Operationele processen worden in rap tempo geautomatiseerd en gedigitaliseerd. Allerlei data over deze processen worden verzameld en vormen bij veel organisaties de belangrijkste input om de productie te optimaliseren. Door data te optimaliseren, zijn organisaties in staat hun prestaties te optimaliseren, trends te herkennen en updates en verbeteringen door te voeren. Operationele technologie (ot) voert dan ook steeds meer taken uit, van het besturen van robots op een productievloer tot het bewaken van infrastructuur.
Echter brengt dit ook de nodige cyberrisico’s met zich mee. Industriële systemen die zijn verbonden met het internet en niet goed beveiligd zijn, kunnen gevaarlijke situaties veroorzaken en een enorme maatschappelijke impact hebben. Veel ot ondersteunt immers onze vitale infrastructuur. Denk hierbij aan drinkwatervoorzieningen, elektriciteitsnetten, olie en gasvoorzieningen, de infrastructuur van onze communicatie en het openbaar vervoer. Een strategische cyberaanval, door bijvoorbeeld de stroomvoorziening te hacken en losgeld te eisen, kan dan ook tot grote maatschappelijke ontwrichting zorgen. Cybercriminelen weten dit als geen ander en zijn dan ook actief op zoek naar zwakke plekken om ot aan te vallen.
Domein
Om de security van operationele systemen te waarborgen, is het belangrijk dat organisaties de kloof tussen it en ot dichten. Beiden domeinen hebben ten opzichte van elkaar tegengestelde belangen. Waar de it zich richt op het waarborgen van de vertrouwelijkheid van informatie, richt de ot zich op de beschikbaarheid en integriteit van systemen. Bovendien is binnen het ot-domein continuïteit van de processen van groot belang, deze kunnen meestal niet zomaar gestopt of onderbroken worden zonder grote gevolgen.
Om te voorkomen dat cybercriminelen een succesvolle aanval uitvoeren, zullen organisaties extra beveiligingsmaatregelen moeten nemen naast de traditionele beveiliging van een it-omgeving. Zo doen organisaties er bijvoorbeeld verstandig aan om te kiezen voor één monitoroplossing, die zowel de it- als ot-omgeving kan analyseren. Hoewel organisaties vaak de productie niet willen stilleggen om updates uit te voeren, is het verstandig om dit wel te doen. De kans op kwetsbaarheden is immers groot en cybercriminelen gaan proactief op zoek naar kwetsbaarheden. Onderhoud daarom de software van je apparaten regelmatig en voer alle updates uit.
Naast de technologische kloof is het ook zaak om binnen de werkcultuur de kloof te verkleinen. Start een gezamenlijk overleg tussen het it- en ot-team. Dit geeft richting aan een integrale aanpak van cybersecurity. Securitytrainingen zijn belangrijk om cyberaanvallen te voorkomen. Dankzij een cyberbewustzijntraining weet iedereen binnen de organisatie dat ot-security onderdeel is van de primaire bedrijfsprocessen.
In control
Betrek ook het management bij alle processen door regelmatig operationele audits uit te voeren. Een operationele audit toont aan in hoeverre de organisatie ‘in control’ is. Hierbij wordt het functioneren van het operationele systeem van de organisatie doorgelicht. De audit kan zich richten op de verschillende onderdelen van de management control cyclus, en benadrukt de verantwoordelijkheid van het management voor alle stappen binnen de cyclus. Op deze manier kan het management bepalen wat de acceptabele risico’s en bijbehorende investeringsbehoeften zijn, aangezien zij verantwoordelijk zijn voor de productieprocessen. Het management doet er daarnaast verstandig aan om it- en ot medewerkers die gelijkwaardig werk doen ook gelijkwaardig te waarderen.
Kortom, cybersecurity wordt door veel organisaties nog steeds vanuit de it-kant bekeken, terwijl ze de operationele kant vergeten. Hierdoor lopen veel vitale infrastructuren een risico. Organisaties moeten zich realiseren dat cybersecurity zich moet richten op de gehele organisatie en het verkleinen van de kloof tussen it en ot. Tenslotte kennen cybercriminelen geen zwartwitgrens tussen de twee domeinen.
(Auteur Matthias Maier is EMEA director of productmMarketing bij Splunk.)
Wat betreft de afweging van acceptabele risico’s misschien ‘omdenken’ door eerst de impact van verstoring te bepalen en dan naar de oorzaken om vervolgens maatregelen te nemen. Bewustzijn aangaande de afhankelijkheid maakt het gesprek makkelijker want verhoudingsgewijs heb je dus meer risico factoren aan de IT kant dan de OT kant door zoiets als onvoorspelbare gebruikers.
Oja, de eerdere ‘air gap’ wordt steeds vaker overbrugt vanwege remote monitoring wat zorgt voor een toenemend risico maar echt zorgelijke ontwikkeling hierin is de ‘consumerization of IT’ want goedkoop gaat nog altijd boven digitale weerbaarheid. Neem de KLM, door een personeelstekort moeten koffers nagestuurd worden terwijl 90% van dit systeem geautomatiseerd is. Knelpunt in de keten is namelijk niet altijd ICT.
En toen ging het licht….