‘Cruciale systemen infrastructuur niet goed beveiligd’, kopte RTL Z onlangs. De Cyber Security Raad stelt dat de beveiliging van de operationele technologie (ot) verbeterd moet worden en dat organisaties daar hulp bij moeten krijgen. Een uitstekend advies, dat niet alleen moet gelden voor organisaties in de kritieke infrastructuur, maar voor alle organisaties die met operationele technologie (ot) werken.
De praktijk leert dat er te weinig geïnvesteerd wordt in ot-cybersecurity. Maar als de overheid gaat reguleren, welke elementen moet dit meerjarenprogramma dan bevatten? We kennen in Nederland al veel regels, denk aan HSE-gerelateerde wet– en regelgeving of aan de AVG. Bedrijven zitten niet te wachten op nog meer nieuwe regels waaraan zij dienen te voldoen. Daarom is het verstandig een voorbeeld te nemen aan de bestaande wetgeving en deze uit te breiden met cybercomponenten. Compleet nieuwe wet- en regelgeving is hierdoor niet nodig. Zo schrijft HSE-wetgeving voor dat bedrijfsongevallen en dergelijke gemeld moeten worden en de AVG regelt dit voor datalekken. Het is een kleine moeite om dit uit te breiden naar inbreuken in de operationele technologie (ot). Zodra deze inbreuken gemeld worden, kunnen andere organisaties hiervan op de hoogte worden gesteld, zodat zij niet ook ten prooi vallen aan dezelfde aanvallen.
Goede informatie en veilige innovatie
Daarnaast is in HSE-regelgeving opgenomen dat medewerkers goed geïnformeerd dienen te worden over het waarborgen van de veiligheid. Het is wonderlijk dat men in een fabriek veel aandacht heeft voor bijvoorbeeld persoonlijke veiligheid en hygiëne, maar dat men de bescherming van ot niet op dezelfde wijze waarborgt. Een usb-stick kan fataal zijn voor het draaien van de operatie of het leveren van bijvoorbeeld stroom. Dit is in het verleden gebleken. Kortgeleden, 26 april, is de laatste melding uit Israël waar de waterbedrijven zijn aangevallen. De kern van deze aanvallen op de scada-omgeving was gebaseerd op ‘weak passwords’. Dit kon makkelijk voorkomen worden. Kortom, organisaties zouden verplicht moeten investeren in awareness programma’s, waardoor cyberveiligheid een onderdeel wordt van de routine.
Het derde belangrijke element is het mogelijk maken van veilige innovatie. Medewerkers zijn inmiddels cyberbewust en organisaties wisselen informatie uit als aan de eerste twee elementen is voldaan. Informatie is niet alleen relevant voor het voorkomen van inbreuken. Vaak wordt de informatie omgezet in inzichten om business innovatie mogelijk te maken. Idealiter is zowel interne als externe data om er inzichten uit te verkrijgen geïntegreerd. De paradox is echter dat dit nooit honderd procent veilig kan. Maar achteraf een lek repareren is veel kostbaarder dan security meteen vanaf het begin implementeren. Bovendien worden lekken veelal pas gedicht als de schade al is geleden. Daarom moet security by design verplicht worden gesteld door de overheid om de ot goed te beveiligen. Zo kan er veilige business innovatie plaatsvinden. Het is tijd voor actie om ervoor te zorgen dat onze vitale sectoren te allen tijde blijven draaien en geen makkelijk target zijn voor hackers.
Kijk naar andere landen
Deze drie elementen moet het meerjarenprogramma in ieder geval bevatten. Maar het is ook belangrijk om te leren van andere landen. Zo is in de VS bijvoorbeeld de cio hoofdelijk aansprakelijk indien de ot gehackt wordt. Los van het feit dat het in Europa ondenkbaar is een persoon hoofdelijk verantwoordelijk te maken voor de cybersecurity in een organisatie, zet het organisaties in de VS nog steeds niet aan tot ot-security. In Nederland kunnen we daarom het beste een voorbeeld nemen aan het VK. Zij heeft de Europese NIS Directive strak geïmplementeerd. Hierin zijn Europese afspraken vastgelegd om zowel de cybersecurity binnen de Europese Unie als de bescherming van kritieke infrastructuren te verbeteren. Zo moet informatie tussen landen uitgewisseld worden. Het VK hanteert ten opzichte van Nederland een ruimere maar duidelijke definitie van welke organisaties tot de kritische infrastructuur behoren. Daarnaast is in het VK per industriesector beschreven wat er gedaan moet worden en hoe.
Strikte wetgeving rondom cybersecurity voor de industrie is belangrijk, niet alleen voor de kritieke infrastructuren, maar juist ook voor bijvoorbeeld levensmiddelenfabrikanten. Een meerjarenprogramma en geld vanuit de overheid is dé manier om ervoor te zorgen dat zowel organisaties waar marges onder druk staan, als semi-overheidsorganisaties, met ot-cybersecurity aan de slag gaan. Op naar veilige ot-omgevingen.
Eric ten Bos, lead consultant internet of things (iot) in operationele technologie (ot) bij Thales
Ik ken een paar aansprekende voorbeelden van aanvallen op Scada-systemen, sommige zijn heel ingenieus met een tot de verbeelding sprekende impact. Anderen zijn nogal amateuristisch met een lage impact maar krijgen veel aandacht omdat angst verkoopt. Een aanval op zwakke wachtwoorden of systemen die patches missen is namelijk meer iets voor ‘scriptkiddies’ die nieuwsgierig zijn. Dat is iets anders dan de cyberwarfare van een controle over de kritische infrastructuur door bijvoorbeeld onze Anglo-Amerikaanse ‘vrienden’ die zoals aansprekende voorbeelden laten zien nog altijd onze oosterbuur wantrouwen.
De bescherming van kritieke infrastructuur zou eigenlijk onder Defensie (Joint Sigint Cyber Unit) moeten vallen en zeker niet onder het beheer staan van dijkgraafjes of ambtenaren van andere ministeries.