Hoewel de IT-zijde van datacenters goed beveiligd is, is dat bij de OT-zijde minder vanzelfsprekend. En dat terwijl de Operational Technology cruciaal zijn om rekencentra betrouwbaar te laten draaien. De norm ISA/IEC 62443 moet OT’ers helpen om de cyber security op te hogen. Tijdens het IT Infra kennisevent vertelt Willy Leuvering namens ISA Nederland meer over deze norm en de specifieke problemen die aan de OT-zijde spelen.
Door: Dimitri Reijerman
ISA ontwikkelt al jarenlang standaarden. Ook certificeert de organisatie industrieprofessionals en verstrekt het opleidingen en onderwijs. Cyber security speelt daarbij een steeds belangrijkere rol, waarbij de ISA/IEC 62443-norm steeds meer op de voorgrond komt te staan. “Het is een norm waar heel veel behoefte aan is”, zegt Leuvering. “ISA is een beroepsvereniging van en voor mensen in de process control-wereld. Vanuit die hoek maken we allerhande standaarden om antwoorden te geven op vragen als: hoe integreer ik mijn processysteem met mijn controlesystemen. Voor het ontwikkelen van deze standaarden werken we, als Amerikaanse vereniging, nauw samen met de ANSI maar als je het hebt over standaarden is het handig om internationaal daar een IEC-versie van te hebben.”
Hij vervolgt: “Op het gebied van cyber security is er al in een vroeg stadium voor gekozen om de ontwikkeling van deze standaard samen te doen. Er wordt door verschillende instanties samengewerkt om gestructureerde en inhoudelijk gelijke normen te ontwikkelen. Naar aanleiding van de recente ontwikkelingen op het gebied van procesindustrie en de gevolgen van het niet in orde hebben van de cyber security wordt hier door bedrijven meer aandacht aan gespendeerd. Voornamelijk op het gebied van de kritieke infrastructuur is cyber security cruciaal. Dit zijn nationale nutsvoorzieningen die immers van groot belang zijn en dus geheel cyber secure moeten zijn. Ieder land heeft deze nutsvoorzieningen waardoor het verstandiger is om samen te werken en een internationale norm te ontwikkelen, dan nationale regels te ontwikkelen.
Letterlijk van levensbelang
Leuvering stelt dat een goede beveiliging inmiddels letterlijk van levensbelang is: “Wat je vooral in de gaten moet houden is dat cyberdreigingen heel reëel zijn”, zegt Leuvering. “Er vallen inmiddels doden door cyberaanvallen. Een voorbeeld daarvan is een randsomware-aanval bij de eerste hulp in een ziekenhuis in Duitsland. De data was door de aanval versleuteld waardoor een patiënt in kritieke toestand niet behandeld zou kunnen worden en naar een ziekenhuis een half uur verder weg verplaatst werd. De patiënt in kwestie is daardoor helaas overleden.”
De benadering van het thema cyber security is verschillend in de OT en in de IT-wereld. Zoals Leuvering toelicht: “In de IT-wereld is men al lang bezig met cyber security en het opstellen van normen. Bij de OT hebben we andere eisen en wensen dan aan de IT-kant. Het belangrijkste verschil is dat in de IT-wereld er op het vlak van cyber security wordt vastgehouden aan de ‘CIA-modellen’: confidentiality, integrity en availability. Aan de OT-zijde heb je daarnaast ook te maken met fysieke veiligheid en de veiligheid van mens en milieu.”
“Bovendien kun je in IT-omgevingen vaak op een zondag patches installeren en systemen rebooten. In de OT-wereld gaat dat meestal niet: je hebt in tegenstelling tot de maandelijkse patch Tuesday soms maar twee dagen in augustus per jaar waarop we patches mogen installeren, want de machines draaien 24/7. Dus veel eisen in de ISA/IEC 62443-norm zijn anders opgesteld dan de IT-varianten.”
Defence-in-depth
Leuvering benadrukt dat cyber security in datacenters op meerdere niveaus aandacht vereist: “We zeggen in deze norm ook: het is niet alleen een kwestie van hele dure firewalls kopen. Daarmee ben je er vaak nog niet. Je moet defence-in-depth hebben, en bijvoorbeeld dus ook kijken naar de fysieke toegang tot systemen en de infrastructuur. Want als iemand met kwade intenties een controlekamer kan binnendringen en een hacking device in het netwerk kan pluggen kan hij ook toegang tot het systeem verschaffen, dit wordt echter niet gezien als een klassieke cyber security aanval. Een ander voorbeeld is de NotPetya-malware waardoor een aantal bedrijven miljoenen euro’s schade hebben geleden en daarnaast ook mogelijk onopgemerkte bedrijfsspionage. Bedrijven die geen specifieke aandacht spenderen aan de cyber security van de OT gebruiken vaak als argument dat hackers geen verstand hebben van PLC’s en SCADA-systemen, maar het tegendeel is waar. Kijk maar eens op YouTube.”
Het nut van cyber security is soms lastig te kwantificeren. Toch blijft Leuvering het belang benadrukken: “Veel mensen zien cyber security als een ongemak: ‘Dan moet ik wachtwoorden invullen en weer wijzigen’. Ik denk dat dat niet zo is. Veilig werken met data is een manier van werken die uiteindelijk meer efficiency gaat opleveren. De kosten van het verbeteren van de cyber security zit vaak in de aanschaf van hardware zoals firewalls. De optimalisatie zit hem echter in het verbeteren van processen en de nevenprocessen. Hierdoor wordt het lastig om een volledige ROI te berekenen. Een voorbeeld van die nevenprocessen is de recoverymogelijkheid. Want heb je dat wel geoefend, het terugzetten van jouw back-ups? En zijn dat de laatste versies? Brandoefeningen zijn gemeengoed, maar je moet ook recoveryoefeningen doen om systemen te herbouwen na een incident, cyber of geen cyber.”
Wilt u de lezing van Willy Leuvering bijwonen? Registreer u voor gratis deelname aan dit webinar.