Bescherming van kritieke infrastructuur: de rol van een nieuwe cyberbeveiligingsstandaard

Elektriciteitsnetten, watersystemen, ziekenhuizen en fabrieken zijn essentieel om onze samenleving en economie draaiende te houden, dus is het erg belangrijk dat deze zogenoemde kritieke infrastructuur veilig wordt gehouden. Dit vraagt om goede fysieke en digitale bescherming. Een nieuwe internationale standaard helpt organisaties het risico van cyberdreigingen te verkleinen. Ronald Prins, cybersecurity-expert en Kiwa’s IoT cybersecurityspecialist Santosh Sharman vertellen er meer over.

Ronald Prins (cybersecurity-expert en en oprichter Hunt & Hackett) en Santosh Sharman (Product Manager IoT Security at Kiwa).

De klok hoeft niet eens zo heel ver teruggedraaid te worden om in een veel eenvoudigere wereld terecht te komen. Een wereld waarin industrie en kritieke infrastructuur voornamelijk uit mechanische onderdelen bestonden die alleen fysieke beveiliging vereisten. Tegenwoordig zien de dingen er nogal anders uit. Bedrijven hebben vaak ‘moderne’ of ‘oude’ mechanische systemen. In het laatste geval zijn machines vaak op maat gemaakt en minstens tien jaar oud. Deze ‘legacy-systemen’ vormen de basis waarop jarenlang is doorontwikkeld, waardoor ze vanwege de  benodigde investering vaak moeilijk te vervangen zijn. In moderne of nieuwere industriële systemen is apparatuur vaak up-to-date.

In beide gevallen worden systemen vaak elektronisch, zelfs automatisch, aangestuurd en zijn ze verbonden met een netwerk. Een benadering die vaak wordt gebruikt om kritieke infrastructuur te beschermen, is deze te scheiden van internet. ‘Als dat eenmaal gebeurd is, is het erg moeilijk voor een aanvaller om te manipuleren wat erin zit’, zegt Ronald Prins. ‘Maar daar komt de supply chain-aanval om de hoek kijken.’

De manier waarop criminelen toegang krijgen tot netwerken die voor beveiliging zijn geïsoleerd, zoals fabrieken en drinkwatervoorzieningen, is via hardware die binnen die netwerken wordt gebruikt. In een fabriek kunnen bijvoorbeeld camera's draaien. Die hebben drivers en firmware die regelmatig geüpdatet moet worden vanaf de website van de leverancier. Hackers kunnen deze manipuleren en een virus naar het netwerk sturen. ‘Dus zelfs als je geen verbinding hebt met internet, moet je nog steeds heel voorzichtig zijn’, zegt Ronald.

Zwakke punten in cybersecurity misbruiken

Een van de grote uitdagingen bij cybersecurity is dat industrie en kritieke infrastructuur steeds vaker met internet zijn verbonden. Afgelopen jaren heeft de operationele technologie (OT) die hiervoor gebruikt wordt een sprong voorwaarts gemaakt met de ontwikkeling van het industriële internet of things (IIoT), ook wel bekend als Industry 4.0. Genetwerkte sensoren, apparaten en software werken samen met machines en mensen om processen efficiënter te maken en de productie te verhogen.

Zo maakt IIoT in de auto-industrie de productie nauwkeuriger door gereedschappen in 3D te printen en helpt het mensen en robots efficiënt samen te werken. In de logistiek houden sensoren de voorraad bij en geven ze informatie terug aan bestelsystemen. En in de landbouw kunnen boeren vertrouwen op sensoren in het veld om irrigatie- en oogstsystemen te activeren.

‘Op de een of andere manier - fysiek, via internet of via mensen - is alles met elkaar verbonden’, zegt Santosh Sharman, IoT-beveiligingsspecialist bij Kiwa. ‘Uiteindelijk zijn deze technologieën er om ons van dienst te zijn. En ze hebben informatie van ons nodig om dat perfect te doen.’

‘Op de een of andere manier - fysiek, via internet of via mensen - is alles met elkaar verbonden.’

Santosh Sharman

‘Ongeacht het automatiseringsniveau van een systeem zal er altijd een menselijk element zijn dat organisaties kwetsbaar maakt’, vervolgt Santosh: ‘Beveiligingssystemen kunnen echt complex en geavanceerd worden, met laag na laag na laag beveiligingsmaatregelen. Maar er is altijd een mens op de hoogte, en mensen maken fouten.’

Bijvoorbeeld, een van de beperkingen die we als mens nu eenmaal hebben, is ons onvermogen om eindeloze aantallen willekeurig gegenereerde wachtwoorden te onthouden. In plaats daarvan gebruiken we vaak iets dat we ons kunnen herinneren, vaak ook nog eens dezelfde of vergelijkbare wachtwoorden. Een cybercrimineel op het darkweb zou bijvoorbeeld het wachtwoord van een van uw social media accounts kunnen kopen. Als dat vergelijkbaar is met het wachtwoord dat u gebruikt om toegang te krijgen tot uw werksysteem, heeft de hacker een kans om binnen te komen.

Continuïteit, IP en gegevensbescherming

De risico’s die organisaties daarbij denken te lopen variëren volgens Ronald Prins enorm. Sommige mensen en afdelingen maken zich het meest zorgen over de privacy van de gegevens die ze hebben. Sommigen maken zich meer zorgen over diefstal van intellectueel eigendom. Voor anderen is het grootste risico de bedrijfscontinuïteit en dus ransomware.

‘Ik denk dat je eigenlijk op alle drie zou moeten focussen’, aldus Ronald. ‘Organisaties kunnen moeite hebben om een ​​balans te vinden bij het beveiligen van hun organisatie, dus ze zijn misschien heel goed in één aspect, maar negeren de andere twee een beetje.’

Voor industrie en kritieke infrastructuur vormt ransomware een grote bedreiging. De tot dusver meest bekende vorm van ransomware was gericht individuen. Er werd dan bijvoorbeeld voor € 400,- in Bitcoin geëist voor toegang tot gekaapte gegevens. Maar tegenwoordig komt het veel vaker voor dat cybercriminelen zich richten op grote bedrijven die waarschijnlijk failliet gaan zonder hun gegijzelde bedrijfsgegevens en daarom bereid zijn er enorme bedragen voor te betalen.

Zodra de criminelen het losgeld hebben geëist, begint het misdrijf te lijken op een transactie tussen twee partijen. Het bedrijf kan meestal onderhandelen met de hackers en als ze ermee instemmen om te betalen, zijn er vaak instructies voor het gebruik van sleutels voor de sloten die ze in het systeem hebben ingesteld. Soms is er zelfs een helpdesk om problemen op te lossen.

Kat-en-muisspel

Terwijl de politie adviseert om het losgeld niet te betalen (en dus het probleem te laten voortduren), hebben veel organisaties de neiging om te betalen en zo hun bedrijf te beschermen. De criminelen richten zich op specifieke systemen en processen om ervoor te zorgen dat dit gebeurt. ‘Als bijvoorbeeld het belangrijkste proces van een bedrijf het verzenden van pakketten is, zullen ze proberen in te breken in de magazijnsystemen en de robots daadwerkelijk stoppen. Als je dit bij e-commercebedrijven rond kerst doet, is dat bijna een garantie dat ze zullen betalen.’

‘De cybercriminelen die de aanvallen uitvoeren worden steeds professioneler’, vervolgt Ronald. ‘En bovendien worden de aanvallers ook nog eens sneller volwassen dan wij verdedigers. Het probleem? De traditionele benadering van cyberbeveiliging bestaat voornamelijk uit het blacklisten, dus blokkeren, van indringers die we als bedreigend beschouwen. Met deze blacklists zullen aanvallers altijd een voorspring hebben. In plaats daarvan hebben we whitelists nodig, overzichten van valide IP-adressen of servers.’

‘De cybercriminelen die de aanvallen uitvoeren worden steeds professioneler en zijn bovendien sneller volwassen geworden dan wij verdedigers.’

Ronald Prins

‘Het wordt een kat-en-muisspel tussen aanvallers en verdedigers. We hebben een andere strategie nodig, een soort immuunsysteem vanuit zero trust-perspectief: we vertrouwen niets op een netwerk tenzij het zijn validiteit kan aantonen.’

IEC 62443: norm voor industriële communicatienetwerken

Dus hoe beschermt u de belangrijkste processen en kritieke infrastructuur van een organisatie? IEC 62443, de nieuwe wereldwijde normenset voor de beveiliging van Industrial Control System (ICS) -netwerken, helpt bedrijven het risico op uitval en blootstelling aan cyberdreigingen te verminderen.

IEC 62443 benadert beveiliging vanuit de rol van het bedrijf in de industriële keten. Het kan bijvoorbeeld een operator, integrator (een serviceprovider voor integratie en onderhoud) of een fabrikant zijn. De normen zijn met het oog daarop in vier delen onderverdeeld en beoordelen bedrijven op vier niveaus van volwassenheid en vijf niveaus van veiligheid.

Het eerste deel van de standaard bestaat uit woordenlijsten, overeengekomen definities en vergelijkbare inhoud, terwijl het tweede deel het beleid en de procedures behandelt die een bedrijf zou moeten hebben om een ​​betere weerstand tegen cyberaanvallen te garanderen. De twee verdere niveaus omvatten processen, systemen en het menselijke element. Deze drie zijn met elkaar verbonden, zegt Santosh Sharman: ‘Een cybersecurityproces vereist een mens om het uit te voeren, en dat proces is zelf verbonden met de technologie - fysieke en niet-fysieke componenten. Dit alles is vastgelegd in de normen.’

De vier volwassenheidsniveaus verwijzen naar het stadium dat een bedrijf heeft bereikt voor elk onderdeel van de normen. Op niveau 1 is een organisatie er nog maar net mee begonnen en wordt er nog ad-hoc gewerkt en op niveau 4 is er een goed gestructureerd systeem van continue verbetering. De beveiligingsniveaus verwijzen naar de weerstand van het bedrijf tegen aanvallers, waarbij niveau 1 het laagste is en niveau 4 uitgebreid en geavanceerd.

Kiwa begon in 2020 te werken volgens het beleid en de procedures van de IEC 62443. ‘Bij Kiwa willen we testen of uw systeem voldoet aan de vereisten uit de norm, afhankelijk van de rol die de klant vervult’, vertelt Santosh. ‘Eerst identificeren we de persoon die verantwoordelijk is voor beleid en procedures, dan houden we een interview en van daaruit bepalen we het niveau van het beleid en de procedures.’ Vanuit hier gaan we dan verder in op het systeem.

De toekomst van cyberbeveiliging

Technologie blijft exponentieel evolueren en hoewel dat zal leiden tot efficiëntere en productievere industriële processen, brengt het ook grotere cyberbeveiligingsrisico's met zich mee. Santosh gelooft dat de nieuwe IEC 62443 bij het beheersen daarvan een cruciale rol zal spelen.

‘In de toekomst zal cybersecurity een van de belangrijkste aspecten van ondernemen zijn. Ik denk dat deze standaarden een vast onderdeel zullen worden van de cyberbeveiliging van bedrijven, net zoals ISO 27001 dat is voor informatiebeveiliging. Elk bedrijf dat zichzelf serieus neemt, moet een ISO 27001-certificering hebben en ik denk dat dat ook is waar IEC 62443 naartoe gaat.’

Ronald Prins ondersteunt de ontwikkeling van strengere regelgeving rond cybersecurity. ‘Ik hoop dat regeringen veel meer zullen reguleren wat er gebeurt op cyberbeveiligingsniveau - dat ze meer beperkingen zullen opleggen aan dit soort netwerken en zullen voorschrijven hoe je ze moet beveiligen.’

De IEC 62443 zal daarbij een rol spelen en Ronald beveelt ook aan om met een ervaren partner te werken. ‘Dit kun je niet alleen doen. Je hebt een gecertificeerde beveiligingspartner nodig die er altijd is. Wacht niet op een échte cyberaanval om hiermee uw eerste ervaring op te doen.’