Watermanagement en cybersecurity-management
Door Michael Theuerzeit
Hudson Cybertec, wereldwijde cybersecurity solution pro- vider voor de Operationele Technologie (OT), ziet dat veel bedrijven in de watersector nog worstelen met het op orde krijgen van cybersecurity voor de primaire processen. Vaak ontbreekt het aan voldoende kennis over cybersecurity, waardoor er geen afdoende beleid is en OT netwerken vooral nog op functionaliteit gericht zijn. “Cybersecurity wordt nog onvoldoende gemanaged”, zegt Marcel Jutte, managing director bij Hudson Cybertec, “We spreken zeer regelmatig met verschillende bedrijven uit de watersector en zien dat er grote behoefte is aan hulp.”
Breng structuur Een gestructureerde aanpak is hierbij noodzakelijk. Zomaar links en rechts wat zaken op gebied van security oppakken en verbeteren brengt geen structuur en is op lange termijn niet te managen. Om een eerste stap te kunnen maken in cybersecurity en verbeteringen door te kunnen voeren, is het van belang te weten waar de organisatie vandaag staat. Een security assessment geeft een duidelijk overzicht van de hui- dige stand van cybersecurity. Hierbij dienen alle belangrijke factoren te worden meegenomen. Er is dus aandacht nodig voor mens, organisatie en techniek. Jutte: “Wij hebben veel ervaring met security assessments, waarbij gemeten wordt tegen de IEC 62443. Hierbij komen alle drie de factoren uit- gebreid aan bod. Klanten zien dat zij, door onze holistische benadering, op meerdere fronten tegelijk een grote slag kunnen maken in het verbeteren van cybersecurity.”
42 WATERFORUM NR 4 IEC 62443
De IEC 62443 is de wereldwijde de facto norm voor cyberse- curity voor Industrial Automation & Control Systems (IACS), ofwel het OT domein. Een security assessment uitgevoerd volgens deze norm maakt op eenduidige wijze inzichtelijk op welke vlakken het waterschap maatregelen moet nemen. Zo bracht een assessment, uitgevoerd bij een waterschap, dui- delijk naar voren dat er een zeer lage overeenstemming was met de IEC 62443. Op zich niet vreemd omdat de organisatie nog niet bezig was met het normenkader. Wat wel meteen duidelijk werd, was de grote winst die de organisatie kon be- halen op alle vlakken, zowel op organisatorisch, als technisch en personeel gebied.
Slimme keuzes
Door het maken van slimme keuzes was het voor het water- schap mogelijk om met een beperkt budget toch een aantal belangrijke stappen te nemen op gebied van cybersecurity. Op advies van Hudson Cybertec is een keuze gemaakt om te beginnen met het actualiseren van het securitybeleid en het toepassen van netwerksegmentatie, volgens het zone & conduit model van de IEC 62443. De komende jaren kunnen nieuwe keuzes worden gemaakt, waarbij eerdere keuzes gemanaged blijven.
Pentest van de OT Elk bedrijf in de waterwereld is toch weer uniek. Daardoor verschilt ook de aanpak. Bij een ander waterbedrijf werd een
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48