Passief Een van die kneepjes van het vak, waarbij cybersecurity en OT-domeinen samenkomen, is het kunnen omgaan met oude technolo- gie. “Er komt een keer een dag dat je bij een klant komt waar ergens een oude Windows NT machine draait die een cruciale rol in het proces vervult”, legt Roodenburg uit. “Je kunt op die machine zelf geen systemen of pro- gramma’s toevoegen, dus je zult iets anders moeten bedenken. Bijvoorbeeld intrusion detection systems (IDS)” Bij OT-domeinen is een van de lastige zaken de beschikbaarheid van het systeem. Waar een laptop in het IT-domein ‘s avonds afge- sloten kan worden, is dat voor een OT-sys- teem niet mogelijk: dat moet dag en nacht doordraaien. “Je systeem dat voor cyberse- curity moet zorgen mag nauwelijks actieve componenten bevatten: dat vergroot de kans op een storing in het OT-systeem. Het moet zo passief mogelijk zijn. Bij een virusscanner die gebruik maakt van blacklisting, dient er regelmatig een update plaats te vinden, om die zwarte lijst up to date te houden. In de industrie is het vaak veel handiger om te whitelisten. Je laat je systeem dan alleen de programma’s draaien die je zelf hebt geauto- riseerd. Een bijkomend voordeel is dat je niks meer te maken hebt met zero-dates (virussen die nog niet zijn opgenomen in de blacklist, red.). Je beschermt dan dus passief en voor een OT-domein werkt dat prima.”
IDS Ook de reeds genoemde IDS is een uitste- kende oplossing voor OT-domeinen. Rood- enburg: “Dat is een passief systeem dat aan een netwerkswitch hangt en meeluistert op de communicatie. Dat systeem leert welke systemen er met elkaar praten. In industriële omgeving is die communicatie heel voor- spelbaar: alles gaat cyclisch, en vaak het- zelfde. Op het moment dat er iets afwijkends gebeurt, geeft het IDS een seintje dat er iets opmerkelijks gebeurt. De operator kan dan de melding accepteren, of bepalen dat de melding nadere aandacht nodig heeft. Op die manier kan je zelfs een systeem waarin die oude NT machine draait, toch goed be- veiligen. Je bouwt als het ware een schil om de bestaande procesautomatisering, waarbij je die procesautomatisering zoveel mogelijk autonoom laat functioneren.”
12 | nummer 4 | 2019
Mailtje van de baas Toch is de uiteinde mate van cybersecurity sterk afhankelijk van de manier waarop de mens omgaat met technologie. “En daar zijn we eigenlijk pertinent ongeschikt voor”, meent Roodenburg. “Lastige pass- words kunnen we niet onthouden, als je een mailtje krijgt van je baas met een link waar je op moet klikken, doen we dat netjes, als iemand achter je aan door een deur loopt, houd je de deur open, enzo- voorts. Dat is problematisch, zowel bij het
Er komt een keer een dag dat je bij een klant komt waar ergens een oude Windows NT machine draait die een cruciale rol in het proces vervult...
Over de Wbni
De Wet beveiliging netwerk- en informatiesystemen (Wbni) is sinds 9 november 2018 van kracht. Aanbieders van essentiële diensten (AED’s) en digitale dienstverleners (DSP’s) moeten aan de wet voldoen. De Wbni is erop gericht de digitale weerbaar- heid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen.
Binnen de wet fungeert het Nationaal Cyber Security Centrum (NCSC) als Computer Security Incident Response Team (CSIRT) voor AED’s en als nationaal contactpunt voor EU-lidstaten. In de Wbni wordt de Europese NIB-richtlijn omgezet naar Nederlands recht. Het doel is dat lidstaten hun digitale weerbaarheid verbeteren en beter met elkaar samenwerken, zodat Europa digitaal veiliger wordt. Op grond van de Wbni geldt voor vitale aanbieders en aanbieders van essentiële dien- sten (AED’s) een meldplicht bij het NCSC in geval van ernstige incidenten. Aanbieders van essentiële diensten (AED’s) melden ook bij hun sectorale toezichthouder. Digitale dienstverleners melden bij het CSIRT DSP’s. Daarnaast bevat de wet voor aanbieders van essentiële diensten (AED’s) en digitale dienstverleners (DSP’s) de zorgplicht. Zij dienen maatregelen te nemen om de kansen en gevolgen van digitale incidenten te verkleinen. De Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) is in de Wbni opgenomen.
veroorzaken van een breach als het tijdens de bestrijding van het probleem. Als we even teruggaan naar dat IDS, waarbij er een vreemde situatie is gevlagd, moet je wel actie ondernemen. Wij merken vaak dat het soms wel honderdtachtig dagen kan duren voordat men in een industriële omgeving een virus ontdekt. Vaak zijn er geen goede procedures voor wat er moet gebeuren op het moment dat een systeem aangeeft dat er ergens een virus zit.”
CSMS Om cybersecurity goed geregeld te hebben, is het volgens Roodenburg verstandig om gebruik te maken van een CSMS, een cyber- security management systeem. Net als bij een QMS voor de kwaliteit van het product, is bij een CSMS precies vastgelegd wie er verantwoordelijk is voor wat, wat de proce- dures zijn, welke maatregelen er wanneer moeten worden genomen. “Cybersecurity krijg je nooit voor honderd procent waterdicht”, verduidelijkt Rooden- burg. “Het gaat er om dat je bewust bent dat je bepaalde risico’s loopt. Dan rest de vraag: kan je die accepteren, of moet je die miti- geren? Het antwoord op die vraag is bij een nucleaire reactor anders dan bij een bakker.”
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48
