Cybersecurity voor Operational Technology (OT) is een specialisme. Dit verklaren Marcel Jutte en Sebastiaan Koning van Hudson Cybertec, solution provider op het gebied van cybersecurity voor OT.
Een specifieke tak van sport
“Cybersecurity voor OT is heel wat anders dan voor IT-systemen”, zegt Marcel Jutte, managing director van Hudson Cybertec. “Bij dit laatste moet je aan de automatisering van kantooromgevingen denken. Maar bij OT gaat het primair om processen. In de Botlek heb je het dan over de chemie en raffinaderijen. Op de werkvloer daar zijn het niet de stropdassen, maar de overalls die de boel runnen.” Het zijn dus volstrekt andere afdelingen, die elk een verschillende aanpak vergen om de cyberweerbaarheid te vergroten. Want als er in een OT-omgeving iets misgaat, legt Jutte uit, heb je met heel andere gevolgen te maken. “Stel dat een mailserver platgaat. Dan neemt iedereen een extra kop koffie, en als de back-up terug is, gaat men gewoon weer verder met zijn werk. Dat terwijl een fout in de besturing van een fabriek in de chemische sector heel andere gevolgen kan hebben, tot aan explosies en mogelijke doden aan toe. Cybersecurity in OT vereist daarom een andere aanpak.”
Legacy
Jutte spreekt in dit verband van ‘een stukje specialisering’. “Bezint eer ge begint. Ook als je iets gaat testen, moet je dat in OT goed voorbereiden.” Hij haalt het voorbeeld aan van het doorvoeren van patches, iets wat over het algemeen wordt gepropageerd in een IT-omgeving. “Maar als je dit op een besturingscomputer in OT doet, heb je kans dat alles wat eraan is gekoppeld niet of trager werkt met alle mogelijke gevolgen van dien.” Sebastiaan Koning, bij Hudson Cybertec werkzaam als senior consultant, heeft nog een ander voorbeeld. “Een IT-beheerder was bij een fabriek alle servers aan het updaten, zowel van de primaire als secundaire processen. Als gevolg hiervan lag de besturing plat en waren er ettelijke uren nodig voordat de productie weer kon worden hervat.” Een andere karakteristiek van OT is dat er veel ‘legacy’ is, zoals Koning dit noemt. Anders gezegd: oude besturingssystemen, die niet zijn vervangen omdat dan het productieproces moet worden stilgelegd. “Een systeem dat al twintig jaar in bedrijf is, is geen uitzondering. Dergelijke oude apparatuur vergroot de kwetsbaarheid.”
Eerste stap
“Ik ben blij dat cybersecurity voor OT meer aandacht krijgt”, moet Jutte van het hart. Koning sluit zich daarbij aan. “In de OT-wereld is lang onderschat wat er nodig is om tot een hogere digitale weerbaarheid te komen. Dat besef begint nu meer te komen.” Hudson Cybertec kan bedrijven hierbij op verschillende manier begeleiden, om te beginnen met een OT cybersecurity quickscan. Jutte: “Voor bedrijven is dit vaak een eerste stap om te zien waar ze staan. Op basis van de uitkomsten kun je goed in kaart brengen waar de kwetsbaarheden zitten.” Koning spreekt uit ervaring wanneer hij zegt dat dit voor veel bedrijven een eye-opener is, zowel op organisatorisch als technisch vlak. “Naast de bevindingen geven we ook mogelijke ‘quick-wins’ aan. Oftewel met minimale aanpassingen, maximaal resultaat behalen om cyberrisico’s in te perken. Daarna kan eventueel een uitgebreider plan van aanpak worden opgesteld met cybersecuritymaatregelen die je kunt implementeren.”
“Cybersecurity doe je nooit alleen; er zijn altijd vormen van samenwerking”
Samenwerking
Leidend daarbij is het internationale normenkader voor ‘Cybersecurity voor Industriële Automatisering & Controle Systemen’, beter bekend als de IEC 62443. “Dit biedt handvatten op het gebied van de verschillende maatregelen die je kunt nemen”, legt Koning uit. Dit begint met te kijken naar algemeen organisatorisch niveau, door bijvoorbeeld in kaart te brengen wat de risico’s zijn als een systeem of installatie(deel) uitvalt. Ook kunnen stappen worden vastgesteld wat er in zo’n situatie moet gebeuren. “Cybersecurity doe je nooit alleen”, vindt Jutte. “Er zijn altijd vormen van samenwerking. Zo werken we samen met de NEN ten behoeve van IEC 62443-trainingen en zijn we aangesloten bij meerdere belangen- en brancheorganisaties. Daarnaast werken we intensief vóór en samen met onze opdrachtgevers om cybersecurity naar een hoger niveau te brengen. Onze aanpak valt als systematisch en pragmatisch te karakteriseren.”
Dreigingen
Koning adviseert bedrijven om in het pakket aan eisen aan toeleveranciers en systeemintegratoren zeker ook cybersecurity op te nemen. “Natuurlijk is elk bedrijf hoofdelijk verantwoordelijk, maar het is hierbij wel zaak om de hele keten mee te nemen.” Tot slot waarschuwt Koning de cyberdreiging niet te lichtzinnig op te vatten. “De dreigingen wijzigen en nemen toe”, stelt hij. Hij wijst op recente aanvallen na de NotPetya-hack bij Maersk in 2017, zoals op een Noorse aluminiumproducent en een Belgische weefgetouwenfabriek vorig jaar. “We hebben ook gezien dat er specifieke malware is ontwikkeld gericht op safety-systemen in de OT. Die vormen de laatste ‘verdedigingslinie’ in geval van een incident. Het is zaak te voorkomen dat die hierdoor worden geraakt.”
OT monitoring
“Als je niet weet wat je hebt, kun je ook geen maatregelen nemen”, zegt Sebastiaan Koning van Hudson Cybertec. Het bedrijf kan voor klanten in kaart brengen welke assets zich werkelijk in hun systeem bevinden en hoe deze met elkaar communiceren. In rapportages worden onder meer gedetecteerde verdachte zaken uit de datastromen gemeld. “Zo houd je controle en kun je vervolgstappen nemen.”
Bron: Europoort Kringen – augustus 2020
HUDSON CYBERTEC
