Blog: Waarom cybersecurity niet in een beveiligingsplan mag ontbreken

27 mei 2020

Door: Steve Ludwig, Commer­cial Programs Manager, Safety, Rockwell Automation

We kennen allemaal de gevolgen die cyber­cri­mi­na­li­teit kan hebben voor onze intel­lec­tuele eigen­dommen, klan­ten­be­standen en produc­ti­vi­teit. Helaas zijn we minder goed op de hoogte van de fysieke risico’s die deze bedrei­gingen in productie-omge­vingen met zich mee kunnen brengen. Zo kan een cyber­aanval op een indu­strieel bestu­rings­sys­teem flinke schade aanrichten aan productie-instal­la­ties, ernstige mili­eu­schade veroor­zaken of zelfs lichaam­lijk letsel bij werk­ne­mers tot gevolg hebben.. 

Voor indu­striële bedrijven, die zich momenteel midden in een digitaal trans­for­ma­tie­proces bevinden – of dit nu een strak geleid proces betreft of een gestage evolutie – is het van groot belang dat de beheer­sing van struc­tu­rele veilig­heids- en beveiligingsrisico’s een integraal onderdeel van dat proces is. 

Een goed gede­fi­ni­eerde bevei­li­gings­aanpak zal ook de verza­me­ling, analyse en uitwis­se­ling van infor­matie verbe­teren. Hierdoor kunnen werk­on­der­bre­kingen en frus­tra­ties als gevolg van problemen  door de bevei­li­ging tot een minimum beperkt worden en – niet geheel onbe­lang­rijk – de onder­ne­ming blijft adequaat beschermd.

Ken de risico’s

Tegen­woordig leggen de normen voor bevei­li­ging en veilig­heid een verband tussen veilig­heids- en bevei­li­gings­ri­si­co’s. De ISA/​IEC 62443–1‑1 norm voor cyber­se­cu­rity geeft aan dat een inbraak in de bevei­li­ging conse­quen­ties kan hebben, die veel verder gaan dan de aantas­ting van infor­matie: “Het poten­tiële verlies aan mensen­le­vens of productie, mili­eu­schade, schending van de regel­ge­ving en aantas­ting van de opera­ti­o­nele veilig­heid zijn veel ernsti­gere gevolgen. Deze gevolgen kunnen de aange­vallen orga­ni­satie over­stijgen: ze kunnen zelfs de openbare infra­struc­tuur ernstig beschadigen.”

De func­ti­o­nele veilig­heids­norm IEC 61508–1 bepaalt dat risico’s die verbonden zijn aan indu­striёle appa­ra­tuur en bestu­rings­sys­temen voor alle rede­lij­ker­wijs te voorziene omstan­dig­heden in kaart gebracht moeten worden. De norm stelt: “De evaluatie moet alle mogelijke mense­lijke aspecten bevatten en aandacht besteden aan abnormaal en opvallend gebruik van de auto­ma­ti­se­rings­sys­temen. Blijkt uit de risico-analyse dat er sprake kan zijn van mogelijk kwaad­wil­lige of onge­oor­loofde hande­lingen die een rede­lij­ker­wijs te veron­der­stellen veilig­heids­drei­ging vormen, moet er een analyse van de veilig­heids­drei­gingen worden uitgevoerd.”

Bevei­li­ging benadert problemen op basis van risi­co­ma­na­ge­ment, waarbij gebruik gemaakt wordt van voort­du­rende risico-analyse en base­li­ning om ervoor te zorgen dat bepaalde risi­co­drem­pels gehaald worden. Het niveau van aanvaard­bare risico’s variëert per bedrijfstak en zijn afhan­ke­lijk van de  poten­tiële gevolgen.

Hacker

Als je bedenkt dat cyber­aan­vallen doorgaans ontstaan nadat een hacker een kwetsbaar doelwit vindt – in plaats van zich specifiek  op een bepaalde bedrijf te richten –  is een cyber­aanval dus in praktisch elke orga­ni­satie te verwachten. 

Het beoor­delen van de cyber­se­cu­ri­ty­ri­si­co’s, het bepalen van een aanvaard­baar risi­co­ni­veau en het beperken van geïden­ti­fi­ceerde risico’s tot een aanvaard­baar niveau zijn de basis­stappen om bedrijven te beschermen tegen voor­spel­baar misbruik en kwaad­wil­lige of onge­oor­loofde acties.

Net als bij bevei­li­ging in het algemeen is het negeren van cyber­se­cu­rity en de bijbe­ho­rende risico’s geen optie. Denk vooral niet: “Zolang ik niet op de hoogte ben van het risico, kan ik niet verant­woor­de­lijk worden gehouden.” Dat is geen accep­ta­bele houding, noch uit ethisch oogpunt, noch met het oog op naleving van de  gemaakte afspraken. Maar vooral niet wanneer er levens op het spel staan.

Pak risico’s samen aan

De risico’s die connected tech­no­lo­gieën met zich meebrengen worden door sommigen als argument tegen moder­ni­se­ring gebruikt. Het is echter belang­rijk om je te reali­seren dat niets doen geen oplossing is. 

Door lega­cy­sys­temen te lang in gebruik te houden, onthouden bedrijven zichzelf niet alleen waar­de­volle moge­lijk­heden voor meer inzicht en andere voordelen van IIoT, maar deze systemen zijn ook nog extra kwetsbaar, omdat zij vaak de veilig­heids­maat­re­gelen van heden­daagse systemen missen. Je kunt de digitale trans­for­matie maar beter omarmen en tege­lij­ker­tijd de veilig­heid en bevei­li­ging als onderdeel van het proces organiseren. 

Zo worden er in de IT-wereld al lang veel bevei­li­gings­prak­tijken toegepast, maar ze zijn nieuw voor de OT-wereld. Ondanks het feit, dat de bevei­li­gings­pro­cessen verge­lijk­baar zijn, worden ze in de kantoor­om­ge­ving heel anders toegepast dan op de fabrieksvloer.

In een productie-omgeving moeten cyber­se­cu­rity en veiligheidsrisico’s zowel deel uitmaken van het standaard risi­co­be­heer als van het veran­de­rings­proces. Daarnaast moeten veilig­heids­pro­fes­si­o­nals worden betrokken bij het beheer van processen en de naleving van normen en regels.

Er is een nieuw tijdperk voor de industrie aange­broken. De voordelen van Industrie 4.0  wegen absoluut op tegen de verhoogde risico’s. Als je die risico’s begrijpt en ze als onderdeel van de digi­ta­li­se­ring aanpakt, kun je de acti­vi­teiten verder uitbreiden en tege­lij­ker­tijd beschermen wat het meest belang­rijk is. 

Robbert Hoeffnagel

Editor @ Belgium Cloud

cybersecurity

Pin It on Pinterest

Share This