Expertblogs

Kennisevenement Cybersecurity voor Industriële Systemen: Digitale beveiliging van IACS vereist aandacht

De Cyber Security Raad (CSR) schrijft dat de digitale weerbaarheid van Industrial Automation and Control Systems (IACS) onvoldoende op orde is. Zo is het beeld over de risico’s en dreigingen niet compleet en zijn we onvoldoende voorbereid op de gevolgen van het uitvallen van IACS. Een van haar adviezen, voorgelegd in april 2020, is het bundelen van kennis over IACS. Met het kennisevenement “Cybersecurity voor Industriële Systemen” wil het Nationaal Cyber Security Centrum (NCSC) samen met zeven partners de digitale weerbaarheid van IACS onder de aandacht brengen en kennis over dit onderwerp gaan bundelen.

Waarom is dit belangrijk?
IACS zijn veelal op ICT-gebaseerde meet-en regelsystemen die gebruikt worden voor het aansturen van productieprocessen. Voorbeelden van dit soort processen zijn het openen van bruggen en sluizen, het verwerken van nucleair materiaal en het distribueren van energie. Deze productieprocessen worden steeds meer gedigitaliseerd, maar de systemen zijn vaak decennia oud vanwege de hoge kosten om te vervangen. Daarnaast groeit de afhankelijkheid van IACS, zij zijn vaak onderdeel van de vitale infrastructuur in Nederland. Deze combinatie maakt dat IACS zich in een kwetsbare omgeving bevinden. Verschillende casussen, zoals NotPetya en Stuxnet, laten zien dat een verstoring van IACS-systemen vaak verstrekkende gevolgen heeft. Ook kan een digitale aanval op IACS voor fysieke schade zorgen, zoals verwondingen aan medewerkers of milieuschade. Het Cybersecuritybeeld Nederland 2021 (CSBN) stelt bovendien dat digitale veiligheid onlosmakelijk is verbonden met de nationale veiligheid. Een aantasting kan leiden tot maatschappelijke ontwrichting.

Wat gaan we doen?
Aan de hand van drie webinars met experts belichten we een aantal belangrijke thema’s rondom de digitale beveiliging van IACS. We beginnen bij de dreigingen en incidenten waar organisaties steeds meer mee te kampen hebben.  De afgelopen jaren is de wereld opgeschrikt door een aantal high-profile aanvallen uitgevoerd door Advanced Persistent Threats (APT), vaak gelieerd aan natiestaten. Zo zorgde het Industroyer virus voor de uitval van elektriciteit in de Oekraïense hoofdstad Kiev en scheelde het heel weinig of de Triton aanval op een olieraffinaderij in Saudi-Arabië had mensenlevens gekost. Ook zien we een toename van ransomware aanvallen door criminelen, die als bijkomend effect productieomgevingen ontregelen. Het meest recente voorbeeld is de verstoring van het Amerikaanse Colonial Pipeline als gevolg van de Darkside ransomware. Ook aanvallen op IT-systemen kunnen het stilleggen van de productieomgevingen als gevolg hebben. Het onderkennen van toenemende dreigingen en leren van incidenten is een belangrijke stap in de verdediging.

Een ander probleem is het security by design vraagstuk in IACS-producten. Veel systemen stammen nog uit een tijd waar security geen vereiste was en missen daardoor basale beveiligingsmaatregelen die in IT de standaard zijn. Role Based Access Control, complexere wachtwoorden of iets als Multi-Factor Authentication (MFA) ontbreken vaak bij zowel legacy als nieuwere IACS. Hoe zorg je ervoor dat producenten security in hun ontwerp meenemen zonder in te leveren op de bruikbaarheid van de systemen? De operators in productieomgevingen stellen andere voorwaarden aan hun systemen dan de doorsnee IT-gebruiker. Als een proces snel tot stilstand moet worden gebracht, is er geen tijd voor een wachtwoordwijziging van een gebruiker. Echter is helemaal geen authenticatie ook geen optie. Het is daarom cruciaal om bruikbaarheid en security bij elkaar te brengen in samenwerking met de gebruikers van IACS.

Het laatste probleem waar we in de serie webinars aandacht aan willen besteden is het inkoopproces voor IACS. Vaak worden deze systemen voor langere tijd ingekocht, denk hierbij aan een duur van vijftien tot twintig jaar. Dat is langer dan bij de meeste IT-systemen, die gemiddeld een periode van vijf jaar meegaan. Ook speelt de leverancier in IACS-omgevingen een belangrijkere rol in het onderhoud van de systemen. Het is voor organisaties van groot belang dat zij voorafgaand en tijdens het inkoopproces nadenken over de veiligheidseisen die zij verwachten en dit duidelijk met leveranciers bespreken.

Wat nu?
Naast het delen van kennis zal er tijdens het kennisevenement “Cybersecurity voor Industriële Systemen” concreter worden ingegaan op invulling op operationeel niveau met betrekking tot het cyberweerbaar maken van IACS. Tijdens de drie webinars op 10, 17 en 23 november laten de aanwezige experts hun licht schijnen op de drie bovenstaande problemen waar organisaties met IACS-omgevingen in Nederland mee geconfronteerd worden. Ook is er begin volgend jaar een bestuurlijk diner om de veiligheidsvraagstukken ook bij bestuurders onder de aandacht te brengen. U kunt zich nog tot 10 november inschrijven voor de eerste webinar.

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.