OT-systemen kom je overal tegen. Van de lift in een kantoorpand tot de systemen in fabrieken, windmolens en kerncentrales. ICS worden onder andere ingezet voor:

• automatische besturing en monitoring van fysieke processen;
• productie, transport en distributie van drinkwater;
• aansturing van productieprocessen van raffinaderijen, chemische-, farmaceutische- en voedingsmiddelenindustrie en manufacturing execution systems (MES);
• aansturing verkeersinfrastructuur en water-management;
• gebouwbeheerssystemen en toegangscontrole.

Als je deze systemen vanuit de security-principes als CIA-driehoek zou bekijken (Confidentiality, Integrity en Availability), is availability - oftewel beschikbaarheid en continuïteit - cruciaal. Dergelijke OT-systemen waren voorheen gescheiden van IT-systemen en draaiden op specifieke hardware en software. Het aanpassen van deze systemen was alleen lokaal en met fysieke toegangsrechten mogelijk. Ongeautoriseerde personen konden hierdoor moeilijk controle krijgen over deze systemen. De laatste jaren is dit veranderd. Steeds meer OT-omgevingen worden gekoppeld aan IT-omgevingen om zo het beheer efficiënter te maken en daarmee kosten te verlagen. Maar alle soft- en hardware, dus ook industriële control systems, hebben zwakheden die makkelijker kunnen worden geëxploiteerd zodra ze digitaal bereikbaar worden.

Kwetsbare omgevingen

OT-omgevingen zijn dus kwetsbaar en de gevolgen van een gehackte omgeving groter dan die van IT-systemen. Want wat gebeurt er als een koffiebrander geen bonen meer kan branden, een waterbedrijf geen schoon drinkwater meer kan leveren of een hacker de controle van een kerncentrale in handen krijgt? Hoe kunnen we deze systemen beschermen nu ze bereikbaar zijn voor onbevoegden via Internet? Het begint bij het onderzoeken waar deze omgevingen het kwetsbaarst zijn. In een OT-omgeving kun je niet zomaar een port scan, vulnerability scan of penetration-test uitvoeren, zoals we dat in IT-omgevingen gewend zijn. In deze omgevingen hebben we immers vaak te maken met sterk verouderde software en dat vergt een specialistische aanpak die bedrijven kan wijzen op de grootse risico’s en de manieren waarop deze gemitigeerd kunnen worden. Traditionele methodes die in de IT gebruikt worden om risico’s te ontdekken, kunnen namelijk de OT-omgeving ernstig verstoren en zelfs de productie plat leggen.

Ook veel overeenkomsten in beveiliging

Ondanks het feit dat OT-security een andere aanpak vraagt zijn er ook veel overeenkomsten in het beveiligen van dit soort omgevingen. Voorbeelden hiervan zijn het beperken van het netwerkverkeer en het (daar waar mogelijk) installeren van geschikte anti-malware software. Daarnaast is het van belang inzicht te hebben in hoe veilig de omgeving is. Inzicht krijgen in de risico’s kan door het uitvoeren van gerichte assessments op specifieke OT-omgevingen, waarbij rekening wordt gehouden met de mogelijkheden en restricties die binnen een OT-omgeving gelden. Zo kan een organisatie direct aan de slag met de resultaten die uit zo’n assessment voortvloeien.

Menselijke factor

Als laatste mogen we de menselijke factor binnen de OT-security ook niet vergeten. Vaak wordt binnen fabrieksomgevingen veel nadruk gelegd op veiligheid, maar komt (cyber)security op de tweede plaats of ontbreekt in het geheel. Dat betekent dat medewerkers zich vaak niet bewust zijn van de effecten van cybercrime op de veiligheid van hun omgeving. Door specifieke awareness-trainingen, gericht op het personeel dat binnen een OT-omgeving werkt, kan ook voor deze medewerkers duidelijk worden welke risico’s kleven aan het gebruik van industrial control systems die aan het Internet gekoppeld zijn. Hierdoor kunnen aanvallen en schade worden voorkomen. Bijvoorbeeld omdat USB ’s niet zomaar onbewust in apparaten worden geplugd en men de gevaren van (web)mail op de werkplek begrijpt.

Nu het belang van IT-security bij elk bedrijf duidelijk is, wordt het tijd om ook naar de systemen te kijken die we tot nu toe, door segmentatie en fysieke beperking van toegang, veilig achtten. Steeds meer bedrijven specialiseren zich in deze tak van security. Door het toepassen van best practices uit de IT-security en hierbij rekening te houden met de verschillen tussen IT en OT-omgevingen, kunnen we risico’s zo veel mogelijk verkleinen en grote incidenten voorkomen.

(Bovenstaande bijdrage kwam tot stand in samenwerking met CGI Belgium N.V. (Diegem))

Meer info of 02/708.61.00