Industriële Automatisering: Cybersecurity maakt het verschil!

Vrijwel dagelijks lezen we in de krant over cyberincidenten en datalekken. En in toenemende mate is er sprake van cyberaanvallen op bedrijven met industriële processen. Marcel Jutte (Hudson Cybertec) en Jacco van der Kolk (Ministerie van Economische Zaken) hebben tijdens een lezing op het Industrial Cyber Security event de problematiek geschetst aan de hand van praktijkvoorbeelden. Ook gaven zij inzicht in hoe ondernemers zelf hun digitale weerbaarheid kunnen verbeteren. Hudson Cybertec kan op een zeer succesvol evenement terugkijken met aandachtig luisterende toehoorders.

Bron: Dimitri Reijerman

Een consument moet online dagelijks op zijn hoede zijn. Bovendien worden misstanden, waaronder cybercrime, vaker in de media aangekaart. Dit levert een groter bewustzijn op. Ook bedrijven zijn de afgelopen jaren openhartiger geworden over het onderwerp cyber security, behalve als het henzelf betreft, zegt Van der Kolk, werkzaam op het Digital Trust Center van het Ministerie van Economische Zaken: “Er heerst nog steeds een soort taboe op het toegeven dat bedrijven last hebben gehad van cyberincidenten. Ondanks wetgeving, waarin een meldplicht is opgenomen voor organisaties welke deel uitmaken van de vitale sector, merken we dat bedrijven erg terughoudend zijn in het melden van deze cyberincidenten.”

Jutte vult hem aan: “Het is zeker nog niet de normaalste zaak van de wereld dat bedrijven dit kenbaar maken. Op een bepaalde manier wordt er anders omgegaan met een brand-incident dan met een cyberincident. Juist door het delen van informatie kan de hele industriesector er beter van worden. Als een OT-apparaat bij bedrijf A wordt geïnfecteerd kan hetzelfde bij bedrijf B gebeuren. De een kan leren van de ander. Uiteraard snappen we dat er reputatieschade kan worden opgelopen. Helaas is het wel zo dat de vraag niet is óf je wordt geraakt maar wanneer je wordt geraakt. Het is dus juist nu van belang om nú al de juiste voorzorgsmaatregelen te nemen.”

Kwetsbaarheid van OT-systemen

Naast de kwetsbaarheid van IT-systemen, die in vrijwel elk bedrijf zijn terug te vinden, vormt binnen de Industriële Automatisering hardware en software aan de OT-kant steeds vaker een risicofactor. Van der Kolk: “De systemen binnen de OT waren jarenlang autonome systemen, los van het reguliere IT-systeem en zeker niet verbonden met internet. Sommige systemen draaien al tientallen jaren en zijn destijds niet ontworpen met het oog op security, maar met name op bedrijfscontinuïteit. Door maatschappelijke en economische ontwikkelingen is de connectiviteit toegenomen. Meer en meer OT-systemen zijn ook via internet benaderbaar. Praktisch en handig voor de operator die vanuit huis even snel een aantal instellingen kan controleren. Maar gebeurt dat wel veilig?”

“De vraag niet is óf je wordt geraakt maar wanneer je wordt geraakt”

Maar niet alleen bestaande, relatief oude OT-systemen zijn kwetsbaar. Volgens Jutte moet er ook aandacht zijn voor geheel nieuwe systemen: “Ook nu komen er nog componenten op de markt welke niet cyberveilig zijn. Het blijven natuurlijk wel bedrijven zelf die dit bewust of onbewust inzetten. Bedrijven zouden zich meer bewust mogen worden van de risico’s die zij lopen met de inzet van technologie.” Aanvullend zegt Jutte: “Er lopen (inter)nationale initiatieven die bijvoorbeeld leveranciers gaan verplichten om een aantal jaar updates te ondersteunen voor producten die zij leveren. Ook zijn er al diverse (Europese) initiatieven om een keurmerk op gebied van cyberveiligheid te introduceren. Certificering van componenten en installatiedelen op het gebied van cyberveiligheid is een belangrijke stap en meer en meer organisaties zullen dit ook gaan eisen.”

Verhogen van de weerbaarheid

Beide heren hebben tijdens het Industrial Cyber Security event de bezoeker meegenomen in een aantal mogelijkheden om de weerbaarheid van hun OT-systemen te verbeteren. Jutte geeft alvast een richting aan hoe een plan van aanpak er uit zou kunnen zien: “Globaal moet je nadenken over wat je voor een incident kan doen, wat je tijdens een incident moet doen en na een incident moet doen. Vaak ontbreekt het aan het bewustzijn van de cyberrisico’s en de mogelijke gevolgen. Concreet betekent dit, weten wat belangrijk is in je bedrijf, zorg voor veiligheid door backups, firewalls, goede passwords, afspraken met de systeemintegrator en allerbelangrijkste: zorg dat je medewerkers alert zijn en creëer een cultuur waarin ze het mogen én kunnen melden als ze het gevoel hebben dat er iets aan de hand is. Deze ‘human firewall’ is voor jou een belangrijke verdedigingslinie tegen cyber incidenten en aanvallen.”

Van der Kolk heeft nog een aantal aanvullende tips: “Het uit laten voeren van een nulmeting of assessment op het gebied van cybersecurity is een goede start om mee te beginnen. De uitkomst geeft o.a. aan welke installatiedelen kwetsbaar zijn voor digitale incidenten.”

Rol voor de overheid

Afsluitend ziet Van der Kolk ook een rol voor de overheid, bijvoorbeeld via het Digital Trust Center (DTC) waar hij actief is: “Naast wetgeving is het delen van kennis en aangaan van het gesprek over dit onderwerp ook een rol die de overheid op zich heeft genomen. Door concreet bedrijven te helpen in het organiseren van informatie delen en samenwerken op dit onderwerp. Het DTC heeft hiermee ervaring en ondersteunt inmiddels samenwerkingsverbanden in Nederland waarin bedrijven samenwerken aan weerbaarheid. Daarnaast zijn zowel de overheid als private partijen betrokken met nationale en EU-wetgeving over de kwaliteit van digitale producten en diensten.”

“Er loopt ook een programma, de roadmap digitale hard- en software, waarbij niet alleen de afnemerskant wordt geïnformeerd, maar waar ook leveranciers en producenten zullen worden aangesproken op hun verantwoordelijkheid. Verder stimuleert de overheid via verschillende kanalen wetenschappelijk onderzoek naar cybersecurity. Vanuit het ministerie van Economische Zaken uiteraard met de bedoeling om zoveel mogelijk een veilige omgeving te creëren die ondernemend Nederland zichzelf verder laat ontwikkelen.”

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.