Den Haag, 30 juni 2020 – De laatste jaren is er een toename te zien in cyberaanvallen die gericht zijn op het OT-domein. Nu er minder personeel op de werkvloer aanwezig is, lopen bedrijven het risico dat er minder inzicht en toezicht is op de cybersecurity binnen het bedrijf. Niet alleen omdat fysieke toegang wellicht makkelijker is dan normaal, maar ook omdat er minder zicht is op informatiestromen in het OT.  

Minder personeel op de werkvloer resulteert vaak in minder inzicht in het proces. Volgens Sebastiaan Koning, senior consultant bij Hudson Cybertec gaat het dan niet over de niveaus en voorraden, maar dieper in de automatiseringslaag. “Als je ter plekke geen zicht heb op je proces, kan je dan die informatiestromen op PLC-niveau nog wel vertrouwen?”

Binnenkomen

Goede cybersecurity zit hem niet alleen in de technische kant. Dus alleen het plaatsen van firewalls is zeker niet voldoende. De mens op de werkvloer én de organisatie zijn, samen met de techniek, dé drie pijlers waar cybersecurity op rust. In tijden van corona zijn die twee niet-technische pijlers anders dan anders. En dat kan gevolgen hebben voor cybersecurity.

Dat kan hem in heel simpele dingen zitten, weet Koning. “Minder mensen op de vloer betekent minder overzicht. Zonder goede toegangsbeveiliging kunnen mensen gemakkelijker binnenkomen en minder snel worden opgemerkt. Een crimineel met verstand van zaken trekt ergens een camera of een PLC los, sluit een laptop aan die zich voordoet als die camera of PLC en kan zo je OT-netwerk op.”

Gamen via het bedrijfsnetwerk

Bij een minder goede fysieke controle, wordt een sluitende cybersecurity, juist ook in het OT-domein, belangrijker. Koning: “Door het thuiswerken mis je de digitale fortificatie die je binnen de muren van je bedrijf wel hebt. Ook al probeer je het thuiswerken goed in te richten, je hebt er toch minder controle op. Als je vanaf je privé PC/laptop verbinding hebt met je bedrijfsnetwerk d.m.v. een VPN verbinding en je kinderen gaan na werktijd (met actieve VPN verbinding) verder op dezelfde PC spelletjes doen of naar malavide websites browsen, dan kan je in lastige situaties terecht komen. In de praktijk zullen mensen niet heel snel vanuit huis inloggen op een installatie, maar toch is dat niet ondenkbaar.”

Beperkt

Als installaties – in het OT domein – toch benaderd moeten worden vanuit een ander (IT) netwerk, moet dat op een bepaalde manier gebeuren. Koning: “Dat hele protocol moet voldoen aan de IEC 62443 norm, de internationale cybersecurity norm voor Industrial Automation & Control Systems (IACS). Daarbij ga je kijken naar zones en conduits, breng je segmenteringen aan in je netwerken en systemen en dat op een slimme manier. Dat richt je vervolgens zo in dat als er een breach plaatsvindt, de schade beperkt blijft tot een gedeelte van je fabriek.”

Updates

Op afstand kunnen inloggen op het netwerk hoeft niet persé een probleem te zijn, maar alleen als voldaan is aan een aantal voorwaarden. “Werk daarbij met ‘least privilege’, waarbij degene die inlogt alleen de hoognodige rechten krijgt binnen de gekaderde systemen’, legt Koning uit. “Het is niet slim om iemand op afstand op een engineer workstation te laten komen, waarbij alle PLC’s in de fabriek kunnen worden benaderd. Er is in het OT-domein ook helemaal geen reden om iemand op afstand bij je PLC’s te laten. PLC firmwareupdates of PLC softwareupdates vinden namelijk veel minder frequent plaats dan andere assets in het OT-domein.

“Er zijn bedrijven die zeggen: ‘Als je zaken met ons wilt doen, zal jouw bedrijf ook conform IEC 62443 moeten functioneren…”

Know your network

Aan de andere kant is het zeker wel nuttig om informatie afkomstig uit het OT-systeem op afstand te kunnen uitlezen. Koning: “Dat geeft veel mogelijkheden om processen in de gaten te houden. Maar je kunt die mogelijkheid ook gebruiken om het netwerk zelf te monitoren. ‘Know your network’ zeggen wij bij Hudson Cybertec altijd. En dat is ook zo, want hoe kun je op bepaalde communicatie vertrouwen als je zelf geen inzicht in die communicatie hebt? Je hebt inzicht nodig in de onderlinge componenten en op de manier waarop die componenten met elkaar communiceren. Mag een PLC alleen maar met een bepaald SCADA station communiceren, of ook met andere fabriekslijnen? Het begint ermee dat je actuele tekeningen hebt van je netwerk waarin de datastromen zijn aangegeven.”

En in de praktijk is dat in de IT beter geregeld dan in de OT. “Dat is verklaarbaar”, vindt Koning. “Vanwege de legacy en de snelheid waarmee ontwikkelingen in de OT plaatsvinden. Maar wil je het secure maken, zal je toch echt moeten beginnen met je netwerk goed in kaart brengen.”

Juist nu

Dat er nu een crisis aan de gang is, wil niet zeggen dat deze tijd ongeschikt is voor het aanscherpen van de cybersecurity, integendeel. Koning: “Ik zou zeggen: doe het juist nu, want heel veel zaken en delen van het proces liggen nu toch stil. Je kunt er nu juist vaak beter bij dan onder normale omstandigheden. Een deel van het inventarisatiewerk kunnen we ook middels online interviews al doen.”

Het is juist van groot belang, en niet alleen nu, om precies te weten welke assets er zijn en dat het netwerkverkeer inzichtelijk is en dat er dus niets aan het toeval wordt overgelaten. Dat betekent in de praktijk dat wij nu druk bezig zijn om netwerksensoren te plaatsen waarmee de communicatie tussen de verschillende assets wordt gemonitord”, legt Koning uit. “Onze OT-monitoring meet o.a. afwijkingen in het netwerkgedrag binnen het OT-netwerk. Deze gedetecteerde afwijkingen kunnen duiden op een cyberaanval maar ook ongeoorloofde toegang tot de assets of zelfs ongeoorloofde setpointwijzigingen.

De Hudson Cybertec oplossing aangaande OT-monitoring is, in tegenstelling tot wat veel andere leveranciers aanbieden, specifiek voor het OT-domein ontwikkeld en verder geoptimaliseerd.

Detection vs prevention

Een interessant voorbeeld van hoe OT-monitoring van IT-monitoring verschilt is als het om ‘intrusion detection’ versus ‘intrusion prevention’ gaat. “IT gaat altijd voor prevention”, weet Koning. “Maar daarmee leg je soms ook je proces deels plat. Neem nu de waterschappen: een gemaal gebruikt in de regel tussen de 0 tot 80% van het vermogen om water weg te werken. Als een waterschap ineens op 100% van z’n vermogen begint te draaien, legt een ‘prevention systeem’ het gemaal plat, want er zou een cyberaanval kunnen plaatsvinden. Als je die monitoring te rigide maakt, snij je jezelf in de vingers, want bij hevige regenval, ook al komt dat bijvoorbeeld maar eens per jaar voor, moet dat gemaal toch echt op 100% kunnen draaien. Intrusion detection gaat daar flexibeler mee om: die maakt wel die melding, maar zorgt er voor dat als de procesoperator dat wil, het gemaal toch op 100% kan draaien. Detectie en alarmering dus, in plaats van blokkering.”

Bron: ‘ProcessControl (editie 3/4), juni 2020’

Klik hier om het gehele artikel te lezen.

HUDSON CYBERTEC