OT- Security voor de kritieke infrastructuur: Hype of Noodzaak?

Traditioneel gezien waren veel OT-systemen geïsoleerde, gesloten systemen die onafhankelijk werkten van IT-netwerken. Dit is in de afgelopen 10-15 jaar aanzienlijk veranderd. Veel van deze systemen zijn nu direct of indirect gekoppeld aan het internet of andere netwerken om efficiëntie en flexibiliteit te verhogen. Deze verbondenheid brengt nieuwe risico's met zich mee.

Hackers en andere kwaadwillenden zijn zich bewust van deze ontwikkelingen en proberen de kwetsbaarheden van deze systemen te exploiteren. Een geslaagde cyberaanval op een kritieke infrastructuur organisatie kan leiden tot verstoringen, financiële verliezen en zelfs tot menselijke slachtoffers. De gevolgen van een cyberaanval op de OT-systemen zijn vaak veel omvangrijker dan een cyberaanval op IT-systemen.

De beveiliging van OT-systemen is complexer dan die van IT-systemen. De meeste OT-systemen zijn ontwikkeld in de vorige eeuw en toen was cybersecurity nog geen onderwerp, met als gevolg dat deze systemen geen ingebouwde cyberbeveiliging hebben en vooral robuust moesten zijn. Ze waren ontwikkeld voor een bepaalde functionaliteit in een bepaalde (industriële) omgeving en moesten minimaal 20-30 jaar functioneren. Het is nooit de bedoeling geweest om deze systemen aan een netwerk (lees: internet) te koppelen.

In de meeste IT-omgevingen worden regelmatig updates en patches geïnstalleerd om systemen up-to-date en veilig te houden. In OT-omgevingen is dit meestal niet mogelijk vanwege de noodzaak van continue operaties en de incompatibiliteit van nieuwere software met oudere hardware. Bovendien zijn de protocollen en software, die in OT worden gebruikt, vaak op maat gemaakt en minder bekend, waardoor het niet alleen moeilijker is om beveiligingsproblemen te identificeren, maar ook om

deze aan te pakken. Dit zijn o.a. de redenen waarom IT-security tools niet altijd mogelijk zijn binnen de OT-omgeving. Daarnaast is ook de insteek verschillend. Bij IT-security draait het vaak om confidentialiteit van de informatie, terwijl het bij OT-Security vooral gaat om de beschikbaarheid van het (industriële) proces.

Ondanks bovenstaande uitdagingen, zullen OT-systemen toch moeten worden beveiligd tegen moderne bedreigingen, want het welzijn van onze samenleving kan hiervan afhangen.

Enkele ‘best practices’ voor OT-security zijn:

· Detectie en Identificering van OT systemen. Wat men niet kan zien, kan men ook niet beveiligen. Een inventarisatie van de complete OT omgeving (zonder ‘blind spots’) is essentieel, zodat deze kan worden beveiligd;

· Netwerksegmentatie: Door OT-systemen te isoleren van de rest van het netwerk kunnen aanvallers minder gemakkelijk toegang krijgen tot kritieke systemen;

· Monitoring en Incident Respons: Zorg voor real-time monitoring van netwerkactiviteit en stel een incidentresponsplan op om snel en effectief te kunnen handelen bij beveiligingsincidenten;

Het beveiligen van OT in kritische infrastructuur is geen ‘hype’, maar een noodzaak die unieke uitdagingen en risico's met zich meebrengt. Door het implementeren van bovenstaande ‘best practices’ kunnen bedrijven niet alleen hun systemen beschermen maar ook bijdragen aan de nationale en publieke veiligheid.

De urgentie van dit onderwerp mag niet worden onderschat. Het is tijd om proactief te zijn in het beveiligen van onze kritieke infrastructuren. Dit is een uitdaging die wij als samenleving gezamenlijk moeten aangaan. Het is hoog tijd om deze kritieke kwestie met de ernst te benaderen die het verdient.

Door: Fred Streefland, EMSD bc. is CEO van Secior. Hij was voormalig luchtmacht officier en militair inlichtingen adviseur van de Secretaris-Generaal van de NAVO. Hij is cybersecurity specialist IT, OT & IoT en werkzaam geweest als CISO/CSO van Exact, LeaseWeb, Hikvision en Palo Alto Networks.

Fred Streefland spreekt op op 21 november op de Dutch IT Security Day over OT Security.

De toegang is gratis. Schrijf u nu in!