EO

Cybersecurity-expert over Grapperhaus: "verplicht patchen maakt negatieve gevolgen mogelijk veel groter"

02 oktober 2019 om 10:55 uur

De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus vandaag in het FD. “Wij moeten kunnen zeggen tegen een bedrijf: 'Als je het zelf niet regelt dan komen wij het wel doen.”


Het interview in het FD is een follow-up op het artikel waarin de Volkskrant het afgelopen weekend meldde dat ‘de interne netwerken van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, maandenlang wagenwijd open hebben gelegen voor kwaadwillenden. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).


Auke Huistra van het Nederlandse cybersecuritybedrijf Applied Risk reageert op de uitspraken van minister Grapperhaus. Huistra is expert op het gebied van het beveiligen van industriële controlesystemen, en heeft ruim 20 jaar internationale ervaring in het beveiligen van vitale infrastructuur. Hij stelt het volgende:

 

  • De uitspraken van minister Grapperhaus zijn veel te kort door de bocht. We begrijpen dat hij onderstreept dat bedrijven digitale dreigingen en kwetsbaarheden zeer serieus moeten nemen, maar wij kijken toch iets genuanceerder naar deze discussie in de media over het toepassen van patches.
  • In de praktijk, en zeker waar het gaat om systemen in de productie-omgevingen van vitale infrastructuren, is het onverstandig om te roepen dat je alles zomaar moet patchen. Dat zou vrij naïef zijn - zeker omdat je als overheid niet weet welke mogelijke aanvullende maatregelen bedrijven hebben genomen om de kwetsbaarheid te beperken, en - nog belangrijker - wat de risico's zijn als patches zonder goede voorbereiding worden doorgevoerd.
  • Niet alle systemen zijn hetzelfde, dus een ‘one size fits all'-benadering werkt helaas niet. Het vergt maatwerk om passende en evenredige maatregelen te nemen.
  • Wat belangrijk is, is dat bedrijven een goede patchprocedure hebben wanneer dit soort serieuze kwetsbaarheden bekend worden gemaakt (zoals bijvoorbeeld door het NCSC, maar ook door partijen als ICS-CERT). Bedrijven moet deze kwetsbaarheden serieus nemen, een goede risico-analyse maken en vervolgens passende en evenredige maatregelen nemen. Patchen kan daarbij één van de maatregelen zijn.
  • Zo staat het ook beschreven in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni):"De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico's die zich voordoen."
  • Het is vooral belangrijk om de risico's van wel en niet patchen tegen elkaar af te wegen en daarbij een geschikt moment te zoeken om de gewenste patches door te voeren. Met name in industriële omgevingen moet dit wijzigingsproces zeer zorgvuldig gebeuren. Het zou niet de eerste keer zijn dat een patch juist voor een verstoring zorgt in plaats van dat het de organisatie veiliger maakt.
  • Het mag daarom nooit zo zijn dat er een situatie ontstaat van ‘u vraagt, wij draaien', of beter gezegd: ‘u roept dat er een kwetsbaarheid is en wij patchen zonder na te denken'. Dan zijn de mogelijke negatieve gevolgen nog veel groter.
  • Het mooie is dat de overheid met de Wbni ook al een hulpmiddel in handen om dit soort patchprocedures van vitale organisaties te toetsen. Binnen de Wbni kan de overheid namelijk audits uitvoeren op de IT/OT-omgevingen die ten dienste zijn van de vitale processen binnen aanbieders van essentiële diensten. Daarbij kunnen de auditors deze procedures op kwaliteit en toepasbaarheid beoordelen.
 

Gerelateerd nieuws

'Industrie past nog steeds een aantal basale cybersecurity-maatregelen niet toe'

'Industrie past nog steeds een aantal basale cybersecurity-maatregelen niet toe'

Dit stelt het Nederlandse bedrijf Applied Risk dat uitgebreid onderzoek heeft gedaan naar hoe cybersecurity is ingebed in organisaties. Zij benoemt vijf belangrijke technische problemen rond industriële cybersecurity in…

Marathonrecord dankzij omgekeerde V-formatie

Marathonrecord dankzij omgekeerde V-formatie

De Keniaanse atleet Eliud Kipchoge heeft zaterdag als eerste persoon ooit een marathon voltooid binnen twee uur. De Olympisch kampioen en wereldrecordhouder liet de klok stoppen na 1 uur, 59 minuten en 40 seconden. De…

800 km met een elektrische auto?

800 km met een elektrische auto?

De Mobi-onderzoeksgroep van de Vrije Universiteit Brussel bouwt momenteel een hightech pilotlijn voor de ontwikkeling en productie van nieuwe batterijtechnologieën voor elektrische voertuigen. Het doel is om de…

Webshop

webshop

 

Gratis nieuwsbrief

EOL

 

Product van de maand

RSS
Veilig heksysteem PSENmlock

Het heksysteem PSENmlock biedt een veilige vergrendeling en veilige sluiting in slechts één product. De PSENmlock...

Focus op

ABB BV
ABB BV

Machineveiligheid, systemen en componenten

B&R Industriële Automatisering BV *
B&R Industriële Automatisering BV *

Perfection in Automation

Elobau Benelux BV *
Elobau Benelux BV *

creating sustainable solutions

Pilz Nederland
Pilz Nederland

Voor industriële (veilige) automatiseringsoplossingen

Ringspann Benelux BV
Ringspann Benelux BV

Partner in aandrijf- en opspantechniek

Rotero Holland BV
Rotero Holland BV

Stappenmotor - Servomotor - Elektro Magneet

Download gratis engineering boeken

A gratis boeken downloaden

 

Agenda

19 oktober 2019, Eindhoven

Dutch Design Week

Ontwerpers presenteren hun werk op 100 locaties in Eindhoven

21 oktober 2019, D&F kantoor Breda

Software volgens SIL en PL

Meer agendapunten »