De beveiliging van de industriële procesautomatisering vraagt een andere aanpak dan de IT. Maar hoe bepaal je precies de weerbaarheid als een bedrijf zelf zijn industriële controlesystemen onder de loep wil nemen? Het Digital Trust Center (DTC) ontwikkelde daarvoor een handige tool en vertelt daarover tijdens het Industrial Cyber Security event op dinsdag 12 oktober.
Namens DTC zal Jacco van der Kolk (relatiemanager) de lezing verzorgen. Wij spraken hem alvast.
Allereerst aan Van der Kolk de vraag hoe deze tool tot stand is gekomen? “Een aantal partijen hebben in opdracht van de Cybersecurity Alliantie besloten om meer aandacht te geven aan het OT-gedeelte van digitale beveiliging”, aldus Van der Kolk. “Bij Operational Technology is de beschikbaarheid nog belangrijker dan in de IT. Je kunt binnen de OT updates niet zomaar uitvoeren bijvoorbeeld, want dan moet je de productie stilleggen. Dat kan in bepaalde gevallen geheel niet.”
Hij legt uit hoe bedrijven de tool kunnen inzetten om de weerbaarheid tegen cyberdreigingen te verhogen: “We hebben een tool bedacht waarmee je checks uitvoert op de security aan de OT-kant. Wat heb je al ingericht? Wat heb je nog niet op orde? Wat zou je kunnen doen om de missende elementen te verhelpen? De tool geeft uiteindelijk aan waar een bedrijf staat op het gebied van cyber security aan de OT-zijde.”
De tool, die sinds eind juli beschikbaar is, bepaalt middels een aantal vragen hoe belangrijk OT voor een bepaalde onderneming is. Van der Kolk: “Als de OT niet kritisch is, worstel je minder vragen door en ligt het beveiligingsniveau wat een bedrijf moet behalen ook wat lager. En andersom. De vragen zijn grotendeels opgedeeld in de ISO-normeringen die van toepassing zijn, over in totaal zo’n veertien deelgebieden. Aan de hand van een spider diagram krijg je uiteindelijk inzichtelijk waar verbeteringen nodig kunnen zijn.”
Omdat informatie over het beveiligingsniveau van bedrijven zeer kritiek is, aggregeert DTC doelbewust heel weinig data uit de tool, zegt Van der Kolk: “Privacy is juist bij dit soort tools uitermate belangrijk. Wel verbeteren we de tool continu. Zo zijn we duidelijker aan gaan geven welke normeringen bij een bepaalde vraag horen bijvoorbeeld.”
DTC is ook op andere manieren actief om bedrijven te informeren over OT-beveiligingsvraagstukken. In de toekomst ontstaat er mogelijk ook een wettelijke basis waarmee DTC actiever bedrijven kan benaderen, zo meent Van der Kolk: “Er is ook een wetsvoorstel in de maak waarmee we bedrijven ongevraagd mogen gaan benaderen. Zoals onlangs met de kritische Citrix-kwetsbaarheid: momenteel mogen we niet zelf kwetsbare bedrijven benaderen maar als de wet er komt wèl. We zijn ook een pilot gestart waarin bedrijven hun IP-blokken en domeinnamen zijn. Aan de hand van deze informatie kunnen we, in samenwerking met het Nationaal Cyber Security Centrum, specifieke dreigingsinformatie aan een selecte groep doorgeven.”
Naar de toekomst kijkende is Van der Kolk zich ook bewust van het feit dat ransomware een reële dreiging vormt voor de industrie. “Ziekenhuizen zijn al vaak doelwit, want zij betalen wel”, zegt hij. “Ik kan me goed voorstellen dat ze zich meer op industriële bedrijven gaan richten, want ook zij zullen betalen als hun processen stilliggen. Het is daarbij de vraag in welke mate OT en IT goed van elkaar zijn afgescheiden. Denk maar eens terug aan Stuxnet.”
Wil je de lezing van Jacco van der Kolk bijwonen? Registreer je kosteloos op de website van het Industrial Cyber Security event.