Cyber Security Management Systeem als blauwdruk voor cybersecurity-strategie
Hackers vallen bedrijven steeds vaker digitaal aan via leveranciers en andere partners waarmee zij zakendoen. Een pijnlijk voorbeeld is de cyberaanval op het Amerikaanse bedrijf SolarWinds. Hackers kregen vorig jaar toegang tot systemen van deze softwareleverancier, waarna zeker 18.000 klanten werden besmet, waaronder Microsoft en het Amerikaanse Ministerie van Defensie.
Bedrijven kunnen hun security dus nog zo goed op orde hebben, via de ‘achterdeur’ kunnen hackers alsnog hun weg naar binnen vinden. Veel industriële bedrijven bestaan namelijk uit ketens van verschillende producten of diensten van uiteenlopende leveranciers. Door deze complexe ketens is het lastig te bepalen waar je als organisatie op moet focussen als het gaat om cybersecurity. Het inrichten van een Cyber Security Management Systeem biedt houvast.
Er is niet één sleutel waarmee je kunt zorgen dat systemen of organisaties waterdicht zijn beveiligd tegen cyber attacks. Dit komt omdat onze huidige systemen vaak een onoverzichtelijke ‘spaghetti’ zijn van allerlei bouwstenen en componenten die door de jaren heen aan oude legacy-systemen zijn toegevoegd. Deze verouderde, vaak logge systemen zijn een erfenis uit het verleden. Industriële systemen moeten van oudsher langere tijd, vaak tientallen jaren lang, inzetbaar zijn, zodat de investering kan worden terugverdiend. Dertig jaar geleden kon echter niemand voorspellen hoe geavanceerd de technologie van vandaag zou zijn. Door automatisering en digitalisering verlopen veel productieprocessen nu veel sneller en efficiënter, maar bestaat het risico dat je de grip op alle verschillende schakels in deze keten verliest. Zo zijn door de tijd heen allerlei modules en plug-ins aan systemen toegevoegd om ze te laten mee-evolueren met de tijd. Met als gevolg dat veel systemen vaak een hybride en ondoorzichtige kluwen zijn waarin allerlei functionaliteiten en processen - waaronder software en hardware van leveranciers en partners - zijn verknoopt met de bestaande infrastructuur. Het gevolg is dat de beveiligingseisen die aan externe systemen zouden moeten worden gesteld lang niet altijd goed zijn ingeregeld en deze infrastructuur hierdoor kwetsbaar is voor bedreigingen van buitenaf.
Een voortdurende dans tussen verschillende spelers
Het is dan ook niet meer dan logisch dat organisaties steeds vaker openheid eisen van (externe) leveranciers. Maar dat is niet genoeg. Je moet méér doen om cybersecurity goed in te richten. Stel, je bent eigenaar van een fabriek. Dan is het cruciaal dat kritische processen 24/7 zonder verstoringen draaien, zodat er geen productieverliezen worden geleden. Je wil niet dat onbevoegde personen toegang hebben tot kritische data, zeker niet in een fabriek waar met giftige gassen wordt gewerkt. Dat stelt eisen aan de autorisatie van personen die toegang hebben tot informatie. Ook wil je niet dat vertrouwelijke informatie op straat belandt, met alle reputatieschade die dit tot gevolg kan hebben. Op allerlei niveaus in een organisatie en binnen systemen stelt dit eisen aan de beveiliging. Zo zijn er verschillende rollen: operators die machines en software moeten bedienen, toeleveranciers van onderdelen en apparatuur en system integrators die moeten zorgen dat al deze systemen met elkaar worden verbonden en kunnen communiceren. Iedereen moet zijn taak goed kunnen vervullen: zo moeten system integrators erop toezien dat alle componenten voldoen aan de beveiligingsvereisten die de fabriekseigenaar - de asset owner - aan zijn systemen stelt. Je kunt Cyber Security Management vergelijken als een constante dans tussen al deze spelers.
Als je de danspassen niet goed onder de knieën hebt, breekt er chaos uit op de dansvloer. De eerste stap die je dan ook zet, is het uitzetten van choreografie. Zo kun je met een Cyber Security Management Systeem (CSMS) de broodnodige structuur aanbrengen in de kern van je organisatie. CSMS is in essentie een blauwdruk voor organisaties die een zo compleet mogelijke cybersecurity-strategie willen opstellen. Want een goede beveiliging moet je eigenlijk zien als een basisvoorziening die er, net als elektriciteit, voor zorgt dat jouw fabriek optimaal kan draaien. Dit begint met de vraag ‘Waarom?’: wat is de reden dat je CSMS wil inzetten en welke risico’s spelen een rol? Zo wil je bijvoorbeeld voorkomen dat er kwaliteitsverlies optreedt, voldoende blijven produceren en afspraken met klanten en leveranciers nakomen. Je brengt alle relevante risico’s in kaart om deze vervolgens te relateren aan mogelijk kwetsbare plekken in processen en systemen. De maatregelen die je hierna treft, worden vervolgens vastgelegd in heldere protocollen.
Procedures, personeel en technologie
Belangrijke schakels in dit geheel zijn procedures, personeel en technologie. Zo moet je allereerst een strategie uitstippelen en security op beleidsniveau inregelen. Hoe richt je het management in? Wie is verantwoordelijk voor security en welke stappen moeten worden gezet als componenten aan het systeem worden toegevoegd? Zorg voor een goede taakverdeling, beleg de verantwoordelijkheden bij relevante spelers binnen jouw organisatie en ondersteun hen met heldere procedures. Vervolgens komt het erop aan draagvlak te creëren en je personeel bewust te maken van het belang van cybersecurity, onder meer door het trainen van bestaand personeel en het screenen van nieuwe medewerkers. Ook kijk je goed welke autorisaties hierbij passen: wie geef je toegang tot systemen en de bevoegdheden die hierbij passen? Zodra je dit op orde hebt, richt je de blik op de technologie. Je breng niet alleen in kaart welke eisen jouw activiteiten stellen aan de technologie die wordt ingezet, maar ook aan beveiliging van deze systemen. Vervolgens ga je jouw organisatie toetsen aan de vereisten die binnen het CSMS zijn opgesteld. Het spreekt voor zich dat óók alle componenten van derden aan deze vereisten moeten voldoen.
Verdedigingslinie
Zo kun je cybersecurity beschouwen als een reeks muurtjes of een verdedigingslinie die je om jouw infrastructuur bouwt. Als een leverancier voldoet aan de vereisten, kan dat deurtje op een kier worden gezet. De IEC 62443-standaard reikt handvatten aan voor de specifieke keuzes die je hierbij maakt en bij het definiëren van welke risico’s je structureel gaat aanpakken en deze vervolgens integreert in het CSMS. Beoordelingen volgens deze standaard vereisen wel de nodige specialistische kennis, zeker op gebied van cybersecurity en OT-systemen. Securityexperts kunnen organisaties helpen hun CSMS in te richten op basis van factoren die zij belangrijk vinden en hun leveranciers hierop te toetsen. Voorkomen is immers altijd beter dan genezen.
door Santosh Sharman, Product Manager IoT-security van Kiwa