Dat aanvallen op computersystemen een sterk groeiend probleem zijn, valt niet te ontkennen. Volgens de KvK heeft bijna twee op de vijf mkb-ers te maken gehad met vormen van digitale fraude en het aantal kwetsbaarheden in industriële omgevingen is zelfs met 29% gestegen in 2018 ten opzichte van 2017. Vaak betreffen het aanvallen op computersystemen van banken, multinationals of openbare gebouwen die het nieuws halen. Maar ook in de industrie wordt het belang van cybersecurity steeds groter, al zullen incidenten misschien niet altijd naar buiten worden gebracht.
Een voorbeeld is het stilvallen van productielijnen door ‘ransomware’ die alleen tegen betaling van bitcoins weer vrijgegeven worden, waardoor de productiecontinuïteit in gevaar komt en mogelijk niet voldaan kan worden aan leveringsverplichtingen. Hoewel ransomware - of een afgeleide - vaak geen gerichte aanval is, zoals de aanval op Mondelez in 2017, is ook het moedwillig in gevaar brengen van de voedselveiligheid of het bewust lozen van afvalwater in het milieu een reële mogelijkheid. Een ander gevaar is de concurrent die productieprocessen kan beïnvloeden of bedrijfsgegevens bespioneert. Allemaal potentiële risico’s voor de foodindustrie.
Wat maakt procesbeveiliging lastig?
De techniek van machines en apparatuur is steeds meer gebaseerd op standaarden binnen de industrie. Hierdoor is documentatie vaak via internet beschikbaar en de software van machines bestaat steeds vaker uit standaard bouwblokken van leveranciers. Dit maakt het voor hackers een koud kunstje om ‘in te breken’ in productieprocessen. Bijkomend probleem is dat het voor de productie belangrijk is dat machines blijven draaien. Updates van software worden daarom vaak niet gedaan, uit angst dat het productieproces daardoor stil komt te liggen, omdat de impact van de updates niet goed is te overzien. Ook worden virusscanners zoals we die kennen van de kantooromgeving vaak niet ondersteund door de softwareleveranciers in de productieomgeving. Om diezelfde reden wordt het netwerk soms erg ‘plat’ gehouden om te zorgen dat alles altijd met elkaar communiceert. Echter zijn deze argumenten met de huidige techniek en mogelijkheden niet langer steekhoudend.
Veel cyberaanvallen zijn eenvoudig te voorkomen
Zijn er dus grote investeringen nodig om de cybersecurity op orde te brengen? Als het aan de verkopers van de technische oplossingen ligt wel. Een investering is meestal wel nodig, echter het hoeft niet altijd direct in dure oplossingen. Het is goed om te beseffen dat de grootste veiligheidsrisico’s in de meeste gevallen voorkomen kunnen worden door relatief eenvoudige oplossingen en vooral ook door mensen zelf. De oud-directeur van het GCHQ (Britse inlichtingendienst) stelt dat tachtig tot negentig procent van de cyberaanvallen te voorkomen is door regelmatige software-updates, een degelijke netwerkconfiguratie en goed wachtwoordbeheer. Vaak zijn wachtwoorden te simpel, wordt in de hele fabriek hetzelfde wachtwoord gebruikt, hangen de wachtwoorden op briefjes aan de muur of zijn ze leesbaar in de broncode van de software en in documentatie (bijvoorbeeld in handleidingen). Daar is dus veel winst te behalen.
Een betere beveiliging begint bij het volgen van een stappenplan
Om een inschatting te kunnen maken wat nodig is in de eigen productie-omgeving is het goed een eenvoudig stappenplan te volgen. Gestart kan worden met het maken van een businesscase en een probleemdefinitie (business rationale).
Stap 1. Waarom is cybersecurity in het productieproces belangrijk? De eerste vraag moet dan ook zijn wat men wil dat bereikt wordt met cybersecurity. Is dat het voorkomen van ongeplande stilstanden? Het voorkomen dat gegevens (bijvoorbeeld recepturen) gestolen worden? Of het voorkomen dat eindproducten de fabriek verlaten die niet aan de specificaties voldoen?
In ieder geval moet gezorgd worden voor een niet ‘te technische’ businesscase, die ook goed leesbaar is voor bijvoorbeeld het minder technische managementteam. Op deze manier worden problemen en voorstellen tot oplossingen breder gedragen in de organisatie, zijn ze eenvoudiger bespreekbaar.
Bereken wat beveiliging gaat opleveren
Stap 2. Stel vervolgens de vraag en ga uitrekenen wat cybersecurity (indirect) gaat opleveren. Natuurlijk is dit niet eenvoudig uit te drukken in geld. Toch zijn er tegenwoordig berekeningen beschikbaar door onderzoek onder bedrijven, die bijvoorbeeld aangeven dat een (langdurige) productiestilstand door een cyberincident gemiddeld een bedrijf $400.000 kost.
Maak een risico-analyse
Stap 3. Het is nu van belang om niet meteen te denken in dure technische oplossingen. Eerst zal een risico-analyse gemaakt moeten worden. Wat zijn de belangrijkste productieprocessen, welke moeten het best beveiligd worden en welke minder? Welk risico lopen die processen en wat is de kans dat daar iets mee gebeurt? Een bekende en veelgebruikte risico-analyse is een Failure Mode & Effect Analyses (FMEA), waarbij systematisch mogelijke storingen in kaart worden gebracht en wat de gevolgen daarvan zijn. Ook de CORAS-methode kan gebruikt worden, die het op een andere (minder technische) wijze aanpakt. Het is van belang dat het hele bedrijf meewerkt aan de risico-analyse. Neem ook andere deelnemers in de supplychain mee, kwaadwillenden proberen soms binnen te komen via de achterdeur van de toeleverancier. Het is goed om in de contracten afspraken te maken over ieders verantwoordelijkheid.
Een OT of IT-afdeling kan dit niet alleen doen. Technici kunnen nooit bepalen wat acceptabele risico’s zijn of wat de gevolgen zijn voor de processen, dit is een afweging die door het management gemaakt moet worden.
Reserveer een budget, maar focus niet alleen op techniek
Stap 4. Na deze fase zal er een budget voor cybersecurity gereserveerd moeten worden. Cybersecurity is nu eenmaal niet gratis. Aan de hand van de businesscase en de risico-analyse kan nu wel gerichter aan een passend budget gedacht worden. Het is belangrijk dat niet op techniek alleen gefocust wordt. Juist ook de mens is een belangrijk onderdeel bij cybersecurity, dus denk ook aan richtlijnen en procedures, maar met name ook aan awareness en begrip bij werknemers.
Beveilig in meerdere lagen
Stap 5. Kies voor defence in depth, ofwel een beveiliging bestaande uit meerdere lagen, net als bij de kastelen vroeger, die naast dikke muren, ook een slotgracht en een ophaalbrug hadden. Voor beveiliging is vaak niet één oplossing, de oplossing bestaat uit meerdere onderdelen en aspecten.
Actief beheer en permanente monitoring
Stap 6. Nadat gekozen is voor oplossingen is het beheer hiervan van groot belang. Technische oplossingen vergen namelijk een actief beheer en een permanente monitoring. Updates zullen moeten worden ingepland en gedraaid. Een firewall zal periodiek moeten worden geanalyseerd (welk verkeer is tegengehouden?), wat waren de bedreigingen en is de organisatie nog steeds voldoende beveiligd? Meldingen van een Intrusion Detection System (IDS) moeten worden opgevolgd.
De menselijke factor blijft de zwakste schakel in de beveiliging. Procedures en bewustwording zijn cruciaal. Het bewust zijn wat de technische oplossing biedt, maar vooral ook wat hij niet biedt is essentieel voor de werking ervan. Tot slot zal het beveiligingssysteem periodiek (bijvoorbeeld jaarlijks of tweejaarlijks) geëvalueerd moeten worden en moet de risico-analyse opnieuw uitgevoerd worden.
Cybersecurity managementsysteem (CSMS)
Bovenstaande stappen staan ook beschreven in de standaard ISA/IEC-62443, vergelijkbaar met ISO-27001 en 27002 voor de IT-omgeving. Het is een standaard voor cybersecurity, die veel in de industrie gebruikt wordt. Het is aan te bevelen deze standaard eens door te lezen voor meer bewustwording over industrial cybersecurity en de mogelijkheden die er zijn om het beheersbaar te maken.
Auteur: Rick Booij, Industrial Cybersecurity Expert bij Actemium, kennispartner van VMT