral als je onderdeel uitmaakt van de vitale infrastructuur en je dus moet voldoen aan wet- en regelgeving, is compliance monitoring een zeer praktische methode om te kunnen bewaken en aantonen dat je aan die regelgeving voldoet.” OT Insight is in staat om (ook) op compliance te monitoren. Aan de basis van compliance monitoring staat een audit, waarna de oplossing in staat is om compliance afwijkingen te detecteren en te rapporteren. Theuerzeit: “Je wilt natuurlijk niet dat wachtwoorden als plain text verstuurd worden. Dat mag alleen versleuteld en via veilige protocollen. Op het moment dat een wachtwoord als platte tekst via bijvoorbeeld een ftp-server wordt verstuurd, detecteert OT Insight een compliancy afwijking en wordt dat gerapporteerd. Overzichtelijke dashboards maken inzichtelijk hoe compliant je op elk moment bent.
Hudson Cybertec en Kiwa
Onlangs nam Kiwa een belang in Hudson. Kiwa is een zogenaamd TIC bedrijf, wat staat voor testen, inspecteren en certificeren. Allerlei soorten apparatuur die wordt gebruikt in industriële, watertechnische, utilitaire en andersoortige toepassingen, wordt door Kiwa aan diverse tests onderworpen. “Kiwa was op zoek naar een partij met veel expertise in OT-cybersecurity”, vertelt Theuerzeit. “Wij hebben er ineens vijfduizend collega’s bij gekregen. Voor Kiwa betekent het dat ze de beschikking hebben over onze OT-cybersecurity expertise. Er ontstaat nu een soort van one-stop-shop waar bedrijven terecht kunnen op het gebied van cybersecurity.”
Daarbij speelt het feit dat zowel Kiwa als Hudson volledig Nederlandse ondernemingen zijn een grote rol. “Vooral in de infra, de watersector en overige vitale infrastructuur is het natuurlijk uitermate belangrijk dat ze zoiets belangrijks als cybersecurity, van nulmeting tot certificering, kunnen neerleggen bij Nederlandse bedrijven als Kiwa en Hudson.”
Bron: Process Control, juli 2021
HUDSON CYBERTEC
