Events Bedrijven moeten weerbaarder worden voor cybercriminelen Industrial Cyber Security Event 2021 Dinsdag 12 oktober vond het Industrial Cyber Security Event plaats. Op het door FHI georganiseerde event konden deelnemers zich laten informeren en meedoen aan workshops die allemaal relevant zijn voor de procesindustrie. D eelnemers van de workshop ‘Hack the snack’ konden wel heel letterlijk ruiken aan industriële cyber security. In een werkende mobiele pannenkoekenfabriek werd getoond hoe hackers kunnen binnendringen op een industrieel netwerk en hoe het productieproces kan worden verstoord. We lichten er twee lezingen uit: Jacco van der Kolk vertelt over een tool waarmee de weerbaarheid van bedrijven onder de loep kan worden genomen en Johan Rambi vertelt over hoe bedrijven hun weg kunnen vinden naar een risico gebaseerde aanpak. De beveiliging van de industriële procesautomatisering vraagt een andere aanpak dan de IT. Maar hoe bepaal je precies de weerbaarheid als een bedrijf zelf zijn industriële controlesystemen onder de loep wil nemen? Het Digital Trust Center (DTC) ontwikkelde daarvoor een handige tool. Jacco van der Kolk, relatiemanager bij DTC vertelt er meer over. Van der Kolk beschrijft hoe de tool tot stand kwam: “Een aantal partijen heeft in opdracht van de Cybersecurity Alliantie besloten om meer aandacht te geven aan het OT-gedeelte van digitale beveiliging. Bij Operational Technology is de beschikbaarheid nog belangrijker dan in de IT. Je kunt binnen de OT updates niet zomaar uitvoeren bijvoorbeeld, want dan moet je de productie stilleggen. Dat kan in bepaalde gevallen geheel niet.” Hij legt uit hoe bedrijven de tool kunnen inzetten om de weerbaarheid tegen cyberdreigingen te verhogen: “We hebben een tool bedacht waarmee je checks uitvoert op de security aan de OT-kant. Wat heb je al ingericht? Wat heb je nog niet op orde? Wat zou je kunnen doen om de missende elementen te verhelpen? De tool geeft uiteindelijk aan waar een bedrijf staat op het gebied van cyber security aan de OT-zijde.” Het is daarbij de vraag in welke mate OT en IT goed van elkaar zijn afgescheiden. Denk maar eens terug aan Stuxnet... 30 | nummer 6 | 2021 Deelgebieden De tool, die sinds eind juli beschikbaar is, bepaalt middels een aantal vragen hoe belangrijk OT voor een bepaalde onderneming is. Van der Kolk: “Als de OT niet kritisch is, worstel je minder vragen door en ligt het beveiligingsniveau wat een bedrijf moet behalen ook wat lager. En andersom werkt het ook. De vragen zijn grotendeels opgedeeld in de ISOnormeringen die van toepassing zijn, over in totaal zo’n veertien deelgebieden. Aan de hand van een spider diagram krijg je uiteindelijk inzichtelijk waar verbeteringen nodig kunnen zijn.” Omdat informatie over het beveiligingsniveau van bedrijven zeer kritiek is, aggregeert DTC doelbewust heel weinig data uit de tool, zegt Van der Kolk: “Privacy is juist bij dit soort tools uitermate belangrijk. Wel verbeteren we de tool continu. Zo zijn we duidelijker aan gaan geven welke normeringen bij een bepaalde vraag horen bijvoorbeeld.” Zelf benaderen DTC is ook op andere manieren actief om bedrijven te informeren over OT-beveiligingsvraagstukken. In de toekomst ontstaat er mogelijk een wettelijke basis waarmee aanbieders van cyber security oplossingen actiever bedrijven mogen benaderen. “Er is een wetsvoorstel in de maak waarmee we bedrijven ongevraagd mogen gaan benaderen. Zoals onlangs met de kritische Citrix-kwetsbaarheid: momenteel mogen we nog niet zelf kwetsbare bedrijven benaderen maar als de wet er komt wèl. We zijn ook een pilot gestart waarin we aan de hand van IP-blokken en domeinnamen, in samenwerking met het Nationaal Cyber Security Centrum, specifieke dreigingsinformatie aan een selecte groep kunnen doorgeven.” Naar de toekomst kijkende is Van der Kolk zich bewust van het feit dat ransomware een reële dreiging vormt voor de industrie. “Ziekenhuizen zijn al vaak doelwit, want zij betalen wel”, zegt hij. “Ik kan me goed voorstellen dat ze zich meer op industriële bedrijven gaan richten, want ook zij zullen betalen als hun processen worden stilgelegd. Het is daarbij de vraag in welke mate OT en IT goed van elkaar zijn afgescheiden. Denk maar eens terug aan Stuxnet.”
31 Online Touch Home