Gamen via het bedrijfsnetwerk Bij een minder goede fysieke controle wordt een sluitende cybersecurity, juist ook in het OT-domein, belangrijker. Koning: “Door het thuiswerken mis je de digitale fortificatie die je binnen de muren van je bedrijf wel hebt. Ook al probeer je het thuiswerken goed in te richten, je hebt er toch minder controle op. Als je vanaf je privé PC of laptop verbinding hebt met je bedrijfsnetwerk middels een VPN verbinding en je kinderen gaan na werktijd -met actieve VPN verbinding- op dezelfde PC spelletjes doen of naar malafide websites browsen, dan kan je in lastige situaties terecht komen. In de praktijk zullen mensen niet heel snel vanuit huis inloggen op een installatie, maar toch is dat niet ondenkbaar.” Beperkt Als installaties - in het OT domein - toch benaderd moeten worden vanuit een ander (IT) netwerk, moet dat op een bepaalde manier gebeuren. Koning: “Dat hele protocol moet voldoen aan de IEC 624433 norm, de internationale cybersecurity norm voor Industrial Automation & Control Systems (IACS). Daarbij ga je kijken naar zones en conduits, breng je segmenteringen aan in je netwerken en systemen en dat op een slimme manier. Dat richt je vervolgens zo in dat als er een breach plaatsvindt, de schade beperkt blijft tot een gedeelte van je fabriek.” Updates Op afstand kunnen inloggen op het netwerk hoeft niet persé een probleem te zijn, maar alleen als voldaan is aan een aantal voorwaarden. “Werk daarbij met ‘least privilege’, waarbij degene die inlogt alleen de hoognodige rechten krijgt binnen de gekaderde systemen’, legt Koning uit. “Het is niet slim om iemand op afstand op een engineer workstation te laten komen, waarbij alle PLC’s in de fabriek kunnen worden benaderd. Er is in het OT-domein ook helemaal geen reden om iemand op afstand Er zijn bedrijven die zeggen: ‘Als je zaken met ons wilt doen, zal jouw bedrijf ook conform IEC 62443 moeten functioneren... bij je PLC’s te laten. PLC firmwareupdates of PLC softwareupdates vinden namelijk veel minder frequent plaats dan andere assets in het OT-domein.” Know your network Aan de andere kant is het zeker wel nuttig om informatie afkomstig uit het OT-systeem op afstand te kunnen uitlezen. Koning: “Dat 25
26 Online Touch Home