IT maakt het industriële domein kwetsbaar

De onlangs opgerichte stichting Cyber Central wil cybersecurity daarom uit de ICT-sfeer te halen. Doelstelling van de initiatiefnemers Cisco, DearBytes, KPN en McAfee is om het onderwerp begrijpelijk te maken voor iedereen. De oprichtende bedrijven roepen overigens ook andere marktpartijen op om deel te nemen, zodat gevestigde IT- en securityleveranciers, industriële productiebedrijven en startende ondernemingen gaan samenwerken op het gebied van securityplanning en het vaststellen van securityprioriteiten.

Ervaring

Om onder meer de industriële branche zo goed mogelijk voor te lichten, ligt er al een uitgewerkt curriculum met workshops op de plank. Cyber Central kan putten uit de ervaring opgedaan bij een stichting met dezelfde initiatiefnemers: IoT Academy. Die streeft naar het stimuleren van innovatie met behulp van Internet of Things-oplossingen. Sinds de oprichting in 2016 zijn er 110 evenementen georganiseerd, waarin 183 bedrijven en 2.750 deelnemers hebben geparticipeerd. Naast de initiatiefnemers heeft Cyber Central ook het onderkomen van het stichtingsbureau gemeen met IoT Academy: RDM Innovation Dock in Rotterdam. In de machinehal van de voormalige RDM-werf zit RDM Makerspace, de broedplaats voor creatieve en innovatieve bedrijven, en start-ups. Deze collectieve aanpak staat ook Cyber Central voor ogen.

Wijzer

"Met de workshops van Cyber Central willen we bereiken dat bedrijven transparanter worden naar elkaar over hun cyberbeveiliging", zegt Erik Remmelzwaal, directeur van DearBytes, een cybersecurityspecialist die sedert begin dit jaar deel uitmaakt van de KPN-organisatie. "We worden er allemaal wijzer van wanneer we informatie gaan delen over hoe een hack heeft kunnen plaatsvinden en welke lessen er zijn geleerd. De wet- en regelgeving zou ook wat verder mogen gaan dan alleen de meldplicht datalekken. Als je toch verplicht wordt in de openbaarheid te treden, laten we er dan ook allemaal iets van leren. Dus laat weten hoe je dergelijke incidenten voor de toekomst denkt uit te sluiten."

Groot en klein

Volgens de DearBytes-directeur kennen in principe alle organisaties, groot en klein, zwakheden in de beveiliging van hun digitale voorzieningen. Maar bij grotere bedrijven is men met meer middelen en mensen vaak verder met het inrichten van escalatieprocessen en het toekennen van verantwoordelijkheden. Verdacht gedrag wordt vaak ook eerder gesignaleerd. Bij MKB-organisaties is die kennis meestal niet voorhanden. Soms hebben ze zelfs geen IT-beheerder in dienst; de werkzaamheden zijn uitbesteed aan een serviceprovider. Daardoor kan een bedrijf worden geïnfiltreerd zonder dat ze het zelf door hebben.

Geen software-updates bij OT

De kans om met één druk op de verkeerde knop veel schade aan te richten, lijkt groter binnen het industriële domein. Daar leefden IT en OT lange tijd gescheiden van elkaar. Internet overbrugt de kloof. Met de massale uitrol van IoT-projecten is de kwetsbaarheid toegenomen. Netwerksegmentatie verkleint de kans op een snelle verspreiding van de infectie. "Het ergste is, dat je in de OT-omgeving nauwelijks grip hebt op de IT-componenten", constateert Remmelzwaal. "Veel systemen voor de aansturing van een productieproces zijn gebaseerd op een bepaalde Windows-versie. In feite zou de leverancier van het systeem moeten zorgen voor regelmatige updates. Dat doen ze niet of pas veel later, want er bestaat een kans dat hun applicatiesoftware dan niet meer werkt. Die zullen ze na het aanbrengen van een patch of update opnieuw moeten testen."

WannaCry

Het Cyber Central-initiatief roept op te investeren in het bewustmaken van alle lagen binnen een organisatie. Nu bestaat er nog te veel onbegrip over wat te doen na een incident. Er gaat te veel tijd verloren tussen het waarnemen van de hack en het nemen van acties om de gevolgen op te vangen. De ondernemingsleiding moet het draaiboek daarvoor hebben klaarliggen. "Wij dachten dat WannaCry een wake-upcall zou zijn", aldus Remmelzwaal. "Dat blijkt niet zo te zijn. Directies horen weliswaar over de chaos bij de getroffen bedrijven, maar omdat zij niet zijn gehackt, denken ze dat bij hen de beveiliging goed geregeld is."

Voorbeeldfunctie

Ransomware blijft volgens Remmelzwaal voorlopig de grootste bedreiging vormen. Echter is het volgens hem niet zo dat de aanvallen altijd puur op een individueel bedrijf of persoon zijn gericht. CEO-fraude is wel gericht op één persoon binnen een vooraf zorgvuldig geselecteerde organisatie. "Vanuit de Verenigde Staten weten we hoe dat in zijn werk gaat", aldus Remmelzwaal. "Hier horen we er minder over, maar het kan zijn dat bedrijven daar ook liever niet over praten vanwege de angst voor reputatieschade."

Het grootste gedeelte van de aanvallen is breed van opzet. Het is puur toeval dat iemand binnen een bedrijf een verkeerd linkje aantikt. De gevolgen zijn echter snel binnen de gehele organisatie merkbaar. Volgens sommigen is het onbegonnen werk om je ertegen te wapenen. Daar denken de partijen binnen Cyber Central toch anders over.

Remmelzwaal: "Leidinggevenden hebben een voorbeeldfunctie bij het zorgvuldig omgaan met IT-hulpmiddelen. Bijvoorbeeld als het gaat om het schoonhouden van de werkplek of het consequent afsluiten van een systeem, het scheiden van privé- en zakelijk gebruik van IT-voorzieningen en het maken van de juiste afwegingen bij het opslaan en verzenden van vertrouwelijke bedrijfsdata via publieke clouddiensten als Dropbox. Ik begrijp dat veel mensen wachtwoorden en het telkens wijzigen daarvan lastig vinden. Tenzij organisaties op grote schaal met tokens gaan werken, zijn wachtwoorden wel noodzakelijk. Wij adviseren om in plaats van letters en tekens, zinnen te gebruiken. De lengte van een toegangscode bepaalt de sterkte."