De businesscase: wat levert cybersecurity op in OT-omgevingen?

OT-omgevingen

Business innovatie staat door de wedloop naar omzet en duurzaamheid hoog op de agenda binnen veel productieomgevingen. Voor vrijwel iedere vorm van innovatie zijn meer koppelingen met de OT-omgeving nodig. Voor bijvoorbeeld verbeterde producten is data nodig over onder andere de verkoop, volumes en kwaliteit. Door de toenemende behoefte aan innovatie en integraties worden in OT-omgevingen steeds vaker securitymaatregelen geïmplementeerd. De businesscase is hierbij van onschatbare waarde. Want wat levert cybersecurity op?

In- en overzicht in OT-omgevingen

In OT-omgevingen ligt de focus op het zo snel mogelijk werkzaam krijgen en houden  van machines. Het installeren van nieuwe machines en onderhoud gebeurt toch nog soms pragmatisch. Daarnaast is vaak sprake van veel legacy, machines gaan lang mee met behulp van onderhoud. Daardoor gebeurt het regelmatig dat niet bekend is welke versies van protocollen en software gebruikt worden. Het gevolg hiervan is dat het niet duidelijk is welke kwetsbaarheden de infrastructuur kent. Het is complex de gehele infrastructuur in kaart te brengen en alleen maar veilige protocollen te gebruiken. De legacy machines zijn hier vaak niet op aangepast en dus moet gebruik gemaakt worden van verouderde protocollen. Monitoring zorgt voor inzicht in de kwetsbaarheden, zodat deze gemitigeerd kunnen worden. Een voorbeeld hiervan is het aantal vreemde apparaten dat toegang heeft tot de OT-omgeving. Dankzij monitoring wordt inzichtelijk hoeveel dit er zijn en waardoor dit aantal – en daarmee ook de risico’s – verlaagd kan worden. Deze risico’s kunnen beter ingeschat worden, waardoor ook bewust gekozen kan worden om uitzonderingen te maken voor bepaalde apparaten.

Inzetten van Detectie en Respons

Voor innovatie is (informatie-)integratie noodzakelijk. Momenteel wordt dit vaak nog niet meteen toegejuicht, omdat integraties en technologische innovaties worden

beschouwd als een mogelijk risico voor de dagelijkse operatie. Niet alle innovaties kunnen vooraf volledig getest worden, terwijl er veel onderlinge systeemafhankelijkheden zijn die zorgen voor complexiteit. Daarom worden geavanceerde technologieën zoals het Industrial Internet of Things (IIoT) ter ondersteuning van ‘predictive maintenance’ voorzichtig toegepast. Het vergroot namelijk het aanvalsoppervlak en daarmee de kwetsbaarheid voor aanvallen van buitenaf. Het inzetten van detectie en respons biedt uitkomst om deze risico’s te verlagen.

Binnen IT is het gebruikelijk om 24/7 monitoring van de volledige omgeving als dienstverlening in te kopen bij een Security Operations Center (SOC). Simpelweg omdat het voor een individueel bedrijf haast niet te realiseren is om dergelijke expertise 24/7 beschikbaar te hebben. Laat staan de aanwezigheid van een responseteam dat direct actie kan ondernemen als er iets verdachts plaatsvindt. Er worden immers innovaties geïmplementeerd. Dit betekent enerzijds dat het aantal verbindingen wordt vergoot en daarmee meer risico wordt genomen.

Anderzijds kan dankzij de vele verbindingen ook beter worden gemonitord waardoor een organisatie weerbaarder wordt tegen aanvallen van buitenaf. OT-omgevingen zijn vaak deterministisch met voorspelbaar netwerkgedrag, dat betekent dat met continue monitoring de onderlinge afhankelijkheden vooraf geanalyseerd kunnen worden. Vaak is het wenselijk om security mee te nemen in het ontwikkelen van innovaties. Dit wordt secure-by-design genoemd. Het is ondoenlijk om iets te ontwikkelen wat volledig waterdicht is en dit proberen is niet aan te raden. Nieuwe systemen en connecties bieden nieuwe kansen, maar nieuwe koppelingen in een bestaande OT-omgeving gaan ook risico’s opleveren voor de reeds aanwezige systemen. En dat de beveiliging van oudere systemen niet past op de nieuwe waardoor downtime kan ontstaan. Detectie en respons zijn daarom een betere oplossing om sneller te innoveren en risico’s te verkleinen. Bovendien heeft het ook andere voordelen.

Strafrechtelijk onderzoek

Dankzij continue monitoring worden ongewenste activiteiten geregistreerd. Mocht een kwaadwillende proberen de productie te schaden, kan deze niet alleen snel gestopt worden, maar kan ook de persoon worden achterhaald. Het verzamelen van de informatie over infrastructuuractiviteiten maakt het mogelijk bewijslast te verzamelen en illegale activiteiten te vervolgen. Door duidelijk bewijs te hebben van wie welke actie uitvoert, en dit te correleren met toekomstige gebeurtenissen, worden tevens verzekeringen mogelijk en strafrechtelijk onderzoek ondersteund. Denk bijvoorbeeld aan een onbemand voertuig (Automated Guided Vehicle – AGV) dat een ongeluk veroorzaakt vanwege een wijziging in de software. Achteraf is dan aan te tonen dat het incident met de AGV te herleiden is naar het incident met een hacker of leverancier die de software wijzigt. Cyberschade is daarmee traceerbaar.

Gap-analyse

Tot slot ondersteunt continue monitoring ook gap-analyse. Hierdoor kan worden vastgesteld waar overeengekomen of tekortgeschoten wordt ten opzichte van aan OT-beveiligingsframeworks zoals IEC 62443. Dit is een manier om aan te tonen dat aan wet- en regelgeving wordt voldaan, verbeteringen worden doorgevoerd en rapportages gerealiseerd. Aan de hand van een monitoringsanalyse kunnen wijzigingen doorgevoerd worden, die ook getest kunnen worden met monitoring. De instrumentele beveiliging (Safety Instrumented System – SIS) systemen waken over de veiligheid van de fabriek, bijvoorbeeld de maximale temperatuur van een machine. Met monitoring kun je echter variaties waarnemen die afwijken van het normale gedrag. Dit kan een indicatie zijn dat iets mis is met de nieuwe software of de apparatuur. Met dit soort trendanalyses wordt het proces nog voorspelbaarder. Tevens worden alle gegevens die nodig zijn voor een compliancy rapport geautomatiseerd verzameld. Waarmee zonder additioneel papierwerk allerlei periodieke audits uitgevoerd kunnen worden.

Het inrichten van monitoring voor de OT-omgeving levert dus verschillende voordelen op. Door deze uit te tekenen en inzichtelijk te maken kunnen deze bijdragen aan de juiste businesscase.

Meer weten over het cyberbestendig maken van IT- en OT-omgevingen?
Download het whitepaper van Thales.

Auteur: Eric ten Bos, Global lead OI/IIoT cybersecurity bij Thales.

Lees ook:

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEF EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.


Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.

Avatar foto

Redactie

Dit nieuws is samengesteld door de redactie van IndustrieVandaag.
Lees meer van: Redactie