Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

Willem Jan de Graaff

Willem Jan de Graaff

Director Consulting Services - Manufacturing CoE

Eddy Boonen

Eddy Boonen

Director Consulting Services

View the English version here 

Bent u op de hoogte van de laatste ontwikkelingen in relevante cyberwet- en regelgeving voor de industrie? Weet u met welke middelen u de ‘attack surface’ van uw productie-omgeving kunt minimaliseren? Steeds vaker horen we over dreigingen en hacks door criminelen die de systemen van grote productiebedrijven aanvallen en platleggen. In navolging van de GDPR-wetgeving werken overheden aan regulering van OT-security. De NIS 2.0 Directive verscherpt beveiligingseisen en stuurt aan op strenger toezicht. Alle reden dus voor de industrie om OT-security hoog op de strategische agenda te zetten.

We spreken in aanloop naar het 2022 CGI Industrial Cybersecurity event op 17 mei in Veghel met drie van onze lokale experts. Zij zijn met dit onderwerp vanuit CGI in Nederland alsook België met hun teams en klanten dagelijks bezig. Dit blog is de tweede uit een serie van een aantal expert blogs die we rond dit event publiceren. Klik hier voor de eerdere blog over OT cybersecurity zichtbaarheid en inzichten.

Wat gaat er mis? Is er onvoldoende urgentie? Zijn er verkeerde afwegingen?

“Je kunt niet beschermen wat je niet weet!” zegt Willem Jan de Graaff, Director Service Delivery voor Manufacturing bij CGI in Nederland. “Door gebrekkige bewustzijn en inzicht is de urgentie om maatregelen te nemen nog gering.”

Uit onderzoek blijkt dat ruwweg zo’n 10% van de industrie dit wel degelijk onder controle heeft, terwijl 30% nog zich in brandbestrijdingsmodus bevindt met dan nog zo’n 60% die zich niet volledig bewust is van deze groeiende dreiging en relevante kwetsbaarheden. Het feit dat een deel van de incidenten ‘onder de pet gehouden worden’ wakkert het gevoel van urgentie ook niet aan. In alle gevallen is het zo dat wie bewust koers zet richting het optimaliseren van de eigen weerbaarheid, daarbij heel wat klippen moet omzeilen.

Grote productiefaciliteiten zijn zeer kostbaar en kennen een afschrijvingstermijn van wel dertig jaar of zelfs langer. Assets hebben in het algemeen een lange levensduur en zijn niet zelden reeds op leeftijd. Dat geldt al evenzeer voor de besturingssystemen. Soms worden PLC’s aangestuurd met systemen die de ‘geboorte’ van inmiddels achterhaalde platforms als Windows XP nog meegemaakt hebben. ‘Upgraden’ is dus gecompliceerd, terwijl ‘gewoon’ vervangen bijna onmogelijk is. Dat zou betekenen dat volledige productiefaciliteiten stilgelegd moeten worden. Niet alleen conflicteert dat met de eis van beschikbaarheid, het gaat gepaard met gigantische productieverliezen en vraagt ook torenhoge investeringen. Al gauw wordt dan maar het bekende argument van de technicus afgestoft: “If it ain’t broke, don’t fix it” – om vervolgens niks te doen.

Nieuwe regulering: van NIS 1.0 naar NIS 2.0

Er zijn dus veel redenen waarom OT-security achterblijft bij IT-security.

“Niks doen is echter geen optie. De (bedrijfs)economische en maatschappelijke impact van een geslaagde hack kan té groot zijn.” zegt Eddy Boonen, Director Consulting Services voor Health bij CGI in België. “En er is nog een andere stok achter de deur, met de ontwikkeling van nieuwe regelgeving.”

In navolging van de GDPR-wetgeving werken overheden aan regulering van de OT-security. In 2016 werd binnen de Europese Unie de EU Network and Information Security richtlijn aangenomen, beter bekend als NIS. Deze NIS-richtlijn was de eerste stap naar een EU-brede cyberbeveiligingswetgeving. Het bleef bij een richtlijn, om zo iedere EU-lidstaat de ruimte te geven, binnen de kaders van de NIS, eigen wetgeving te ontwikkelen die rekening hield met nationale omstandigheden. Daardoor verschillen de sectoren die per land onder de wetgeving vallen en loopt ook de hoogte van de boetes uiteen die bij niet-naleving opgelegd kunnen worden. Voor internationaal opererende OT-georiënteerde organisaties een onoverzichtelijke constructie.

Compliant blijven is dan ook een veel zwaardere opgave dan in het geval van de eenduidige GDPR-wetgeving. Een nieuwe NIS 2.0 die in vergaande ontwikkeling is, biedt al meer duidelijkheid over de sanctieregelingen en betrokken sectoren. Maar NIS 2.0 verscherpt ook de beveiligingseisen en de procedure voor incidentenmelding, en stuurt aan op strengere toezichtmaatregelen. Alle reden dus voor maakbedrijven om OT-security hoog op de strategische agenda te zetten.

Het goede nieuws

Het goede nieuws is dat dat laatste al steeds meer gebeurt. Uit de jaarlijkse strategische klantinterviews die CGI houdt, blijkt dat 90 procent van de deelnemende klanten met een verantwoordelijkheid voor productie IT- en OT-security zien als een van de belangrijkste trends in toekomstige investeringen.

“Meer en meer leveranciers komen met services en oplossingen voor OT-security.” zegt Lucien Sikkens, Director OT Security Centre of Excellence bij CGI in Nederland. “ Er is tevens een toenemend aanbod aan opleidingen die zich specifiek richten op OT-security.

Maar wat kan een productiebedrijf, dat zich bewust is van de urgentie en daarnaar wil handelen, dan doen om het OT-securityniveau en compliance op relatief korte termijn naar een hoger niveau te brengen? Hoe komt het uit ‘de mist’ en zet het koers naar zo’n helder doel?

Kijk hier voor meer informatie over CGI OT Cybersecurity Assessments die het veiligheidsbewustzijn en de weerbaarheid helpen verhogen en daarmee ‘de mist’ doen optrekken.

Bent u geïnteresseerd?

Registeer hier voor de laatste ontwikkelingen, ook in regelgeving zoals NIS2.0, relevante best practices en oplossingen tijdens het 2022 Industrial Cybersecurity evenement dat we organiseren, samen met Nozomi Networks en Fortinet op 17 mei in de Cultuur Haven Veghel.

Over deze auteurs

Luciën Sikkens

Luciën Sikkens

Director OT Security Centre of Excellence

I have the pleasure of working in the exciting world of security. Security is an ever growing hot topic and challenges are increasing every day. The biggest of them all is to align a security approach with day to day business as security should not ...

Willem Jan de Graaff

Willem Jan de Graaff

Director Consulting Services - Manufacturing CoE

Willem Jan is een ervaren manager met meer dan 25 jaar ervaring in het adviseren en leiden van grote programma's. Sinds 2018 is hij verantwoordelijk voor het leiden van de adviesactiviteiten van het Manufacturing Centre of Excellence van CGI Netherlands. Hij heeft met meerdere bedrijven ...

Eddy Boonen

Eddy Boonen

Director Consulting Services

Eddy brings 25+ years of experience in information technology and has a strong background in the healthcare industry, including great experience in laboratory systems across Europe and a background in Electronic Medical Records.