Industriële netwerken Wat te doen als je cyberveiligheid niet op orde is Stapsgewijs naar een cybersecure OT-omgeving Er zijn in de industrie grote verschillen als het gaat om de mate van cybersecurity. Sommige bedrijven zijn al behoorlijk ver, maar er zijn ook bedrijven die nog nauwelijks maatregelen hebben getroffen, vooral op het OT-vlak. Enrico ten Klooster van Modelec laat zien hoe je in een aantal concrete stappen het cybersecurity niveau van je onderneming kunt verhogen. Ook voor bedrijven met legacy hardware, zoals oude PC’s en PLC’s. A Enrico ten Klooster van Modelec an de hand van talloze gesprekken met klanten en experts bemerkte Enrico ten Klooster van Modelec dat er opmerkelijke verschillen zijn met betrekking tot cybersecurity tussen de diverse bedrijven. “Over de bedrijven die het goed voor elkaar hebben op cybersecurity niveau hoeven we ons geen zorgen te maken, maar de bedrijven die te weinig maatregelen hebben genomen, lopen een significant risico. Juist voor die bedrijven bestaat een concreet stappenplan om uit die gevarenzone te komen.” Risicomatrix “Voordat je risicobeperkende stappen gaat zetten, is het belangrijk te weten wat een risico is”, begint Ten Klooster. “Een risico kan je omschrijven als de kans dat een dreiging leidt tot een incident, gekoppeld aan de impact van een incident. Wat voor de één als grote impact geldt, is voor een ander misschien klein of gemiddeld. Dit is per bedrijf en omgeving sterk verschillend.” De impact bij een verstoring is veel groter voor bijvoorbeeld een energieleverancier of waterleidingbedrijf, dan voor een assurantiekantoor, los van het feit dat een cyberbreach altijd vervelend is. “Het uitwerken van een risicomatrix kan je helpen om Het uitwerken van een risicomatrix kan je helpen om de kans op een incident af te zetten tegen de impact... 36 | nummer 7 | 2020 de kans op een incident af te zetten tegen de impact”, legt Ten Klooster uit. “De risicoschalen zijn voor iedere unieke omgeving specifiek te kiezen. Het gaat hierbij om de waarschijnlijkheid dat een incident kan plaatsvinden, afgezet tegen de consequentie. Hierbij kan het om verschillende consequenties gaan, denk aan financiële-, gezondheids- milieu- wettelijke- en uiteraard ook imago schades. Risico’s die frequent voorkomen en een grote impact hebben, zou je moeten willen voorkomen. Risico’s die bijna nooit voorkomen en een zeer lage impact hebben, zijn het misschien niet waard om aan te pakken, zeker als de extra kosten van de maatregelen niet opwegen tegen de kosten van een incident.” Verbazing Ten Klooster verbaast zich met enige regelmaat over de zaken die hij soms tegenkomt. “Ik zie regelmatig assets in het OT netwerk die niet bekend zijn, of zelfs niet eens gedocumenteerd zijn.” Voorbeelden zijn een router die door een systeem of machine toeleverancier naderhand is toegevoegd voor remote beheer, tijdelijke aanpassingen aan bekabeling die nooit teruggedraaid zijn, of zelfs eigen netwerkapparatuur die niet altijd gedocumenteerd blijkt te zijn. “In die gevallen kun je gerust de vraag stellen: hoe ernstig zijn dit soort situaties met betrekking tot de cybersecurity? Dat moge duidelijk zijn: dit is een ernstige bedreiging.” De meeste bedrijven hebben hun eigen netwerkapparatuur veelal, maar niet altijd, goed in beeld. “Maar edge devices, zoals device servers en gateways, en de eerder genoemde remote access routers, blijken vaak minder goed in beeld te zijn”, licht Ten Klooster toe. “Dat is echter juist die apparatuur die direct aan de productie controllers en systemen gekoppeld wordt. We hebben het dus over devices die direct verbonden zijn met de productielijn, maar die eigenlijk vergeten zijn. Dat is dus een overduidelijk groot risico. Juist de apparatuur die met de procesbesturing te maken heeft, krijgt de aandacht van kwaadwillenden. Op het moment dat bepaalde apparatuur niet goed in beeld is en er dus patches worden vergeten, of niet mogelijk zijn, heb je echt een groot risico te pakken.”
37 Online Touch Home