De maand mei in 2018 stond in agenda’s van veel Europese en Nederlandse cybersecurityprofessionals met rood omcirkeld. Niet alleen vanwege de invoering van de Algemene Verordening Gegevensbescherming (AVG), maar zeker ook vanwege de implementatie van de NIB-richtlijn voor netwerk- en informatieveiligheid (beter bekend als de NIS Directive) op Europees niveau. Deze NIS Directive is een uitvloeisel van een toenemende wens om de cybersecurity van kritieke nationale infrastructuren op het Europese continent verder te versterken.
De NIS Directive (voluit: Directive (EU) 2016/1148 concerning measures for a high common level of security of network and information systems across the Union) heeft de afgelopen tijd niet zo in de spotlights gestaan als de AVG. Het lijkt erop dat dit komt door het relatief geringe aantal daadwerkelijke (geslaagde) digitale aanvallen op deze kritieke nationale infrastructuren. Zo meldde het National Cyber Security Centre in het Verenigd Koninkrijk recent dat het meer dan duizend cyberaanvallen heeft verijdeld. Geen van deze aanvallen was echter gericht op de technologieën die de operaties van vele van deze kritieke nationale infrastructuren aansturen, zogenaamde Industriële Controlesystemen (ICS).
Toch zijn er veel voorbeelden bekend van dit soort aanvallen op vitale infrastructuren binnen en buiten Europa. Aanvallen ook waarvan experts voorspellen dat het aantal de komende twee jaar zal verdubbelen. Dit vanwege de toename van aan het internet verbonden apparaten en een toenemend tekort aan digitale vaardigheden. Nu de NIS Directive per 10 mei 2018 daadwerkelijk in werking is getreden en de nationale implementatie de komende maanden moet plaatsvinden is het tijd voor actie.
Security herbekijken in het licht van de NIS Directive
De NIS Directive is gepositioneerd als de eerste cybersecuritywetgeving op EU-niveau. De focus van de wetgeving ligt vooral op Aanbieders van Essentiele Diensten (AED’s) en Digital Service Providers (DSP). De wetgeving verplicht deze partijen passende en evenredige technische en organisatorische cybersecuritymaatregelen te implementeren. Daarnaast verplicht het ook it-incidenten met substantiële impact op het primaire proces te melden bij een aangewezen bevoegde nationale autoriteit. De lidstaten van de EU hebben tot begin november de tijd om de AED’s aan te wijzen. Sommige lidstaten hebben dat al gedaan. Anderen, waaronder Nederland, zitten nog midden in dat proces. Partijen in de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur, die als AED gaan worden aangemerkt, krijgen hiervoor binnenkort een officiële aanwijzing.
Het goede nieuws is: Nederland hoeft niet vanaf nul te beginnen. De afgelopen jaren heeft al diverse cybersecurity-wetgeving het licht gezien. Denk aan de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc), die per 1 januari 2018 volledig van kracht is geworden. Daarbij hebben meerdere nationale cybersecurity-strategieën elkaar opgevolgd en zijn diverse instituties ingesteld, waaronder het Nationaal Cyber Security Centrum. Hiermee wordt al voldaan aan enkele eisen die in de NIS Directive worden gesteld aan de EU-lidstaten. De bepalingen in de huidige Wgmc worden opgenomen in de nieuwe Cybersecuritywet, die momenteel voorligt bij de Tweede Kamer.
Wat betekent deze nieuwe Cybersecuritywet nu concreet voor deze AED’s?
De Csw beschrijft dat AED’s passende en evenredige technische en organisatorische cybersecurity- maatregelen moeten implementeren. Dit houdt in dat deze organisaties een gedegen risicomanagement proces moeten hebben geïmplementeerd. De implementatie van de maatregelen dient gebaseerd te zijn op het mitigeren van de IT-risico’s die de betreffende organisatie heeft geïdentificeerd. Risico’s die de operationele dienstverlening in gevaar kunnen brengen en daarmee in bredere zin de samenleving. De Minister van Economische Zaken en Klimaat (namens deze het Agentschap Telecom), De Nederlandsche Bank N.V., Minister van Infrastructuur en Waterstaat en Minister voor Medische Zorg zijn aangewezen als bevoegde autoriteit om toezicht te houden en dus ook te toetsen of de AED’s adequate maatregelen hebben geïmplementeerd.
Duidelijk is dat er vanuit de Csw veel nadruk gelegd gaat worden op het implementeren van securitymaatregelen in de operationele omgevingen van de AED’s. Industriële Controle Systemen sturen de operationele processen van deze bedrijven aan en vormen daarmee het hart van operationele omgevingen. En laat ICS Cyber Security nu net het terrein zijn, waar vele organisaties nog moet verbeteren. Dat is wat wij zien in onze dagelijkse praktijk. Er zijn enkele voorlopers op het gebied van ICS Cyber Security, maar de kennis en expertise op dit terrein is schaars. Overigens niet alleen bij de bedrijven zelf, maar ook bij de leveranciers, integrators, auditors en consultants.
Bij het uitvoeren van ICS Cyber Security assessments bij vele soorten organisaties zien wij dat partijen die een risico-gedreven aanpak hanteren het hoogste volwassenheidsniveau hebben. Zij kiezen bewust voor het implementeren van technische en organisatorische maatregelen die het meest bijdragen aan het terugbrengen van de operationele risico’s die zij als organisatie lopen. Een duidelijke governance-structuur is daarbij belangrijk, waarbij de uiteindelijke keuzes voor het wel of niet implementeren van maatregelen genomen wordt door of in ieder geval in samenspraak met de business.
Uit risicoanalyses komt een set van maatregelen naar voren, die – grosso modo – het meest effectief is om ICS cybersecurity-risico’s tot een aanvaardbaar niveau te verminderen. Dit betreft toegangscontrole, netwerk architectuur met een adequate segmentatie, een passend patchbeleid, goede maatregelen rondom het gebruik van portable media (usb’s, dvd’s, tablets en laptops), implementatie van antivirus-software, logging en monitoring, een periodiek getest backup- en restore-proces en niet te vergeten een goed werkend incident-responsproces voor die gevallen waar je ondanks alle preventieve maatregelen toch wordt geraakt.
De nieuwe wetgeving zal naar verwachting een extra impuls geven aan het daadwerkelijk implementeren van maatregelen. Immers de dreiging van boetes of, nog erger, het verschijnen in publicaties dat je als bedrijf je zaken niet goed op orde hebt, zal voor extra aandacht van het management zorgen. Gezien het huidige dreigingsbeeld zou dat niet de drijvende kracht moeten zijn om in actie te komen.
Het belangrijkste doel van de NIS Directive en ook de Csw is om implementatie van goede beveiligingsmaatregelen te bevorderen. Vanuit dat oogpunt moet de Cybersecuritywet ook niet worden gezien als verhoging van de regeldruk, maar juist als ideale gelegenheid om te toetsen of het beveiligingsbeleid en de -procedures nog steeds voldoen aan de eisen van de steeds meer verbonden moderne wereld. Als deze processen niet up-to-date zijn, is het nu tijd om ze opnieuw te beoordelen om de dreiging van een mogelijke inbreuk te beperken.
Auke Huistra, partner bij Applied Risk