Het bewustzijn op gebied van digitale weerbaarheid is de afgelopen jaren steeds verder toegenomen. Juist organisaties die opereren in de infra hebben hier een grote inhaalslag gemaakt en hebben steeds meer aandacht voor de digitale weerbaarheid van hun procesautomatisering. De dagen dat cybersecurity uitsluitend ging over de IT aspecten binnen de kantoorautomatisering zijn daarmee voorgoed voorbij. Organisaties hebben te maken met hun eigen unieke uitdagingen die in grote mate afhankelijk zijn van de wijze waarop de Operationele Technologie (OT) is ingericht en hoe deze is gescheiden van de kantoorautomatisering ofwel IT. De grote verschillen in IT en OT vragen om een andere aanpak en oplossingen. Het beveiligingskader dat wordt toegepast om de digitale weerbaarheid op een gestructureerde wijze te managen moet aansluiten bij de specifieke behoefte van het betreffende domein.
De Baseline Informatiebeveiliging Overheid (BIO) is sinds enkele jaren verplichte kost voor overheidspartijen. Voorheen had zo ongeveer iedereen binnen de overheid zijn eigen beheerkader: waterschappen gebruikten de Baseline Informatiebeveiliging Waterschappen (BIWA); gemeenten hadden de Baseline Informatiebeveiliging Gemeenten (BIG) en de provincies kenden de Interprovinciale Baseline Informatiebeveiliging (IBI). Allemaal zijn ze opgegaan in de BIO. Deze helpt net als zijn voorgangers uitstekend om de digitale weerbaarheid voor de kantoorautomatisering op gestructureerde wijze te managen, maar voorziet niet in de specifieke behoeften van de procesautomatisering.
Daarom besloot Rijkswaterstaat ongeveer 10 jaar geleden een eigen kader te ontwikkelen om te voorzien in de specifieke behoefte voor een OT kader. Dit ontwikkelde zich tot de Cybersecurity Implementatierichtlijn (CSIR). De CSIR had zijn oorsprong in de Baseline Informatiebeveiliging Rijk (BIR), die dus later werd vervangen door de BIO.
CSIR voor Rijkswaterstaat
Rijkswaterstaat heeft nauw samengewerkt met Hudson Cybertec, cybersecurity solution provider voor de Operationele Technologie om de CSIR volledig te updaten en te laten aansluiten bij de vereisten uit de BIO. Michael Theuerzeit, lead consultant bij Hudson Cybertec: “Tegelijk zijn ook maatregelen uit de IEC 62443 meegenomen en is gezorgd dat ook andere kaders zijn geborgd. Zo hebben we samen met Rijkswaterstaat ervoor gezorgd dat de CSIR weer helemaal actueel is.” Rijkswaterstaat heeft daarmee de beschikking over een nieuwe versie van de CSIR die opgebouwd rondom een set van proces- en systeemeisen, resp. VSP’s en VSE’s. Deze eisen zijn integraal onderdeel van de 2.0 versie.
Voor opdrachtnemers is er versie 2.4, waarbij deze eisen onderdeel zijn van de contracteisen. De eisen zijn ook opgenomen in de Inkoopeisen Cybersecurity Overheid Wizard (ICO Wizard). De CSIR is opgebouwd uit maatregelensets rondom tien beveiligingsthema’s, met een aantal bijlagen met een best practice-uitwerking op specifieke onderwerpen.
CSIR voor andere overheidspartijen
De CSIR is daarna verder doorontwikkeld om het kader ook geschikt te maken voor andere overheidspartijen zoals waterschappen, gemeenten en provincies. Bij de ontwikkeling van deze algemene versie heeft het Waterschapshuis de expertise van Hudson Cybertec ingeroepen en is met Rijkswaterstaat en de waterschappen samengewerkt om te komen tot een breed gedragen versie, die voor alle partijen leesbaar, begrijpelijk en toepasbaar is. Deze versies (3.0 voor intern gebruik en 3.4 voor opdrachtnemers) helpen allereerst de watersector om de digitale weerbaarheid van hun OT-omgevingen op gestructureerde wijze te managen.
Op dit moment wordt nog gewerkt aan een operationele uitwerking met daarin een toelichting op verschillende thema’s. Daarbij worden de invulling van cybersecurity en operationele beheerprocessen verder uitgewerkt wat het makkelijker maakt voor de betrokken partijen om de CSIR binnen hun organisatie toe te passen.
‘CSIR HELPT RISICOGESTUURD OM KWETSBARE OT OMGEVINGEN DIGITAAL WEERBAAR TE MAKEN’
Snel de weerbaarheid verbeteren
Veel organisaties kennen een groot areaal aan objecten. Sommige objecten zijn net gebouwd, andere worden al jaren gebruikt of zijn toe aan groot onderhoud. Bestaande langdurige onderhoudscontracten staan de verbetering van de digitale weerbaarheid hierbij soms in de weg. Het is lastig om een object in een bestaand contract volledig in lijn te brengen met de vereisten uit de CSIR. “Focus dan op die maatregelen die redelijk eenvoudig kunnen worden doorgevoerd” geeft Theuerzeit aan: “Maatregelen van organisatorische oorsprong, waarmee procedureel zaken worden afgedwongen, zijn vaak laaghangend fruit. Maar soms ook technische maatregelen die geen directe impact hebben op het primaire proces.“
De toelichting met operationele werkwijzen helpt met het toepassen van de CSIR vóóraf aan het bouwen van nieuwe objecten. Daarnaast geeft de toelichting concrete invulling aan operationele beheerprocessen. Een van de belangrijke thema’s die hierbij besproken wordt is het managen van kwetsbaarheden. Een uniforme aanpak om te komen tot een handelingsperspectief voor het acteren op kwetsbaarheden wordt daarbij besproken en kan kant en klaar worden geïmplementeerd.
Digitaal weerbaar maken
De nieuwe CSIR versies helpen naast Rijkswaterstaat en de waterschappen ook andere partijen met een cybersecuritykader specifiek voor de OT. Michael Theuerzeit besluit: “De CSIR helpt organisaties om hun kwetsbare OT omgevingen op een risicogestuurde wijze digitaal weerbaar te maken. Het kader geeft concrete handvatten waarmee organisaties direct uit de voeten kunnen.”
Meer weten over de CSIR? www.hudsoncybertec.com/trainingen/csir-workshop/
Bron: Otar, mei 2022
HUDSON CYBERTEC