Cyberveiligheid brandbeveiligingssystemen vraagt om compliance- en risicogebaseerde aanpak
Naar aanleiding van een onderzoek van de Fire Protection Research Foundation publiceerde de Society of Fire Protection Engineers (SFPE) Europe onlangs een artikel over cyberbeveiliging voor brandbeveiligingssystemen. Hierin wordt het belang van goede cybersecurity voor dergelijke systemen nog eens onderstreept. Ook bij Kiwa zijn we er van overtuigd dat passende cybersecurity essentieel is voor het goed functioneren, de veiligheid en beveiliging van brandbeveiligingssystemen. Digitale veiligheid is in de ogen van Kiwa zelfs een voorwaarde voor kwalificatie voor gebruik en inzet van apparatuur.
Brandbeveiligingssystemen zijn vaak onderdeel van een groter geheel van gebouwbeheersystemen. Dit betekent dat deze brandbeveiligingssystemen op de een of andere manier in verbinding staan met bijvoorbeeld de HVAC- en alarm- en beveiligingssystemen. Om toegang en bediening op afstand en alarmering van bewoners of andere systemen mogelijk te maken, zijn dergelijke systemen verbonden met internet. Dit betekent dat er veel mis kan gaan als de cybersecurity in het gedrang komt. Zo kan een succesvolle cyberaanval leiden tot minder vertrouwen in het systeem of, erger nog, mensenlevens in gevaar brengen.
Ransomware
Nog zorgwekkender is dat een onvoldoende beveiligd brandbeveiligingssysteem kan worden gebruikt als doorgang naar de systemen waarmee het (indirect) is verbonden. Dit kan ertoe leiden dat ook andere (vitale) systemen in gevaar komen, met alle gevolgen van dien. Zo kunnen bijvoorbeeld in een fabriek kwaadwillenden toegang krijgen tot gevoelige informatie of systemen door middel van een onveilig brandbeveiligingssysteem. Dit kan vervolgens worden gebruikt als hefboom bij ransomware-aanvallen, waardoor de dagelijkse activiteiten worden verstoord, etc.
Goede securitymix
Er zijn verschillende cyberdreigingen die mogelijk schade kunnen toebrengen aan brandbeveiligings- en andere systemen en activa die direct of indirect met elkaar verbonden zijn. De dagelijkse nieuwsflitsen over de verschillende soorten cyberaanvallen onderstrepen dat dit een veelvoorkomend probleem is en dat het essentieel is om de cyberbeveiliging van systemen goed te regelen. De aanpak voor goede cybersecurity waar we bij Kiwa voor pleiten, is er een waarbij sprake is van een goede mix van op compliance en op risico gebaseerde maatregelen. Net zo belangrijk is het om periodiek de status van uw cybersecurity te checken om te zien of de genomen maatregelen nog effectief zijn.
Kwaliteitsnormen
Als we dieper ingaan op de op compliance gebaseerde aanpak, zien we dat het hierbij gaat om onderwerpen als wetgeving en standaardisatie. Er zijn verschillende normen, richtlijnen en relevante wettelijke bepalingen die, afhankelijk van het toepassingsgebied, een blauwdruk bieden voor maatregelen. De internationale normen IEC 62443 en ISO 27001 zijn hiervan twee concrete voorbeelden. Deze twee standaarden bieden respectievelijk richtlijnen voor een op compliance gebaseerde benadering van cyberbeveiliging in respectievelijk OT (operationele technologie) en IT-systemen. Voor een brandbeveiligings- en andere gebouwbeheersystemen is de kwaliteitsstandaard IEC 62443 voor cyberbeveiliging voor industriële automatiserings- en controlesystemen (IACS) een zeer nuttige norm.
Risicogebaseerde benaderingen
Anderzijds wordt in een risicogebaseerde benadering rekening gehouden met de risico's die de cybersecurity bedreigen. Dit gebeurt aan de hand van tests en/of assessments die nagaan hoe goed de cybersecurity van organisaties of bedrijven kan omgaan met mogelijke cyberdreigingen. Voor risicogebaseerde benaderingen met betrekking tot cybersecurity zijn penetratietests en bug bounty hunting twee goede voorbeelden die ook door Kiwa als diensten worden aangeboden.
- Een penetratietest, ook wel pentest of ethisch hacken genoemd, is een gesimuleerde cyberaanval op een systeem of organisatie die wordt uitgevoerd om de cyberbeveiliging van het systeem te beoordelen. Door mogelijke bedreigingen op te sporen, kan een organisatie of bedrijf specifieke maatregelen nemen om de gevonden risico's te beheersen.
- Bug bounty-programma's bieden individuen (die ethische hackers of beveiligingsonderzoekers kunnen zijn) de mogelijkheid om tegen een beloning (de ‘bountie’) bugs of kwetsbaarheden op te sporen en te melden die de veiligheid van organisaties of bedrijven in gevaar kunnen brengen. Bij Kiwa wordt het bug bounty-programma van een organisatie op een platform gezet met betrouwbare en bedreven beveiligingsonderzoekers die op een ethische manier op zoek gaan naar bugs en kwetsbaarheden.
Voldoende grip
Het is vrij eenvoudig voor te stellen dat de combinatie van een op compliance gebaseerde aanpak en de op risico gebaseerde aanpak voldoende grip biedt op de cybersecurity van systemen en organisaties. De solide richtlijnen in een op compliance gebaseerde aanpak bieden goede ondersteuning bij het inrichten van de cybersecurity van systemen en organisaties, wat vanwege de complexiteit een behoorlijke uitdaging kan zijn. De op risico's gebaseerde benadering biedt mogelijkheden om de dynamische en steeds veranderende aard van cyberbeveiliging aan te pakken.
Ecosysteem
Voor de cybersecurity van brandbeveiligingssystemen geldt dezelfde aanpak. Vroeger betrof het hier vaak standalone systemen met slechts één doel: bescherming tegen en alarmeren bij brand. Tegenwoordig maken brandbeveiligingssystemen echter vaak deel uit van een complex ecosysteem van verschillende onderling samenwerkende en onderling verbonden systemen. De dualiteit hier is dat elk systeem zijn eigen doelen en nut heeft en tegelijkertijd deel uitmaakt van een groter geheel. Bovendien worden deze systemen allemaal gevoed door digitalisering, die op zichzelf dynamisch is en voortdurend in ontwikkeling is.
Digitalisering biedt veel kansen, maar kan niet los worden gezien van cybersecurity. Dit laatste moet zó worden aangepakt dat systemen en organisaties goed worden beschermd, zonder daarbij in te boeten op de mogelijkheden die digitalisering biedt. Een combinatie van de compliance- en risicogebaseerde aanpak is een passende manier om de verschillende uitdagingen met betrekking tot de cyberbeveiliging van brandbeveiligingssystemen af te dekken.