Door toenemende (cyber)aanvallen op kritieke infrastructuren vestigt de aandacht op de beveiliging van deze cruciale elementen in een maatschappij. De meningen over de manier waarop ze moeten beschermd lopen uiteen. In navolging van het beveiligen van it-omgevingen op basis van identity-security, is dit een pleidooi voor eenzelfde aanpak voor ot-omgevingen.
Zoals zo vaak moet er eerst een ernstig incident plaatsvinden voordat er maatregelen worden genomen. In september vorig jaar vond een aanval plaats op het Universitair Ziekenhuis van Düsseldorf. It-systemen vielen uit, waardoor een ambulance moest worden omgeleid. Voor de patiënt achterin was die omweg te ver. Hij overleefde het niet.
Bescherming van vitale infrastructuren moet de hoogste prioriteit hebben. Ook tijdens een aanval moet er een hoge beschikbaarheid worden gegarandeerd. Te meer omdat het niet alleen meer gaat om hackers met financiële motieven maar ook om aanvallen vanuit overheidsinstellingen uit verschillende landen.
Kritis-wet
Onze oosterburen hebben hier uitgebreide wetgeving voor. Hun Kritis-wet voor beveiliging van kritische infrastructuur krijgt dit jaar een update waarin onder andere verplicht wordt een aanvalsdetectiesysteem op te zetten. Hoe staan we er in Nederland voor? De verschillende bedrijfstakken en organisaties vertonen verschillende mate van volwassenheid op het gebied van veiligheid, vaak afhankelijk van de bedrijfstak en de grootte van het bedrijf. Een sterk gereguleerd gebied zoals de financiële dienstverlening moet aan specifieke en strikte eisen voldoen, los van it-securityregels. Grotere bedrijven zijn in principe beter gepositioneerd op het gebied van cybersecurity dan kleinere en middelgrote. De exploitant van een kerncentrale is veel beter beschermd dan bijvoorbeeld een klein gemeentelijk nutsbedrijf. Bij deze laatste ontbreekt het vaak aan de nodige mankracht of expertise.
Ook zien we nog vaak een afwachtende houding; zolang er geen auditor (of probleem) is, zijn er geen veranderingen nodig.
Noodzakelijke beveiligingsmaatregelen
Vanuit beveiligingsoogpunt is het de taak om cyberaanvallen volledig en betrouwbaar te detecteren en af te weren. Dit vereist een holistische benadering die it, ot en organisatorische processen omvat.
In een eerste stap is een risicoanalyse essentieel. Hierbij moet rekening worden gehouden met alle systemen, componenten, applicaties en processen die absoluut noodzakelijk zijn voor een veilige bedrijfsvoering.
In de tweede stap wordt een gedetailleerd plan van aanpak met een lijst van prioriteiten opgesteld. Als het gaat om het beveiligen van de infrastructuur, zijn er een aantal maatregelen die een organisatie met een kritische voorziening moet nemen. De belangrijkste uitgangspunten zijn apparaatbeheer, toegangsbeheer en netwerkontwerp.
Het moge duidelijk zijn dat een sterke bescherming van endpoints van fundamenteel belang is. Het omvat het continu patchen van systemen om bekende beveiligingslekken te elimineren en het monitoren van applicaties op de endpoints om het risico op malware-infectie te minimaliseren. Bovendien moeten de lokale beheerdersrechten voor standaardgebruikers worden ingetrokken, zodat aanvallers slechts beperkte actiemogelijkheden hebben in het geval ze toegang krijgen tot een systeem.
Om de beveiligingsuitdagingen onder controle te krijgen, moeten deze organisaties ook een identiteitsgebaseerde beveiligingsstrategie nastreven die de toewijzing van contextgerelateerde rechten omvat. Dit betekent dat gebruikers de juiste rechten krijgen, afhankelijk van de uit te voeren activiteit. Deze benadering met de minste privileges en just-in-time voorkomt permanente accumulatie van rechten en maakt het dus veel moeilijker voor hackers om hun bestemming te bereiken. Iedere organisatie moet er immers altijd voor zorgen dat een aanvaller alleen een zo klein mogelijk gebied kan infiltreren. Als de rechten van gebruikers in principe op een breed front worden beperkt, kan de vraag rijzen of een superbeheerder überhaupt nog moet worden toegelaten in de it. Identity-security is zowel in it als in ot een cruciaal element.
Naast multi-factorauthenticatie met middelen als fysieke tokens of biometrische procedures is het ook mogelijk om contextafhankelijke authenticatierichtlijnen te implementeren.
Beveiligen van it en ot
It heeft vaak een hoger beveiligingsniveau dan ot. Daar zijn meerdere redenen voor: enerzijds worden in het ot-gebied vaak oudere oplossingen gebruikt waarvoor geen updates meer zijn. Anderzijds maken de systemen vaak gebruik van eigen besturingssystemen, firmware en protocollen die niet met het oog op veiligheid zijn ontwikkeld of vanuit dit oogpunt achterhaald zijn. Ze laten een netwerkverbinding toe, maar dit was nooit bedoeld voor multi-user-netwerkoperatie, waardoor er vaak geen gebruikersadministratie is, laat staan een administratie van gebruikersrechten. Toch is het belang van beveiliging voor beiden even groot.
Het grootste probleem is dat de strikte scheiding tussen it en ot die in het verleden vaak bestond, maar ten dele bestaat in een tijd van toenemende digitalisering. Een hoog niveau van ot-beveiliging kan daarom alleen worden gegarandeerd als de interfaces worden bepaald en adequate beveiligingsmaatregelen worden genomen voor alle relevante apparaten, poorten of verbindingen. Dit kan door geprivilegieerde toegang van it-klanten tot kritieke ot-systemen en -bronnen te monitoren en deze toegang te voorkomen bij verdachte activiteit. In de zorg heeft het beveiligingsrisico onder andere betrekking op medische hulpmiddelen die zijn geïntegreerd in het it-systeemlandschap. Voorbeelden zijn magnetische resonantie- en computertomografen, echografie- en röntgenapparatuur of dialysemachines.
It-beveiliging betekent ook procesbeveiliging
Beveiliging moet niet alleen worden bezien vanuit een technologisch oogpunt – dus vanuit het it- en ot-perspectief – maar moet ook organisatorische aspecten omvatten. Het gaat tenslotte ook om procesbetrouwbaarheid. Bedrijven moeten altijd een integrale aanpak nastreven en beveiligingsoplossingen nauw met elkaar verbinden. Concreet gaat het om de geharmoniseerde definitie van workflows of proceslogica, bijvoorbeeld voor het goedkeuren van rollen, en de geoptimaliseerde implementatie van governance- en compliance-vereisten in processen.
Het blijft de vraag of wetgeving zoals bij onze oosterburen deze bewustwording en organisatieverandering realiseert, maar het zet het onderwerp van ot-beveiliging in elk geval stevig op de agenda.