Terugblik minisymposium: zet cyber security hoger op de agenda
Ddos-aanvallen, ransomware, spionage: criminele hackers hebben tal van middelen en redenen om een doelwit aan te vallen. Daarom ontkomen ook leden van de branche Gebouw Automatisering er niet aan om cyberveiligheid hoog op de agenda te zetten. En er is veel te doen, zo bleek tijdens het recent gehouden minisymposium rondom dit thema.
Door: Dimitri Reijerman
Tijdens de middagsessie bij FHI in Leusden sprak Peter Dijkstra, penningmeester van de branche Gebouw Automatisering, een korte introductie uit.
Rik Boelee van Tucana hield de eerste lezing over ddos-aanvallen. Hij legde uit dat een distributed denial-of-service-aanval zich richt op het lamleggen van websites en servers. Ddos-aanvallen worden al jarenlang uitgevoerd, maar volgens Boelee is er de laatste tijd een trend zichtbaar: criminelen werken nauw samen en kiezen voor een combinatie van datadiefstal, encryptie (ransomware) en ddos-aanvallen. Doel is om geld te verdienen.
Veel van dat geld wordt gebruikt om nieuwe aanvalstechnieken te ontwikkelen. Ook zijn er verschillende soorten ddos-aanvallen: volumetric attacks, TCP state-exhausting (aanvallen op load balancers bijvoorbeeld) en application layer attack die zorgen voor een high load op applicaties. Tegenwoordig worden ze vaak gecombineerd. Boelee benadrukte het belang van regelmatig mitigatietesten, zowel in het lab testen als in een productieomgeving. Verder gaf hij aan dat eindgebruikers volwassener gemaakt moeten worden over deze problematiek, want er is nog weinig aandacht voor in aanbestedingen.
IT en OT
Johan de Wit van Siemens FHI sprak hem al in aanloop naar deze bijeenkomst - sprak in zijn bijdrage over de veiligheid van OT-systemen. Inmiddels is operational technology (OT) onlosmakelijk verbonden met de IT-systemen van bedrijven. Veiligheid is daarbij een extra component ten opzichte van IT. Denk bijvoorbeeld aan een raffinaderij: alle installaties en software moet daar 100 procent getest worden. Het erschil met OT-systemen zit met name in levensduur een potentieel risico voor de cyberveiligheid. Ook zijn veel veiligheidsstandaarden nog volop in ontwikkeling, net als awareness bij (eind)gebruikers. Verder gaf De Wit aan dat Siemens actief veiligheidsproblemen in zijn producten communiceert, juist om veiligheidsrisicos zoveel mogelijk te verkleinen.
Tom van Boheemen (Applied Risk) ging als slotspreker in op het gedrag van de mens in relatie tot cyber security. In zijn betoog stelde hij over het dat security in depth-principe en dat veel risicos zijn te herleiden tot onduidelijke processen binnen de organisatie. Ook het management binnen bedrijven moet actiever meedenken over dit onderwerp. Verder gaf Van Boheemen aan dat trainingen belangrijk zijn. Hij gaf als voorbeeld om werknemers zelf actief PLCs te laten hacken zodat zij inzicht krijgen in zwakke punten van deze controllers.
Aan het einde van de sessie werd er nog gediscussieerd over het thema. Veel aanwezigen gaven aan cyber security hoger op de agenda te willen zetten. Daarom zal dit onderwerp vermoedelijk nog diverse malen tijdens bijeenkomsten van de branche Gebouw Automatisering aan de orde komen.