Risicomanagement Legacy-systemen

Doelgroep:

Als CISO in een Groeiende organisatie heb ik een ruw beeld van legacy-systemen en -software die we niet structureel onderhouden. Dit met alle risico’s tot gevolg. Ik wil daarom zicht op kwetsbare systemen en software procesmatig in mijn organisatie inbedden.

Als Techneut moet ik aan de slag met het segmenteren van onze meest kwetsbare legacy- en OT-systemen zodat de risico’s beperkt worden.

Governance en randvoorwaarden

Het doel van governance en randvoorwaarden is tweeledig:

1. Het scheppen van de juiste randvoorwaarden om risicomanagement een structurele plek te geven binnen de organisatie.
2. Het vaststellen van de manier waarop de organisatie besluitvorming rondom risicomanagement inricht.

De belangrijkste factoren van deze fase zijn het vaststellen van verantwoordelijkheid voor risicomanagement, het eigenaarschap van risico’s en de risicobereidheid van de organisatie. 

Ten aanzien van legacy-problematiek wordt de oorzaak van de aanwezigheid van legacy-systemen in kaart gebracht. Legacy-systemen kunnen in de organisatie aanwezig zijn doordat er nog geen of onvoldoende beheer op systemen is geweest, of doordat een fusie of overname extra/vreemde systemen aan de organisatie heeft toegevoegd. Daarnaast kunnen organisatorische, of business-driven keuzes ertoe leiden dat systemen als legacy-systeem gezien moeten worden. Indien de organisatie keuzes maakt of heeft gemaakt die legacy-vraagstukken oplevert, zal beoordeeld moeten worden welke risico’s dat oplevert. 

Het governance en randvoorwaarden deel van risicomanagement wijkt voor legacy-systemen daarom niet af van het risicomanagement van niet-legacy-systemen. Daarom wordt in dit stuk niet verder ingegaan op deze fase. 

Voorbeeld HollandTech Solutions BV

De impact van operationele keuzes op risicomanagement

De directie van HollandTech Solution gelooft dat betere monitoring van het productieproces zal leiden tot beter management en hogere productie. Daartoe willen ze productieinformatie uit de productielijnen in een realtime dashboard op kantoor werkplekken beschikbaar maken. 

Hiervoor is een koppeling van OT systemen van de productielijnen aan de IT/Enterprise infrastructuur noodzakelijk. Het gevolg van deze keuze is dat er een koppeling ontstaat tussen mogelijk verouderde OT systemen met de internet-facing IT infrastuctuur van de kantooromgeving. Deze koppeling levert nieuwe risico’s op wanneer het OT systeem niet aan de juiste beveiligingseisen kan voldoen. 

Risicobeoordeling

Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Om risico’s te kunnen rangschikken dienen deze eerst in kaart te worden gebracht. Dit pad begint bij het verzamelen van data: data over de organisatiedoelstellingen, of te beschermen belangen, de dreiging tegen deze belangen en de weerbaarheid van de organisatie. Dataverzameling over systemen die mogelijk legacy-risico’s bevatten vindt plaats door middel van een assetinventarisatie. 

Bij veel organisaties ontbreekt een bruikbare assetinventarisatie. Om tot een juiste risicobeoordeling te komen is een zorgvuldige assetinventarisatie echter van groot belang. Daarom gaat de pagina Risicobeoordeling legacy – focus op je assetinventarisatie hier dieper op in. 

Voor legacy-systemen is het proces, bijvoorbeeld de assetinventarisatie, hetzelfde als voor alle andere systemen. Echter, de risicoanalyse zal uitwijzen dat de risico’s van legacysystemen anders zijn dan die van de overige systemen. Vervolgens wordt de weerbaarheid van deze assets in kaart gebracht welke tijdens de risicoanalyse afgezet worden tegen de mogelijke dreigingen. Vervolgens kan er gekeken worden welke risico’s daaruit volgen en of/hoe de organisatie deze risico’s wil behandelen. 

Vervolg voorbeeld HollandTech Solutions BV

Door de keuze van de directie om de productiesystemen aan de kantooromgeving te koppelen verwacht men dat er nieuwe veiligheidsrisico’s ontstaan. Om deze in beeld te krijgen wordt allereerst een assetinventarisatie uitgevoerd. Hierdoor worden alle systemen in kaart gebracht en kan er gekeken worden op welke te beschermen belangen deze van invloed zijn. Vervolgens kan de dreiging tegen deze systemen en de weerbaarheid ervan afgewogen worden. Op basis van deze risicoanalyse kan besloten worden wat voor de organisatie de grootste (legacy-)risico’s zijn en wat ze met deze risico’s moet doen. Uit de risicoanalyse bleek dat het koppelen van OT-systemen aan internet-facing IT systemen onaanvaardbare risico’s met zich meebrengt. Voordat deze systemen daadwerkelijk gekoppeld worden, moeten deze risico’s eerst worden gemitigeerd. 

Risicobehandeling

Het doel van risicobehandeling is om keuzes te maken om het niveau van digitale weerbaarheid van een organisatie naar een passend niveau te tillen.

Een doorslaggevende factor bij risicobehandeling is de risicobereidheid van de organisatie. Dat is de mate waarin de organisaties de risico’s van een systeem als acceptabel beschouwt. Dit risicobereidheidsniveau wordt in de governance fase van risicomanagement vastgesteld. Indien het risico niet binnen de grenzen van de bereidheid van de organisatie valt, ga je over op risicomitigatie. Hierbij treft de organisatie maatregelen om de kans op incidenten te voorkomen, of de impact van incidenten te verkleinen (risicomodificatie).

In het geval van legacy-systemen is het met name belangrijk om de focus te leggen op het beschermen van je systemen door middel van netwerksegmentatie. Op de pagina Risicobehandeling legacy: focus op netwerksegmentatie gaan we dieper in op de risicobehandelingsfase, met specifieke aandacht voor netwerksegmentatie. 

Vervolg voorbeeld HollandTech Solutions BV

Op basis van een business-analyse kan worden vastgesteld dat de koppeling tussen de IT- en OT- omgeving van grote toegevoegde waarde is ten aanzien van de organisatiedoelstelling van HollandTech Solutions BV. Bij de risicobeoordeling, het vaststellen van de betrokken systemen en de risicoanalyse daarvan werd echter duidelijk dat de koppeling tussen OT en IT onaanvaardbare risico’s op zou leveren als er geen aanvullende beveilingsmaatregelen getroffen zouden worden. Gezien de toegevoegde waarde van deze koppeling kiest de organisatie voor implementatie van de koppeling, maar in combinatie met risicomodificatie: de organisatietreft technische beveiligingsmaatregelen om de risico’s te verkleinen.

Doorlopende monitoring

Het doel van doorlopende monitoring is het voorkomen dat het restrisico van de organisatie ongemerkt de risicobereidheid overschrijdt. 

In het geval van legacy-vraagstukken ligt de nadruk niet alleen op het monitoren van de effectiviteit van reeds getroffen maatregelen, maar met name het in kaart blijven brengen van (de weerbaarheid van) systemen. Door middel van goed uitgevoerd assetbeheer dien je periodiek bij te houden welke assets zich in de organisatie begeven, wat het niveau van weerbaarheid van deze systemen is en of er sprake is van legacy-systemen. 

Omdat dit niet afwijkt van risicomanagement van normale of niet-legacy-systemen gaan we niet verder in op deze fase. 

Vervolg fictief voorbeeld HollandTech Solutions BV

HollandTech Solutions BV heeft verschillende afspraken gemaakt om legacy-risico’s tijdig in beeld te krijgen. Door assetbeheer als continue proces uit te voeren en daardoor periodieke assetinventarisaties te doen worden alle nieuwe assets in kaart gebracht en kunnen deze opgenomen worden in het risicomagementproces. Daarnaast wordt de security-afdeling vooraf betrokken in het geval er besluiten worden genomen over de aanschaf van nieuwe systemen, of wijzigingen in de architectuur, zoals het maken van nieuwe koppelingen binnen of vanuit het organisatienetwerk.