Nieuwe handreiking helpt lucht- en scheepvaart bij cybersecurity van hun OT-systemen
Security consultant Tieke Jansen en principal OT-security consultant Frank Ruedisueli van cybersecuritybedrijf Secura stelden voor de lucht- en scheepvaart de Handreiking Risicobeheer in OT (operationele techniek) samen. “We hebben niet het wiel opnieuw uitgevonden, maar wel geprobeerd het zó uiteen te zetten dat het begrijpelijk en praktisch is voor partijen van verschillende volwassenheidsniveaus.”
Welk probleem lost de handreiking op?
Frank: “Cybersecurity loopt achter in de operationele techniek. Dat is eigenlijk in bijna alle sectoren met een OT-infrastructuur het geval, dus ook in de sectoren luchtvaart en maritiem. IenW zag dat daar behoefte was aan hulp bij het implementeren van specifiek OT-risicomanagement. Hierbij moet IenW de sectoren ondersteunen, een kader bieden, en met deze vraag zijn ze naar Secura gekomen. Waar officiële standaarden vaak ingewikkeld, groot, droog en allesomvattend zijn, probeerden we met deze handreiking echt iets pragmatisch te maken, waarin staat wat je minimaal moet doen en hoe je daaraan kan beginnen.”
Tieke: “OT kan overweldigend kan zijn. Het zijn complexe infrastructuren en de levensduur van de systemen is lang. Daarnaast is de prijs van niet-functionerende OT hoog. Als de OT platligt, ligt heel de operatie plat: de brug gaat niet meer open of containers worden niet meer geladen; dat is meestal geen kwestie van even iets ‘patchen’ of vervangen. Vaak was er ad hoc iets bedacht, om op afstand ergens bij te kunnen. Bijvoorbeeld om een brug te bedienen of een leverancier toegang te geven vanaf de wal. Maar wie kan er dan nog meer bij? Hoe een organisatie met zo’n vraag omgaat, wordt onder andere bepaald door het volwassenheidsniveau en de beschikbare resources van zo’n organisatie. We hebben met dit document het wiel niet opnieuw uitgevonden, maar het wel geprobeerd uiteen te zetten op een manier die begrijpelijk en praktisch is voor partijen met verschillende volwassenheidsniveaus.”
Heb je voorbeelden van die volwassenheidsniveaus?
Tieke: “Als we het over cybersecurity hebben, gaat volwassenheid in een organisatie over weerbaarheid en aanwezigheid van processen: in hoeverre kun je assets verdedigen tegen cyberaanvallen, en doen dingen wat ze moeten doen? OT-omgevingen zijn hierbij een speciaal beestje: als OT faalt komt niet alleen dataveiligheid, maar vaak ook de fysieke veiligheid in het geding. Een sector met een hoog volwassenheidsniveau is de luchtvaart. Daar is ieder boutje, moertje en deurtje gecertificeerd vanuit de leverancier, waar je een volledig object aanschaft. Dit maakt eventuele aanpassingen ontzettend kostbaar. In schepen is juist alles verschillend; het zijn vaak een soort drijvende fabrieken, vol met systemen van verschillende leveranciers. Terwijl die wel met elkaar moeten samenwerken als geheel en vaak op een of andere manier verbonden moeten zijn met ‘de wal’. Maar in de scheepvaart wordt cybersecurity minder gereguleerd van bovenaf. Er komt wel een nieuwe regulering aan die risicoassessment voor nieuwe schepen verplicht stelt, maar je kunt je oudere schepen niet zo maar aan de kant zetten.”
Frank: “Multinationale olie- en gasbedrijven zijn bijvoorbeeld erg volwassen en schrijven zelf mee aan standaarden die cyberweerbaarheid in kaart brengen: die hebben meestal zelf geen handreiking nodig. Maar voor MKB-organisaties is cybersecurity moeilijker: denk aan bedrijven in de productie en voedingsmiddelen, maar dus ook in sectoren die we behandelen in de handreiking. Ook zij moeten meegroeien met de nieuwe regelgeving die eraan komt en voldoen aan die eisen.”
Hoe kwam de handreiking tot stand?
Tieke: “Nadat we de opdracht kregen, hebben we tijdens conferentie ONE CON issues met risicobeheer in OT-omgevingen geïnventariseerd met aanwezigen uit de betreffende sectoren. Daarna vroegen we aan de sector wie zich wilde aansluiten bij het maken of reviewen van een OT-handreiking. Vanuit de geïnteresseerden ontstond al snel een scheiding tussen een reviewgroep die meeleest en feedback geeft en een kerngroep uit de sector, voor wie het proces iets intensiever was. Om de twee weken kwamen we daarmee samen om de hoofdstukken een voor een door te lopen. De kerngroep droeg ook casussen aan van hoe zaken in de echte wereld werden aangepakt, wat bijdraagt aan de praktische inzetbaarheid van het document. Zo zijn we in een bepaalde cadans doorgegaan. De reviewgroep heeft nog een laatste check gedaan over het geheel en tot slot heeft de kerngroep een stempel van acceptatie gegeven. Het eindresultaat is een leesbaar samenspel van theorie en praktijk.”
Wat is volgens jullie goed risicomanagement?
Frank: “Bij risicomanagement bekijk je met alle kennis, uit alle invalshoeken, volgens een standaardmethodiek naar mogelijke risico’s. De aanstaande NIS2-standaard zegt ook: je moet op basis van je risico voldoende aan cybersecurity doen, naar redelijkheid en billijkheid. Als je kunt aantonen dat iets weinig risico heeft, moet je het ook als zodanig beveiligen. Dan hoeven er bij wijze van spreken geen dubbelzware sloten op. Alles oplossen is ook niet mogelijk: dus wat accepteer je wel of niet, waar maak je uitzonderingen voor en hoe ga je daarmee om; dat zijn gewogen beslissingen die het liefst door een formele risico-eigenaar worden genomen. Dat leidt uiteindelijk tot passende cybersecuritymaatregelen. Dat is risicomanagement.”
Tieke: “Risicomanagement is niet nieuw binnen organisaties. Maar hoe je de techniek nou beveiligd is voor veel organisaties toch een groot vraagteken. En als businesseigenaar wil je vanzelfsprekend je business zo goed mogelijk beschermen. Daarin is cybersecurity onontkoombaar geworden. We werken immers niet meer zonder techniek, en daar komt steeds meer bij. Bovendien zijn er meer manieren om die techniek te saboteren dan ooit.”
Frank: “Veiligheid staat bij alle bedrijven wel op de kaart. Maar cybersecurity nog te weinig.”
Tieke: “Je zou kunnen zeggen: we hebben mensen jarenlang geleerd dat ze de reling op het schip moeten vasthouden, maar nu moet je ze leren dat ze tegelijkertijd hun telefoon ook goed beveiligen, anders kan het nog steeds misgaan. Maar ‘digitale relingen’ zijn een stuk minder concreet. Mensen weten simpelweg niet wat er allemaal mogelijk is met techniek. En dat kun je ze niet kwalijk nemen. Dat moet je ze, afhankelijk van hun rollen en verantwoordelijkheden, leren.”
Hoe zien jullie de toekomst van cybersecurity en de verhouding met AI?
Frank: “De toekomst is tweeledig. Wet- en regelgeving dwingt bedrijven om meer aan cybersecurity te doen. Dat helpt. Tegelijkertijd is er de trend van meer connectiviteit. Cybersecurity is daardoor steeds meer noodzaak. AI is op dit moment nog niet zo bedreigend, hoewel het hackers al wel kan helpen met kwaadwillende acties. Momenteel zijn er andere voor de hand liggende manieren om OT te manipuleren, waar de focus op moet liggen om deze te bedwingen.”
Tieke: “NIS2 en andere komende regelgeving blijft heel erg belangrijk, omdat er vaak pas echt wat veranderd als het top-down wordt afgedwongen. En wat AI betreft: dat heeft ook positieve kanten, want het kan inzicht geven in bepaalde oplossingen door verbanden te leggen en patronen te ontdekken. Het kan verdedigend een rol spelen, bijvoorbeeld in het optimaliseren van antivirussoftware. Zo is AI, net als alle technologie, op zich iets neutraals. Het gaat uiteindelijk om wat mensen ermee doen.”