Navigeren in de mist of sturen op (in)zicht? DEEL 1

  View the English version here

Hoe goed is uw operationele technologie (OT) beveiligd? Kent u alle kwetsbaarheden van uw productie-omgeving die gevoelig zijn voor cybercrime? Heeft u volledig inzicht in uw assets? Steeds vaker horen we over dreigingen door criminelen die de systemen van grote productiebedrijven aanvallen en platleggen. We zien steeds meer voorbeelden van inbreuk op kritieke infrastructuur en productieomgevingen. Dit is een domein waar gebruik van operationele technologie (OT) door innovatie en digitalisering alleen maar toeneemt. Veel organisaties of leveringsketens die getroffen worden zien aanvallen niet op tijd, of melden die mogelijk niet uit schaamte of angst voor reputatieschade.

Wat is de economische en maatschappelijke impact van toenemende cyberdreiging?

“Gemiddeld genomen is 30 procent van de assets in OT-omgevingen onbekend.” zegt Willem Jan de Graaff, Director Service Delivery voor Manufacturing bij CGI in Nederland. “ Operators weten niet van hun bestaan.”

Het is daarmee wel duidelijk dat de mogelijk economische schade en impact enorm kan zijn. Dat geldt zeker wanneer de aanval zich richt op productie- en servicebedrijven in het hart van onze samenleving. Wat als één of meerdere energieproducent(en) geraakt wordt en onze stroomvoorziening uitvalt? Niet alleen zitten we dan thuis in de kou en het donker; onze voedsel- en watervoorziening stokt ook. Supermarkten kunnen niet open, gekoelde producten bederven en het betalingsverkeer loopt vast. Onze nationale infrastructuur, treinen, wegvervoer: alles stokt. En een groot deel van onze communicatie komt tot stilstand. Kantoren sluiten, overheidsdiensten kunnen hun werk niet doen. Deskundigen zijn het erover eens: de maatschappelijke onrust zou niet te overzien zijn, met grote kans op gewelddadige uitbarstingen.

Minder aandacht voor OT dan voor IT

Operational Technology ‘zit’ overal in onze samenleving en is sterk vertakt. Het maakt onderdeel uit van vrijwel alle sectoren, van drinkwater-, elektriciteits- en voedselvoorziening, tot watermanagement (sluizen en stuwen!), de complete maakindustie alsook defensie, maar bijvoorbeeld ook ziekenhuizen.

“Zelfs de beademingsapparatuur op de IC’s bedient zich van OT.” zegt Eddy Boonen, Director Consulting Services voor Health bij CGI in België. “Niemand wil dat cybercriminelen zich daar meester van kunnen maken.”

En toch krijgt OT-security nog altijd veel minder aandacht dan IT-security, zeker als het gaat om relevante wet- en regelgeving. Dat laatste is het meest bekend, geducht als we bijvoorbeeld zijn voor inbreuken op onze privacy. Dit is streng gereguleerd, onder andere via de internationaal geldende afspraken vanuit General Data Protection Regulation. OT-security komt er dan wat bekaaid af, al is er een voorzichtige kentering zichtbaar. Daarover meer in het volgende blog.

‘Unsecure by design’

Waar gaat het dan mis met de beveiliging van OT? Feitelijk begint dat al met de oorspronkelijke ontwerpen van veel technologie. OT werd in principe niet ontworpen om ‘cybersecure’ te zijn. In IT is vertrouwelijkheid van gegevens en systemen het belangrijkst, gevolgd door integriteit van de data en tenslotte beschikbaarheid van de systemen. In het Engels afgekort tot CIA. In OT is dit precies andersom. Productiemiddelen moeten werken, maximaal beschikbaar zijn. Afgezien van veiligheid voor mens en milieu, komt beschikbaarheid dus vóór ‘integriteit’ (de kwaliteit van bijvoorbeeld voedsel of medicijnen) en vertrouwelijkheid. Alle maatregelen die de beschikbaarheid en bedrijfszekerheid in de weg konden staan (denk aan authenticatie, autorisatie of encryptie, in IT inmiddels vanzelfsprekend) zijn in het verleden daarom vermeden. Want hoe meer ballast je uit de overhead van de netwerkcommunicatie haalt, hoe effectiever die wordt. OT was van oorsprong dus niet ‘secure by design’.

Convergeren van IT en OT

In de afgelopen jaren zijn productiefaciliteiten flink uitgebreid met nieuwe gedigitaliseerde assets, en steeds meer bestaande assets zijn voorzien van sensoren en besturingselektronica. Vanuit zakelijk perspectief is er in de boardroom een toenemende behoefte aan inzicht om daarmee verdere optimalisaties mogelijk te maken. Maar ook voorraadbeheer, kwaliteitsmonitoring, planning: het vraagt om (real-time) data vanuit de productielijnen – en vice versa. Sensoren, wireless, remote access: voor wie bezig is met Industry 5.0 is het essentiële technologie. OT en IT komen hierdoor dichter bij elkaar, ze convergeren, tot ze nog maar nauwelijks los van elkaar te zien zijn. Dit vergroot echter wel de kwetsbaarheid. De IT-omgeving kan geraakt worden door cybercriminelen en daarmee de OT ‘besmetten’. De hack die in april 2021 het Amerikaanse Colonial Pipeline Co. raakte, werd uitgevoerd via een verouderd VPN-account waarmee werknemers op afstand toegang hadden tot het netwerk van het bedrijf. Maar het gevolg was wel dat de grootste oliepijpleiding in de VS geblokkeerd werd en er aan de economisch belangrijke oostkust zelfs brandstoftekorten ontstonden.

De mist: ontbrekende kennis van eigen OT-omgeving

Digitalisering van OT-assets maakt ze beter te benaderen en op afstand te monitoren en onderhouden. Maar het maakt ze ook kwetsbaarder voor onwelgevallige activiteiten van buitenaf. Het allergrootste probleem daarbij is misschien nog wel dat veel organisaties onvoldoende zicht hebben op hun OT-landschap.

Nieuwe assets worden in de loop der tijd aan het netwerk toegevoegd, maar veelal zonder dat van die veranderingen enige historie opgebouwd is. Assets zijn niet geregistreerd, hun status staat niet vast en over hun connectiviteit is niets bekend. Bedrijven zijn dus veelal onvoldoende op de hoogte van wat ze ‘in huis’ hebben, en ze weten ook simpelweg niet wat ze niet weten. Daardoor zijn zij zich al helemaal niet bewust van de zogenaamde ‘attack surface’ van hun productie-omgeving en kwetsbaarheden. Bij het uitzetten van hun OT-securitykoers navigeren zij in de mist. Een hacker die zich onverhoopt toegang weet te verschaffen tot ook maar het kleinste onderdeel kan daardoor lang zijn gang gaan en zo grote schade aanrichten in het systeem. Alle reden dus voor ondernemingen om OT-security hoog op de strategische agenda te zetten.

Het goede nieuws

Het goede nieuws is dat dat laatste al steeds meer gebeurt. Uit de jaarlijkse strategische klantinterviews die CGI houdt, blijkt dat 90 procent van de deelnemende klanten met een verantwoordelijkheid voor productie IT- en OT-security zien als een van de belangrijkste trends in toekomstige investeringen.

Maar wat kan een productiebedrijf, dat zich bewust is van de urgentie en daarnaar wil handelen, dan doen om het OT-securityniveau op relatief korte termijn naar een hoger niveau te brengen? Hoe komt het uit ‘de mist’ en zet het koers naar zo’n helder doel?

Kijk hier voor meer informatie over CGI OT Cybersecurity Assessments die het veiligheidsbewustzijn en de weerbaarheid helpen verhogen en daarmee ‘de mist’ doen optrekken.