Na Shadow IT ligt het gevaar van Shadow OT op de loer

Het Industrial Internet of Things (IIoT) ondersteunt bedrijven bij het optimaliseren van processen, verlagen van kosten en verbeteren van efficiëntie. Hoewel IIoT-toepassingen veel voordelen bieden, brengen ze ook beveiligingsrisico’s met zich mee. Een beveiligingsincident leidt tot uitvaltijd van de productie, gegevensverlies of zelfs fysieke schade. Daarom is het cruciaal dat bedrijven zich richten op de beveiliging van IIoT-systemen.

IIoT maakt het mogelijk om machines, systemen en processen te monitoren en te beheren op een manier die voorheen niet mogelijk was. Hierdoor kunnen bedrijven hun productieprocessen optimaliseren en sneller inspelen op veranderingen in de markt. Een belangrijke katalysator voor IIoT is de opkomst van 5G. Met 5G kun je grote hoeveelheden data realtime verzamelen en verwerken. Zo kunnen organisaties IIoT-oplossingen op grote schaal inzetten en wordt de integratie van IIoT in bestaande bedrijfsprocessen gemakkelijker. Machine to machines communicatie wordt in mindere mate belemmerd door een beperkte bandbreedte bijvoorbeeld. Organisaties zijn in staat ook mobiele IIoT-toepassingen te ontwikkelen, zoals drones of autonome voertuigen. Denk hierbij aan wagentjes (Automated Guided Vehicles, AGV’s) in de grote logistieke distributiecentra. IIoT is een sprekend voorbeeld van het digitale dilemma: businessinnovatie versus cyberbedreigingen. De uitdaging is nu om de nieuwe NIS 2 EU-richtlijn, die in Nederlandse wetgeving wordt omgezet, te gebruiken als kader om business innovatie veilig door te kunnen voeren.

Shadow OT

Je kunt je voorstellen dat de technologische infrastructuur kwetsbaar wordt naarmate er meer en meer devices, machines en bijvoorbeeld voertuigen (draadloos) met elkaar verbonden worden. Al deze apparaten moeten beheerd en beheerst worden, zodat er geen kwetsbaarheden ontstaan die door cyberaanvallers kunnen benutten. Besturingssystemen moeten up-to-date zijn, firmware moet op orde zijn en het toegangsbeheer moet geregeld zijn. De praktijk leert dat bij veel bedrijven er sprake is van een groeiend aantal unmanaged devices, voornamelijk IIoT. Soms zien we dat devices door medewerkers zelf zijn aangebracht; het gaat dan vaak om goedkope technologie met een bedenkelijk securityniveau. Dit is vaak niet afgestemd met IT, dus kun je spreken van Shadow OT. In het verleden – en soms nog – werden we geconfronteerd met Shadow IT doordat medewerkers cloudoplossingen inzetten om informatie te delen. Nu zien we hetzelfde met operationele technologie in de IIoT omgeving.

Hiermee handelen organisaties in strijd met de bepalingen uit de NIS2 richtlijn. Hoewel de NIS2-richtlijn niet specifiek gericht is op IIoT-beveiliging, zijn de bepalingen van de richtlijn relevant voor organisaties die IIoT-systemen gebruiken. Bedrijven die actief zijn in kritieke sectoren en IIoT-systemen gebruiken, moeten de NIS2-richtlijn naleven en adequate maatregelen nemen om hun systemen te beschermen.

IIoT beter beschermen

Bedrijven die te maken hebben met verschillende machines en apparaten die niet goed beheerd worden, moeten maatregelen nemen om hun IIoT-systemen beter te beschermen. Denk hierbij aan de volgende stappen:

• Inventariseer de IIoT-apparaten en -machines
  Zorg ervoor dat je als organisatie beschikt over een volledig overzicht van alle IIoT-apparaten en -machines die het netwerk zijn aangesloten. Dit omvat het identificeren van het type apparaat, het besturingssysteem, de softwareversie, de firmware en andere relevante informatie. Met deze informatie kun je potentiële kwetsbaarheden identificeren en oplossingen vinden om ze te verhelpen.
• Beperk de toegang tot IIoT-systemen
  Organisaties moeten de toegang tot IIoT-systemen beperken tot alleen geautoriseerde gebruikers. Dit kan worden bereikt door sterke authenticatie- en autorisatiemechanismen in te stellen, zoals wachtwoorden, certificaten of biometrische verificatie. Multifactor authenticatie is hierbij essentieel.
• Installeer regelmatig updates en patches
  Het lijkt een open deur, maar vaak een bron van narigheid: wees er zeker van dat updates en patches regelmatig geïnstalleerd worden voor alle IIoT-apparaten en -machines. Zorg bijvoorbeeld voor een geautomatiseerd patchmanagementproces, zodat alle IIoT-apparaten worden bijgewerkt zodra er een update of patch beschikbaar is.
• Beveilig de communicatie tussen IIoT-apparaten en -machines
  Zorg ervoor dat de communicatie tussen IIoT-apparaten en -machines veilig is en niet kan worden onderschept. Dit kan worden bereikt door end-to-end-encryptie te gebruiken, waarbij gegevens worden versleuteld voordat ze worden verzonden en gedecodeerd nadat ze zijn ontvangen.
• Implementeer beveiligingsmonitoring en analyseer nieuwe IIoT-toepassingen op cyberdreigingen
  Een Security Operations Center helpt je beveiligingsmonitoring te implementeren om mogelijke beveiligingsincidenten te detecteren en erop te reageren, 24/7. Dit omvat het monitoren van IIoT-apparaten en -machines om te zoeken naar ongebruikelijke activiteiten en verdachte patronen op het netwerk. Hierbij hoort ook een responsplan voor beveiligingsincidenten om snel te kunnen handelen als er een incident plaatsvindt. En juist omdat je het stilvallen van een productieomgeving moet voorkomen, is het raadzaam om ook een Computer Emergency Response Team (CERT) achter de hand te hebben.

Als organisatie is het niet moeilijk om in ieder nieuw projectplan waarin IIoT geïmplementeerd wordt een hoofdstuk op te nemen over cybermaatregelen. Zo veranker je de maatregelen, zoals hierboven beschreven, in de dagelijkse praktijk en borg je de continuïteit van de digitale weerbaarheid.

Je kunt aannemen dat iedere grotere productieomgeving of industriële speler onder de NIS2 valt, als dat al niet het geval was bij NIS1. Organisaties die al veel gebruik maken van IIoT-oplossingen doen er goed aan een assessment te doen naar de status van de beveiliging. Partijen die juist aan de vooravond staan, hebben het voordeel van het feit dat zij de principes van NIS2 in hun architectuur kunnen verweven. Zo zijn zij secure by design, en dat is een goed uitgangspunt voor hun digitale weerbaarheid. Zo voorkom je Shadow OT!

Auteur: Eric ten Bos, Co-Founder & Technical lead van het Thales Cyber OT Convergence Center (OTCC).