Cybersecurity OT-systemen schieten te kort | Berenschot blog

“Tienduizenden verkeerslichten in Nederland te hacken, lek nog jaren te misbruiken.” Zo luidde de headline van een RTL-artikel, waaruit bleek dat een hacker via een radiosysteem verkeerslichten op afstand kon besturen. Systemen waar de hacker uit het artikel zich op richt, worden operational technology (OT) genoemd en zijn in veel onderdelen van onze (vitale) infrastructuur te vinden. De gevolgen van dergelijke kwetsbaarheden in OT-systemen lopen uiteen, afhankelijk van wat hackers ermee kunnen doen. De Informatiebeveiligingsdienst reageerde al op de headline met een passende nuancering. Toch blijft het een illustratief voorbeeld van hoe dergelijke kwetsbaarheden kunnen worden misbruikt en potentieel verstrekkende gevolgen kunnen hebben. Doordat OT-systemen vaak verouderd en minder goed beveiligd zijn, blijven ze een interessant doelwit voor hackers. 

Operational technology (OT) was ooit veelal niet verbonden met het internet en de noodzaak om te beveiligen was dan ook beperkt. Nu steeds meer OT-systemen - veelal gebruikt in kritieke vitale sectoren - ook zijn verbonden met IT-systemen, breidt de dreiging voor cyberaanvallen zich uit naar dit gebied. En dat is ook te merken. Cijfers van het CBS laten zien dat de bedrijfstakken energie, water en afval relatief harder worden geraakt door cyberaanvallen. Ook zijn deze sectoren het vaakst slachtoffer van ransomware-aanvallen waar de politie bij betrokken wordt.

Zorgen rondom OT, ook bekend als Industrial Automation & Control Systems (IACS), zijn niks nieuws. Al in 2020 adviseerde de Cybersecurity Raad (CSR) om de beveiliging van IACS in de vitale infrastructuur te verbeteren. De raad benoemde ook de gevaren van onvoldoende beveiligde operationele technologieën, aangezien vele ervan essentieel zijn voor onze vitale infrastructuur. Enkele voorbeelden uit het advies van de CSR zijn sluizen, verwerkingsinstallaties van nucleair materiaal, spoorwegen en liften. Kwetsbaarheden in OT kunnen vergaande gevolgen hebben. Zo kunnen hackers de ondersteunende systemen platleggen van bijvoorbeeld sluizen en die pas vrijgeven na het betalen van losgeld. Ook Berenschot ziet dat organisaties vaak grotere stappen kunnen zetten in hun continuïteit en (digitale) weerbaarheid – en daarmee risico’s daadwerkelijk kunnen verminderen – door hun OT-cyberrisicobeheersing te verbeteren. 

Met de komst van de Cyberbeveiligingswet (Cbw) worden de daadwerkelijke risico’s op dit gebied ook erkend door de wetgever en daarmee urgenter voor veel organisaties, aangezien deze wet onder meer de wettelijke verplichting omvat om de risico’s in OT aan te pakken. Zo stelt artikel 23 dat essentiële en belangrijke entiteiten “passende en evenredige technische, operationele en organisatorische maatregelen” dienen te treffen om “de risico’s voor de beveiliging van de netwerk- en informatiesystemen […] te beheersen.” In de memorie van toelichting is te lezen dat operationele technologieën en IACS hier ook onder vallen. Ook het Nationaal Cyber Security Centrum (NCSC) benoemt netwerk- en informatiesystemen die essentieel zijn voor operationele continuïteit als een te beschermen belang in het kader van de NIS2 en in het verlengde daarvan dus de Cbw. Verder stelt artikel 26 van de Cbw het bestuur verantwoordelijk voor het beschermen van deze belangen (voor meer informatie over bestuurlijke verantwoordelijkheid zie de vorige blog in deze reeks). 

Kortom, de Cbw stelt niet alleen de aanpak van OT-cyberrisco’s verplicht maar breidt deze verantwoordelijkheid uit naar het bestuur van de organisatie. 

Het belang van het beveiligen van OT is evident, gezien de toenemende risico’s en wettelijke vereisten. De vraag is dan ‘hoe nu verder’? Hieronder geven wij drie tips om hierin belangrijke stappen te zetten. 

Vaak ontbreekt een overzicht van alle OT-applicaties en hoe deze samenhangen met processen die kritiek zijn voor de organisatie en de samenleving. Laat staan dat inzichtelijk is op welke wijze deze met elkaar en met IT verbonden zijn. Ontbreekt dit, dan betekent dat er geen adequate risicoanalyses kunnen worden uitgevoerd zoals de Cbw voorschrijft.

Tip 1: Breng je belangrijkste assets in beeld door een integraal in- en overzicht van zowel IT- als OT-applicaties van je kritieke processen te creëren. Gebruik dit overzicht om te inventariseren waar de grootste risico's zitten en gericht maatregelen te treffen om risico's te verminderen en invulling te geven aan de zorgplicht uit de Cbw. 

OT-incidenten worden, zo zien we bij tal van organisaties, vaak ad hoc opgelost vanuit een hands-on mentaliteit. Hoewel dit belangrijk en bewonderingswaardig is, is een dergelijke aanpak niet ideaal. Op deze manier wordt namelijk de continuïteit niet gewaarborgd en is er een grote afhankelijkheid van kennis van specifieke medewerkers. Bovendien wordt er doorgaans geen onderscheid gemaakt tussen verstoringen en (mogelijk moedwillige) incidenten. Daardoor vindt er vaak geen onderzoek plaats naar incidenten die zich meermaals voordoen.

Tip 2: Richt een OT-incidentmanagementproces in dat aansluit bij de continuïteits- / BCM-plannen, bekende incident respons processen en de crisismanagementorganisatie. Dat maakt je organisatie minder afhankelijk van specifieke medewerkers en leidt ertoe dat incidenten effectiever worden opgelost met verbeteringen voor de toekomst.

Veel organisaties werken risicogebaseerd en willen voldoen aan /compliant zijn met de Cbw. Dit gebeurt veelal vanuit de traditionele IT-kolom. Ook CISO’s richten zich in veel organisaties (vooral) op IT. We zien langzaam stappen, maar OT ligt toch vaak buiten hun zichtveld waardoor deze achterblijft als het gaat om het mitigeren van risico's. Het gat tussen IT en OT wordt daarmee alleen maar groter. 

Tip 3: Betrek OT-afdelingen in alle verbetertrajecten op het gebied van cybersecurity. Alleen op die wijze waarborg je de essentiële integrale samenhang bij bijvoorbeeld de implementatie van de Cbw.

Met deze stappen kan je organisatie niet alleen gaan voldoen aan wettelijke eisen, maar ben je bovenal in staat de eigen operationele technologie beter beschermen tegen toenemende dreigingen.

Als je vragen hebt over de Cbw of als je wilt doorpraten over informatiebeveiliging of privacy in het algemeen, neem dan gerust contact met ons op.