Vaak stellen mensen dat het noodzakelijk is de automatisering van het operationele deel (ot) van een onderneming fysiek te scheiden van de kantoorautomatisering (it). ‘Waar mogelijk doen we dat, maar we hebben ook een bedrijf te runnen; je kunt niet alles loskoppelen’, zegt Erwin van der Zwan, information security officer bij ’s lands grootste waterbedrijf Vitens, tijdens een 'experience day' van it-beveiligingsbedrijf Motiv.
Erwin van der Zwan van Vitens is één van de sprekers tijdens de eerste SOC Experience Day van Motiv in IJsselstein. Dit beveiligingscentrum is gehuisvest in een vroegere paarden-uitspanning, waar Motiv sinds 1998 neerstreek. Bastiaan Bakker, cybersecurity-specialist bij Motiv, gaat in zijn openingswoord in op de geschiedenis van het pand waaruit duidelijk een relatie met security blijkt. Hij brengt het Beleg van IJsselstein (1482) in herinnering toen Utrechtse soldaten tevergeefs probeerden de IJsselsteiners te overweldigen. Het wapengekletter van destijds heeft plaatsgemaakt voor wakende ogen die computerschermen afspeuren naar ongeregeldheden.
Het security operations center (soc) is inmiddels, vertelt Bakker, het middelpunt van alle activiteiten van Motiv. ‘Het is in Nederland en alle verkeer blijft ook in Nederland. Wij hebben een eigen academie om personeel op te leiden. We beschermen ot en it en we werken er met 173 mensen. Zo bedienen we driehonderd klanten, waaronder de gemeenten Amsterdam en Rotterdam, de NS en een academisch ziekenhuis.’
De Parnassia Groep, de grootste aanbieder van geestelijke gezondheidszorg in Nederland, is eveneens klant. ‘Samen met hen besteden wij aandacht aan het tegengaan van cyberpesten, onder meer via het Jeugdjournaal.’
‘Security is geen veiligheid’
Na de presentatie van Bakker volgt die van Van der Zwan; hij gaat in op het werk van Vitens, het grootste drinkwaterbedrijf van Nederland. De onderneming voorziet bijna zes miljoen mensen van drinkwater. Jaarlijks haalt het 350 miljoen kubieke meter water uit de grond en beheert het bedrijf 49.000 km leidingwerk. Het heeft honderd fabrieken voor waterbehandeling. Het water wordt op 240 punten gecontroleerd alvorens het mag worden geleverd. Dat gebeurt geheel automatisch.
De automatisering aan het operationele deel van de onderneming is altijd gekoppeld aan fysieke processen. Mocht er iets mis gaan, dan heeft dat meteen gevolgen voor de bedrijfsprocessen en liggen ongelukken op de loer. ‘Apparatuur en leidingen moeten zo’n dertig tot veertig jaar meegaan. Dat is een essentieel verschil met de kantoorautomatisering’, aldus Van der Zwan. ‘Wij hebben de focus op security, hetgeen overigens iets anders is dan veiligheid.’ Bij dit laatste gaat het erom dat de mensen veilig kunnen werken en er geen ongelukken gebeuren; bij security gaat het erom dat de data beschermd zijn en niemand kan inbreken in de systemen om apparatuur te (ont)regelen.
‘Wij hebben 110 waterwingebieden; dat is 3.300 hectare. De winputten zijn twintig tot tweehonderd meter diep en sommige bevatten water van 20.000 jaar oud. Onze grootste zorg hier is opzettelijke vervuiling.’
Bijna-ramp
Tijdens zijn betoog verhaalt Van der Zwan van bijna-rampen als gevolg van falende ot en/of it. Het is complex geworden. Van der Zwan vertelt niet meer precies te weten wat er in de systemen gebeurt. Er komen dagelijks (onder)aannemers over de vloer; je kunt niet iedereen controleren.
‘Toch moeten wij zien te voorkomen dat onze data worden gemanipuleerd. Dat geldt ook voor onze plc’s. Een essentieel verschil met kantoor-pc’s is dat plc’s direct gekoppeld zijn aan fysieke processen. En dat de signalen die zij moeten doorgeven of opvangen tijdkritisch zijn. Aan de andere kant: als it het niet doet, dan hebben we ook meteen een ot-probleem. Het is zo nauw met elkaar verweven.’
Hij vertelt van ongevallen als gevolg van verouderde apparatuur (‘ouwe meuk’). ‘Ot wordt maar langzaam vervangen’, aldus Van der Zwan. Waarom er dan toch een koppeling is tussen it, dat van internet gebruikmaakt, en ot? ‘Omdat ik een bedrijf heb te runnen. Wij hebben erp, crm, noem maar op. Ik moet rekeningen de deur uit doen, meterstanden (automatisch) controleren, noem maar op. De gegevens uit de operationele systemen heb ik nodig voor administratieve afhandeling. Zonder internet gaat dat niet meer.’
Wie controleert de controleur
De Vitens-manager geeft aan dat er onveilige protocollen bestaan binnen ot, dat veel apparatuur niet is gebouwd voor de huidige, geautomatiseerde internetwereld. De apparatuur is gebouwd om razendsnel handelingen te laten verrichten. ‘Die data kun je niet versturen met een header vol informatie; dat kost te veel tijd.’
Alles wordt op afstand bediend, soms via directe verbindingen, veelal via internet. Motiv helpt zijn soc-problemen tijdig te signaleren en problemen te voorkomen. ‘Negen van de tien aanvallen volgen hetzelfde patroon’, zegt Van der Zwan. ‘Ze beginnen bij de it bovenin om af te zakken naar ot. Wij slaan aanvallen af door de cyclus van predict, prevent, detect en respond. Wij kijken naar scenario’s: waar moeten wij rekening mee houden? Wat komt er op ons af en hoe erg is dat? We verminderen onze kwetsbaarheden.’
Het security-bewustzijn bij het personeel moest omhoog. Dat is een continue proces. ‘Wij gaan in toenemende mate digital twins gebruiken om in de virtuele wereld al testen te kunnen uitvoeren, bijvoorbeeld. Maar we hebben veel operators in dienst met grijze haren. Die hebben heel veel kennis in hun hoofd zitten. Die kennis moeten we zien te digitaliseren. We werken veel met contractors; daar moet je ook afspraken over maken. We hebben een eigen, aparte security-organisatie ingericht. Waarbij we antwoord geven op de vraag: wie controleert de controleur? Voorheen was de uitvoering van het security-beleid versnipperd; iedereen kon inloggen. Nu is alles gecentraliseerd.’
Als het om de omgeving gaat voor de procesautomatisering, dan vindt Van der Zwan dat betere response-plannen op eventuele aanvallen nodig zijn. ‘Bij elk scenario moeten we bedenken hoe we daarmee omgaan. Het beschermen van de Incident Command System-omgeving is heel wat anders dan het beveiligen van een it-platform.’ Zijn aanbevelingen: Houd beide systemen (ot en it) waar mogelijk gescheiden; bedenk waar je in investeert, blijf oefenen en voorbereiden; ken de omgeving.
(Deze bijdrage verscheen eerder in Computable-magazine #01/2020.)
“Houd beide systemen (ot en it) waar mogelijk gescheiden; bedenk waar je in investeert, blijf oefenen en voorbereiden; ken de omgeving”
geweldig, die afsluitende aanbeveling van de specialist. Beoerenverstand is blijkbaar voldoende