Asset owners van civiele, beweegbare kunstwerken zoals bruggen, sluizen en gemalen realiseren zich onvoldoende dat veel werken kwetsbaar zijn doordat PLC’s onvoldoende aandacht krijgen in hun Life Cycle. Het zijn de onderdelen die zorgen voor de besturing van objecten en bijvoorbeeld noodstroomvoorziening.
Dit vormt een potentieel gevaar voor de samenleving stelt Robbert de Ridder, Manager of Technology & Asset Management bij SPIE. De Ridder; “Er zitten componenten in een beweegbaar kunstwerk die eenvoudig te hacken zijn, dat zijn de zogenaamde PLC’s (Programmable Logic Controller). We zitten middenin een digitale oorlog, dagelijks worden we geconfronteerd met internationale aanvallen. Belangrijk dat de industrie, het bedrijfsleven en overheden de sleutels niet achter de balie hangen en daarmee makkelijk toegang verlenen aan hackers. Dit kan de vitale infrastructuur platleggen met alle gevolgen van dien”.
Geef hackers geen toegang
De Ridder pleit ervoor om de beschikbaarheid en betrouwbaarheid van objecten te verhogen met Data Driven Asset Management. De Ridder; “Beschermen tegen hackers begint met een inventarisatie van de staat van je assets en kwetsbaarheden. Eventuele tekorten los je vervolgens soft- en hardwarematig op”. Voor Data Driven Asset Management onttrekt men data uit de installaties. Hier is een verbinding voor nodig en creëert men een nieuwe kwetsbaarheid. Deze kwetsbaarheid kan worden afgewend door het plaatsen van bijvoorbeeld een datadiode. Dat is een fysiek apparaat dat uni-directioneel verkeer faciliteert ter bescherming van het kwetsbare netwerksegment. “Is de verbinding beveiligd, dan onttrekt men data en wordt er vervolgens intelligentie toegevoegd om het gedrag van de installatie te voorspellen in het kader van SMART Maintenance. Ook kan men bij kwaadaardig gedrag vroegtijdig ingrijpen om de assets optimaal te kunnen beschermen”. De Ridder ziet dat er initiatieven worden genomen tot Rapid Response Teams om correctief op te treden bij zwakheden of aanvallen. Hij roept deze teams op om preventief op te treden en oude PLC’s te checken en te bekijken wat voor operating software wordt toegepast en waar nodig bij te sturen.
Valkuilen
Absolute informatieveiligheid bestaat niet volgens Leon van der Valk, Chief Information Security Officer bij SPIE. “De voordelen van Data Driven Asset Management zoals Robbert het beschrijft zijn groot, maar er is ook een valkuil. Je onttrekt data en brengt ze in een omgeving om intelligentie toe te voegen. Op dat moment heb je een verbinding. Onttrekken en leveren moet veilig gebeuren. De interface (techniek en de mens) is een risico want daar is kennis voor nodig”. Beide heren pleiten voor een groter bewustzijn bij zowel de service provider, de asset manager als de asset owners omdat beide die Data Driven Asset Management vaak onvoldoende beheersen waardoor er ketengevaar ontstaat.
Cybersecurity Implementatierichtlijn Objecten
Asset owners hebben veel systemen en omgevingen die los staan van de centrale kantooromgeving. Dit zijn veelal operationele systemen voor het bedienen, besturen en beveiligen van objecten. Deze systemen hebben vaak een specifiek dreigingprofiel. Asset owners hebben tevens te maken met uitbesteding van werk en het voeren van regie op de uitbestede taken aan marktpartijen. Van der Valk ziet steeds meer relaties die in een aanbesteding een paragraaf toevoegen met eisen aan informatieveiligheid. De aanbieders dienen hier aantoonbaar aan te voldoen. “Ook SPIE heeft te maken met deze richtlijn en daar zijn wij hartstikke blij mee. Het houdt ons scherp, zowel intern als naar onze opdrachtgevers”.
Verantwoordelijkheden juist beleggen
Omdat incidenten zich overal in de organisatie kunnen voordoen, is cybersecurity een uitdaging voor de gehele organisatie. Om ervoor te zorgen dat de organisatie deze uitdaging aankan, is de juiste sturing vanuit de directie nodig. De belangrijkste cybersecuritytaken van de directie zijn het beleggen van eigenaarschap en verantwoordelijkheid voor informatie en processen. De Ridder legt uit dat dit binnen SPIE is geregeld met een mandaat vanuit de directie waarmee Van der Valk de businessunits ondersteunt. Van der Valk; “We hebben dan intern goed geregeld, maar ook de asset owner moet zo’n Cybersecurity Specialist aanstellen met de bevoegdheden om de objectbeheerders aan te kunnen spreken. Wij geven onze directie jaarlijks een update van de activiteiten en de planning die erbij hoort”. De Ridder ziet dat met name decentrale overheden nog een ontwikkeling kunnen doormaken.
Zwakke plekken in assets vormen gevaar
- Inventariseer kwetsbaarheden door het uitvoeren van een risicoanalyse (RIE) inventariseer de ICT-onderdelen en kwetsbaarheden. Bij risico’s kijk je naar beschikbaarheid, integriteit en vertrouwelijkheid;
- Kies veilige instellingen; Controleer de instellingen van apparatuur, software en netwerk- en internetverbindingen. Pas standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan (wijzig de standaard ingestelde wachtwoorden voor beheerders);
- Voer updates uit; Controleer of apparaten en software up-to-date zijn. Installeer beveiligingsupdates direct. Schakel automatische updates in zodat je apparaten en software voortaan altijd draaien op de laatste versie;
- Beperk toegang; Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken. Zorg dat toegangsrechten worden aangepast als iemand een nieuwe functie krijgt of bij de onderneming vertrekt;
- Voorkom virussen en andere malware. Er zijn meerdere manieren om malware te voorkomen: Pas firewalls en filters toe, stimuleer veilig gedrag van medewerkers, gebruik een antivirusprogramma, download apps veilig en beperk de installatiemogelijkheden van software.
Bepaal wie toegang heeft tot je data en diensten
De Ridder komt bij veel verschillende organisaties en ziet dat niet overal de toegang tot data juist is geregeld. “Geef toeleveranciers, maar ook je eigen medewerkers, alleen toegang tot de data en systemen die nodig zijn voor het uitvoeren van hun taak. Dit geldt zowel voor accounts als voor fysieke toegang. Dit beperkt de handelingen die een aanvaller kan uitvoeren indien deze zich toegang verschaft. Ook beperkt het de gevolgen van eventuele fouten van gebruikers. Beperk ook de toegang van serviceaccounts, machine-accounts en functionele accounts tot het hoogst noodzakelijke. Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken”. Hij voegt daar nog aan toe dat ook het limiteren van beheerrechten een belangrijk aandachtspunt is.
Traditioneel Onderhoud
De staat van de Nederlandse assets is verouderd. Die assets vragen veelal om traditioneel onderhoud. Vaak gaat het dan om het oplossen van storingen en geplande onderhoudswerk-zaamheden. Van der Valk; “In een traditionele omgeving is de kans op aanvallen juist groter. Er worden PLC’s in een industriële omgeving gezet en de focus is dan continuïteit en stabiliteit. Er wordt dan weinig gedaan aan de status van het besturingssysteem. Updates en patches zouden regelmatig moeten worden doorgevoerd om de PLC optimaal te beveiligen. Als je daar te lang en te weinig aandacht aan besteedt, dan zijn er risico’s. Door predictive maintenance toe te passen heb je meer inzicht in de staat van je asset en verlaag je het risico op cyberaanvallen.”.
