Know your network!

De laatste jaren is er een toename te zien in cyberaanvallen die gericht zijn op het OT-domein. Nu er minder personeel op de werkvloer aanwezig is, lopen bedrijven het risico dat er minder inzicht en toezicht is op de cybersecurity binnen het bedrijf. Niet alleen omdat fysieke toegang wellicht makkelijker is dan normaal, maar ook omdat er minder zicht is op informatiestromen in het OT.  

Minder personeel op de werkvloer resulteert vaak in minder inzicht in het proces. Volgens Sebastiaan Koning, senior consultant bij Hudson Cybertec gaat het dan niet over de niveaus en voorraden, maar dieper in de automatiseringslaag. “Als je ter plekke geen zicht heb op je proces, kan je dan die informatiestromen op PLC-niveau nog wel vertrouwen?”

Binnenkomen

Goede cybersecurity zit hem niet alleen in de technische kant. Dus alleen het plaatsen van firewalls is zeker niet voldoende. De mens op de werkvloer én de organisatie zijn, samen met de techniek, dé drie pijlers waar cybersecurity op rust. In tijden van corona zijn die twee niet-technische pijlers anders dan anders. En dat kan gevolgen hebben voor cybersecurity.

Dat kan hem in heel simpele dingen zitten, weet Koning. “Minder mensen op de vloer betekent minder overzicht. Zonder goede toegangsbeveiliging kunnen mensen gemakkelijker binnenkomen en minder snel worden opgemerkt. Een crimineel met verstand van zaken trekt ergens een camera of een PLC los, sluit een laptop aan die zich voordoet als die camera of PLC en kan zo je OT-netwerk op.”

Gamen via het bedrijfsnetwerk

Bij een minder goede fysieke controle, wordt een sluitende cybersecurity, juist ook in het OT-domein, belangrijker. Koning: “Door het thuiswerken mis je de digitale fortificatie die je binnen de muren van je bedrijf wel hebt. Ook al probeer je het thuiswerken goed in te richten, je hebt er toch minder controle op. Als je vanaf je privé PC/laptop verbinding hebt met je bedrijfsnetwerk d.m.v. een VPN verbinding en je kinderen gaan na werktijd (met actieve VPN verbinding) verder op dezelfde PC spelletjes doen of naar malavide websites browsen, dan kan je in lastige situaties terecht komen. In de praktijk zullen mensen niet heel snel vanuit huis inloggen op een installatie, maar toch is dat niet ondenkbaar.”

Beperkt

Als installaties – in het OT domein – toch benaderd moeten worden vanuit een ander (IT) netwerk, moet dat op een bepaalde manier gebeuren. Koning: “Dat hele protocol moet voldoen aan de IEC 62443 norm, de internationale cybersecurity norm voor Industrial Automation & Control Systems (IACS). Daarbij ga je kijken naar zones en conduits, breng je segmenteringen aan in je netwerken en systemen en dat op een slimme manier. Dat richt je vervolgens zo in dat als er een breach plaatsvindt, de schade beperkt blijft tot een gedeelte van je fabriek.”

Updates

Op afstand kunnen inloggen op het netwerk hoeft niet persé een probleem te zijn, maar alleen als voldaan is aan een aantal voorwaarden. “Werk daarbij met ‘least privilege’, waarbij degene die inlogt alleen de hoognodige rechten krijgt binnen de gekaderde systemen’, legt Koning uit. “Het is niet slim om iemand op afstand op een engineer workstation te laten komen, waarbij alle PLC’s in de fabriek kunnen worden benaderd. Er is in het OT-domein ook helemaal geen reden om iemand op afstand bij je PLC’s te laten. PLC firmwareupdates of PLC softwareupdates vinden namelijk veel minder frequent plaats dan andere assets in het OT-domein.

“Er zijn bedrijven die zeggen: ‘Als je zaken met ons wilt doen, zal jouw bedrijf ook conform IEC 62443 moeten functioneren…”

Know your network

Aan de andere kant is het zeker wel nuttig om informatie afkomstig uit het OT-systeem op afstand te kunnen uitlezen. Koning: “Dat geeft veel mogelijkheden om processen in de gaten te houden. Maar je kunt die mogelijkheid ook gebruiken om het netwerk zelf te monitoren. ‘Know your network’ zeggen wij bij Hudson Cybertec altijd. En dat is ook zo, want hoe kun je op bepaalde communicatie vertrouwen als je zelf geen inzicht in die communicatie hebt? Je hebt inzicht nodig in de onderlinge componenten en op de manier waarop die componenten met elkaar communiceren. Mag een PLC alleen maar met een bepaald SCADA station communiceren, of ook met andere fabriekslijnen? Het begint ermee dat je actuele tekeningen hebt van je netwerk waarin de datastromen zijn aangegeven.”

En in de praktijk is dat in de IT beter geregeld dan in de OT. “Dat is verklaarbaar”, vindt Koning. “Vanwege de legacy en de snelheid waarmee ontwikkelingen in de OT plaatsvinden. Maar wil je het secure maken, zal je toch echt moeten beginnen met je netwerk goed in kaart brengen.”

Juist nu

Dat er nu een crisis aan de gang is, wil niet zeggen dat deze tijd ongeschikt is voor het aanscherpen van de cybersecurity, integendeel. Koning: “Ik zou zeggen: doe het juist nu, want heel veel zaken en delen van het proces liggen nu toch stil. Je kunt er nu juist vaak beter bij dan onder normale omstandigheden. Een deel van het inventarisatiewerk kunnen we ook middels online interviews al doen.”

Het is juist van groot belang, en niet alleen nu, om precies te weten welke assets er zijn en dat het netwerkverkeer inzichtelijk is en dat er dus niets aan het toeval wordt overgelaten. Dat betekent in de praktijk dat wij nu druk bezig zijn om netwerksensoren te plaatsen waarmee de communicatie tussen de verschillende assets wordt gemonitord”, legt Koning uit. “Onze OT-monitoring meet o.a. afwijkingen in het netwerkgedrag binnen het OT-netwerk. Deze gedetecteerde afwijkingen kunnen duiden op een cyberaanval maar ook ongeoorloofde toegang tot de assets of zelfs ongeoorloofde setpointwijzigingen.

De Hudson Cybertec oplossing aangaande OT-monitoring is, in tegenstelling tot wat veel andere leveranciers aanbieden, specifiek voor het OT-domein ontwikkeld en verder geoptimaliseerd.

Detection vs prevention

Een interessant voorbeeld van hoe OT-monitoring van IT-monitoring verschilt is als het om ‘intrusion detection’ versus ‘intrusion prevention’ gaat. “IT gaat altijd voor prevention”, weet Koning. “Maar daarmee leg je soms ook je proces deels plat. Neem nu de waterschappen: een gemaal gebruikt in de regel tussen de 0 tot 80% van het vermogen om water weg te werken. Als een waterschap ineens op 100% van z’n vermogen begint te draaien, legt een ‘prevention systeem’ het gemaal plat, want er zou een cyberaanval kunnen plaatsvinden. Als je die monitoring te rigide maakt, snij je jezelf in de vingers, want bij hevige regenval, ook al komt dat bijvoorbeeld maar eens per jaar voor, moet dat gemaal toch echt op 100% kunnen draaien. Intrusion detection gaat daar flexibeler mee om: die maakt wel die melding, maar zorgt er voor dat als de procesoperator dat wil, het gemaal toch op 100% kan draaien. Detectie en alarmering dus, in plaats van blokkering.”

HUDSON CYBERTEC

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.