View the English version here
Bent u op de hoogte van de laatste ontwikkelingen in relevante cyberwet- en regelgeving voor de industrie? Weet u met welke middelen u de ‘attack surface’ van uw productie-omgeving kunt minimaliseren? Steeds vaker horen we over dreigingen en hacks door criminelen die de systemen van grote productiebedrijven aanvallen en platleggen. In navolging van de GDPR-wetgeving werken overheden aan regulering van OT-security. De NIS 2.0 Directive verscherpt beveiligingseisen en stuurt aan op strenger toezicht. Alle reden dus voor de industrie om OT-security hoog op de strategische agenda te zetten.
Dit blog is de tweede uit een serie van een aantal expert blogs. Klik hier voor de eerdere blog over OT cybersecurity zichtbaarheid en inzichten.
Wat gaat er mis? Is er onvoldoende urgentie? Zijn er verkeerde afwegingen?
“Je kunt niet beschermen wat je niet weet!” zegt Willem Jan de Graaff, Director Service Delivery voor Manufacturing bij CGI in Nederland. “Door gebrekkige bewustzijn en inzicht is de urgentie om maatregelen te nemen nog gering.”
Uit onderzoek blijkt dat ruwweg zo’n 10% van de industrie dit wel degelijk onder controle heeft, terwijl 30% nog zich in brandbestrijdingsmodus bevindt met dan nog zo’n 60% die zich niet volledig bewust is van deze groeiende dreiging en relevante kwetsbaarheden. Het feit dat een deel van de incidenten ‘onder de pet gehouden worden’ wakkert het gevoel van urgentie ook niet aan. In alle gevallen is het zo dat wie bewust koers zet richting het optimaliseren van de eigen weerbaarheid, daarbij heel wat klippen moet omzeilen.
Grote productiefaciliteiten zijn zeer kostbaar en kennen een afschrijvingstermijn van wel dertig jaar of zelfs langer. Assets hebben in het algemeen een lange levensduur en zijn niet zelden reeds op leeftijd. Dat geldt al evenzeer voor de besturingssystemen. Soms worden PLC’s aangestuurd met systemen die de ‘geboorte’ van inmiddels achterhaalde platforms als Windows XP nog meegemaakt hebben. ‘Upgraden’ is dus gecompliceerd, terwijl ‘gewoon’ vervangen bijna onmogelijk is. Dat zou betekenen dat volledige productiefaciliteiten stilgelegd moeten worden. Niet alleen conflicteert dat met de eis van beschikbaarheid, het gaat gepaard met gigantische productieverliezen en vraagt ook torenhoge investeringen. Al gauw wordt dan maar het bekende argument van de technicus afgestoft: “If it ain’t broke, don’t fix it” – om vervolgens niks te doen.
Nieuwe regulering: van NIS 1.0 naar NIS 2.0
Er zijn dus veel redenen waarom OT-security achterblijft bij IT-security.
“Niks doen is echter geen optie. De (bedrijfs)economische en maatschappelijke impact van een geslaagde hack kan té groot zijn.” zegt Eddy Boonen, Director Consulting Services voor Health bij CGI in België. “En er is nog een andere stok achter de deur, met de ontwikkeling van nieuwe regelgeving.”
In navolging van de GDPR-wetgeving werken overheden aan regulering van de OT-security. In 2016 werd binnen de Europese Unie de EU Network and Information Security richtlijn aangenomen, beter bekend als NIS. Deze NIS-richtlijn was de eerste stap naar een EU-brede cyberbeveiligingswetgeving. Het bleef bij een richtlijn, om zo iedere EU-lidstaat de ruimte te geven, binnen de kaders van de NIS, eigen wetgeving te ontwikkelen die rekening hield met nationale omstandigheden. Daardoor verschillen de sectoren die per land onder de wetgeving vallen en loopt ook de hoogte van de boetes uiteen die bij niet-naleving opgelegd kunnen worden. Voor internationaal opererende OT-georiënteerde organisaties een onoverzichtelijke constructie.
Compliant blijven is dan ook een veel zwaardere opgave dan in het geval van de eenduidige GDPR-wetgeving. Een nieuwe NIS 2.0 die in vergaande ontwikkeling is, biedt al meer duidelijkheid over de sanctieregelingen en betrokken sectoren. Maar NIS 2.0 verscherpt ook de beveiligingseisen en de procedure voor incidentenmelding, en stuurt aan op strengere toezichtmaatregelen. Alle reden dus voor maakbedrijven om OT-security hoog op de strategische agenda te zetten.
Het goede nieuws
Het goede nieuws is dat dat laatste al steeds meer gebeurt. Uit de jaarlijkse strategische klantinterviews die CGI houdt, blijkt dat 90 procent van de deelnemende klanten met een verantwoordelijkheid voor productie IT- en OT-security zien als een van de belangrijkste trends in toekomstige investeringen.
Maar wat kan een productiebedrijf, dat zich bewust is van de urgentie en daarnaar wil handelen, dan doen om het OT-securityniveau en compliance op relatief korte termijn naar een hoger niveau te brengen? Hoe komt het uit ‘de mist’ en zet het koers naar zo’n helder doel?
Kijk hier voor meer informatie over CGI OT Cybersecurity Assessments die het veiligheidsbewustzijn en de weerbaarheid helpen verhogen en daarmee ‘de mist’ doen optrekken.
