“Maak OT-beveiliging onderdeel van je safety- en securitybeleid”

Business continuity is door de coronapandemie volop in de picture. Iedereen is ermee bezig. Diverse organisaties, waaronder het World Economic Forum, waarschuwen al jaren voor de risico’s van een pandemie, maar na de SARS-, MERS- en Ebola-uitbraken was het bewustzijn hiervoor weer even weggezakt. Covid-19 drukt ons opnieuw met de neus op de feiten. Los van het menselijk leed is de economische impact enorm. Op soortgelijke wijze vormen ook klimaatverandering en cybercriminaliteit een steeds groter risico voor ons welzijn, onze gezondheid en economie.

OT-systemen zijn in tegenstelling tot informatietechnologie (IT) voor kantooromgevingen industriële softwaresystemen voor het aansturen en monitoren van bewegende objecten en installaties. Ze zitten niet alleen in productieomgevingen maar ook in bruggen, openbaar vervoer, tunnels, klimaatsystemen, watervoorziening en elektriciteitsnetten. Net als falende IT-systemen kunnen ook falende OT-systemen delen van de samenleving stilleggen bij gebrek aan analoge alternatieven. Een goede beveiliging ervan is dan ook cruciaal voor de business continuïteit. In het Cybersecuritybeeld Nederland waarschuwde het Nationaal Cyber Security Centrum in 2015 al voor uitval van maatschappelijke processen bij falende OT. Als ontwikkelaar van OT-systemen deed ook Siemens de afgelopen jaren onderzoek naar de risico’s van een ontoereikende OT-beveiliging op de business continuity. Het laatste rapport hierover uit 2017 kwam tot stand in samenwerking met het Business Continuity Institute (BCI). Tijdens een virtueel congres van BCI verzorgde Johan de Wit, Technical Officer Enterprise Security bij Siemens Smart Infrastructure, onlangs een webinar over de beveiliging van OT-systemen tegen cyberaanvallen. “We kunnen tegenwoordig niets meer zonder energie en netwerken”, aldus De Wit. “Zelfs liften worden aangestuurd met OT. In ziekenhuizen, waar een haperende lift letterlijk mensenlevens kan kosten, is de beveiliging van deze systemen dan ook alles behalve overbodige luxe.”

In Nederland is de vitale infrastructuur voor 85% in private handen. In een recent rapport aan de bevoegde ministers en staatssecretarissen dringt de Cyber Security Raad (CSR) aan op een betere beveiliging van OT-systemen in vitale infrastructuur. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) had al eerder gesteld dat we ons moeten wapenen tegen digitale ontwrichting. Er zou één beleid moeten komen voor zowel security als business continuity. “BC-deskundigen kunnen een waardevolle bijdrage leveren aan het beveiligen van IT- en OT-systemen, ketens en netwerken”, beaamt De Wit. “In veel organisaties maakt met name OT geen onderdeel uit van het securitybeleid. Managers en safety-deskundigen realiseren zich vaak niet dat continuïteit en veiligheid sterk afhankelijk zijn van OT-systemen. Er zijn bekende voorbeelden van organisaties waar men het beveiligen van OT-systemen ‘te duur’ vond en waar enorme schade is opgetreden als gevolg van cybercrime.  Ook hebben we cyberaanvallen gezien in onder meer  Saoedi-Arabië die specifiek waren gericht op het safety-aspect van OT. Daarmee heeft OT-security niet alleen een directe relatie met business continuity, maar ook met het safety-beleid. Health- en safety-verstoringen zorgen voor aanzienlijke downtime stelde ook het BCI in het BCI Horizon Scan Report 2020.”

OT heeft over het algemeen een veel langere levensduur dan IT. In de loop der jaren worden OT-systemen vaak aangepast en uitgebreid door veel verschillende partijen. Na verloop van tijd hebben organisaties geen overzicht meer welke hard- en vooral software ze in huis hebben. Daarnaast hebben organisaties vaak nog aparte afdelingen voor OT en IT. Ze vertegenwoordigen twee verschillende werelden. Terwijl IT’ers bij informatiebeveiliging vooral focussen op integriteit en betrouwbaarheid, is voor hun OT-collega’s met name beschikbaarheid belangrijk. “Antivirussoftware en patching is in de IT-wereld heel normaal, maar soms moeilijker te implementeren in OT. Enerzijds omdat deze systemen wel 20 jaar oud kunnen zijn, maar tevens uit angst voor productieverlies wanneer een update onverhoopt niet goed werkt. De filosofie in de OT-wereld luidt vaak nog steeds: don’t fix it until it’s broken.”

OT-systemen zijn al lang geen stand alone-installaties meer, maar via internet verbonden met elkaar en met IT-systemen. De Wit: “Bij Siemens gebruiken we beveiligde verbindingen voor het op afstand servicen en monitoren van onder andere gebouwinstallaties. We merken dat IT-afdelingen daar soms niet van op de hoogte zijn. Pas in 2016 begon men zich serieus af te vragen wie er nu eigenlijk verantwoordelijk is voor de cybersecurity van OT. Sindsdien groeien – hoewel nog lang niet in alle organisaties – de IT- en OT-afdelingen naar elkaar toe.”

Het CSR adviseert de overheid  om binnen één jaar een controleraamwerk en een supervisieautoriteit voor de beveiliging van OT-systemen binnen de vitale infrastructuur op te tuigen. Organisaties kunnen hiermee te maken krijgen omdat zijzelf of hun suppliers compliant moeten zijn aan een dergelijk raamwerk. De OT-wereld is qua security niet erg vertrouwd met de beveiliging van haar supply chain. BC-deskundigen kunnen hier volgens De Wit bij helpen. “Daarnaast kun je als BC-expert je OT-collega’s helpen verder te denken dan alleen in termen van ‘restore’. Behalve op beschikbaarheid zijn OT-afdelingen sterk gefocust op re-built: bij een storing ga je terug naar de situatie van voor de storing. Maar er kunnen ook verstoringen ontstaan die zo groot zijn dat teruggaan geen optie meer is. Dan moet je adapteren en veerkracht tonen. Het belang van resilience begrijpen BC-experts vaak beter.”

De Wit sluit zich aan bij een recente onderzoekconclusie van TNO dat business continuity een belangrijke driver voor OT-beveiliging kan zijn. “Managers investeren vaak niet graag in OT-beveiliging, maar wél in business continuity. Mede vanwege corona is business continuity tegenwoordig all over the place. Een mooie kans voor BC-deskundigen om via hun vakgebied het safety- en securitybeleid van hun organisaties te stimuleren meer aandacht te besteden aan de beveiliging en beschikbaarheid van de OT-systemen.”

Meer weten? Neem dan contact op met Johan de Wit