Security begint eigenlijk bij gewoon goed IT- en OT-beheer

Mensen bewust maken van de risico’s die computergebruik met zich meebrengt; én goed nadenken of het werkelijk nodig is een apparaat aan een netwerk te koppelen. Dit is de uitkomst van een rondetafelgesprek onder aanvoering van Legian, het bedrijf dat OT en IT met elkaar verbindt.

In één van de zalen van Kasteel Hooge Vuursche is een select gezelschap bijeen: IT-managers die omgevingen creëren en beheren voor kantoorautomatisering en procesautomatisering, plus de combinatie van beide. Van groot, bijvoorbeeld een systeembank, tot klein, bijvoorbeeld een scheepsbouwer voor particulieren.

Twee recente gebeurtenissen onderstrepen het belang van dit onderwerp. Een cyberaanval half september op het Universiteitsziekenhuis in Düsseldorf leidde tot een dode, omdat de ambulance moest uitwijken naar een ander ziekenhuis; de systemen in het Düsseldorfse hospitaal lagen plat. In dezelfde periode is de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) getroffen door een aanval met ransomware. Hierdoor is het gebruik van het interne systeem beperkt en kan e-mail niet gebruikt worden. De lijst met voorbeelden is vele malen groter.

Preventief onderhoud

Leidraad van het gesprek is de lezing van de Information Security Manager van een bekende brouwerij in ons land. Hij vertelt over de (internationale) productielocaties, het volledige portfolio van de bierbrouwer (van 0,0% tot 12%) en de moeite die het kost om de algemene directie ervan te overtuigen te investeren in security.

Zijn baan wordt wel omschreven als ‘de man die innovatie tegenhoudt’ of ‘chef wachtwoorden’.

“Hoeveel IP-adressen zitten er in 1 machine, denken jullie?”, vraagt hij. Aarzelend komen enkele antwoorden: 50, 15 tot 20, en 20 tot 30. Het verlossende antwoord: 800. Daaronder de laptops die medewerkers gebruiken, maar ook geautomatiseerde apparatuur.

De noodzaak tot automatisering: “We bottelen 19.000 flesjes per uur. De kwaliteitscontrole kun je niet meer handmatig uitvoeren.” De noodzaak om machines aan internet te koppelen: “Wij hebben een bedrijf in Duitsland dat preventief onderhoud doet aan de machines. Zij hebben een verbinding nodig om op afstand allerlei kenmerken van de machine te kunnen uitlezen.”

Voor dat onderhoud wil je geen cloud gebruiken. “Je wilt niet afhankelijk zijn van een cloud provider. In Ethiopië hadden we pas geleden tien dagen geen internet.”

Asset management

De Information Security Manager bij de brouwerij rapporteert aan de CIO, die op zijn beurt rapporteert aan de CFO. Terwijl zijn slide ‘de Schreeuw’ laat zien (het beroemde schilderij van Edvard Munch), vertelt hij dat goede security binnen een dergelijke productieomgeving ‘een uitdaging’ is.

“Samen met Legian hebben we een awareness-project opgezet. Waarbij het belang van beveiliging bij projecten naar het voortraject is gehaald en niet, zoals gebruikelijk, als mosterd na de maaltijd wordt geserveerd. We hebben een firewall geplaatst tussen IT en OT; dat ontbrak. Voorts is er veel aandacht gegaan naar asset management. Als je immers niet weet wat je hebt, weet je ook niet wat je moet beveiligen en hoe je dat moet beveiligen. Verder veel aandacht voor access management (wie mag waartoe toegang hebben en wanneer?) en identity management (wie is wie en welke rechten heeft die persoon binnen de geautomatiseerde omgeving?)

Awareness

Hij vertelt van de worsteling om security de nodige aandacht te laten geven door het algemeen management. Het is geen IT-feestje, benadrukt hij.

Er zijn aanwijzingen (Gartner wijst er bijvoorbeeld op) dat wetgeving gaat veranderen en directieleden persoonlijk aansprakelijk worden gesteld voor gaten in de beveiliging. In het geval van het ziekenhuis in Düsseldorf zou de directie ‘dood door schuld’ in de schoenen geschoven kunnen worden. Zo ver is het nog niet, maar de regelgeving gaat wel die kant op.

Dick Hoogendoorn, CTO en mede-oprichter van Legian, vertelt dat hij blij verrast was dat de Technische Dienst van de brouwerij juist vanuit de invalshoek van de operationele automatiseirng contact had opgenomen met zijn bedrijf. “Dat is nog niet eerder gebeurd. Zij hadden behoefte aan kennis over beveiliging van totale systemen. Aangezien wij niet gebonden zijn aan enige leverancier van oplossingen kunnen wij onafhankelijk advies geven. Wij leveren alleen kennis.” Ook hij erkent dat het nog steeds lastig is om iedereen (van directie tot medewerkers) te overtuigen van het belang van security.

De gespreksdeelnemers delen allen deze ervaring. Top-down is de suggestie: zorg ervoor dat de directie de waarde van security erkent en er ook naar handelt. Het is een kwestie van cultuur. Bij de botenbouwer zal niemand – geen enkele medewerker – ooit vertellen in wiens opdracht het schip wordt gebouwd. Dat zit in de cultuur van het bedrijf. Zo zou security ook ingebakken moeten zijn.

Ook zou wet- en regelgeving hier meer aan moeten doen. Digitale bescherming van de vitale infrastructuur is goed geregeld, maar zou voor elke sector moeten gelden. Eigenlijk, als je de gesprekspartners goed beluistert, is een soort Kema-keur op het vlak van security van geautomatiseerde systemen wenselijk.

Het idee wordt geopperd om scenarioplanning in te voeren. Wat gebeurt er als welke systemen uitvallen en welke response is dan nodig?

Veel gedoe

De nieuwe technologie (cloud computing, containers, werken op afstand) neemt razendsnel toe. Tel daarbij de ontwikkeling van 5G waarbij talloze apparaten met elkaar ‘praten’. “Er komt veel gedoe op ons af”, menen de gesprekspartners. “Je moet weten wat ketenpartners allemaal doen met de data; en wie de eigenaar is.”

Het idee is om (micro)segmentering toe te passen binnen de infrastructuren; een soort branddeuren, zodat een inbreuk op een systeem niet als een olievlek kan uitbreiden.

Zij zien de waarde er wel van in om veel apparaten en systemen aan elkaar te koppelen. Maar elke koppeling brengt een risico met zich mee. “Je moet echt steeds nagaan of het zinvol is om een apparaat in een netwerk op te nemen”, is de algemene conclusie.

Goed beheer

Eigenlijk, zo vinden de deelnemers, is security gewoon goed IT- en OT-beheer. Maar daar valt volgens hen ook nog veel winst te behalen, want in de praktijk laten velen wel wat steken vallen. Studie door security software leveranciers als Checkpoint en Fortinet laat zien dat  80% van de waargenomen aanvallen met gijzelsoftware in de eerste helft van 2020 kwetsbaarheden misbruikte die al in 2017 of eerder zijn gerapporteerd en geregistreerd; en meer dan 20% gebruikte kwetsbaarheiden die minstens zeven jaar oud zijn.

Terug naar de deelnemers: “Er is zo veel informatie beschikbaar als het gaat om security. Wij hebben hulp nodig bij het filteren ervan. Wat is nodig, wat werkt echt?”

Dit zijn typisch vragen waar een kennisleverancier als Legian bij helpt en helpt grip krijgen op security in OT- en IT-infrastructuur.

Bekijk ook de video: OT-security in het tijdperk van Industry 4.0

Door: Teus Molenaar