Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

Willem Jan de Graaff

Willem Jan de Graaff

Director Consulting Services - Manufacturing CoE

Eddy Boonen

Eddy Boonen

Director Consulting Services

  View the English version here

Hoe goed is uw operationele technologie (OT) beveiligd? Kent u alle kwetsbaarheden van uw productie-omgeving die gevoelig zijn voor cybercrime? Heeft u volledig inzicht in uw assets? Steeds vaker horen we over dreigingen door criminelen die de systemen van grote productiebedrijven aanvallen en platleggen. We zien steeds meer voorbeelden van inbreuk op kritieke infrastructuur en productieomgevingen. Dit is een domein waar gebruik van operationele technologie (OT) door innovatie en digitalisering alleen maar toeneemt. Veel organisaties of leveringsketens die getroffen worden zien aanvallen niet op tijd, of melden die mogelijk niet uit schaamte of angst voor reputatieschade.

We spreken in aanloop naar het 2022 CGI Industrial Cybersecurity event op 17 mei in Veghel met drie van onze lokale experts. Zij zijn met dit onderwerp vanuit CGI in Nederland alsook België met hun teams en klanten dagelijks bezig. Dit blog is de eerste uit een serie expert blogs die we rond dit event publiceren.

Wat is de economische en maatschappelijke impact van toenemende cyberdreiging?

“Een geslaagde aanval op één organisatie is al erg genoeg.” zegt Lucien Sikkens, Director OT Security Centre of Excellence bij CGI in Nederland. “Maar organisaties staan veelal niet op zich. Ze maken onderdeel uit van complexe ketens. Eén organisatie lamleggen kan grote gevolgen hebben voor de gehele keten.”

Het is daarmee wel duidelijk dat de mogelijk economische schade en impact enorm kan zijn. Dat geldt zeker wanneer de aanval zich richt op productie- en servicebedrijven in het hart van onze samenleving. Wat als één of meerdere energieproducent(en) geraakt wordt en onze stroomvoorziening uitvalt? Niet alleen zitten we dan thuis in de kou en het donker; onze voedsel- en watervoorziening stokt ook. Supermarkten kunnen niet open, gekoelde producten bederven en het betalingsverkeer loopt vast. Onze nationale infrastructuur, treinen, wegvervoer: alles stokt. En een groot deel van onze communicatie komt tot stilstand. Kantoren sluiten, overheidsdiensten kunnen hun werk niet doen. Deskundigen zijn het erover eens: de maatschappelijke onrust zou niet te overzien zijn, met grote kans op gewelddadige uitbarstingen.

Minder aandacht voor OT dan voor IT

Operational Technology ‘zit’ overal in onze samenleving en is sterk vertakt. Het maakt onderdeel uit van vrijwel alle sectoren, van drinkwater-, elektriciteits- en voedselvoorziening, tot watermanagement (sluizen en stuwen!), de complete maakindustie alsook defensie, maar bijvoorbeeld ook ziekenhuizen.

“Zelfs de beademingsapparatuur op de IC’s bedient zich van OT.” zegt Eddy Boonen, Director Consulting Services voor Health bij CGI in België. “Niemand wil dat cybercriminelen zich daar meester van kunnen maken.”

En toch krijgt OT-security nog altijd veel minder aandacht dan IT-security, zeker als het gaat om relevante wet- en regelgeving. Dat laatste is het meest bekend, geducht als we bijvoorbeeld zijn voor inbreuken op onze privacy. Dit is streng gereguleerd, onder andere via de internationaal geldende afspraken vanuit General Data Protection Regulation. OT-security komt er dan wat bekaaid af, al is er een voorzichtige kentering zichtbaar. Daarover meer in het volgende blog.

‘Unsecure by design’

Waar gaat het dan mis met de beveiliging van OT? Feitelijk begint dat al met de oorspronkelijke ontwerpen van veel technologie. OT werd in principe niet ontworpen om ‘cybersecure’ te zijn. In IT is vertrouwelijkheid van gegevens en systemen het belangrijkst, gevolgd door integriteit van de data en tenslotte beschikbaarheid van de systemen. In het Engels afgekort tot CIA. In OT is dit precies andersom. Productiemiddelen moeten werken, maximaal beschikbaar zijn. Afgezien van veiligheid voor mens en milieu, komt beschikbaarheid dus vóór ‘integriteit’ (de kwaliteit van bijvoorbeeld voedsel of medicijnen) en vertrouwelijkheid. Alle maatregelen die de beschikbaarheid en bedrijfszekerheid in de weg konden staan (denk aan authenticatie, autorisatie of encryptie, in IT inmiddels vanzelfsprekend) zijn in het verleden daarom vermeden. Want hoe meer ballast je uit de overhead van de netwerkcommunicatie haalt, hoe effectiever die wordt. OT was van oorsprong dus niet ‘secure by design’.

Convergeren van IT en OT

In de afgelopen jaren zijn productiefaciliteiten flink uitgebreid met nieuwe gedigitaliseerde assets, en steeds meer bestaande assets zijn voorzien van sensoren en besturingselektronica. Vanuit zakelijk perspectief is er in de boardroom een toenemende behoefte aan inzicht om daarmee verdere optimalisaties mogelijk te maken. Maar ook voorraadbeheer, kwaliteitsmonitoring, planning: het vraagt om (real-time) data vanuit de productielijnen – en vice versa. Sensoren, wireless, remote access: voor wie bezig is met Industry 5.0 is het essentiële technologie. OT en IT komen hierdoor dichter bij elkaar, ze convergeren, tot ze nog maar nauwelijks los van elkaar te zien zijn. Dit vergroot echter wel de kwetsbaarheid. De IT-omgeving kan geraakt worden door cybercriminelen en daarmee de OT ‘besmetten’. De hack die in april 2021 het Amerikaanse Colonial Pipeline Co. raakte, werd uitgevoerd via een verouderd VPN-account waarmee werknemers op afstand toegang hadden tot het netwerk van het bedrijf. Maar het gevolg was wel dat de grootste oliepijpleiding in de VS geblokkeerd werd en er aan de economisch belangrijke oostkust zelfs brandstoftekorten ontstonden.

De mist: ontbrekende kennis van eigen OT-omgeving

Digitalisering van OT-assets maakt ze beter te benaderen en op afstand te monitoren en onderhouden. Maar het maakt ze ook kwetsbaarder voor onwelgevallige activiteiten van buitenaf. Het allergrootste probleem daarbij is misschien nog wel dat veel organisaties onvoldoende zicht hebben op hun OT-landschap.

“Gemiddeld genomen is 30 procent van de assets in OT-omgevingen onbekend.” zegt Willem Jan de Graaff, Director Service Delivery voor Manufacturing bij CGI in Nederland. “ Operators weten niet van hun bestaan.”

Nieuwe assets worden in de loop der tijd aan het netwerk toegevoegd, maar veelal zonder dat van die veranderingen enige historie opgebouwd is. Assets zijn niet geregistreerd, hun status staat niet vast en over hun connectiviteit is niets bekend. Bedrijven zijn dus veelal onvoldoende op de hoogte van wat ze ‘in huis’ hebben, en ze weten ook simpelweg niet wat ze niet weten. Daardoor zijn zij zich al helemaal niet bewust van de zogenaamde ‘attack surface’ van hun productie-omgeving en kwetsbaarheden. Bij het uitzetten van hun OT-securitykoers navigeren zij in de mist. Een hacker die zich onverhoopt toegang weet te verschaffen tot ook maar het kleinste onderdeel kan daardoor lang zijn gang gaan en zo grote schade aanrichten in het systeem. Alle reden dus voor ondernemingen om OT-security hoog op de strategische agenda te zetten.

Het goede nieuws

Het goede nieuws is dat dat laatste al steeds meer gebeurt. Uit de jaarlijkse strategische klantinterviews die CGI houdt, blijkt dat 90 procent van de deelnemende klanten met een verantwoordelijkheid voor productie IT- en OT-security zien als een van de belangrijkste trends in toekomstige investeringen.

“Meer en meer leveranciers komen met services en oplossingen voor OT-security.” zegt Lucien Sikkens, Director OT Security Centre of Excellence bij CGI in Nederland. “ Er is tevens een toenemend aanbod aan opleidingen die zich specifiek richten op OT-security.

Maar wat kan een productiebedrijf, dat zich bewust is van de urgentie en daarnaar wil handelen, dan doen om het OT-securityniveau op relatief korte termijn naar een hoger niveau te brengen? Hoe komt het uit ‘de mist’ en zet het koers naar zo’n helder doel?

Kijk hier voor meer informatie over CGI OT Cybersecurity Assessments die het veiligheidsbewustzijn en de weerbaarheid helpen verhogen en daarmee ‘de mist’ doen optrekken.

Bent u geïnteresseerd?

Registeer hier voor de laatste ontwikkelingen, ook in regelgeving zoals NIS2.0, relevante best practices en oplossingen tijdens het 2022 Industrial Cybersecurity evenement dat we organiseren, samen met Nozomi Networks en Fortinet op 17 mei in de Cultuur Haven Veghel.

Over deze auteurs

Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

I have the pleasure of working in the exciting world of security. Security is an ever growing hot topic and challenges are increasing every day. The biggest of them all is to align a security approach with day to day business as security should not ...

Willem Jan de Graaff

Willem Jan de Graaff

Director Consulting Services - Manufacturing CoE

Willem Jan is een ervaren manager met meer dan 25 jaar ervaring in het adviseren en leiden van grote programma's. Sinds 2018 is hij verantwoordelijk voor het leiden van de adviesactiviteiten van het Manufacturing Centre of Excellence van CGI Netherlands. Hij heeft met meerdere bedrijven ...

Eddy Boonen

Eddy Boonen

Director Consulting Services

Eddy brings 25+ years of experience in information technology and has a strong background in the healthcare industry, including great experience in laboratory systems across Europe and a background in Electronic Medical Records.