De term Operationele Technologie (OT) wordt gebruikt om te verwijzen naar hardware en software waarmee industriële apparatuur, activa, processen en gebeurtenissen worden bewaakt of gecontroleerd. OT is wijdverbreid in twee sectoren: de (kritieke) infrastructuur en de industriële sector. De wijdverspreide toepassing ervan strekt zich uit van energieinfrastructuur, waterhuishouding, logistieke centra, gevangenissen, ziekenhuizen, fabrieken, tot luchthavens en treinstations. Operationele technologie draagt tegenwoordig een groot veiligheidscomponent in zich.
Door het digitaliseringsproces is OT steeds meer verweven geraakt met IT-netwerken. Cyberbeveiliging blijft echter een onderwerp dat onvoldoende prioriteit krijgt, ondanks de toenemende risico’s en mogelijke desastreuze gevolgen.
Waarom hebben we nu dit probleem?
Het digitaliseringsproces verandert het digitale landschap waarin OT opereert. Met de opkomst van technologieën als Big Data, Data Analytics en het IOT hebben organisaties een toenemende zakelijke behoefte om OT te integreren met IT-netwerken via verbindingen met het internet. Industriële OT-netwerken en informatietechnologienetwerken (IT) processen en infrastructuur zijn meer samengevoegd of zijn we aan het samenvoegen.
Er zijn enorme hoeveelheden technologie die elkaar in deze netwerken overlappen – routers, switches, radio’s, besturingssystemen en architectuur die vrijwel identiek zijn aan die van een traditioneel IT-netwerk. Om het aanvalsoppervlak zo klein mogelijk te houden, zijn deze netwerken in theorie strikt fysiek afgeschermd en logisch gesegmenteerd.
Het architectuurconcept van Purdue impliceert dat OT- en IT-netwerken op zichzelf staan. Dit is een illusie. De harde werkelijkheid is dat door deze convergentie van netwerken de IT en OT naar elkaar toe zijn gegroeid. In reactie hierop ontstaan tal van uitdagingen die een bedreiging vormen voor de veiligheid van deze systemen. Vooralsnog zijn de verantwoordelijkheden vaak onduidelijk, ontbreekt het bewustzijn nog en is de communicatie suboptimaal. Samen met de technische uitdagingen en de leemte in de wetgeving blijft OT met cyberveiligheidsproblemen zitten.
Cyberveiligheid bij de integratie van IT en OT
De brede toepassing van geavanceerde bedrijfssoftware, met name big data analytics, heeft organisaties ertoe aangezet traditionele IT-systemen en traditionele OT-infrastructuur verder te integreren. Door industriële systemen te verbinden met een IT-netwerk kan een gedetailleerder beeld van afzonderlijke apparatuur worden verkregen en ontstaat een alomvattend beeld van het gehele industriële ecosysteem, waardoor het beheer en de bediening eenvoudiger worden.
Dit maakt een constante bewaking van de prestaties en de toestand van apparatuur en systemen mogelijk, wat de uptime verbetert. Deze voordelen zijn overtuigend en verklaren de explosieve toename van de belangstelling voor IT/OT-integratie.
Waarom zijn OT-activa moeilijk te beveiligen?
OT-activa opereren in andere omgevingen dan typische IT-activa. Met IT-middelen hebben werknemers en klanten toegang tot de systemen en gegevens die ze nodig hebben om hun werk te doen of met het bedrijf te communiceren. Daarom ligt bij IT-beveiliging de nadruk op privacy en bescherming van gegevens. OT-netwerken zijn gebouwd om machines te laten draaien of mechanische apparatuur te laten werken.
In organisaties met kritieke infrastructuur gaat het bijvoorbeeld om SCADA-systemen (supervisory control and data acquisition) die elektrische onderstations besturen, of pompen die water door een zuiveringsinstallatie pompen. OT-netwerkbeheerders stellen veiligheid en beschikbaarheid boven alles.
Bijkomende uitdagingen zijn onder meer het grote aantal legacy- en hedendaagse assets, met zowel proprietary- als moderne protocollen en de beperkte middelen die op de assets beschikbaar zijn (geheugen, verwerking), de beperkte en gecontroleerde netwerktoegang, het onvermogen om te vertrouwen op agenten en netwerkscanners, enzovoort.
Een businesscase voor OT-cyberbeveiliging bouwen
De zakelijke argumenten om OT te blijven moderniseren zijn al meer dan 200 jaar dezelfde: dingen sneller, veiliger, efficiënter en tegen lagere kosten voor elkaar krijgen. Historisch gezien heeft OT een van de belangrijkste bijdragen geleverd aan de verbetering van de levenskwaliteit door de economische en veilige levering van schoon water & energie, evenals de productie van veel van de in het leven geproduceerde basisproducten.
De voordelen van het bewaken en controleren van onze fysieke omgeving worden steeds aantrekkelijker voor commerciële ondernemingen, overheden en zelfs consumenten. Maar de bezorgdheid over cyberbeveiliging in verband met OT is nog nooit zo groot geweest omdat het steeds moeilijker wordt OT-systemen te isoleren.
In de business case voor de invoering van OT-cyberbeveiligingsmaatregelen moet dezelfde risicobeheersingsberekening worden toegepast als bij de invoering van OT. De dreiging van een cyberaanval is een belangrijke extra component waarmee rekening moet worden gehouden bij de beoordeling van het risico van bedrijfsstoringen.
De negatieve zakelijke gevolgen van een cyberbeveiligingsaanval zijn talrijk. De te overwegen gevolgen voor het bedrijfsleven zijn onder meer volksgezondheid en veiligheid, bedrijfscontinuïteit, herstel na rampen, naleving van regelgeving, vertrouwen van het publiek en het milieu. Voor sommige (bv. uitval, schade aan apparatuur) zijn de kosten gemakkelijker in cijfers uit te drukken dan voor andere (bv. reputatieschade, ontevredenheid van klanten), maar alle kosten moeten worden geraamd.
3 stappen om mee te beginnen
1. Inventarisatie van alle OT- en IT-activa
Je kunt niet beveiligen wat je niet kunt zien. Beveiligingsteams die OT-bedrijfsmiddelen willen beveiligen, kunnen problemen hebben met het inzicht in welke bedrijfsmiddelen er op hun OT-netwerken aanwezig zijn. Veel OT-activa draaien op een platform dat verouderd is of niet geschikt is voor het uitvoeren van een endpoint agent of andere beveiligingsoplossingen.
Bovendien maakt het bestaan van oudere systemen met propriëtaire communicatieprotocollen het geheel nog complexer. Een uitgebreide inventarisatie van de bedrijfsmiddelen, software en gebruikers op OT-netwerken geeft beveiligingsteams een nieuw niveau van inzicht in deze kritieke bedrijfsmiddelen.
2. Identificeer mogelijke verbetering
Gebruik de gecorreleerde inventarisatie van bedrijfsmiddelen om vast te stellen waar beveiligingsinitiatieven de grootste impact kunnen hebben. U kunt bijvoorbeeld ontdekken welke apparaten in uw OT-omgeving waarop een agent zou moeten zijn geïnstalleerd, die agent niet hebben.
De inventarisatie van bedrijfsmiddelen kan ook helpen bij het bepalen van de prioriteit van bedrijfsmiddelen en apparaten die moeten worden bijgewerkt of vervangen. Veel nieuwere OT-activa zijn beter uitgerust om moderne besturingssystemen en beveiligingsagenten te ondersteunen.
3. Stem uw IT- en OT-beleid op elkaar af
Het vinden van mogelijkheden om andere normen, beleidslijnen en tools zo ver op elkaar af te stemmen dat ze haalbaar zijn, zal de beveiliging van OT-netwerken op een hoger peil brengen en is een cruciaal onderdeel van een IT/OT-convergentiestrategie.
Wat heeft de toekomst in petto?
Het is duidelijk dat IT en OT verschillend werken, verschillend worden gebruikt en verschillende doelstellingen en risico’s hebben. Naarmate digitale systemen echter steeds meer op industriële systemen worden aangesloten, zal de industrie een betere productiegroei kennen, maar zich tegelijkertijd blootstellen aan meer cyberdreigingen.
Industrie-experts voorspellen dat IT/OT alleen maar meer naar elkaar toe zullen groeien. Dit betekent dat OT-beheerders hun best moeten doen om de IT-omgeving te begrijpen, en vice versa – hoe eerder hoe beter. Het proces van de organisatorische veranderingen in reactie op IT/OT-convergentie wordt IT/OT alignment genoemd.
IT/OT alignment is een aanpak om om te gaan met de interne veranderingen binnen een organisatie als reactie op IT/OT convergentie. Naarmate de aard van de OT-systemen begint te veranderen, moeten organisaties reageren door de normen, het beleid, de instrumenten, de processen en het personeel tussen IT en de business op elkaar af te stemmen.
Heeft u vragen naar aanleiding van bovenstaande of wil u weten wat SolidBE voor de security van uw organisatie kan betekenen, neem dan contact met ons op.
