Op donderdag 6 februari vond het eerste FERM Port Cyber Café van 2020 plaats. Het jongste evenement in onze serie bijeenkomsten stond in het teken van cybersecurity in het OT-domein, met presentaties van Cyber Resilience Team en Shell.

Om de integriteit van industriële besturingssystemen te kunnen borgen moeten digitale kwetsbaarheden goed in beeld worden gebracht, en effectieve maatregelen getroffen om de cyberweerbaarheid te vergroten. Hoe gaat dat in zijn werk en kan een bedrijf zich adequaat beschermen tegen moedwillige verstoringen? Om antwoord te geven op deze en andere vragen rondom de beveiliging van Industrial Automation and Control Systems (IACS) presenteerden twee deskundige sprekers hun visie en ervaring. Uiteraard werd dat weer voorafgegaan door een introductie door vaste moderator Chris van ’t Hof.

Die introductie begon uiteraard met een blokje actualiteiten, waarbij ook aandacht was voor het recente incident met ransomware bij de Universiteit Maastricht. Er is namelijk net bekendgemaakt dat de getroffen organisatie inderdaad betaald heeft – bijna 200.000 euro om precies te zijn -, waarna de politie overgegaan is tot een algemene waarschuwing om toch vooral niet te betalen bij ransomware.

Daarnaast natuurlijk aandacht voor de kwetsbaarheden in Citrix, waar we ook bij FERM al vroeg over schreven – inclusief meerdere vervolgen en updates waar we onze achterban ook over gemaild hebben. Chris nam het publiek mee naar de oorsprong, en via de vele berichten die ook bij ons verschenen naar de uiteindelijke beslissing van het NCSC om te adviseren de software tijdelijk uit te schakelen – met een van de kanshebbers voor Woord van het Jaar als gevolg: ‘Citrixfiles’.

De impact van cyberincidenten op de procesveiligheid in de (petro)chemie

Na de ronde met actualiteiten werd het tijd voor de ‘echte sprekers’, zoals Chris onze presentatoren aankondigde. Het podium voor die eerste presentatie was voor Ewald Coenraad van Cyber Resilience Team. In de voorbije jaren is Ewald zich vanuit OT gaan specialiseren op het vakgebied cybersecurity. Cyber Resilience Team (CR Team) is een jaar geleden opgericht als zusterorganisatie van KH. De onderwerpen die in de eerste presentatie aan bod zullen komen, zijn onder meer de verschillen tussen IT en OT, de kroonjuwelen in de industrie en de (eigen) visie op de aanpak.

Laten we beginnen bij die verschillen. Vanuit de IT-security is het CIA-model bekend: Confidentiality, Integrity en Availability. In een industriële installatie is de volgorde van prioriteiten anders: eerst integriteit en beschikbaarheid, dan vertrouwelijkheid. Punt 1 in iedere industriële omgeving: Veiligheid. Safety first. Daarnaast zijn continuïteit, patenten en bijvoorbeeld gegevens rond productie belangrijke zaken die je wil beschermen en beveiligen. De vraag die Ewald daarbij stelt: als er vanuit zoveel sectoren en deelgebieden geïnvesteerd wordt in cybersecurity, waarom loopt OT daar dan in achter?

Praktijk en visie

Als voorbeeld wordt het Triton incident aangehaald, dat een aantal chemische fabrieken in Saudi-Arabië trof. Het is namelijk een voorbeeld van een reeks van gebeurtenissen waarbij door het bewust aantasten van de integriteit van een installatie de veiligheid van mensen in het geding kwam. De intentie van de cyberaanval was immers fysieke disruptie, en het eigenlijke doel was zelfs een explosie. Interessant inzicht daarbij: er lijkt een fout gemaakt te zijn in de code, waarbij de daadwerkelijke explosie gelukkig is uitgebleven. De schok is er overigens niet minder om: er was immers toegang verkregen en de gevolgen hadden wel degelijk heel ernstig kunnen zijn.

Vanuit de evaluatie van dit incident kan dan ook inzicht worden verkregen om de juiste acties te nemen: het complexe Process Control Domain. De aanval is namelijk een proces van jaren geweest, vanuit een kapitaalkrachtige organisatie. Als een rechtstreeks gevolg zijn bijvoorbeeld schakelingen en standaard processen als ‘schijnveilig’ gebleken, wat geleid heeft tot concrete verbeteringen in de beveiliging.

Ewald maakt vanuit die casus ook de overstap naar een kantooromgeving, waar verschillen tussen IT en OT ook volop aanwezig zijn. AVG en ISO 27001 en aanverwante standaarden zijn daar de basis voor veiligheidssystemen. Voor de OT is dat uiteraard ook een hele andere omgeving. Bovendien is het per organisatie ook nog anders. Je gebruikt enerzijds vaste onderdelen vanuit een leverancier, maar daarnaast is een groot deel op maat gemaakt of in ieder geval ingesteld. De uitdaging is om die beide werelden bij elkaar te brengen; veiligheid is immers IT en OT samen. Dat vereist een integrale aanpak, waarbij je het gehele (productie)proces (de OT) net zo goed moet begrijpen als de IT-onderdelen die het ondersteunen. Alleen een combinatie van experts en vakgebieden kan daar het juiste Process Control Domain op inrichten.

Tot slot een vraag vanuit het publiek, voortbordurend op de visie voor een integrale aanpak; hoe zie je dat voor je? Antwoord: je moet de juiste partijen bij elkaar brengen om gezamenlijk met een aanpak te komen, waarbij je tegelijkertijd de juiste personen verantwoordelijk maakt voor de individuele onderdelen, zodat je in alle gevallen een expert aan het hoofd hebt.

Deel II – Kunnen we de systemen in het Process Control Domein veilig houden?

Na een korte pauze werd de microfoon overgedragen aan Pascal van den Boogaard van Shell, die voor de bezoekers van het Port Cyber Café een concreet praktijkvoorbeeld had voorbereid. In deze presentatie werd ingegaan worden op de vraag of het OT-domein nog wel valt te managen, nu en in de toekomst. Pascal laat aan de hand van het Purdue-model voor Industrial Control systemen (L0-L5) alle relevante facetten kort aan bod komen. Denk daarbij onder meer aan de life-cycle van hardware/software, de diversiteit van platformen, support, threats, protocols, audits, et cetera.

Zijn hoofdvraag staat daarmee eigenlijk haaks op de visie van de vorige presentatie en luidt in principe: verdere Integratie van IT en OT in de IACS-systemen, realiteit of een utopie? Want wat is er aan de hand? Laten we eens beginnen bij de life-cycle, een van de vele variabelen. We hebben in de OT- en IT-omgeving zo veel verschillende systemen, die we om allerhande logische redenen – waaronder kosten – alle zo lang mogelijk willen gebruiken. Langdurig gebruik is in de praktijk vaak lastig, want; patches zijn niet meer beschikbaar, de leverancier biedt geen updates meer aan, het programma is niet compatibel (meer) met andere onderdelen van het productieproces, et cetera et cetera.

En de complexiteit is daarmee nog niet compleet: we hebben te maken met protocollen die het totale speelveld nog een stukje groter en ingewikkelder maken. En daarnaast zijn er al die standaarden, doorheen de sector maar ook binnen bedrijven. Dus nogmaals, hoe realistisch is verdere integratie? (spoiler alert; we doen ons best).

Vervolgens lopen we aan de hand van de presentatie van Pascal door de implicaties van deze theoretische complexiteit in de dagelijkse praktijk. Het gaf het aanwezige publiek nieuwe inzichten in integratievraagstukken en -oplossingen en bleek achteraf ook zeer vruchtbaar voor een tweede vragenrondje en een zinnige discussie.

We willen bij dezen onze sprekers nogmaals van harte bedenken, en zien je graag terug op de volgende editie van het FERM Port Cyber Café op donderdag 26 maart. Dat is overigens op een nieuwe locatie, we zijn tenslotte een rondreizend circus, maar we hebben al wel een thema: Digitale ontwrichting. We houden je op de hoogte!

Tot slot: FERM Nieuwsbrief

Deze maand starten we vanuit FERM met een nieuwsbrief. Niet de bekende uitnodigingen voor de Port Cyber Café’s die je al krijgt en de notificaties van actuele dreigingen waar je voor bent aangemeld, maar een periodiek overzicht met nieuws en achtergronden, tips en handelingsperspectieven, en uitgelichte interviews bij ondernemers in het havengebied. Voor deze nieuwsbrief leggen we AVG-technisch een nieuw e-mailbestand aan (practice what you preach!), dus ben je geïnteresseerd, schrijf je dan via deze link even in!

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht