Samenwerkende partners lanceren slimme tool om cyberweerbaarheid van OT-omgevingen te vergroten

5 juli 2021

Een publiek-private samenwerking heeft een handige online tool ontwikkeld om bedrijven in Nederland te helpen hun industriële controle- en SCADA-systemen te beveiligen tegen cybercriminaliteit. Op 5 juli is de zogenaamde Security Check Procesautomatisering in Den Haag officieel gepresenteerd aan Hester Somsen, voorzitter van de Cyber Security Alliantie (CSA) en tevens plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid. Zij nam de tool samen in ontvangst met Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat (EZK).

Het gaat om een samenwerking tussen EZK, Digital Trust Center, Siemens, Deloitte, VNG-IBD, Novel-T, NCSC, ASML en de CSA. Deze is eind 2019 ontstaan uit de werkgroep ‘ICS Security’ binnen de CSA. De samenwerkende partners willen organisaties belangeloos meer bewust maken van het belang van cyber security. Ze reiken concrete, toepasbare oplossingen aan om de weerbaarheid van hun industriële controlesystemen te verbeteren.

Risico’s vaak onderschat

In het onlangs verschenen jaarrapport ‘Cybersecuritybeeld Nederland’ wijst de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) opnieuw op de kwetsbaarheid van de Nederlandse digitale infrastructuur. In deze digitale tijden neemt de kans op een cyber-incident toe. Bedrijven worden, veelal zonder zich daar bewust van te zijn, steeds afhankelijker van automatiserings- en controlesystemen. Deze vormen binnen organisaties vaak een aparte digitale omgeving en hun cyberbeveiliging vraagt om een andere aanpak dan IT-omgevingen. Hierdoor worden de mogelijke risico’s nog vaak onderschat. Om de juiste digitale weerbaarheidsmaatregelen te kunnen treffen is extra aandacht vereist op zowel strategisch als tactisch en operationeel niveau.

Handige online check

De Security Check Procesautomatisering geeft organisaties inzicht in mogelijke risico’s en beschermingsmaatregelen die zij kunnen nemen. Als producent van industriële automatiseringstechnologie maakt Siemens al jaren een speerpunt van de cyberbeveiliging van haar portfolio. Namens Siemens was Johan de Wit, solution manager enterprise security, nauw betrokken bij de totstandkoming van de Security Check Procesautomatisering. Deze online tool kan volgens De Wit zonder technische- of IT-kennis worden gebruikt: “De check begint met een risicobeoordeling: hoe afhankelijk ben ik als bedrijf van mijn operationele techniek (OT)? Daarna volgt een scan op 14 onderwerpen, waarbij men een aantal eenvoudige vragen beantwoordt. Weet ik welke systemen ik heb en waar zij zitten? Heb ik een partner die bij een onverhoopt cyberincident onmiddellijk kan helpen? Dit resulteert in een score, inclusief aanbevelingen om de ICS-omgeving beter te beschermen tegen cyberincidenten. Bedrijven kunnen de tool ook als maturity model gebruiken en na het omzetten van een aanbeveling opnieuw checken hoe hoog zij op de cyber security-ladder staan.”

Beveiliging is maatwerk

In de check komen onder meer toegangscontrole, incident respons en wijzigingsbeheer aan de orde. Bestaande raamwerken, leidraden en bewezen methodieken en instrumenten zijn meegenomen als onderdeel van de route die organisaties kunnen afleggen. Hoeveel en welke maatregelen een organisatie moet treffen hangt af van de gevolgen van een cyberincident op de eigen industriële processen. Dreigen er ernstige gevolgen op financieel-, gezondheids- of milieuvlak, dan zal men meer maatregelen moeten nemen. 

Digital Trust Center

De Security Check Procesautomatisering wordt online gefaciliteerd door het Digital Trust Center (DTC), dat vanuit EKZ ondernemers in Nederland ondersteunt op het gebied van digitale weerbaarheid en veiligheid. DTC-Relatiemanager Jacco van der Kolk is blij dat de samenwerkende partners dit praktische handvat kunnen aanbieden. Hij ziet binnen het Nederlandse bedrijfsleven een grote diversiteit qua security volwassenheid: “Naast zeer volwassen organisaties zijn er nog steeds veel organisaties die de digitale weerbaarheid van hun ICS-landschap willen of moeten verhogen, maar helaas niet de kennis in huis hebben om dat te bewerkstelligen. Vooral voor hen is deze tool zeer geschikt.”

Interactieve ICS-routekaart

De tool vormt de eerste stap in de ontwikkeling van een interactieve ICS-routekaart voor het bedrijfsleven in Nederland. Hij kwam tot stand met de hulp van de Cyber Security Alliantie. Als voorzitter van de CSA mocht Hester Somsen hem op 5 juli officieel lanceren. Zij deed dit samen met Jos de Groot (EKZ) en vertegenwoordigers van het samenwerkingsverband. Op 28 en 29 worden de eerste bevindingen rond de inzet van de tool gepresenteerd tijdens de jaarlijkse cybersecurity conferentie ONE in Den Haag.