Inleiding
Vandaag de dag zien we dat cyberaanvallen steeds vaker gericht zijn op industriële omgevingen en kritische infrastructuren. De impact van deze aanvallen raakt primaire productieprocessen van organisaties en kunnen daardoor ook een grote impact hebben op de samenleving. Denk bijvoorbeeld aan de gevolgen van een productiestop, operatiezalen die niet gebruikt kunnen worden of de gevolgen van een ondermaatse kwaliteit van het drinkwater. In elk van deze voorbeelden is het resultaat van een cyberincident een ontwrichting van de maatschappij.
Naast dit toenemende en snel veranderende dreigingslandschap krijgt de industrie ook te maken met vernieuwde regelgeving, genaamd NIS 2. Deze regelgeving wordt in de loop van 2023 in Nederland vormgegeven in de zogenaamde WBNI. Ondanks dat momenteel nog niet alle details duidelijk zijn, is wel duidelijk dat bestuurlijke aansprakelijkheid, risicobeheersing en third party risk management belangrijke onderdelen zijn van deze regelgeving.
De combinatie van de veranderingen in het dreigingslandschap en wet- en regelgeving enerzijds en de digitale transitie anderzijds zorgen voor diverse cybersecurity-vraagstukken die beantwoord moeten worden. Denk aan zaken zoals: hoe wordt productiedata vanuit een OT-omgeving met een Corporate IT-omgeving gedeeld? En hoe worden leveranciers voorzien van remote toegang tot geleverde systemen en/of units? Wat wel duidelijk is, is dat OT- en IT-landschappen steeds meer zijn gekoppeld. En dat vormt een extra risico.
Integrale aanpak
Om deze vraagstukken aan te pakken is een integrale aanpak van cybersecurity binnen zowel de Corporate IT als de OT-omgevingen, maar ook een integrale samenwerking tussen de verschillende operationele teams nodig.
Met een risico gebaseerde aanpak worden de cyberdreigingen en risico’s in kaart gebracht. Dit resulteert in een overzicht van de benodigde securitymaatregelen, uitgezet in een roadmap. Op deze wijze kunnen op een kostenefficiënte manier de juiste maatregelen op het juiste moment worden geïmplementeerd.
Zoals voor IT-omgevingen ISO 27001 of NEN7510 een goed vertrekpunt vormt, biedt voor industriële omgevingen een security framework als de IEC62443 een goede start om deze cybersecuritymaatregelen op orde te brengen en daarnaast goed voorbereid te zijn op de nieuwe NIS 2 regelgeving.
Wat is de IEC62443?
De IEC 62443 is een internationale cybersecurity standaard die is gericht op de bescherming van Industrial Automation and Control Systems (IACS). De standaard beschrijft een framework van beveiligingsmaatregelen die bedrijven kunnen implementeren om de risico’s van cyberaanvallen op hun IACS te verminderen.
De IEC 62443 bestaat uit vier delen: een overzicht van de standaard, beveiligingsvereisten voor systeemontwerp, beveiligingsvereisten voor systeemimplementatie en beveiligingsvereisten voor systeemonderhoud. Het framework bevat daarnaast ook richtlijnen voor het uitvoeren van risicobeoordelingen en het opzetten van een beveiligingsbeheerprogramma.
Het implementeren van de IEC 62443 biedt voordelen voor organisaties die industriële automatisering en besturingssystemen gebruiken. Zo kan het helpen om het risico van cyberaanvallen te verminderen en de veiligheid van de systemen te verbeteren. Het biedt ook een goed vertrekpunt om te voldoen aan wet- en regelgeving zoals de NIS 2.
Hoewel de IEC 62443 specifiek is gericht op IACS (Industrial Automation and Control Systems), kunnen de principes en maatregelen die in de standaard worden beschreven uiteraard ook worden toegepast op andere systemen en netwerken. Inhoudelijk gezien verschillen IEC 62443 en ISO27001 niet zoveel, alleen het toepassingsgebied verschilt, traditionele IT-systemen en -netwerken (en informatiebeveiliging in brede zin) tegenover industriële systemen. Dit kan helpen om de cybersecurity van een organisatie als geheel te verbeteren.
Waar begin je als je IEC62443 wilt toepassen?
Veel organisaties hebben de wens om compliant te zijn met een framework maar missen de handvatten om tot implementatie over te gaan. Daarom benoemen we hier een aantal stappen die gevolgd kunnen worden om het IEC 62443 security framework te implementeren binnen een organisatie:
- Bepaal het toepassingsgebied: Identificeer de IACS-systemen en netwerken die onder de scope van de implementatie vallen. Dit kan bijvoorbeeld gaan om SCADA-systemen, industriële controllers en netwerken die deze systemen onderling verbinden.
- Voer een risicobeoordeling uit: Identificeer de mogelijke risico’s die deze systemen en netwerken lopen en de impact hiervan op de organisatie en haar klanten. Dit helpt om de prioriteit te bepalen van de verschillende maatregelen die je kunt nemen om deze risico’s te verminderen.
- Stel een information security management systeem (ISMS) in: Dit is een proces waarmee u de beveiligingsrisico’s van IACS-systemen kunt beheersen. Het ISMS is gericht op het identificeren, analyseren en beoordelen van de beveiligingsrisico’s en het nemen van passende beveiligingsmaatregelen.
Opmerking: hebt u al een ISMS ingeregeld onder de ISO 27001, dan kan daar gebruik van worden gemaakt. - Implementeer de IEC 62443-maatregelen: Dit omvat de verschillende technische en organisatorische beveiligingsmaatregelen die beschreven staan in de verschillende delen van de IEC 62443-standaard. Afhankelijk van het gekozen security level zullen bepaalde maatregelen in meerdere of mindere mate noodzakelijk zijn.
- Trainen en bewustwording: Het is belangrijk om medewerkers te trainen en bewust te maken van de beveiligingsrisico’s en hoe ze deze kunnen vermijden. Dit omvat bijvoorbeeld trainingen over phishing, wachtwoordbeleid, en hoe te reageren op verdachte activiteiten.
Ook het laten samenwerken van operationele teams binnen OT en Corporate IT is cruciaal om kennisdeling en verschillen te overbruggen. - Voer regelmatig audits en beoordelingen uit: Reguliere audits en beoordelingen helpen om te controleren of de IEC 62443-maatregelen effectief zijn en om eventuele verbeterpunten te identificeren.
Het implementeren van het IEC 62443-framework kan uitdagend en soms zelfs complex zijn, dus het kan handig zijn om externe expertise in te huren om u te helpen bij het proces. Graag gaan we hierover, geheel vrijblijvend, met u in gesprek.