EO

Cybersecurity-expert over Grapperhaus: "verplicht patchen maakt negatieve gevolgen mogelijk veel groter"

02 oktober 2019 om 10:55 uur

De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus vandaag in het FD. “Wij moeten kunnen zeggen tegen een bedrijf: 'Als je het zelf niet regelt dan komen wij het wel doen.”


Het interview in het FD is een follow-up op het artikel waarin de Volkskrant het afgelopen weekend meldde dat ‘de interne netwerken van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, maandenlang wagenwijd open hebben gelegen voor kwaadwillenden. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).


Auke Huistra van het Nederlandse cybersecuritybedrijf Applied Risk reageert op de uitspraken van minister Grapperhaus. Huistra is expert op het gebied van het beveiligen van industriële controlesystemen, en heeft ruim 20 jaar internationale ervaring in het beveiligen van vitale infrastructuur. Hij stelt het volgende:

 

  • De uitspraken van minister Grapperhaus zijn veel te kort door de bocht. We begrijpen dat hij onderstreept dat bedrijven digitale dreigingen en kwetsbaarheden zeer serieus moeten nemen, maar wij kijken toch iets genuanceerder naar deze discussie in de media over het toepassen van patches.
  • In de praktijk, en zeker waar het gaat om systemen in de productie-omgevingen van vitale infrastructuren, is het onverstandig om te roepen dat je alles zomaar moet patchen. Dat zou vrij naïef zijn - zeker omdat je als overheid niet weet welke mogelijke aanvullende maatregelen bedrijven hebben genomen om de kwetsbaarheid te beperken, en - nog belangrijker - wat de risico's zijn als patches zonder goede voorbereiding worden doorgevoerd.
  • Niet alle systemen zijn hetzelfde, dus een ‘one size fits all'-benadering werkt helaas niet. Het vergt maatwerk om passende en evenredige maatregelen te nemen.
  • Wat belangrijk is, is dat bedrijven een goede patchprocedure hebben wanneer dit soort serieuze kwetsbaarheden bekend worden gemaakt (zoals bijvoorbeeld door het NCSC, maar ook door partijen als ICS-CERT). Bedrijven moet deze kwetsbaarheden serieus nemen, een goede risico-analyse maken en vervolgens passende en evenredige maatregelen nemen. Patchen kan daarbij één van de maatregelen zijn.
  • Zo staat het ook beschreven in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni):"De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen."
  • Het is vooral belangrijk om de risico's van wel en niet patchen tegen elkaar af te wegen en daarbij een geschikt moment te zoeken om de gewenste patches door te voeren. Met name in industriële omgevingen moet dit wijzigingsproces zeer zorgvuldig gebeuren. Het zou niet de eerste keer zijn dat een patch juist voor een verstoring zorgt in plaats van dat het de organisatie veiliger maakt.
  • Het mag daarom nooit zo zijn dat er een situatie ontstaat van ‘u vraagt, wij draaien', of beter gezegd: ‘u roept dat er een kwetsbaarheid is en wij patchen zonder na te denken'. Dan zijn de mogelijke negatieve gevolgen nog veel groter.
  • Het mooie is dat de overheid met de Wbni ook al een hulpmiddel in handen om dit soort patchprocedures van vitale organisaties te toetsen. Binnen de Wbni kan de overheid namelijk audits uitvoeren op de IT/OT-omgevingen die ten dienste zijn van de vitale processen binnen aanbieders van essentiële diensten. Daarbij kunnen de auditors deze procedures op kwaliteit en toepasbaarheid beoordelen.
 

Gerelateerd nieuws

Wereldrecord energiezuinige dataconversie voor IoT

Wereldrecord energiezuinige dataconversie voor IoT

Het succes van IoT, dat bestaat uit veel kleine en autonoom werkende sensoren, hangt in hoge mate af van het energieverbruik. De energie die nodig is om de fysieke signalen om te zetten in digitale data, kan nog flink…

Productie recyclebaar plastic stap dichterbij

Productie recyclebaar plastic stap dichterbij

Een onlangs ontdekte groep recyclebare plastics lijkt een veelbelovend alternatief voor het moeilijk recyclebare harde plastic. Toch zien we deze zogeheten vitrimeren nog niet in producten toegepast omdat ze lastig te…

Boek over dynamiek in Nederlandse chipindustrie

Boek over dynamiek in Nederlandse chipindustrie

Hoe kan het dat Nederlandse ondernemingen als ASML, ASM, BESI en NXP de spil vormen in de digitale revolutie? Daarover gaat het boek Fortunes of High Tech door Jorijn van Duijn. In de studie met de ondertitel A history…

Webshop

webshop

 

Gratis nieuwsbrief

EOL

 

Product van de maand

RSS
Nieuwe Safety Field Box van Schmersal

Eenvoudige installatie-oplossing voor complexe machines: veiligheidsveldbus met PROFINET/PROFIsafe-veldbusinterface

Focus op

ABB BV
ABB BV

Machineveiligheid, systemen en componenten

B&R Industriële Automatisering BV *
B&R Industriële Automatisering BV *

Perfection in Automation

Elobau Benelux BV *
Elobau Benelux BV *

creating sustainable solutions

Pilz Nederland
Pilz Nederland

Voor industriële (veilige) automatiseringsoplossingen

Ringspann Benelux BV
Ringspann Benelux BV

Partner in aandrijf- en opspantechniek

Rotero Holland BV
Rotero Holland BV

Stappenmotor - Servomotor - Elektro Magneet

Download gratis engineering boeken

A gratis boeken downloaden

 

Agenda

3 december 2019, Vianen - Engelstalig

Certified Machinery Safety Expert (CMSE) met TUV certificaat

In samenwerking met TUV Nord heeft Pilz de Certified Machinery Safety Expert (CMSE) training ontwikkeld....

6 december 2019, D&F kantoor Breda

HAZOP Leader

6 en 13 december 2019

Meer agendapunten »