Digitale weerbaarheid voor infrastructurele projecten – CSIR is helemaal actueel

Het bewustzijn op gebied van digitale weerbaarheid is de afgelopen jaren steeds verder toegenomen. Juist organisaties die opereren in de infra hebben hier een grote inhaalslag gemaakt en hebben steeds meer aandacht voor de digitale weerbaarheid van hun procesautomatisering. De dagen dat cybersecurity uitsluitend ging over de IT aspecten binnen de kantoorautomatisering zijn daarmee voorgoed voorbij. Organisaties hebben te maken met hun eigen unieke uitdagingen die in grote mate afhankelijk zijn van de wijze waarop de Operationele Technologie (OT) is ingericht en hoe deze is gescheiden van de kantoorautomatisering ofwel IT. De grote verschillen in IT en OT vragen om een andere aanpak en oplossingen. Het beveiligingskader dat wordt toegepast om de digitale weerbaarheid op een gestructureerde wijze te managen moet aansluiten bij de specifieke behoefte van het betreffende domein.

De Baseline Informatiebeveiliging Overheid (BIO) is sinds enkele jaren verplichte kost voor overheidspartijen. Voorheen had zo ongeveer iedereen binnen de overheid zijn eigen beheerkader: waterschappen gebruikten de Baseline Informatiebeveiliging Waterschappen (BIWA); gemeenten hadden de Baseline Informatiebeveiliging Gemeenten (BIG) en de provincies kenden de Interprovinciale Baseline Informatiebeveiliging (IBI). Allemaal zijn ze opgegaan in de BIO. Deze helpt net als zijn voorgangers uitstekend om de digitale weerbaarheid voor de kantoorautomatisering op gestructureerde wijze te managen, maar voorziet niet in de specifieke behoeften van de procesautomatisering.

Daarom besloot Rijkswaterstaat ongeveer 10 jaar geleden een eigen kader te ontwikkelen om te voorzien in de specifieke behoefte voor een OT kader. Dit ontwikkelde zich tot de Cybersecurity Implementatierichtlijn (CSIR). De CSIR had zijn oorsprong in de Baseline Informatiebeveiliging Rijk (BIR), die dus later werd vervangen door de BIO.

CSIR voor Rijkswaterstaat

Rijkswaterstaat heeft nauw samengewerkt met Hudson Cybertec, cybersecurity solution provider voor de Operationele Technologie om de CSIR volledig te updaten en te laten aansluiten bij de vereisten uit de BIO. Michael Theuerzeit, lead consultant bij Hudson Cybertec: “Tegelijk zijn ook maatregelen uit de IEC 62443 meegenomen en is gezorgd dat ook andere kaders zijn geborgd. Zo hebben we samen met Rijkswaterstaat ervoor gezorgd dat de CSIR weer helemaal actueel is.” Rijkswaterstaat heeft daarmee de beschikking over een nieuwe versie van de CSIR die opgebouwd rondom een set van proces- en systeemeisen, resp. VSP’s en VSE’s. Deze eisen zijn integraal onderdeel van de 2.0 versie.

Voor opdrachtnemers is er versie 2.4, waarbij deze eisen onderdeel zijn van de contracteisen. De eisen zijn ook opgenomen in de Inkoopeisen Cybersecurity Overheid Wizard (ICO Wizard). De CSIR is opgebouwd uit maatregelensets rondom tien beveiligingsthema’s, met een aantal bijlagen met een best practice-uitwerking op specifieke onderwerpen.

CSIR voor andere overheidspartijen

De CSIR is daarna verder doorontwikkeld om het kader ook geschikt te maken voor andere overheidspartijen zoals waterschappen, gemeenten en provincies. Bij de ontwikkeling van deze algemene versie heeft het Waterschapshuis de expertise van Hudson Cybertec ingeroepen en is met Rijkswaterstaat en de waterschappen samengewerkt om te komen tot een breed gedragen versie, die voor alle partijen leesbaar, begrijpelijk en toepasbaar is. Deze versies (3.0 voor intern gebruik en 3.4 voor opdrachtnemers) helpen allereerst de watersector om de digitale weerbaarheid van hun OT-omgevingen op gestructureerde wijze te managen.

Op dit moment wordt nog gewerkt aan een operationele uitwerking met daarin een toelichting op verschillende thema’s. Daarbij worden de invulling van cybersecurity en operationele beheerprocessen verder uitgewerkt wat het makkelijker maakt voor de betrokken partijen om de CSIR binnen hun organisatie toe te passen.

 

‘CSIR HELPT RISICOGESTUURD OM KWETSBARE OT OMGEVINGEN DIGITAAL WEERBAAR TE MAKEN’

 

Snel de weerbaarheid verbeteren

Veel organisaties kennen een groot areaal aan objecten. Sommige objecten zijn net gebouwd, andere worden al jaren gebruikt of zijn toe aan groot onderhoud. Bestaande langdurige onderhoudscontracten staan de verbetering van de digitale weerbaarheid hierbij soms in de weg. Het is lastig om een object in een bestaand contract volledig in lijn te brengen met de vereisten uit de CSIR. “Focus dan op die maatregelen die redelijk eenvoudig kunnen worden doorgevoerd” geeft Theuerzeit aan: “Maatregelen van organisatorische oorsprong, waarmee procedureel zaken worden afgedwongen, zijn vaak laaghangend fruit. Maar soms ook technische maatregelen die geen directe impact hebben op het primaire proces.“

De toelichting met operationele werkwijzen helpt met het toepassen van de CSIR vóóraf aan het bouwen van nieuwe objecten. Daarnaast geeft de toelichting concrete invulling aan operationele beheerprocessen. Een van de belangrijke thema’s die hierbij besproken wordt is het managen van kwetsbaarheden. Een uniforme aanpak om te komen tot een handelingsperspectief voor het acteren op kwetsbaarheden wordt daarbij besproken en kan kant en klaar worden geïmplementeerd.

Digitaal weerbaar maken

De nieuwe CSIR versies helpen naast Rijkswaterstaat en de waterschappen ook andere partijen met een cybersecuritykader specifiek voor de OT. Michael Theuerzeit besluit: “De CSIR helpt organisaties om hun kwetsbare OT omgevingen op een risicogestuurde wijze digitaal weerbaar te maken. Het kader geeft concrete handvatten waarmee organisaties direct uit de voeten kunnen.”

Meer weten over de CSIR? www.hudsoncybertec.com/trainingen/csir-workshop/

Bron: Otar, mei 2022

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© 2022 Hudson Cybertec