Industrie en vitale infrastructuur zijn veel te kwetsbaar voor cybercriminaliteit
23 mei 2022
De cyberbeveiliging van vitale infrastructuur en industriële omgevingen moet in Nederland hoger op de agenda komen te staan. Dat bleek tijdens een mini-symposium van Siemens Nederland en het Thematisch VVD-Netwerk Economische Zaken en Innovatie. Aan de paneldiscussie, gemodereerd door cybersecurity specialist Peter Zinn, nam ook VVD-Tweede Kamerlid Queeny Rajkowski deel.
Operationele Technologie (OT) vormt het hart van onze vitale infrastructuur en industrie. OT-systemen zijn oorspronkelijk ontworpen met weinig aandacht voor cybersecurity, omdat ze volledig gescheiden waren van IT-systemen en het internet. Door digitalisering vloeien IT- en OT-systemen steeds meer samen. Dit maakt ons kwetsbaar voor uitval en cyberaanvallen. Het afgelopen jaar is het aantal cyberaanvallen opnieuw enorm gestegen. Steeds vaker richten hackers zich op het stilleggen van productieprocessen. Bijna een kwart van de maakbedrijven is al een keer aangevallen. Ook beheerders van vitale infrastructuur zijn op hun hoede. Het hacken van sluizen, bruggen, energievoorziening, OV en zorginstellingen kan in het ergste geval mensenlevens kosten.
Alleen samen houden we de economie veilig en kunnen we van kwetsbaar naar weerbaar gaan.Dirk De Bilde, ceo van Siemens Nederland,
Kerncompetentie
Voor Siemens als OT-leverancier was Stuxnet in 2010 een wake up-call. Sindsdien is cybersecurity kerncompetentie geworden. Het concern lanceerde in 2018 de Charter of Trust (CoT). Al veel partners hebben zich aangesloten bij dit initiatief dat erop gericht is industriële en vitale infrastructuur te beschermen tegen cyberterroristen. Dirk De Bilde, ceo van Siemens Nederland, vertelde hoe Siemens de veiligheid van klanten borgt tijdens hun digitale transformatie. Zo worden apps waarmee Siemens haar eigen productielocaties beveiligt ook ingezet bij klanten. Om cyberveiligheid in de keten te borgen, heeft Siemens voor de Cybersecurity Alliantie een tool ontwikkeld voor kleinere bedrijven en organisaties. Verder neemt het concern deel aan onderzoek rond cybersecurity. Met volgens De Bilde maar één doel: “Nederland op alle fronten veiliger maken en de cyberweerbaarheid van OT binnen bedrijven en de vitale infrastructuur verhogen.”
Gezamenlijke uitdaging
De Bilde spoorde overheid en bedrijfsleven aan de krachten te bundelen: “Alleen samen houden we de economie veilig en kunnen we van kwetsbaar naar weerbaar gaan.” Jeroen Gaiser, lid van de IACS expertboard van het NCSC, beaamde: “Over de beveiliging van onze infrastructuur moeten we een dialoog opstarten. Iedereen heeft een rol om mee te denken en te handelen.” Volgens Pieter Sennema, secretaris-directeur bij Waterschap Aa en Maas, is het niet de vraag óf, maar wanneer we gehackt worden. “Onder leiding van de overheid moeten we onze gezamenlijke infrastructuur beter beschermen. Waarbij we ons als overheid extern moeten laten toetsen op cybersecurity.”
Geen concurrentiethema
Industriële bedrijven nemen al veel maatregelen om hun OT te beveiligen. Zo heeft veevoederproducent ForFarmers cybersecurity in 2008 tot een speerpunt gemaakt. Johan Rambi, Group Security Officer bij ForFarmers: “We benaderen het integraal en werken samen met leveranciers én concurrenten. Op cybersecuritygebied concurreren we namelijk niet. We delen kennis en informatie met andere spelers in onze sector. Het kost veel geld, maar een goede ransomeware-aanval kost meer.” Als voorzitter van het ISAC (Information Sharing and Analysis Center) Security in de olie- en chemiesector adviseerde Maarten Oosterink organisaties eerst te bepalen wat ze willen beschermen. Om vervolgens te kijken hoe men de impact van een hack zo klein mogelijk kan houden. Bij het patchen van oudere OT-systemen plaatste hij vraagtekens: “Dat is duur en het is de afgelopen jaren vaker misgegaan dan dat het wat opgeleverd heeft. Daarover moeten bedrijven gaan praten.”
Aanbestedingen
Johan de Wit, Technical Officer Enterprise Security bij Siemens, ziet bij aanbestedingen nog te weinig aandacht voor cybersecurity. “Het bouwen van een plant duurt vaak jaren. Je moet tijdens de bouw al patchen om de plant veilig op te leveren. Ook daarna moet je blijven patchen. Het heeft geen zin meer iets op te leveren en As Built te houden. Je zou vandaag ook niet meer de smartphone willen hebben die je 10 jaar geleden had.” Siemens is koploper in het opsporen van kwetsbaarheden in haar eigen systemen. “Omdat we zo goed zoeken”, zei De Wit, die iedereen opriep kwetsbaarheden in Siemens-systemen te melden. “Dus ook concurrenten. Over cybersecurity willen wij heel transparant zijn. Het is niet iets van één iemand of één afdeling, maar een gedeelde verantwoordelijkheid.”
In de Verenigde Staten is het delen van informatie rond cyberincidenten normaal, maar in Europa houden we het vaak onder de pet. Je kunt echter alleen beter worden door te leren, ook van anderen.Marieke Klaver, program manager bij TNO
Marieke Klaver (TNO) doet samen met ministeries onderzoek om meer grip te krijgen op de weerbaarheid van vitale infrastructuur. “We proberen dit ook op ketenniveau te doen. Bijvoorbeeld in de waterketen.” Klaver vindt dat we meer moeten doen om van cyberincidenten te leren. “In de Verenigde Staten is het delen van informatie rond cyberincidenten normaal, maar in Europa houden we het vaak onder de pet. Je kunt echter alleen beter worden door te leren, ook van anderen.”
Europese richtlijn
VVD-Europarlementariër Bart Groothuis woonde het mini-symposium per videoverbinding bij vanuit Straatsburg. Hij is onder andere rapporteur voor de tweede Network and Information Security-richtlijn, NIS2. Hiermee worden extra cyberbeveiligingsmaatregelen verplicht voor Europese bedrijven en instellingen. Groothuis adviseerde organisaties met OT om goed naar de beveiliging van hun IT te kijken, want hackers springen vaak van de IT naar de OT. Ook nodigde hij iedereen uit om mee te denken over het verhogen van de OT-cybersecurity.
Het is mooi dat bedrijven als Siemens in de keten voor tooling zorgen, maar een integrale aanpak van de overheid en de hiervoor benodigde extra investeringen zijn even belangrijk.Theo Henrar, voorzitter van FME
Bewustwording
VVD-Tweede Kamerlid Queeny Rajkowski zou willen dat OT-beveiliging een ‘hype’ was. Dat zei ze tijdens de paneldiscussie. Ze zet er zich voor in dat cybersecurity hoger op de nationale politieke agenda komt te staan. Vooral richting kleine bedrijven is een bewustwordingsslag nodig. Cybersecurity is dan ook een ketenvraagstuk: als toeleveranciers van grote bedrijven hebben veel kleine bedrijven het lastig hun OT te beveiligen. Theo Henrar, voorzitter van FME – technologische industrie -, pleitte voor draaiboeken om hen hierbij te helpen. “We moeten onze kennis en kunde delen. Dat vergt ook nationale regie. Het is mooi dat bedrijven als Siemens in de keten voor tooling zorgen, maar een integrale aanpak van de overheid en de hiervoor benodigde extra investeringen zijn even belangrijk.”
Gelijktijdige aanpak
De panelleden adviseerden bedrijven zowel naar hun IT (encryptie) als hun OT te kijken. Als de IT-basis niet op orde is, wordt de OT extra kwetsbaar. Maar wachten tot de IT helemaal dichtgetimmerd is om pas daarna de OT te beveiligen is een risico. Men pakt ze het beste gelijktijdig aan, waarbij OT’ers en IT’ers samen moeten optrekken. Verder klonk de boodschap om op cybersecurity-gebied onderscheid te maken tussen sectoren. Een ‘one size fits all’-aanpak is niet de juiste weg. En wat volgens Queeny Rajkowski heel belangrijk is: cybersecurity moet begrijpelijk worden gemaakt, zodat ook niet-deskundigen de urgentie ervan inzien. “Leg het zo simpel mogelijk uit zodat mensen het snappen.”