Expertblogs

Wat maakt ICS Security anders dan IT Security?

TNO heeft samen met het NCSC onderzocht welke organisatorische succesfactoren te identificeren zijn voor het digitaal weerbaarder maken van ICS. ICS (Industrial Control Systems) vindt u overal terug in de vitale infrastructuur in Nederland. ICS systemen zorgen bijvoorbeeld voor het bedienen van sluizen en bruggen, de distributie van onze elektriciteit en voor het aansturen van processen in productiebedrijven. Daarnaast vindt u ze in kleinere schaal ook terug in bijvoorbeeld gebouwbeheersystemen. Met ICS bedoelen we in deze blog alle onderdelen in brede zin die een bijdrage leveren aan ICS.

Waarom zijn deze systemen zo anders? Het gaat vaak om omvangrijke systemen die  belangrijke processen aansturen waardoor het direct een grote impact kan hebben als er iets fout gaat in deze systemen. Een productieproces kan bijvoorbeeld helemaal stil komen te liggen of het kan zelfs impact hebben op onze maatschappij. U kunt zich voorstellen wat er gebeurt als we langer dan een paar uur geen elektriciteit of water uit de kraan hebben of als alle stoplichten ineens op rood springen. Het is dus cruciaal om de beveiliging van deze systemen in uw organisatie hoog op de agenda te hebben staan.

Wat is er onderzocht?

Om organisaties die veel gebruik maken van ICS verder te kunnen helpen heeft het NCSC een onderzoeksvraag opgesteld. TNO heeft dit onderzoek uitgevoerd. Zij hebben een aantal organisaties gevraagd naar de succesfactoren die echt hebben geleid tot een wezenlijke bijdrage aan het inrichten van digitaal veilige ICS. Rijkswaterstaat is één van de organisaties die input heeft geleverd voor dit onderzoek. Ook vele andere vitale en niet vitale organisaties hebben hun kennis en ervaringen ter beschikking gesteld. Door samen te werken en informatie te delen, hebben organisaties nu meer handelingsperspectief om deze uitdaging te adresseren.

Wat is de specifieke problematiek van ICS?

U zou kunnen zeggen dat er drie punten zijn waardoor ICS security anders is dan IT security.

  1. Ten eerste: de ondersteuning van het vitale proces. Zoals gezegd, ICS besturen productieprocessen of maatschappelijke vitale processen. Dit betekent dat het zeer belangrijk is dat deze systemen altijd beschikbaar en betrouwbaar zijn. Bij kantoorautomatisering zoals bijvoorbeeld een tekstverwerkings-systeem is het uitermate vervelend als u een uur geen documenten kan maken. Maar als een fabriek een uur stil ligt of de bruggen een uur open blijven staan dan kan een heel groot deel van onze maatschappij daar meteen last van krijgen. Dit heeft ook gevolgen voor de onderhoudsprocessen. U kunt een ICS omgeving niet zomaar even stil leggen om een nieuwe patch toe te passen. In deze omgevingen is risicomanagement letterlijk van levensgroot belang. Als er een patch uitkomt kan deze niet zomaar dezelfde dag worden doorgevoerd. Hier gaat een zorgvuldige analyse aan vooraf waarbij alle risico’s van een kwetsbaarheid voor de processen worden doorgelicht, dus zowel vanuit kans als impact. Bij deze analyse wordt gekeken of na een patch bijvoorbeeld de veiligheid van mens en omgeving gewaarborgd blijft. Belangrijk hierbij is om de beschikbaarheid en veiligheid van het systeem als belangrijke randvoorwaarden mee te nemen
  2. Ten tweede: de levensduur van de systemen. Deze grote systemen vervangt u niet zomaar; vernieuwingen brengen grote investeringen met zich mee. De systemen zijn op maat gemaakt voor een specifieke functie en zijn vaak zeer betrouwbaar, maar ook kostbaar. De levensduur loopt vaak op tot meer dan twintig jaar, voor reguliere IT systemen is dit ongeveer vijf jaar. Het gat tussen de laatste technische ontwikkelingen en deze oudere (legacy) systemen wordt daardoor steeds groter waardoor het moeilijker is om ze veilig te houden.
  3. Ten derde: de specifieke schaarse expertise die er nodig is om ICS veilig en goed te laten werken. Vaak zijn het de mensen die werken in de operationele techniek die begrijpen hoe een ICS omgeving in elkaar zit.  Zij weten welke processen aangestuurd worden door welke componenten en hoe alles samenwerkt. Security is relatief nieuw voor deze ICS specialisten ten opzichte van de IT wereld. Automatisering in de ICS wereld vereist dus andere (specifieke) kennis en vaardigheden dan IT-ers. Omdat deze omgevingen zo anders zijn en het risico van digitale aanvallen relatief nieuw is, is het voor veel bedrijven lastig om de security goed op orde te krijgen. Juist omdat dit zo’n andere eisen stelt aan security hebben organisaties hier gerichte hulp bij nodig. Er is veel te doen om digitaal weerbaarder te kunnen worden maar hoe pakt u dat dan aan?

Wat zijn de belangrijkste uitkomsten?

De belangrijkste uitkomsten kunt u vinden in de samenvatting die we voor u hebben gemaakt. De rode draad die duidelijk naar voren komt is dat een goede ICS-security omgeving vraagt om integraal risicomanagement. Inzicht hebben in IT- en ICS-risico’s zijn allebei belangrijk om goed te kunnen sturen op organisatiedoelstellingen. Hierbij is de aandacht voor de security risico’s voor ICS van het management essentieel. Organisaties die dat al goed voor elkaar hebben denken dat ze effectiever zijn met ICS-security. Daarnaast is kennisdeling heel belangrijk. Zoals eerder gezegd is de kennis schaars. Daarom is het belangrijk dat ICS-experts en IT-experts binnen een organisatie samenwerken op het gebied van cybersecurity. Hierbij is het van grote waarde dat zij zich ook kunnen verplaatsen in elkaars wereld en het taalgebruik. Dit is namelijk verschillend door de gebruikte technieken. Op deze manier kunnen zij nog beter samenwerken door vanuit een integrale visie samen aan een betere security te werken, van zowel primaire alsook alle ondersteunende processen. Door deze samenwerking kan ook een integraal risicobeeld aan het management worden gegeven.

Hoe gaat dit organisaties helpen?

Wij hopen dat organisaties die dagelijks bezig zijn met ICS veel herkennen in dit onderzoek. De onderzoeksresultaten kunnen een bijdrage leveren in het bepalen waar het binnen de organisatie al goed gaat en hoe het nog beter kan. De succesfactoren worden geïllustreerd met praktijkvoorbeelden om zoveel mogelijk concreet en vooral praktisch handelingsperspectief te bieden op de thema’s die gedefinieerd zijn in het onderzoek. Dit kan alle organisaties, groot en klein helpen om gericht te werken aan het verhogen van de digitale weerbaarheid van hun ICS omgevingen. Wij danken dan ook alle organisaties die hier aan meegewerkt hebben om Nederland digitaal veiliger te maken.

Wilt u meer informatie?

Kijk dan op Succesfactoren voor weerbare industriele controlesystemen voor het gehele onderzoek.

-Jessica (NCSC), Tom en Puck (TNO) en Jeroen (Rijkswaterstaat)

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

  • Wat late reactie, maar mijn ervaring is ook dat it en ics verschillende denkwijzes hebben. Met name samenwerken kan helpen met vertrouwen opbouwen en dan starten met verbeteren.

    Van: Gerald Voortman | 04-02-2020, 13:17

  • ( correctie). Dat security relatief nieuw is voor ICS scada is onzin. Ics scada is al langer onderhevig aan security dan It. Engineers zijn terdege bewust van de beschikbaarheid en veiligheid. Denk aan failsafe technieken om schade te voorkomen en allerlei maatregelen om het proces te controleren en bijsturen en beschikbaar te houden. Echter de IT heeft de cybercriminaliteit groot gemaakt, omdat financiele geldstromen door IT systemen afgehandeld worden. Dit heeft is een verdien model voor criminelen. Daarna hebben zij ICS ontdekt om bijvoorbeeld invloed uit te oefenen op de maatschappij. Voorheen was deze dreiging er niet. De ICS scada engineers zijn dus relatief nieuw op het gebied van cyber dreigingen, waar de IT al jaren mee te maken heeft.

    Van: Richard | 24-12-2019, 16:47

  • Dat security relatief nieuw is voor ICS scada is onzin. Ics scada is al langer onderhevig aan security. Engineers zijn terdege bewust van de beschikbaarheid en veiligheid. Denk aan failsafe technieken om schade te voorkomen en allerlei maatregelen om het proces te controleren en bijsturen. Echter de IT heeft de cybercriminaliteit groot gemaakt, omdat financiele geldstromen door OT systemen afgehandeld worden. Dit heeft is een verdien model voor criminelen. Daarna hebben zij ICS ontdekt om bijvoorbeeld invloed uit te oefenen op de maatschappij. Voorheen was deze dreiging er niet. De ICS scada engineers zijn dus relatief nieuw op het gebied van cyber dreigingen, waar de IT al jaren mee te maken heeft.

    Van: Richard | 24-12-2019, 16:30

  • Goed stuk! Ik denk dat nog een belangrijk verschil de grootte van de fysieke verspreiding (vierkante meters) van systemen over een (hseq) terrein is met alle uitdagingen van dien. Nu op naar een pragmatische aanpak!

    Van: Bas Meyberg | 13-12-2019, 13:10