Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Cyberdreiging blijft impact houden

Dit artikel delen:

Computable Expert

Etienne Verhasselt
Business Manager, Orange Cyberdefense. Expert van Computable voor de topics Management en Security.

Centraal in deze blog staat de paradox van de vooruitgang. Industriële procestechnologieën maken onze voortdurende drang naar vooruitgang mogelijk, maar daarmee gepaard gaat de blootstelling aan cyberdreiging met de bijbehorende risico’s en business-impact. Deze staan voor de keerzijde van vooruitgang. Een toelichting.

Digitale transformatie binnen de context van industriële processen leidt herhaaldelijk tot vragen bij klanten: lopen ook wij het risico een target te zijn voor cyberaanvallers en kan wat gebeurde bij X ook bij ons gebeuren?

De aanleiding tot het stellen van deze vragen is psychologisch te verklaren. In tijden van verhoogde cyberdreiging en crisis zoeken mensen naar bevestiging van wat zij reeds vermoeden of weten. Het antwoord op beide vragen is volmondig ja.

Verantwoordelijk

"Sinds de jaren tachtig van de vorige eeuw zetten industrieën volop in op het doorgedreven automatiseren van hun productieprocessen"

Industriële bedrijven zijn binnen onze economie verantwoordelijk voor het produceren en verwerken van materiële goederen. Kritieke infrastructuren staan in voor de vitale productie en transport van energie waaronder elektriciteit, olie en gas; de productie en distributie van drinkwater; het vervoer van mensen en goederen over de weg, het water en via de lucht; de digitale communicatie; het elektronisch betalingsverkeer; en de zorgverlening in ziekenhuizen. 

Reeds sinds de jaren tachtig van de vorige eeuw zetten deze industrieën volop in op het doorgedreven automatiseren van hun productieprocessen. Flexibel, efficiënt en kwalitatief produceren van halffabricaten en eindproducten zijn meer dan ooit de standaard. Normatieve kaders en regelgevingen leiden tot het noodzakelijk creëren, toepassen, bijsturen en monitoren van meetbare criteria. Produceren volgens deze maatstaven heeft voor producenten een directe impact op hun bedrijfsresultaten, hun concurrentiële positie, de sociaaleconomische perceptie die anderen over hen hebben en op hun ecologische voetafdruk. Doorgedreven industriële procesautomatisering en digitale transformatie zijn absolute voorwaarden voor succes. Over welk nummer van digitale transformatie (2.0, 3.0, 4.0, …) het ook mag gaan, dit laten wij in deze blog even buiten beschouwing. 

Digitale transformatie wordt gedreven door belangrijke innovaties waaronder artificiële intelligentie, business intelligence, de alom gaande beweging naar decentrale procesintelligentie en connectiviteit gericht op meer-met-alles verbinden. Paradoxaal genoeg introduceert digitale transformatie meer dan ooit onze grootschalig kwetsbaarheid voor cyberterrorisme. 

De Europese 'nis'-richtlijn, ofwel nis-directive (directive on security of network and information systems) is de eerste Europese richtlijn inzake cyberbeveiliging van kritische infrastructuren en richt zich specifiek op de beveiliging van netwerk- en informatiesystemen. Deze richtlijn werd op 6 juli 2016 door het Europees Parlement aangenomen en is sinds augustus 2016 in werking getreden. De Europese nis-richtlijn legt alle Europese landen op om de richtlijn te vertalen in een nationaal wettelijk kader. De Belgische nis-wetgeving werd gepubliceerd in het Staatsblad op 3 mei 2019 gevolgd door een eerste Koninklijk Besluit op 18 juli 2019.  

De Belgische wetgeving voorziet dat per sector, zie eerder opgesomd in deze blog, een sectorale overheid dient aangeduid te worden die bepaalt welke individuele organisaties dienen te voldoen aan de nis-wetgeving. Laten wij in wat volgt even inzoomen op de drinkwatersector en de gezondheidszorg. 

Drinkwater en gezondheid

Voor de productie en distributie van drinkwater werd tot op vandaag nog geen wettelijke verplichting opgelegd. Paradoxaal is het wel zo dat bedrijven in deze sector wel degelijk maatschappelijke hoofdspelers zijn in het leveren van essentiële diensten.  Dat wil zeggen de productie en distributie van levensnoodzakelijk drinkwater. De vraag die wij ons hier terecht mogen en kunnen stellen is 'Behoren deze bedrijven dan niet tot kritische infrastructuren?'. Vanzelfsprekend wel! Voor de drinkwatersector is er tot op heden nog geen sectorale overheid aangesteld. Van zodra deze sectorale overheid bij Koninklijk besluit is vastgelegd kan deze de individuele drinkwatermaatschappijen aanduiden als essentiële dienstverleners.  

Orange Cyberdefense is onder meer actief binnen Farys, één van de Vlaamse drinkwaterintercommunales. Om dit bedrijf te helpen voldoen aan de nis-wetgeving, heeft Orange Cyberdefense in eerste instantie in opdracht van Farys alle detailprocessen en assets in kaart gebracht. De volgende stap is het uitvoeren van een risicoanalyse. Dit vergt tijd, het gaat immers over zowel infrastructuur als applicaties, over processen en alle betrokkenen. 

De mogelijkheid hebben om vanuit een holistisch perspectief deze risicoanalyse uit te voeren is een absolute succesfactor. Denk maar aan de verschillende stappen bij de kwaliteitscontrole van drinkwater: nemen van stalen, de frequentie waarmee stalen worden genomen, applicaties die hiervoor ingezet worden, ruwe data en het creëren van informatie, et cetera. 

Vanuit deze risicoanalyse kunnen drinkwatermaatschappijen noodzakelijke maatregelen nemen en oplossingen uitrollen. Het biedt hen een zicht op zowel risico’s als op valkuilen en laat hen toe om aan risicomanagement te doen.

Binnen de gezondheidszorg kunnen wij ons een identieke vraag stellen: behoren ziekenhuizen dan niet tot kritische infrastructuren? Andermaal luidt het antwoord: vanzelfsprekend wel. De FOD Volksgezondheid, de sectorale overheid in dit geval, nam nog geen beslissing om ziekenhuizen als kritieke infrastructuur te benoemen. In tijden van Covid-19 is het nog duidelijker dan voorheen dat ziekenhuizen cruciaal zijn voor een natie en haar integrale bevolking. Paradoxaal zegt de Belgische wetgeving dat ziekenhuizen wel degelijk onder kritische infrastructuren vallen. Begrijpen wie begrijpen kan. Bekeken vanuit het perspectief van cybersecurity dienen wij ons hier allen ernstige vragen over te stellen.

Tot slot

Binnen de context van de nis-regelgeving en de cyberparaatheid van industriële bedrijven met een belangrijk deel 'ot', dient een absolute focus gelegd te worden op cybersecurity.  

Een storing als gevolg van een cyberaanval kan immers zware gevolgen hebben op het functioneren van ons land, de organisaties en burgers die er deel van uitmaken. Dit is helemaal geen fictie. Kijk maar wat er vandaag in deze coronacrisis gebeurt: hackers vallen wereldwijd nutsbedrijven en zorginstellingen aan. 

Meer dan ooit staan wij hierbij stil en dienen wij verantwoord de juiste cybersecuritybeslissingen te nemen. Zowel op technologisch vlak, procesmatig als gericht op de mens binnen de organisatie. 

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-04-23T13:06:00.000Z Etienne Verhasselt
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.