Hoe veilig is proces automatisering?
Waterschappen, energiebedrijven, fabrieken, logistieke organisaties: het klinkt als organisaties die niet veel gemeenschappelijk hebben. Toch zijn er nadrukkelijke overeenkomsten: ze maken allemaal gebruik van machines die aangestuurd worden door IT. De zogenaamde Operationele Techniek (OT).
En dat is een nadrukkelijk specifieke en andere tak van sport!
Het uitvallen of gehackt worden van OT, ook wel procesautomatisering genoemd, kan desastreuze gevolgen hebben. Denk aan het door criminelen openzetten van sluizen, ransomware in de systemen van fabrieken, infecties in waterleidingsystemen.
We hebben het de afgelopen jaren vaker gezien. Zo werd een Noors aluminiumbedrijf gehackt en onlangs een drinkwaterbedrijf in Florida, USA. Voor het Noorse bedrijf betekende het dat zij wekenlang hun productie moesten staken en hun IT van de grond af opnieuw op moesten bouwen.
De schade was naar schatting 31.1 miljoen Euro. Voor het waterbedrijf in Florida waren de mogelijke gevolgen nog groter: de hackers verhoogden de hoeveelheid chemicaliën met meer dan 100 keer, wat desastreuze gevolgen kon hebben voor de gezondheid van de bevolking. De verhoging werd op tijd gezien door een medewerker van het drinkwaterbedrijf en weer teruggedraaid.
De complexiteit van technische installaties neemt hand over hand toe. Niet alleen in fabrieken, maar denk ook aan Internet of Things (IoT). Dat sluit aan bij een steeds breder toepassingsgebied: denk bijvoorbeeld aan Smart City initiatieven die nu opgezet zijn en uitgerold worden.
Maar hoe zorg je dan dat de security van productieomgevingen op orde is en blijft?
Er zijn frameworks en toetsingskaders die zorgen dat je op het gebied van procesautomatisering je information security op orde kan brengen. De IEC 62443 is daar een goed voorbeeld van.
De IEC 62443 is een internationale reeks normen voor Industriële communicatienetwerken - IT-beveiliging voor netwerken en systemen. De norm is onderverdeeld in verschillende secties en beschrijft zowel technische als proces gerelateerde aspecten van industriële cybersecurity.
Waar de ISO27001 een meer generieke aanpak voor informatiebeveiliging behelst, is de IEC 62443 specifiek voor IACS-toepassingen.
Het mooie van deze aanpak is dat deze zich richt op twee groepen gebruikers: de eindgebruikers en de solution providers: de softwarebedrijven die leveren, de system integrators en vendoren. Gelukkig gaat de IEC 62443 verder dan een boodschappenlijst met maatregelen: de ruggengraat is het Cyber Security Management System (CSMS), vergelijkbaar met het Information Security Management System (ISMS) wat in de ISO27001 is beschreven.
Voor veel organisaties is de OT-security een gebied waar de technische security hoogtij viert en waar een goed en doordacht Management framework nog wordt gemist. De IEC 62443 kan hierin veel structuur geven. Goed om te zien is dat ook in Nederland steeds meer organisaties de IEC 62443 omarmen.
Ik kan het dan ook van harte aanbevelen om de IEC62443 in te zetten, te meten en verbeteren. Combineer dit met een uitstekende governance rondom de ISO27000 en NEN7510 want alleen zo kom je echt in control over de security van je proces automatisering!
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van cyber security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.