Onderzoek TNO en NCSC
News 9 december 2019

Rapport TNO: Succesfactoren van het inbedden van operationele technologie security

Source: NCSC

Ondanks de toenemende aandacht, kennis en initiatieven is er behoefte om beter te begrijpen wat de bepalende factoren zijn bij het inbedden van Operationele Technologie (OT) op het gebied van cybersecurity in de operationele processen. Niet voor niets besteedden we in het afgelopen jaar twee edities van het FERM Port Cyber Café aan de relatie tussen IT en OT.

OT-cybersecurity

Inzicht in deze bepalende factoren draagt bij aan het duurzaam inbedden van OT-security, vond ook TNO. Onder de vlag van het meerjarige onderzoeksprogramma dat de onafhankelijke onderzoeksorganisatie heeft met het Nationaal Cyber Security Centrum (NCSC) is daarom onderzocht welke succesfactoren bijdragen aan het digitaal weerbaarder maken van ICS bij Nederlandse organisaties. ICS staat voor Industriële Controle Systemen, de overkoepelende term voor de hardware en software die industriële processen uitvoeren, controleren en aansturen.

Het doel van dit onderzoek was om factoren te bepalen voor een succesvolle OT-security invoering. Het juiste gebruik van deze factoren bieden OT-security uitdagingen, obstakels en valkuilen het hoofd en dragen daarmee bij aan een succesvolle bredere invoering van OT-security in organisaties. De onderzoeksvraag luidde:

'Wat zijn organisatorische succesfactoren voor het succesvol inbedden van OT-cybersecurity in de bedrijfsvoering?'

TNO heeft onderzocht welke organisatorische succesfactoren te identificeren zijn voor het digitaal weerbaarder maken van ICS (Industriële Controle Systemen). Deze succesfactoren hebben in de beleving van de respondenten geleid tot een wezenlijke bijdrage aan het inrichten van digitaal veilige ICS.

De in totaal 38 succesfactoren zijn gebundeld onder vijf aanbevelingen:

  •  Bewustzijnsvergroting ICS kwetsbaarheden
  •  Basisbeveiligingsmaatregelen op orde
  •  Passende beheer- en onderhoudsactiviteiten
  •  Verklein de kloof tussen IT en ICS
  •  Verhoog ICS kennis en kunde

Voor een groot aantal succesfactoren zijn ook praktijkvoorbeelden opgenomen die de respondenten aangedragen hebben. Deze bieden inspiratie aan iedereen die zelf met deze aanbevelingen aan de slag wil gaan.

Concreet vind je onderstaand enkele acties per thema opgesomd zoals te vinden op de website van het NCSC:

Actie 1: Bewustzijnsvergroting ICS kwetsbaarheden

  • Vertaal ICS-securitydreigingen naar procesrisico’s; wat kan het primaire proces (gedeeltelijk) verstoren of hoe kan het ongewild gemanipuleerd worden? Probeer dit te kwantificeren naar de potentiële impact van een verstoring.
  • Besef dat OT-security een belangrijk onderdeel is van de primaire bedrijfsprocessen. Benoem weerbare ICS als een jaarlijkse bedrijfsdoelstelling.
  • Betrek operationele managers bij het bepalen van acceptabele risico’s en bijbehorende investeringsbehoeften, aangezien zij verantwoordelijk zijn voor de productieprocessen.
  • Betrek het management bij operationele audit processen en gebruik de uitkomsten om ICS bij het management onder de aandacht te brengen.

Actie 2: Basisbeveiligingsmaatregelen op orde

  • Maak, waar mogelijk, een keuze voor een overkoepelende standaard of framework om kantoorautomatisering en ICS veilig in te richten. Leer gezamenlijk (IT- en OT medewerkers) van het proces om de gekozen standaard op de eigen organisatie toe te passen.
  • Vertaalde relevante standaarden op basis van je wensen en eisen naar de eigen organisatie. Dit vraagt veel capaciteit, maar het betaalt zich terug.
  • Pols bij branchegenoten welke practices, standaarden en raamwerken ondersteuning bieden in het kiezen en toepassen van basisbeveiligingsmaatregelen.

Actie 3: Passende Beheer en Onderhoudsactiviteiten

  • Zorg dat je weet wat je in huis hebt en wanneer iets aan vervanging toe is. Stem hierop je investeringsplan af.
  • Denk na over diversifiëring van je leveranciers. Weeg het risico van ‘common mode failure’ af tegen de (extra) beheerskosten van het hebben van meerdere leveranciers.
  • Beschik ten alle tijden over basiskennis op het gebied van OT(-security) om met externe leveranciers samen te werken. Dit betekent dat er minimaal als klankbord gefungeerd kan worden als bijvoorbeeld leveranciers op locatie systemen komen installeren.
  • Sluit aan bij bestaande risicomanagementprocessen in de eigen organisatie om goed geïnformeerde investeringsbesluiten te kunnen nemen over weerbare ICS.
  • Zorg voor bewustwording over het belang en de toegevoegde waarde van weerbare ICS zodat dit bijdraagt aan investeringsbesluiten. Incidenten kunnen hiervoor in de communicatie en onderbouwing worden benut.

Actie 4 Verklein de kloof tussen IT en OT

  • Een eerste stap in de vorming van een team kan zijn; het starten van gezamenlijk overleggen tussen het IT-en ICS-team. Dit geeft richting aan een integrale aanpak van cybersecurity.
  • Zorg ervoor dat het management zich realiseert dat verschillen in functiewaarderingen van IT- en OT-medewerkers die gelijkwaardig werk doen, de onderlinge samenwerking niet ten goede komt en moedig gelijkwaardige waardering aan.
  • Laat IT- en OT-afdelingen samen oefeningen uitvoeren en daarvoor scenario’s opstellen

Actie 5: Verhoog ICS kennis en kunde

  • Deel de actuele security status met het management.
  • Zorg ervoor dat het management het delen van ervaring en kennis op dit onderwerp met andere bedrijven en organisaties faciliteert. Bijvoorbeeld door medewerkers op persoonlijke titel de mogelijkheid te geven kennis en ervaring te delen met anderen buiten de organisatie.
  • Maak kennisdeling onderdeel van de functioneringsgesprekken, zodat individuele medewerkers gestimuleerd en uitgedaagd worden om hierin uit te blinken.

Je vindt het hele rapport op de website van het NCSC.
Ook rechtstreeks te downloaden als PDF.

Tevens verschenen bij het NCSC: de onderzoeksagenda voor 2019-2022, afgelopen week gepubliceerd op het Dcypher Symposium. De agenda wordt gebruikt om onderzoeksvragen uit te zetten, deel te nemen aan onderzoeken of zelf onderzoeken te starten.