Ga direct naar inhoud

In gesprek met het NCSC over het nieuwe OT dreigingsbeeld

Nieuwsbericht | 13-02-2025 | 09:44

Steeds vaker is operationele technologie (OT) het doelwit van cybercriminelen en andere kwaadwillende actoren. Gelukkig kun je het risico op een cyberaanval verkleinen met de juiste kennis en maatregelen. Het Nationaal Cyber Security Centrum (NCSC) speelt hierbij een onmisbare rol. Olivia du’Fell, nieuw bij DGLM als beleidsmedewerker Maritieme Veiligheid, gaat in gesprek met Robin Staa en Kelvin Hooft van Huijsduijnen over het nieuwe OT-dreigingsbeeld van het NCSC.

Een vliegtuig staat geparkeerd op het vliegveld tijdens zonsondergang. De deur van het vliegtuig staat open met een trapje naar beneden. Op de achtergrond is de verlichte verkeerstoren zichtbaar, samen met andere luchthavengebouwen. De lucht heeft warme oranje en paarse tinten, terwijl lantaarnpalen het platform verlichten

Robin Staa is Cyber Threat Intelligence Analist bij het NCSC. Ze houdt zich vooral bezig met het identificeren, analyseren en duiden van dreigingen. Denk bijvoorbeeld aan sabotage en hacktivisme. Kelvin Hooft van Huijsduinen is OT-coördinator bij het NCSC. Zijn taak als coördinator omvat het verbinden van mensen, teams en organisaties. Daarnaast is het faciliteren en aanmoedigen van, en richting geven aan activiteiten rondom OT een belangrijk onderdeel van zijn functie. Zowel binnen het NCSC als daarbuiten, nationaal en internationaal

Olivia: Bij het NCSC hebben jullie een dreigingslandschap ontwikkeld voor operationele technologie. Wat is dat? En wat betekenen de inzichten uit dit landschap voor onze vitale sectoren?

Robin: ‘Dat klopt. Een dreigingslandschap is een verzameling van inzichten die we binnen het hele landschap van dreigingen waarnemen. Deze inzichten verwerken we in een product: een dreigingsbeeld dat organisaties helpt om zich beter voor te bereiden op cyberdreigingen. Het NCSC heeft nu een nieuw dreigingsbeeld ontwikkeld dat specifiek gericht is op operationele technologie. Dit publiceren we in februari op onze website. Het nieuwe dreigingsbeeld is vrij uniek. In plaats van te richten op specifieke actoren, hebben we een uitgebreid overzicht samengesteld van alle tools en technieken die door deze actoren worden gebruikt. Daarbij bieden we gelijk handelingsperspectieven, zodat organisaties weten welke maatregelen ze kunnen nemen om zichzelf te beschermen. Het dreigingsbeeld geeft dus niet alleen inzicht in hoe aanvallen werken, maar ook in hoe organisaties zich hiertegen kunnen wapenen.’

Kelvin: ‘Zo helpen de inzichten uit het dreigingsbeeld om de dreigingen tastbaar te maken voor de doelgroepen van het NCSC. Wij verzamelen en analyseren dreigingsinformatie zodat organisaties daar iets praktisch tegenover kunnen zetten. Dus: Wat zijn de specifieke dreigingen voor jouw organisatie en wat kun je ertegen doen? Organisaties kunnen hierdoor prioriteren, betere afwegingen maken, hun investeringen plannen en krijgen specifiek handvatten om aan de slag te gaan met de dreiging die geschetst wordt.’

Robin: ‘Inderdaad. Elke organisatie kan slachtoffer worden van een cyberaanval. Of je nu een grote of kleine organisatie bent. Het is belangrijk om te begrijpen waarom je interessant zou kunnen zijn voor kwaadwillende actoren, welk type actoren er zijn en hoe zij te werk gaan. Misschien hebben de lezers van deze nieuwsbrief zelf al incidenten in hun sector opgemerkt en hierdoor het gevoel dat hun organisatie of sector specifiek wordt getarget. Maar is dat echt zo? Of speelt de weerbaarheid van organisaties een grote rol en kunnen basismaatregelen helpen om zich beter te beschermen? Het duiden van deze vraagstukken kan lastig zijn. Het NCSC ondersteunt organisaties bij deze duiding.’

Robin Staa heeft lang, krullend roodbruin haar. Ze kijkt in de camera. Ze draagt een zwart shirt met een wit geometrisch patroon. De setting is een lichte gang met kunstwerken aan de muur.
Robin Staa

Olivia: Kunnen jullie al een tipje van de sluier geven over de inhoud van het nieuwe dreigingsbeeld? En hoe deze verschilt van vorige jaren?

Robin: ‘Tuurlijk. In het dreigingsbeeld behandelen we bijvoorbeeld de motivaties die we de afgelopen jaren hebben gezien, zoals spionage, sabotage, hacktivisme en cybercriminaliteit. Daarnaast beschrijven we tien tools en technieken die actoren hebben gebruikt in 2023 en 2024.Zo blijft ransomware een serieuze dreiging vormen voor de operationele continuïteit van organisaties. Verder zien we dat de prepositionering van statelijke actoren steeds meer zichtbaar wordt. Wel zetten deze actoren pas echt de stap naar sabotage in conflictsituaties. Ook is er een toename van hacktivistische aanvallen, waarbij deze actoren zich in toenemende mate interesseren voor het aanvallen van OT-assets. Deze aanvallen zijn veelal gerelateerd aan geopolitieke gebeurtenissen. Zo zijn er meerdere incidenten geweest die een relatie hebben met de oorlog in Oekraïne, en het conflict tussen Israël en Hamas.’

Kelvin: ‘Voorheen was de dreiging bijna onzichtbaar, we dachten er niet aan in de OT. Maar met de geopolitieke situatie van nu is de dreiging groot en reëel. Systemen die aan het internet hangen zijn kwetsbaar, denk bijvoorbeeld aan scanmogelijkheden eventueel versterkt door AI en het razendsnel exploiteren van kwetsbaarheden (bekende en onbekende). Wat de sectoren van IenW betreft, ook de luchtvaart en maritieme sector kunnen bedoeld of onbedoeld geraakt worden door bijvoorbeeld spoofing, jamming en hackpogingen. De sectoren die onder IenW vallen moeten zich dus goed voorbereiden.’

Kelvin heeft kort bruin haar en een lichte baard. Hij glimlacht vriendelijk naar de camera. Hij draagt een groen-zwart geruite blouse en heeft zijn handen ontspannen in zijn zakken. De achtergrond is licht en neutraal.
Kelvin Hooft van Huijsduinen

Olivia: Welke uitdagingen zien jullie voor het beschermen van operationele technologie de komende jaren?

Robin: ‘Omdat onze vitale systemen steeds vaker aan het internet worden gekoppeld, wordt het aanvalsoppervlak steeds groter. Dit zorgt er namelijk voor dat er steeds meer ingangen zijn voor kwaadwillende om toegang te krijgen tot de systemen van organisaties. De groeiende verbondenheid van OT en IT-systemen brengt ook nieuwe uitdagingen met zich mee. Zo kan een aanval op alleen de IT-omgeving steeds vaker gevolgen hebben voor OT. Hierdoor is er niet altijd een diepgaande kennis van OT-systemen nodig om deze te verstoren. Ook spelen geopolitieke spanningen een belangrijke rol. Hoe hoger de spanningen oplopen, hoe groter de kans dat actoren overgaan op sabotage. De toename aan aanvallen op OT-assets, ook vanuit de hacktivistische hoek bijvoorbeeld, draagt verder bij aan de normalisering van aanvallen op OT. Dit alles maakt het beschermen van operationele technologie steeds complexer.’

Kelvin: ‘Ik denk dat bedrijven moeten werken aan een sterke basis over de gehele cyberlevenscyclus van hun installatie. De IEC 62443 mag iets meer naar voren komen als hulpmiddel. Dit is het internationale cybersecurity normenkader voor operationele technologie. Je hoeft niet per se fantastische technische oplossingen te bedenken; pas de richtlijn toe in zijn geheel en leer ervan. Leer van je eigen risicomanagement en train je mensen. Het NCSC helpt om dit proces te ondersteunen met advies, en informatie over kwetsbaarheden en dreigingen. Verder zie ik grote uitdagingen voor de Europese industrie. Met de verschuiving van goederen naar andere grootmachten wordt het steeds lastiger om zicht te houden op onze toeleveringsketens en hier invloed op uit te voeren als men dat echt nodig acht, bijvoorbeeld om risico’s weg te nemen of de weerbaarheid te verhogen. Weten we nu nog waar onze producten en systemen vandaan komen, en hoe dit worden gebouwd? Het is van essentieel belang om grip te houden op onze toeleveringsketens om de weerbaarheid van organisaties te waarborgen.’

Olivia: Kunnen jullie ons meer vertellen over het handelingsperspectief voor vitale organisaties? En waarvoor zij terechtkunnen bij het NCSC?

Kelvin: ‘Het NCSC is er voor allerlei soorten organisaties. We zijn er voor grote organisaties die kijken naar beleid en wetgeving én een grote verantwoordelijkheid voelen omdat schade aan hun sector grote impact heeft op de samenleving. Maar ook voor kleine organisaties die minder volwassen zijn.. Omdat onze doelgroep breed is, werken we nauw met hen samen om tot goede adviezen te komen. Bijvoorbeeld in samenwerkingsverbanden die wij ISACs noemen, Information, Sharing and Analysis Centers. Op onze website vind je basismaatregelen. Die breiden we flink uit in 2025. Hier staan straks ook producten voor de NIS2, zodat bedrijven handvatten hebben. En producten voor de hele cyberlevenscyclus voor het veilig maken van je OT-systeem.’

Robin: ‘We ondersteunen organisaties ook door bijvoorbeeld sessies te organiseren waarin we sectoren en ketenpartners helpen te ontdekken welke dreigingen ze rekening mee moeten houden en wat hun kroonjuwelen zijn: de assets die hen bijvoorbeeld een interessant doelwit zouden kunnen maken voor cyberdreigingen. Dit inzicht helpt organisaties gerichter te werken aan hun bescherming. Samenwerking is hierbij cruciaal om als gehele sector en keten cyberweerbaarder te worden. Als je buurman kwetsbaar is, kan dat ook effect hebben op jou. Dus het belang zit hem in dat we het samen doen.’

Meer weten?

Het Nationaal Cyber Security Centrum is expert op het gebied van digitale veiligheid. Op ncsc.nl lees je wat zij voor jouw organisatie kunnen betekenen. Het nieuwe dreigingsbeeld verschijnt in februari 2025 op hun website. Wil je op de hoogte blijven? Houd dan ook onze nieuwspagina in de gaten!