search.noResults

search.searching

dataCollection.invalidEmail
note.createNoteMessage

search.noResults

search.searching

orderForm.title

orderForm.productCode
orderForm.description
orderForm.quantity
orderForm.itemPrice
orderForm.price
orderForm.totalPrice
orderForm.deliveryDetails.billingAddress
orderForm.deliveryDetails.deliveryAddress
orderForm.noItems
bied van safety heeft er toe geleid dat safety gemeengoed is geworden. “Vaak heeft een bedrijf een V&G-plan of een onderhouds- plan waar, naast Arbo ook safety in is uitge- werkt”, vertelt Van der Veen. Ook is er een financieel aspect. Omdat safety gemeengoed is geworden, zijn er ook vaak specifieke budgetten voor safety.


CSMS Voor cybersecurity is het bovenstaande nog veel minder het geval, weet Jutte. “Bij cyber- security moet vaak eerst nog het manage- ment overtuigd worden van het nut en de noodzaak, voordat er budget vrijgemaakt wordt. Ook moet vaak eerst nog een Cyber Security Management Systeem (CSMS) in- gericht worden om alle aspecten, namelijk mens, proces en techniek, te beheersen op het gebied van cybersecurity-risico’s en het opstellen van een cybersecurityplan. Het cy- bersecurityplan is feitelijk dat wat een V&G plan is voor safety. Wij helpen veel bedrijven bijvoorbeeld door een CSMS in te richten of door het invullen van een CISO/COSO rol.”


IDS Men kan aan de voordeur maatregelen ne- men om een aanval te voorkomen. Daarmee is een succesvolle aanval echter niet uit te sluiten. In tegenstelling tot safety, waar elke consequentie uit den boze is, worden bij cybersecurity ook achter de voordeur maat- regelen getroffen, waarbij de consequenties van een aanval beperkt worden, bijvoor- beeld door een backup plan of continuity plan. “En als er een succesvolle aanval heeft plaatsgevonden, kan dat middels monito- ring (IDS) snel geconstateerd worden en mogelijk de daders achterhaald worden”, vertelt Jutte. “Zonder monitoring worden helaas veel (digitale) incidenten afgedaan als onverklaarbare of “technische” storingen.”


Verder kijken Waar bij safety de gevaren zijn te omschrij- ven in een eindige lijst, moet men bij cyber- security altijd rekening houden met moge- lijk nieuwe kwetsbaarheden, zoals zero days (bedreigingen die nog niet algemeen bekend zijn). “De mogelijke gevolgen in het geval van cybersecurity zijn ook vaak lastiger voor te stellen dan bij safety”, weet Jutte. “Maar de gevolgen kunnen minstens zo groot of kwalijk zijn. Bovendien moet je bij cybersecurity verder kijken dan je denkt. Je hebt het dan over de continuïteit van de hele organisatie.”


Borgen Volgens Van der Veen is er een integrale aanpak van zowel safety als cybersecurity


8 | nummer 4 | 2019


nodig om de continuïteit van de bedrijfs- voering te borgen. “Hierbij zijn zowel cyber- security als safety van belang”, meent hij. “Wanneer een bedrijf de cybersecurity niet geregeld heeft, is de safety ook niet ge- borgd. Cyberrisico’s introduceren weliswaar niet perse nieuwe gevaren met betrekking tot safety, maar de genomen safety beheers- maatregelen kunnen wel buiten werking gesteld worden door gebrekkige cyber- security. Dan heb ik het nog niet eens over milieuschade en imagoschade.”


IEC 61511 vs IEC 62443 Organisatorisch is het nog lastig om safety en cybersecurity integraal aan te pakken, weet Van der Veen: “Je kunt safety en cyber-


security bijvoorbeeld niet tegelijk in dezelf- de RVA meenemen. Ondanks de overeen- komsten is de benadering van cybersecurity risico’s een andere dan die van safety risico’s. Waar de IEC 61511 een framework is voor het managen van Safety Instrumented Sys- tems in de procesindustrie, is de IEC 62443 een framework voor het managen van cybersecurity voor systemen in de OT.” (Operationele Technologie, red.).


Cyber-certificering De IEC 62443 is inmiddels de wereldwijd geaccepteerde cybersecurity normenreeks voor Industrial Automation & Control Sys- tems (IACS). De normenreeks beschrijft mid- dels het opzetten van een CSMS en middels uit te voeren RVA’s, hoe de Security Levels (SL’s) bepaald kunnen worden, zodat de risico’s en kwetsbaarheden van veiligheids- systemen beheerst kunnen worden. “Op deze manier maak je de safety van de pro- cessen weerbaarder tegen aanvallen zoals Triton”, verduidelijkt Jutte. “Safety is nu onderdeel van CE-markering. In de nabije toekomst zal iets soortgelijks ook voor cybersecurity gaan gelden. Er zal middels een RVA aangetoond moeten worden dat de genomen mitigerende maat- regelen afdoende zijn om de cyberrisico’s en cyber-kwetsbaarheden van de betreffende IACS te beheersen. Ook is de verwachting dat cybersecurityproducten een “cyber- certificering” krijgen om hun cybersecurity capability mee aan te geven, vergelijkbaar met SIL”, besluit Jutte.


Marcel Jutte, Managing Director, werkzaam bij Hudson Cybertec.


Over Hudson Cybertec


Hudson Cybertec is al jaren actief betrokken bij de ontwikkeling en totstandkoming van de IEC 62443 en wordt internationaal beschouwd als de IEC 62443 Subject Matter Expert (SME). Ze zijn een leveranciersonafhankelijke dienstverlener van cybersecurity consultancy en diensten, welke wereldwijd betrokken is bij cybersecurity trajecten voor de operationele technologie (OT) en de daaraan gekoppelde IT-omgevingen. De focus ligt op een holistische aanpak van cybersecurity, waarbij de aspecten mens, organisatie en techniek centraal staan. Hudson Cybertec is gespecialiseerd in het uitvoeren van RVA’s en het schrijven van cybersecurity beleid. Als partner van het Nederlands Normalisatie Instituut (NEN) verzorgt Hudson Cybertec een 3-daagse training Cyber Security for Industrial Automation & Control Systems (IACS), getiteld “Take control over your security risks with the IEC 62443”. Tijdens het driedaagse programma raakt u bekend met relevante cybersecurity terminologie, krijgt u een uitstekend begrip van de IEC 62443 norm en leert u uw nieuwe kennis en vaardigheden toe te passen binnen de praktijk van uw eigen organisatie.


Direct inschrijven kan via deze URL: https://www.hudsoncybertec.com/en/inschrijven/ U kunt ook op www.processcontrol.nl de link vinden en extra informatie vinden als u zoekt op ‘IACS training’.


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48