Industriele controlesystemen, ICS, vormen de ruggengraat van onze kritieke infrastructuur – van energiecentrales en olieplatforms tot aan waterzuiveringsinstallaties en ziekenhuizen. Toch ligt de beveiliging ervan vaak in handen van it-teams die de ins en outs van operationele technologie (ot) onvoldoende kennen. Dean Parsons, hoofdtrainer bij het Sans Institute en cybersecurityadviseur, stelt dat in een goede ics/ot-cyberbeveiligingsstrategie vijf controlemechanismes niet mogen ontbreken. Ics beschermen levens.

Cybersecurity is allang niet meer alleen een it-aangelegenheid. In de wereld van industriële controlesystemen liggen de risico’s minstens zo hoog – en zijn de gevolgen vaak vele malen ernstiger. Dean Parsons, cybersecurityexpert en als trainer verbonden aan het Sans Institute, begon zijn carrière in de it, maar maakte al snel de overstap naar de wereld van de ot. ‘Ik dacht dat ik goed was in cybersecurity, tot ik met ics in aanraking kwam. Toen ontdekte ik dat zo’n zeventig procent van wat ik wist, niet toepasbaar was bij ot.’

Waar it draait op bekende systemen als Windows en Linux, werken industriële controlesystemen met technologieën zoals plc’s, rtu’s, relais, meters; systemen die vaak geen besturingssysteem hebben en waar geen antivirus op is te installeren. ‘It’ers krijgen vaak de verantwoordelijkheid voor ics-beveiliging, maar missen de kennis van die niet-it-assets. Dat is een risico’, stelt Parsons.

Vitale sector

Parsons reist de wereld over om naast het geven van trainingen te adviseren over ics-security bij bedrijven uit de vitale sector, zoals ziekenhuizen, olieplatforms, waterzuiveringsinstallaties en elektriciteitscentrales. Overal krijgt hij dezelfde vraag: ‘Wat zijn de zaken die ik nú moet regelen?’ Zijn antwoord is steevast dezelfde set van vijf cruciale controlemechanismen die je in je ics/ot-cyberbeveiligingsstrategie moet inbouwen:

• Ics-specifiek incident-response-plan

‘Je moet kunnen reageren op incidenten in systemen die geen Windows of Linux draaien. Dat vereist een ander plan dan wat je voor it hebt. Een onderdeel is naast het zorgen voor technische herstelmogelijkheden het ontwerpen en regelmatig uitvoeren van incident-respons-specifieke oefeningen.

• Verdedigbare netwerkarchitectuur

‘Segmentatie is cruciaal. Bijna de helft van de ics-incidenten komt via het it-netwerk binnen. Je moet je ics-netwerk dus afschermen van it en internet.’

• Netwerkzichtbaarheid en monitoring

‘Continue netwerkbeveiligingsbewaking van de ics-omgeving met protocolbewuste toolsets en analysemogelijkheden geeft je inzicht in je assets, kwetsbaarheden en incidenten én helpt bij technische probleemoplossing. Als je maar één ding kunt doen, doe dan dit.’

• Veilige toegang op afstand

‘Toegang op afstand is onvermijdelijk, zeker met leveranciers en integrators. Als die niet goed beveiligd is, is het een van de grootste aanvalsvectoren. Daarom zijn identificatie en inventarisatie van alle remote access points en toegestane bestemmingsomgevingen essentieel en gebruik mfa waar mogelijk.’

• Risicogebaseerd kwetsbaarheidsbeheer

‘In de it patch je meestal elke dertig dagen. In de ot werkt dat niet. Het dreigingsoppervlak is anders; je kunt bijvoorbeeld niet mailen in een ics-omgeving. Je moet daarom de specifieke kwetsbaarheden van apparaten en systemen inzichtelijk maken en daar passende voorzorgsmaatregelen bij nemen.’

Deze versturen we 3-4x per jaar.