Verbondenheid tussen IT en OT vraagt om gedegen security aanpak

IT en OT Wijnands

De cybersecuritybranche hamert al enige tijd op het feit dat een toenemend aantal organisaties te maken krijgt met verscherpte securityregels. Niet alleen omdat de NIS2-richtlijn en de opvolger van de Wet Beveiliging Netwerk- en Informatiebeveiliging (Wbni). Maar vooral om dat cyberdreigingen steeds complexer en aanvallen professioneler worden. Informatiesystemen blijven kwetsbaar en daar moet je je tegen wapenen. Niet in de laatste plaats omdat de IT-omgeving inmiddels zo nauw geïntegreerd is met de OT infrastructuur, dat continuïteit van processen die ons helpen in het dagelijks leven onder druk komt te staan. Van slagbomen voor parkeerterreinen tot waterpompen en sluizen om ons land droge voeten te garanderen. Voor toekomstige bedrijfsinnovatie is verdere integratie van systemen ook noodzakelijk. En uw securitybeleid helpt hierbij.

IT en OT steeds meer verweven

Het bedrijfsleven roept steeds luider om meer efficiëntie, sturing en controle van de operationele technologie. Hierdoor wordt de verwevenheid van IT en OT nog inniger. Het al oude ‘Just In Time’ principe voor levering en ‘near realtime’ sturen van orderspecificaties is in alle industrieën dominant aan het worden. Daarnaast wordt de behoefte aan detailinformatie over de kwaliteit van producten steeds groter. Kortom, de informatiehonger neemt toe en dat betekent vandaag de dag ook dat organisaties generatieve AI-toepassingen inzetten.

Kern van de zaak is dat operationele technologie in staat moet worden gesteld te veranderen van statisch  – een machine of installatie deed zijn werk – naar veel dynamischer. Je kunt met machines bijvoorbeeld inspelen op pieksituaties omdat je als organisatie over data beschikt die dit kan voorspellen. Datzelfde geldt voor preventief onderhoud, dat tevoren kan worden ingepland omdat sensoren de belasting van een motor monitoren. Je kunt ingrijpen voordat de machine uitvalt. Met generatieve AI kun je bijvoorbeeld parameters (temperatuur, luchtdruk) analyseren en processen vervolgens optimaliseren. En we zien ook toepassingen waarbij beeldherkenning wordt gebruikt om productinspecties te doen in het kader van kwaliteitsmanagement.

Van Industry 4.0 naar 5.0

We zien hier dat langzaam maar zeker een verschuiving plaatsvindt van Industry 4.0 naar Industry 5.0. Deze laatste fase kenmerkt zich, net zal 4.0, door een hoge mate van digitalisering en automatisering, ook met behulp van AI. Een extra dimensie is de samenwerking tussen mens en machine waarbij ook duurzaamheid een belangrijke rol speelt. Deze manier van werken, in combinatie met het Industrial Internet of Things, is niet nieuw, maar de schaal waarop dit gebeurt is in rap tempo gegroeid. En dus heeft de integratie tussen OT, IT en IIoT een grote vlucht genomen. Data verzameld in de OT-omgeving dient te worden geanalyseerd en tot slimme conclusies te leiden in de IT-omgeving. En vervolgens kan met die input de OT automatisch worden aangestuurd. In het verleden heb ik IIoT ook al Shadow-OT genoemd.

Aanvalsoppervlak van cybercriminelen enorm toegenomen

Door deze nauwe verwevenheid is het aanvalsoppervlak van cybercriminelen enorm toegenomen. Niet alleen feitelijk, want een PLC en daarmee een machinepark kan slachtoffer worden van een cyberaanval. Maar ook qua omvang, want het saboteren van een oliepijpleiding of het stilleggen van de productie kan tot enorme ontwrichting en schade leiden. Het is dus niet verwonderlijk dat de reikwijdte van de NIS-richtlijn is verbreed en de bepalingen aangescherpt. Dit moet een leidraad zijn voor essentiële organisaties om hun huidige securitymaatregelen op het juiste niveau te brengen.

De praktijk leert echter dat het securityniveau niet is meegegroeid met het hoge tempo waarin de integratie tussen IT en OT tot stand is gebracht. De applicaties met IIoT en generative AI zijn niet ontwikkeld met het principe ‘secure by design’. Zoals in eerdere blogs vermeld is 100 procent secure by design lastig te realiseren. En dat wat vandaag veilig is, hoeft volgende week niet meer veilig te zijn. Dat betekent dat je als organisatie veel energie moet stoppen in een monitoring omgeving, zodat je vreemd gedrag op je netwerk kunt detecteren.

Het is zoiets als de voordeur openzetten en voortdurend door je huis rondlopen om te kijken of vreemdelingen geen waardevolle spullen uit je kastjes meenemen. Op de lange termijn zal het altijd een combinatie blijven van secure by design en monitoring. Weet dus, dat wanneer je nieuwe applicaties en systemen uitrolt in het kader van Industry 4.0 of 5.0, dat deze secure by design zijn; systeem, product en proces zijn vanaf het begin veilig en het is dan ook achteraf makkelijker om aan te passen aan veranderingen in het dreigingslandschap.

IT en OT en secure by design

Dit neemt niet weg dat je organisatie nog over (delen van) een infrastructuur beschikt die niet secure by design is. Kijk dan goed naar NIS2 en volg de principes die hieruit voortvloeien:

  • Alles begint bij een goede bedrijfsrisico-inventarisatie van de systemen
  • Manage de securityrisico’s, waarbij ook ketenaansprakelijkheid een rol speelt.
  • Bescherming tegen cyberaanvallen, waarbij bewustzijnstrainingen en identiteitsmanagement ingericht moeten worden.
  • Detecteer cybersecurityaanvallen, en zorg dat dit proactief gebeurt.
  • Reduceer de impact van een cyberaanval, bijvoorbeeld door back-ups gereed te hebben en een disaster recovery plan te hebben.

Het devies voor organisaties die IT en OT nauw hebben geïntegreerd: nieuwe ontwikkelingen moeten secure by design zijn. Waar dat nog niet mogelijk is, breng je de security monitoring omgeving op het juiste niveau en zorg je dat je goed beveiligd bent. Voor toekomstige NIS2 compliancy zijn dit de goede beginstappen.

Stap voor stap secure by design

Secure by design lijkt een wat abstract begrip. De volgende checklist biedt je enige houvast. Het realiseren van secure by design zou de volgende elementen moeten bevatten:

  1. Bepaal welke bedrijfsrisico’s een nieuw systeem kan veroorzaken.
  2. Bepaal welke securitylevel je wil bereiken.
  3. Bepaal welke maatregelen specifiek nodig zijn voor dit project.
  4. Zoek uit in welke mate en op welke manier dit bewuste project impact heeft op de algemene securitymaatregelen in de organisatie.
  5. Breng in kaart welke aanvullende activiteiten nodig zijn.

Voor OT omgevingen biedt het IEC62443 framework goede handvatten om een aanpak hiervoor te definiëren. Kortom, wees voorbereid met secure by design, monitor actief en zorg dat je in staat bent securitymaatregelen aan te passen aan de werkelijkheid van morgen. Als je deze aanpak hanteert, is compliancy een gevolg van het secure by design principe. Je bent compliant op een manier die past bij de realiteit en die goed te implementeren is.

Auteur: Eric ten Bos, Co-Founder & Technical lead van het Thales Cyber OT Convergence Center (OTCC).

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEF EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.

Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.

Avatar foto

Redactie

Dit nieuws is samengesteld door de redactie van IndustrieVandaag.
Lees meer van: Redactie