cybersecuritymanagement
Een business case Een internationaal chemiebedrijf heeft, net als vele anderen, de weg gevonden naar Hudson Cybertec. Ze zijn zich terdege be- wust van de HSE consequenties die het primaire proces kan veroorzaken indien er cybersecurity-incidenten optreden, en het proces hierdoor in een onveilige toestand zou komen. Ook safety-PLC’s kunnen het slachtoffer worden van een cyberaanval en daardoor niet meer, of anders werken dan verwacht. Dit kan grote (fysieke) gevolgen hebben. Het chemiebedrijf wilde cybersecu- rity gaan managen, maar had geen inzicht in de huidige securitystatus.
De nulmeting Een security assessment heeft inzichtelijk gemaakt hoe het bedrijf er op dat moment voorstond. Deze nulmeting vormde een startpunt voor verbeteringen. Uit het assess- ment kwam duidelijk naar voren welke stap- pen de organisatie moest nemen om cyber- security op het gewenste niveau te krijgen. Zo ontbrak een actueel securitybeleid en bijbehorende procedures. Daarnaast bleek het noodzakelijk om de securityorganisatie op een goede wijze in te richten. Om al deze zaken in goede banen te leiden, leverde Hudson Cybertec een interim-CISO die cyber- securitymanagement ingericht heeft en als klankbord voor het senior management van het chemiebedrijf fungeerde. Daarbij was aandacht voor zowel mens, organisatie en techniek. Basis voor het cybersecuritymanagement vormt de IEC 62443, de internationale de facto norm voor cybersecurity van industriële automatisering & controle systemen. Hudson Cybertec wordt internationaal gezien als sub- ject matter expert op dit gebied en is actief betrokken bij de normontwikkeling.
Prioriteiten stellen bij een beperkt securitybudget Omdat de budgetten beperkt waren, zijn er prioriteiten gesteld voor het cybersecurity- management. Door het vastleggen van een scope heeft de organisatie richting gekregen voor security. Hierbij zijn keuzes gemaakt, waarbij het chemiebedrijf het meest profi- teert van de verbeteringen. Zo werd er ge- kozen om duidelijke verantwoordelijkheden voor cybersecurity te beleggen in een com- pacte security organisatie en een security-
beleid met een basisset aan procedures op te stellen. Jutte zegt: “Er is daarbij slim gebruik gemaakt van zaken die er al waren en nog actueel waren, zoals een high-level risico- analyse. Hierbij werd vooral gekeken naar de extra impact van cyber (en cyber-fysiek) op de high-level risico’s voor de organisatie.”
Duidelijkheid voor de organisatie Door de securityorganisatie klein te houden, kan er snel worden geschakeld binnen de organisatie. Er is gekozen om vanuit verschil- lende disciplines input te geven in de organi- satie. Hierdoor zijn zowel IT als OT vertegen- woordigd. Het nieuwe beleid en procedures zijn bewust beknopt gehouden. Het maakt voor alle medewerkers duidelijk wat van hen wordt verwacht op gebied van security, zo- wel op gebied van cyber als fysiek.
Goed getraind personeel vermindert de securityrisico’s De organisatie onderkent het belang van personeel om het niveau van cybersecurity omhoog te brengen. In samenwerking met het bedrijf heeft Hudson Cybertec een pro- gramma opgesteld voor het verbeteren van de security awareness bij de medewerkers. Het awareness programma zorgt ervoor dat de medewerkers van het chemiebedrijf zich beter bewust worden van de securityrisico’s waarmee ze dagelijks te maken hebben. Hierdoor zijn de cybersecurityrisico’s al af- genomen, terwijl het programma nog loopt. “Bij een security awareness programma is periodieke herhaling belangrijk.” weet Jutte, “Na een tijdje worden medewerkers weer wat minder alert. Herhaling verankert de bewust- wording bij de medewerkers.”
Netwerksegmentatie Op technisch vlak is besloten om de bestaan- de IT en OT infrastructuur te segmenteren. De bevindingen die gedaan waren tijdens de nulmeting gaven duidelijk aan hoe de segmentatie vorm gegeven kon worden. Het Zone & Conduit model uit de IEC 62443 fun- geerde als leidraad bij het opstellen van een
zonemodel. Met kleine investeringen was het mogelijk hier een grote verbetering in cybersecurity te bewerkstelligen.
Forensic readiness Om de organisatie voor te bereiden voor als er toch een incident plaatsvindt, wordt er op dit moment gewerkt aan forensic readiness voor het chemiebedrijf. Hierbij worden zaken als logging en monitoring zodanig ingericht, dat in geval van een inci- dent een juiste respons mogelijk is, terwijl het productieproces zo min mogelijk wordt verstoord. In aanloop naar de aankomende cybersecuritywet is het belangrijk dit soort zaken op orde te hebben.
Volgende stappen Jutte: “Aan het einde van dit jaar gaan we wederom een meting doen van het cyber- securityniveau. We kunnen dan mooi inzich- telijk maken hoe effectief de verbeteringen zijn geweest die we hebben doorgevoerd in cyber security. We zien nu al hoe cyber- securitymanagement zijn vruchten afwerpt binnen de organisatie. Met een assessment kunnen we hetgeen we zien en voelen, ook kwantificeren.” Hij sluit af: ”Wij beschouwen al onze klanten als partners. Samen werken we aan het verbeteren van cybersecurity. We proberen onze partners daarbij zo veel mogelijk te ontzorgen.”
Na een tijdje worden medewerkers weer wat minder alert. Herhaling verankert de bewustwording bij de medewerkers...
13
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48
