8 november 2019 – Vrijwel dagelijks lezen we in de krant over cyberincidenten en datalekken. En in toenemende mate is er sprake van cyberaanvallen op bedrijven met industriële processen. Marcel Jutte (Hudson Cybertec) en Jacco van der Kolk (Ministerie van Economische Zaken) hebben tijdens een lezing op het Industrial Cyber Security event de problematiek geschetst aan de hand van praktijkvoorbeelden. Ook gaven zij inzicht in hoe ondernemers zelf hun digitale weerbaarheid kunnen verbeteren. Hudson Cybertec kan op een zeer succesvol evenement terugkijken met aandachtig luisterende toehoorders.

Bron: Dimitri Reijerman

Presentatie FHI 2019

Een consument moet online dagelijks op zijn hoede zijn. Bovendien worden misstanden, waaronder cybercrime, vaker in de media aangekaart. Dit levert een groter bewustzijn op. Ook bedrijven zijn de afgelopen jaren openhartiger geworden over het onderwerp cyber security, behalve als het henzelf betreft, zegt Van der Kolk, werkzaam op het Digital Trust Center van het Ministerie van Economische Zaken: “Er heerst nog steeds een soort taboe op het toegeven dat bedrijven last hebben gehad van cyberincidenten. Ondanks wetgeving, waarin een meldplicht is opgenomen voor organisaties welke deel uitmaken van de vitale sector, merken we dat bedrijven erg terughoudend zijn in het melden van deze cyberincidenten.”

Jutte vult hem aan: “Het is zeker nog niet de normaalste zaak van de wereld dat bedrijven dit kenbaar maken. Op een bepaalde manier wordt er anders omgegaan met een brand-incident dan met een cyberincident. Juist door het delen van informatie kan de hele industriesector er beter van worden. Als een OT-apparaat bij bedrijf A wordt geïnfecteerd kan hetzelfde bij bedrijf B gebeuren. De een kan leren van de ander. Uiteraard snappen we dat er reputatieschade kan worden opgelopen. Helaas is het wel zo dat de vraag niet is óf je wordt geraakt maar wanneer je wordt geraakt. Het is dus juist nu van belang om nú al de juiste voorzorgsmaatregelen te nemen.”

Kwetsbaarheid van OT-systemen

Naast de kwetsbaarheid van IT-systemen, die in vrijwel elk bedrijf zijn terug te vinden, vormt binnen de Industriële Automatisering hardware en software aan de OT-kant steeds vaker een risicofactor. Van der Kolk: “De systemen binnen de OT waren jarenlang autonome systemen, los van het reguliere IT-systeem en zeker niet verbonden met internet. Sommige systemen draaien al tientallen jaren en zijn destijds niet ontworpen met het oog op security, maar met name op bedrijfscontinuïteit. Door maatschappelijke en economische ontwikkelingen is de connectiviteit toegenomen. Meer en meer OT-systemen zijn ook via internet benaderbaar. Praktisch en handig voor de operator die vanuit huis even snel een aantal instellingen kan controleren. Maar gebeurt dat wel veilig?”

“De vraag niet is óf je wordt geraakt maar wanneer je wordt geraakt”

Maar niet alleen bestaande, relatief oude OT-systemen zijn kwetsbaar. Volgens Jutte moet er ook aandacht zijn voor geheel nieuwe systemen: “Ook nu komen er nog componenten op de markt welke niet cyberveilig zijn. Het blijven natuurlijk wel bedrijven zelf die dit bewust of onbewust inzetten. Bedrijven zouden zich meer bewust mogen worden van de risico’s die zij lopen met de inzet van technologie.” Aanvullend zegt Jutte: “Er lopen (inter)nationale initiatieven die bijvoorbeeld leveranciers gaan verplichten om een aantal jaar updates te ondersteunen voor producten die zij leveren. Ook zijn er al diverse (Europese) initiatieven om een keurmerk op gebied van cyberveiligheid te introduceren. Certificering van componenten en installatiedelen op het gebied van cyberveiligheid is een belangrijke stap en meer en meer organisaties zullen dit ook gaan eisen.”

Verhogen van de weerbaarheid

Beide heren hebben tijdens het Industrial Cyber Security event de bezoeker meegenomen in een aantal mogelijkheden om de weerbaarheid van hun OT-systemen te verbeteren. Jutte geeft alvast een richting aan hoe een plan van aanpak er uit zou kunnen zien: “Globaal moet je nadenken over wat je voor een incident kan doen, wat je tijdens een incident moet doen en na een incident moet doen. Vaak ontbreekt het aan het bewustzijn van de cyberrisico’s en de mogelijke gevolgen. Concreet betekent dit, weten wat belangrijk is in je bedrijf, zorg voor veiligheid door backups, firewalls, goede passwords, afspraken met de systeemintegrator en allerbelangrijkste: zorg dat je medewerkers alert zijn en creëer een cultuur waarin ze het mogen én kunnen melden als ze het gevoel hebben dat er iets aan de hand is. Deze ‘human firewall’ is voor jou een belangrijke verdedigingslinie tegen cyber incidenten en aanvallen.”

Van der Kolk heeft nog een aantal aanvullende tips: “Het uit laten voeren van een nulmeting of assessment op het gebied van cybersecurity is een goede start om mee te beginnen. De uitkomst geeft o.a. aan welke installatiedelen kwetsbaar zijn voor digitale incidenten.”

Rol voor de overheid

Afsluitend ziet Van der Kolk ook een rol voor de overheid, bijvoorbeeld via het Digital Trust Center (DTC) waar hij actief is: “Naast wetgeving is het delen van kennis en aangaan van het gesprek over dit onderwerp ook een rol die de overheid op zich heeft genomen. Door concreet bedrijven te helpen in het organiseren van informatie delen en samenwerken op dit onderwerp. Het DTC heeft hiermee ervaring en ondersteunt inmiddels samenwerkingsverbanden in Nederland waarin bedrijven samenwerken aan weerbaarheid. Daarnaast zijn zowel de overheid als private partijen betrokken met nationale en EU-wetgeving over de kwaliteit van digitale producten en diensten.”

“Er loopt ook een programma, de roadmap digitale hard- en software, waarbij niet alleen de afnemerskant wordt geïnformeerd, maar waar ook leveranciers en producenten zullen worden aangesproken op hun verantwoordelijkheid. Verder stimuleert de overheid via verschillende kanalen wetenschappelijk onderzoek naar cybersecurity. Vanuit het ministerie van Economische Zaken uiteraard met de bedoeling om zoveel mogelijk een veilige omgeving te creëren die ondernemend Nederland zichzelf verder laat ontwikkelen.”

HUDSON CYBERTEC