Verslag FERM Port Cyber Café: IT meets OT – Part II

Onze eerst gast vanmiddag is Koos van der Spek van Verdonck, Klooster & Associates, die ons meeneemt in het proces van industriële automatisering. Er zijn namelijk behoorlijk wat standaarden en best practices voor cybersecurity, waardoor het lastig is om de juiste keuzes te maken. Hoe pak je een succesvolle implementatie aan? Welke standaarden of best practices kies je bij de toenemende integratie van OT met IT? Hoe passen die het beste op jouw organisatie en hoe pak je dat aan?

Van der Spek gaf vanuit zijn jarenlange praktijkervaring praktisch inzicht in antwoorden op deze en andere vragen om succesvol security te implementeren ten aanzien van OT én IT.

Om dat verhaal in te leiden, nam Van der Spek het publiek mee aan de hand van diverse illustraties en video’s. Ten eerste is dat de route van digitalisering, specifiek de evolutie van media en onze interactie met media, vanuit de route van web 1.0 naar 5.0. Web 1.0 is een statische eerste variant van internet, waarbij consumptie centraal stond. Gebruikers kunnen content lezen, maar niet toevoegen of aanpassen. Web 2.0 veranderde die wereld, waarbij het medium veel socialer werd, gericht op interactie. Web 3.0 vervolgens is de periode van het huidige decennium, waarin het web georganiseerde of gestructureerde gegevens definieert om de automatisering, integratie en ontdekking over meerdere toepassingen heen te vereenvoudigen. Dat maakt Web 3.0 niet alleen een ‘lees- en schrijfweb’, maar ook een web dat zich richt op de individuele gebruikers en machines. De interconnectiviteit daarvan is wat in de volgende versies nog centraler zal staan. Denk aan augmented reality, machine learning en kunstmatige intelligentie. Het punt hier is dat verschillende vormen van (industriële) automatisering vragen om verschillende strategieën voor cybersecurity, die (mee) moeten evolueren om de trends van digitalisering bij te benen.

Een voorbeeld is Stuxnet, het schadelijke computerprogramma dat zeer recent weer opdook. Het bestaan van deze geavanceerde worm werd voor het eerst ontdekt in juni 2010 door een fabrikant van antivirussoftware. Het programma, dat de werking van bepaalde Siemens-apparatuur op schadelijke wijze beïnvloedt, zou ontwikkeld zijn om Iraanse ultracentrifuges die gebruikt worden in het Nucleair programma van Iran te saboteren. De worm wijzigt de PLC waarmee de motoren van de centrifuges aangestuurd worden. Stuxnet is berucht als de eerste digitale aanval met fysieke gevolgen die door staten is uitgevoerd. Nog steeds wordt het gezien als een ‘mijlpaal’ in de digitale oorlogsvoering, en als startpunt voor de digitale wapenwedloop.

Een tweede voorbeeld is de LockerGoga ransomware die afgelopen voorjaar de kop opstak toen de Noorse aluminiumfabrikant Norsk Hydro in het nieuws kwam. LockerGoga is een innovatieve vorm van ransomware die niet afhankelijk is van het gebruik van netwerkverkeer, domeinnaamsysteem of command- en control-servers. Die onafhankelijkheid maakt het voor LockerGoga mogelijk om veel netwerkverdedigingen te omzeilen, waarbij de integratie van IT en OT een grote rol speelt en waar bestaande systemen een nieuwe oplossing voor moeten bedenken.

Bij Norsk Hydro werd het wereldwijde netwerk platgelegd en diverse installaties stopgezet of verstoord. De malware werd ontdekt op computers in de VS op een maandagavond, maar op die dinsdagochtend was het al verspreid naar andere onderdelen van het bedrijf, dat in 40 landen actief is. Je leest er hier meer over.

In het tweede gedeelte van zijn presentatie maakte Van der Spek zijn verhaal nog praktischer door de verschillen tussen IT en OT te duiden met betrekking tot benodigde processen om die onderdelen cybersecure te krijgen. Zo is de levensduur van een gemiddeld IT-netwerk maar 1,5 tot 4 jaar, terwijl OT voor 10 tot 30 jaar gebouwd wordt. De eerste focust op informatieverwerking, de tweede op fysieke industriële systemen. IT is in de basis gericht op kantoortijden (en menselijke interactie), OT gaat 24/7 door, in real-time, terwijl dataverwerking bij IT via datacenters en in de cloud gebeurt, terwijl dat bij OT op locatie plaatsvindt. Dat vraagt logischerwijs om zeer uiteenlopend beleid voor beveiliging, voor ieder onderdeel op zich, maar zeker ook bij overlap en integratie. Denk daarbij aan alles van risk management tot logging en van malwarebescherming tot patchmanagement, firewalls, backups en incident response, afgesloten met een concreet actieplan. En daarnaast is er natuurlijk een belangrijke rol voor awareness, want dat je er met de techniek alleen niet meer komt, dat is inmiddels geen nieuws meer.

Na de pauze was het podium in de ‘IT meets OT’, deel II-editie van het Port Cyber Café voor Ivonne Moeskops van Legian. In een uitgebreide presentatie over werkzaamheden en ervaringen vanuit een praktijkvoorbeeld werden we meegenomen in de inrichting van de IT- en OT-infrastructuur, securitybeleid en de maatregelen bij een nieuw windparkbedrijf met momenteel het grootste werkende windpark in het Nederlandse deel van de Noordzee.

Legian is vanuit Den Haag actief als onafhankelijke ICT kennispartner met onder meer klanten in het havengebied. De introductie van het bedrijf houdt Moeskops beperkt, want de focus ligt op een praktijkvoorbeeld vanuit een klant. In de presentatie werden namelijk puntsgewijs de diverse cybersecurity aspecten behandeld zoals die tijdens de verschillende ontwikkelingsstadia naar voren komen.

De casus is een niet nader te noemen windparkbedrijf, een project met drie fases: (1) de start en oplevering van de twee offshore windparken van het bedrijf, (2) de security aspecten tijdens de projectfase en (3) na oplevering nu de twee offshore windparken in productie zijn. Het beveiligen van het IT- en OT-netwerk en devices (SCADA, PLC) wordt hierin meegenomen.

Een dergelijk project heeft een aantal vaste onderdelen. Dat kunnen bijvoorbeeld een security assessment (een risicoanalyse en/of volwassenheidsmeting), een onderdeel beleid en awareness en uiteraard de architectuur zijn: de technische invulling van het beleid. Leveranciers en de interne beheerorganisatie moeten bijvoorbeeld meegenomen worden in veranderingen in OT.

In de casus van het windmolenpark is de uitgangspositie de data die in het park verzameld wordt. Ter illustratie: het volledige park heeft zo’n 40.000 sensoren. Voor de werking van de windmolens zelf, maar ook vogels, voor weersomstandigheden en alles van de oesterpopulatie tot passerend verkeer. Met andere woorden, er wordt ontzettend veel data verzameld. Dus datasecurity kreeg uiteraard een grote rol. Vanuit Legian werd Ivonne Moeskops ingeschakeld als security officer.

De conclusies van de initiële assessment, enigszins kort door de bocht door uw redacteur uitgeschreven om het interessante verhaal van Moeskops samen te vatten: de IT-omgeving vereiste direct aandacht en actie, de OT was beheersbaar, maar de architectuur moest worden verbeterd. De resulterende acties waren daarom een tender voor een nieuwe IT private cloud omgeving, en een gedetailleerde architectuur voor de OT-omgeving, inclusief een pentest. Vervolgens werden we meegenomen in de uitvoering van alle praktische implicaties die in het park zijn doorgevoerd, met aandacht voor de individuele stappen. Die houden we omwille van de privacy van de klant binnen de muren van het Port Cyber Café.

Een mooie takeaway uit de conclusie van het verhaal is het feit dat de security focus van een dergelijk traject sterk afhankelijk is van de omgeving. Bij IT kun je dan vooral denken aan patching, beleid, antivirus en encryptie, terwijl er bij OT gelet wordt op continuïteit, interoperabiliteit, disaster recovery, persoonlijke veiligheid, et cetera. Hoe dan ook, onder de streep geldt meten = weten: waar sta je en waar wil je heen? Vast onderdeel daarvan is het verschil in ‘snelheid’ tussen OT en IT; de operationele techniek staat er vaak al decennia en moet soms ook nog decennia vooruit, IT kan praktisch iedere dag anders zijn.

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het verhogen van het bewustzijn met betrekking tot cyberrisico’s om zo de best digitaal beveiligde haven van de wereld te worden. De FERM Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cybersecurity in het Rotterdamse Havengebied te duiken.

De volgende bijeenkomst staat gepland op donderdag 21 november, eveneens in La Cocotte in Hoogvliet. Het programma en onze sprekers van de laatste editie van 2019 vind je binnenkort op onze website. Kijk daarnaast op ferm-rotterdam.nl/port-cyber voor meer info en een overzicht van de verslagen van al onze eerdere FERM Port Cyber Cafés.