cyberaanval maar ook op ongeoorloofde toegang tot de assets of zelfs ongeoorloofde setpointwijzigingen. De Hudson Cybertec oplossing aangaande OT-monitoring is, in tegenstelling tot wat veel andere leveranciers aanbieden, specifiek voor het OT-domein ontwikkeld en verder geoptimaliseerd.” geeft veel mogelijkheden om processen in de gaten te houden. Maar je kunt die mogelijkheid ook gebruiken om het netwerk zelf te monitoren. ‘Know your network’ zeggen wij bij Hudson Cybertec altijd. En dat is ook zo, want hoe kun je op bepaalde communicatie vertrouwen als je zelf geen inzicht in die communicatie hebt? Je hebt inzicht nodig in de onderlinge componenten en op de manier waarop die componenten met elkaar communiceren. Mag een PLC alleen maar met een bepaald SCADA station communiceren, of ook met andere fabriekslijnen? Het begint ermee dat je actuele tekeningen hebt van je netwerk waarin de datastromen zijn aangegeven.” En in de praktijk is dat in de IT beter geregeld dan in de OT. “Dat is verklaarbaar”, vindt Koning. “Vanwege de legacy en de snelheid waarmee ontwikkelingen in de OT plaatsvinden. Maar wil je het secure maken, zal je toch echt moeten beginnen met je netwerk goed in kaart brengen.” Juist nu Dat er nu een crisis aan de gang is, wil niet zeggen dat deze tijd ongeschikt is voor het aanscherpen van de cybersecurity, integendeel. Koning: “Ik zou zeggen: doe het juist nu, want heel veel zaken en delen van het proces liggen nu toch stil. Je kunt er nu juist vaak beter bij dan onder normale omstandigheden. Een deel van het inventarisatiewerk kunnen we ook middels online interviews al doen.” Het is juist van groot belang, en niet alleen nu, om precies te weten welke assets er zijn en dat het netwerkverkeer inzichtelijk is en dat er dus niets aan het toeval wordt overgelaten. “Dat betekent in de praktijk dat wij nu druk bezig zijn om netwerksensoren te plaatsen waarmee de communicatie tussen de verschillende assets wordt gemonitord”, legt Koning uit. “Onze OT-monitoring meet onder andere afwijkingen in het netwerkgedrag binnen het OT-netwerk. Deze gedetecteerde afwijkingen kunnen duiden op een Sebastiaan Koning, senior consultant bij Hudson Cybertec: “Know your network!” 26 | nummer 3/4 | 2020 Het is niet slim om iemand op afstand op een engineer workstation te laten komen, waarbij alle PLC’s in de fabriek kunnen worden benaderd... Detection vs prevention Een interessant voorbeeld van hoe OTmonitoring van IT-monitoring verschilt is als het om ‘intrusion detection’ versus ‘intrusion prevention’ gaat. “IT gaat altijd voor prevention”, weet Koning. “Maar daarmee leg je soms ook je proces deels plat. Neem nu de waterschappen: een gemaal gebruikt in de regel tussen de 0 tot 80% van het vermogen om water weg te werken. Als een waterschap ineens op 100% van z’n vermogen begint te draaien, legt een ‘prevention systeem’ het gemaal plat, want er zou een cyberaanval kunnen plaatsvinden. Als je die monitoring te rigide maakt, snij je jezelf in de vingers, want bij hevige regenval, ook al komt dat bijvoorbeeld maar eens per jaar voor, moet dat gemaal toch echt op 100% kunnen draaien. Intrusion detection gaat daar flexibeler mee om: die maakt wel die melding, maar zorgt er voor dat als de procesoperator dat wil, het gemaal toch op 100% kan draaien. Detectie en alarmering dus, in plaats van blokkering.” Proportioneel Cybersecurity maatregelen moeten altijd proportioneel zijn, meent Koning. “Hoe groter je risico is, hoe beter je moet beveiligen. Als je een bescheiden fabriek hebt met lage risico’s volstaat wellicht een goede netwerkscheiding met daarbij een awareness training voor het betreffende personeel. Als je een fabriek hebt waarbij een uur stilstand al tonnen kost, zul je verder moeten gaan. En dat gaat uiteraard nog verder om het moment dat je mogelijk ook omgevingsschade, milieuschade en reputatieschade kunt veroorzaken.” Ketenveiligheid Ondanks dat OT-cybersecurity nog lang niet op het niveau is van IT-cybersecurity, ziet Koning wel ontwikkelingen. “Bedrijven die hun IT en OT kant goed op orde hebben, kijken vaak ook al verder dan alleen hun eigen fabriek. Er zijn bedrijven die zeggen: ‘Als je zaken met ons wilt doen, zal jouw bedrijf ook conform IEC 62443 moeten functioneren. Ketenveiligheid dus. Maar nogmaals, het begint bij jezelf: know your network!” Meer info: www.hudsoncybertec.com
27 Online Touch Home