Elke kandidaat wordt zwaar getoetst op een examen.
controleerd op het meebrengen van spiek- materiaal. Het is echt een serieuze opleiding met een waardevol examen.” Het hebben van een certificaat is overigens niet hetzelfde als ‘gecertificeerd’ zijn als cyber security expert. “Om gecertificeerd te zijn, heb je ook nog eens vijf aantoonbare jaren werkervaring in het OT-domein nodig, net als in de safety dus”, weet Van der Kloos- ter. “In de praktijk zijn er nog weinig mensen die zich al vijf jaar bezighouden met cyber- security in het OT-domein. Dat illustreert wel weer hoe kort OT-security nog maar serieus wordt genomen.”
Wedloop De trainers die de opleidingen verzorgen zijn niet in dienst van ISA, maar zijn door- gaans freelance cybersecurity experts die ook door eindgebruikers in de industriële praktijk worden ingehuurd. “De trainers heb- ben dus hands-on ervaring”, verduidelijkt Van der Klooster. “Eén van onze trainers reist op dit moment de hele wereld over, omdat hij is ingeschakeld door een klant in de far- maceutische industrie voor een assesment met betrekking tot cybersecurity. Een paar dagen later kan hij dus, weliswaar geanoni- miseerd, zijn ervaringen gebruiken in de trainingen die hij voor ISA geeft. Daar komt bij dat deze experts óok hun ervaringen meenemen in het ontwikkelen van nieuwe ISA standaarden en het up-to-date houden van bestaande standaarden. Dat moet ook wel in dit veld, want wat je nu ziet gebeuren is eigenlijk een wedloop tussen hackers enerzijds en cybersecurity experts ander- zijds. Als je niet snel kunt inhaken op de ontwikkelingen in de praktijk leg je het af.”
Angst Het ‘op cursus sturen’ van een medewerker is, ondanks de zwaarte van de ISA-trainin- gen, niet voldoende volgens Van der Kloos- ter. “Het afronden van een opleiding is het begin van de awareness, maar niet het einde van eventuele cyberaanvallen.” En het begin van de awareness leidt vaak tot een vraag vanuit zo’n bedrijf om een assessment, weet
18 | nummer 4 | 2018
Van der Klooster. “In sommige gevallen wordt de trainer van een kandidaat door het bedrijf waar die kandidaat voor werkt, gevraagd een assessment te komen doen. De lijnen zijn dan al kort en wij vinden het prima dat dat zo plaatsvindt.” Volgens Van der Klooster is er de afgelopen vijf jaar veel veranderd in de manier waarop er over cybersecurity wordt gedacht. “Je ziet dat er tegenwoordig gelukkig op verschil- lende lagen en niveaus over cybersecurity wordt nagedacht. Zo kun je bijvoorbeeld op landniveau kijken naar wat bepaalde staatsactoren doen in Oekraïne. Dat gebied is voor hen een soort oefenveld voor cyber- security. Op een ander niveau zijn bedrijven nu bezig met cybersecurity: dat is waar wij vooral actief in zijn. En dan heb je nog de particulier die worstelt met een hacker die vijfhonderd euro wil hebben en dan pas je computer weer ontgrendelt.” Wat al deze niveaus met elkaar gemeen hebben, is dat er pas geïnvesteerd wordt op het moment dat er een bepaalde mate van angst is. Van der Klooster vindt dat geen goed uitgangspunt. “Je moet niet handelen vanuit angst. Je moet het zo zien: je moet bijblijven en vooruit denken. Vergelijk het met een woonhuis: als jij er voor zorgt dat je beter beslag op je deur hebt en een extra knip op het raam, breken ze liever bij de bu- ren in. Dat is geen angst, dat is gewoon slim zijn en bijblijven. Dat moet je met cyber- security precies zo regelen. Als jij als bijvoor- beeld bierbrouwer er voor zorgt dat je goed beveiligd bent, zal een hacker sneller de buurman proberen.”
Rubber Ducky Van der Klooster bespeurt tevens een veran- dering op het gebied van praten over cyber- crime: “Natuurlijk vindt men het nog steeds niet erg gemakkelijk om over geslaagde hackpogingen te spreken, maar het is wel
anders dan vroeger. Als je vijf jaar geleden over cybercrime vertelde, was het alsof je opbiechtte dat je een enge ziekte had. Mede door veranderende regelgeving, maar voor- al door veel meer aandacht voor cybercrime is dat langzaam aan het veranderen.” Toch gaat het niet overal even goed. “Ik las deze week dat de politie vrijwilligers zoekt om cyber-werkzaamheden uit te voeren, omdat de professionals te duur zijn. Ik ben dan erg benieuwd wat voor mensen daar op af komen. Je moet ze geen ideeën ge- ven, maar er zullen maar een paar hackers met een Rubber Ducky - een favoriete hackerstool die er precies hetzelfde uitziet als een USB-stick, maar typt als een toetsen- bord, red. - op afkomen.”
In de modder Het is niet vreemd dat vooral de grote spe- lers het meeste investeren in cybersecurity. “We zien al een tijdje dat bijvoorbeeld Sie- mens, Yokogawa en Schneider Electric -die overigens ook weer in de ontwikkeling van ISA-standaarden zitten - enorm investeren in cybersecurity”, vertelt Van der Klooster. “En die worden al snel gevolgd door de system integrators. En daar achteraan zie je de eindgebruikers die zich aanmelden voor trainingen.” Een paar deuren verder zien we apparatuur van onder andere bovengenoemde merken in actie. Er is een training aan de gang en als er net even gepauzeerd wordt, kunnen we een kijkje nemen. “Kandidaten kunnen hier allerlei dingen simuleren”, vertelt Van der Klooster. “We hebben hier onder andere een PLC van Siemens, Rockwell/AB een firewall van Phoenix Contact en Hirschmann en andere hard- en software die in de industrie daadwerkelijk wordt gebruikt. Zo zie je maar dat zowel trainers, mensen die aan de stan- daarden werken en ook de cursisten hier echt met de voeten in de modder staan.”
Training waarbij hands-on ervaring kan worden opgebouwd met PLC’s en firewalls die ook daadwerkelijk in de industrie gebruikt worden.
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48
