blog
Overheden moeten strengere eisen stellen aan de beveiliging van machines
In het verleden bestond een fabriek uit stoommachines die werden bediend door arbeiders in overalls. Maar de moderne productieomgeving is sterk geëvolueerd. Tegenwoordig worden machineparken steeds meer verbonden met netwerken en het internet als gevolg van de digitale transformatie en automatisering. Hoewel dit voordelen biedt, opent het tevens de mogelijkheid tot productieverstoringen door risico’s op cyberaanvallen.
Machineparken zijn steeds vaker verbonden met computersystemen en netwerken. Zodat fabrikanten data kunnen verzamelen, processen kunnen monitoren en machines op afstand kunnen bedienen. Echter brengen deze mogelijkheden ook meer risico’s met zich mee. Maar al te vaak zien we dat er te weinig aandacht is om machines digitaal te beveiligen. Beheerders krijgen onvoldoende ruimte binnen het operationele productieproces om snel de nodige patches en updates op tijd door te voeren. Vaak zijn beheerdersaccounts met zwakke wachtwoorden jarenlang gedeeld over meerdere gebruikers. Of is het toegangsbeleid voor onbevoegden onvoldoende onder controle. Dit biedt cybercriminelen de mogelijkheid om te infiltreren in het systeem en machines over te nemen.
Daarnaast vormt het gebruik van legacy systemen vaak een uitdaging. Legacy systemen hebben software die in het verleden is ontwikkeld en niet meer wordt bijgewerkt. Machineparken gebruiken vaak oudere systemen, omdat ze gekoppeld zijn aan andere systemen zoals een transportband en alles al jarenlang stabiel en goed functioneert. Echter worden dergelijke systemen vaak niet ondersteund met de nieuwste beveiligingsupdates, waardoor ze extra kwetsbaar zijn voor cyberaanvallen. Bovendien brengt het moderniseren van machineparken en het vervangen van legacy systemen vaak vertraging met zich mee, vanwege de hoge kosten.
Externe toegangspunten vormen ook een risico. Machineparken kunnen externe leveranciers of serviceproviders betrekken voor onderhouds- en ondersteuningsdoeleinden. Als deze toegangspunten onvoldoende beveiligd zijn, kunnen cybercriminelen deze route gebruiken om toegang te krijgen tot de computersystemen en vervolgens de machines manipuleren. Daarnaast speelt de menselijke factor een rol. Medewerkers maken vaak fouten, zoals het onbedoeld blootstellen van gevoelige informatie of het openen van verdachte links, waardoor cybercriminelen toegang krijgen tot het systeem en uiteindelijk controle krijgen over de machines.
De kloof tussen Informatie Technologie (IT) en Operationele Technologie (OT) overbruggen
Het waarborgen van de beveiliging van operationele systemen vereist dat organisaties de kloof tussen IT en OT overbruggen. Hoewel IT en OT verschillende belangen hebben, kunnen ze samenwerken om een sterke beveiligingsaanpak te realiseren. Terwijl IT (kantoorautomatisering) zich richt op vertrouwelijkheid, concentreert OT (procesautomatisering) zich voornamelijk op de beschikbaarheid en integriteit van systemen. Binnen het OT domein is het handhaven van de procescontinuïteit van groot belang, aangezien onderbrekingen ernstige gevolgen kunnen hebben.
Om te voorkomen dat cybercriminelen succesvolle aanvallen uitvoeren, moeten organisaties rekening houden met enkele belangrijke factoren. Ten eerste is het belangrijk om altijd te kiezen voor een oplossing met een ‘agentloze architectuur’. Hierdoor hoeven organisaties geen aparte software meer te installeren op hun operationele technologie assets. Ten tweede moeten aanpassingen in deze omgeving altijd worden getest, voor implementatie. Bovendien kan het cyberveilig maken van IT apparatuur in operationele omgevingen worden geautomatiseerd zodat de onderhoudstijd wordt teruggebracht.
Daarnaast zorgt geautomatiseerde cyberbeveiliging er ook voor dat gebruikers real-time en voortdurend gedetailleerde informatie over de aanwezige assets in de IT-infrastructuur krijgen. Op deze manier kan er sneller en efficiënter worden gereageerd op dreigingen en is de kans op menselijke fouten kleiner. Bovendien kunnen dankzij automatisering alle wijzigingen, zoals configuraties, updates en revisies, automatisch gecontroleerd en vergeleken worden met de databases om bekende kwetsbaarheden in real-time te detecteren. Verder is het implementeren van beschermings- en verhardingsmaatregelen van cruciaal belang. Hardenen houdt in dat het computersysteem zodanig wordt dichtgetimmerd en beschermd dat het alleen de primaire functie waarvoor het bedoeld is kan uitvoeren. Op deze manier zijn assets beveiligd tegen ontbrekende patches, verkeerd geconfigureerde services en andere beveiligingsproblemen..
Een ander belangrijk element is een vlotte samenwerking tussen IT- en OT teams. Als teams goed samenwerken worden de risico’s kleiner en kunnen organisaties hun security versterken. Een betere samenwerking kan onder andere bereikt worden door gezamenlijke overleggen tussen IT- en OT-teams op te zetten en security trainingen te geven om bewustzijn te creëren. Het betrekken van het management bij operationele audits helpt om te beoordelen in hoeverre de organisatie 'in control' is en benadrukt de verantwoordelijkheid van het management voor de productieprocessen. Daarnaast is het waarderen van gelijkwaardig werk van IT- en OT-medewerkers belangrijk om een gevoel van gelijkwaardigheid en samenwerking te bevorderen.
Strengere beveiligingseisen noodzakelijk
Het toenemende aantal cyberaanvallen en de steeds geavanceerdere dreigingen maken het noodzakelijk om strengere beveiligingsnormen op te leggen. Gelukkig nemen veel overheden al de nodige maatregelen. Organisaties met kritieke infrastructuren kunnen bijvoorbeeld de aanbevelingen en handleidingen van het Center for Internet Security (CIS) en de Security Technical Implementation Guide (STIG) volgen, die door overheden worden aanbevolen.
Bovendien is de Network and Information Security 2 Directive (NIS2) in januari 2023 van kracht gegaan als een nieuwe Europese richtlijn. De NIS2 verplicht 'essentiële' en 'belangrijke' organisaties en bedrijven om aantoonbare maatregelen te nemen op het gebied van informatiebeveiliging. Deze nieuwe richtlijn is van toepassing op achttien vitale sectoren, waaronder overheden, energiebedrijven, de Rotterdamse haven, supermarkten en zorginstellingen. De richtlijn werd moet nu worden omgezet naar lokale wetgeving. De Nederlandse overheid heeft tot maart 2024 de tijd om deze richtlijn in Nederlandse wetgeving te implementeren.
Om deze deadline te halen is het van groot belang dat overheden ook operationele omgevingen, zoals machineparken, gaan controleren en handhaven. Hierdoor kunnen we de kwetsbaarheid van operationele omgevingen verminderen en de integriteit, beschikbaarheid en vertrouwelijkheid van deze systemen waarborgen. Dit beschermt niet alleen onze economie en nationale veiligheid, maar ook het welzijn en de veiligheid van de burgers.
Photo: Istock.com/Orhan Turan
