CYBER WEERBAARHEID IACS – ADVIES CYBER SECURITY RAAD

Wat betekent het advies van de Cyber Security Raad (CSR) inzake de digitale veiligheid van industrial automation & control systems (IACS) in de vitale infrastructuur van Nederland? En wat kunt u vanuit de niet-vitale sector hier van leren voor uw organisatie?

Digitalisering van productieprocessen neemt toe. De combinatie van toenemende connectiviteit van IACS, integratie met ICT en veelal verouderde systemen, maakt dit een kwetsbare omgeving. Op 24 April 2020 bracht de CSR een adviesrapport uit inzake digitale veiligheid van IACS in de vitale infrastructuur van Nederland1. Zoals het CSR benoemd zijn Industrial Automation and Control Systems (IACS) veelal op ICT-gebaseerde meet- en regelsystemen die gebruikt worden voor de aansturing van productieprocessen, waarbij continuïteit en integriteit van groot belang zijn. De Nederlandse samenleving is afhankelijk van IACS voor bijvoorbeeld het distribueren van energie en het reinigen van drinkwater, maar hoe zit het met alle organisaties in een niet-vitale sector? Het CSR advies heeft nieuwe inzichten geleverd die ook relevant zijn voor uw organisatie in de niet-vitale sector, want continuïteit en integriteit van IACS zijn veelal ook van cruciaal belang binnen bedrijfsprocessen.

In deze blogpost worden kort de adviezen van het CSR toegelicht en wordt de vertaling gemaakt naar adviezen voor de niet-vitale sector.

CONSTATERINGEN Cyber Security Raad

Cyberweerbaarheid wordt terecht opgemerkt als een zaak van de boardroom van iedere organisatie, maar is deze in staat om de juiste beslissingen te nemen? Er is geen volledig beeld van de dreigingen en risico’s in de vitale sectoren, verbeterprojecten lopen niet volgens planning en er is beperkt inzicht in de afhankelijkheden tussen overheid en bedrijfsleven. Vanuit de ervaringen bij Northwave constateren wij dat ook in de niet-vitale sector inzicht in dreigingen en risico’s ontbreekt, de cyberweerbaarheid van IACS onvoldoende is en organisaties die gebruik maken van IACS daadwerkelijk hard geraakt worden door cyberaanvallen. Verbetering is noodzakelijk om ook in de toekomst bedrijfscontinuïteit in de niet-vitale sector te kunnen waarborgen.

ADVIEZEN CSR EN LESSEN VOOR DE NIET-VITALE SECTOR

In het CSR rapport worden de volgende drie maatregelen gepresenteerd. Deze maatregelen zorgen in onderlinge samenhang voor meer inzicht, overzicht en robuustheid van de IACS omgeving en verhogen daarmee de cyberweerbaarheid:

  1. Vitale sectoren beschikken zonder uitzondering over een eigen sectoraal IACS-controleraamwerk. Waar nodig wordt het toezicht proportioneel versterkt.
  2. De kennis over IACS wordt gebundeld en het delen van (geclassificeerde) IACS-dreigingsinformatie wordt beter gefaciliteerd.
  3. Beheerders van IACS worden bij het inkoopproces beter ondersteund.

De adviezen van het CSR zijn gericht op de overheid, daarmee op de vitale sector, maar wat zijn de bijbehorende lessen voor de niet-vitale sector waar cyberweerbaarheid van IACS ook de aandacht nodig heeft? Dat wordt toegelicht in onderstaande paragrafen.

Inzicht en structuur

Security management begint ook binnen een IACS omgeving met inzicht en structuur. Het is van belang dat management en beheerders van IACS doorlopend op de hoogte zijn van dreigingen, risico’s en de huidige cyberweerbaarheid van de organisatie. De CSR adviseert het implementeren van een sectoraal IACS-controleraamwerk met bijbehorend toezicht. Het verschil met de vitale sector is dat de niet-vitale sector geen regulering ondervindt vanuit de overheid, maar de nodige mate van structuur en controle zelf dient te implementeren om grip te krijgen en houden op cyberweerbaarheid. Adviezen voor de niet-vitale sector:

  • Implementeer een Security Management System, waarmee door middel van een PDCA-cyclus inzicht verkregen wordt in risico’s en de benodigde maatregelen geïmplementeerd (ISO/IEC 27001, ISA/IEC 62443).
  • Bepaal beveiligingsstandaarden van IACS voor uw organisatie, gebruik industry best practices (CIS, etc.).

Kennis, gedrag en controle

Kennis over digitale veiligheid van IACS is beperkt, daarnaast is ook veilig gedrag een belangrijk aspect om de digitale veiligheid van IACS te waarborgen. De CSR geeft het advies dat onder coördinatie van het NCSC een formeel netwerk van deskundigen wordt opgericht en dat de Information Sharing & Analytics Centers (ISAC’s) worden geoptimaliseerd. Deze middelen zijn (meestal) niet beschikbaar voor de niet-vitale sector, maar ook deze sector kampt met de beperkte kennis omtrent digitale veiligheid van IACS. Adviezen voor de niet-vitale sector:

  • Opleiden van management en beheerders in digitale veiligheid van IACS en algemeen cyberweerbaarheid, stimuleer veilig gedrag. Verhoog hierbij de integratie in kennis tussen IT en OT.
  • Borg kennis en verantwoordelijkheid bij een interne (of mogelijk externe) security organisatie.
  • Implementeer een controle mechanisme door regulier audits, crisis oefeningen, penetratietesten en/of redteam activiteiten uit te voeren op de voor u kritische processen en omgevingen in het IACS domein.

Inkoop

De behoeften binnen het inkoopproces zijn niet anders voor de vitale infrastructuur of de niet-vitale sector. In veel gevallen zijn de personen verantwoordelijk voor het inkopen van IACS geen cyber security specialisten, waarbij het wel van belang is om over de juiste kennis te beschikken om cyber security van een potentiële leverancier te kunnen beoordelen. De lessen uit het CSR rapport gelden dus ook voor de niet-vitale sector, alleen dienen deze ook binnen de organisatie geborgd te worden in plaats van gefaciliteerd vanuit de overheid. Adviezen voor de niet-vitale sector:

  • Ontwikkel standaard contractclausules die digitale veiligheid van IACS adresseren.
  • Betrek een Security Officer bij het inkoopproces en stel duidelijke eisen aan IACS leveranciers omtrent cyber weerbaarheid, in relatie met de relevante risico’s voor de organisatie.

Kortom, de belangrijkste raad die u uit dit rapport kunt halen is dat cyber weerbaarheid van IACS ook in de niet-vitale sector de aandacht nodig heeft!

Heeft u vragen over specifiek deze blogpost of wilt u eens met ons verder praten over cybersecurity? Neem dan contact op.

Over Northwave

Northwave helpt organisaties om integraal hun informatieveiligheid en privacy-management op orde te houden. Vanuit brede expertise bedient Northwave klanten in alle private en publieke sectoren met een compleet pakket aan diensten. Northwave heeft een erkend CERT dat 24 uur per dag de ICT van klanten bewaakt vanuit haar Security Operations Center (SOC) in Utrecht. Het bedrijf is ISO 27001 en ISO 9001 gecertificeerd en heeft een vergunning van het Ministerie van Justitie en Veiligheid voor het doen van persoonsgericht digitaal onderzoek. Northwave heeft nu meer dan 120 medewerkers en is actief in de Benelux, UK en Duitsland.