Security Check Procesautomatisering uitgebracht

Begin juli is in Den Haag de Security Check Proces-automatisering gelanceerd. Dit is een interactieve zelfscan die Nederlandse organisaties handvatten biedt om hun industriële controlesystemen (ICS-SCADA) veiliger te maken.

De Cybersecurity Alliantie, belangenbehartiger van cyberveiligheid in operationele techniek, heeft een belangrijke rol gehad in de ontwikkeling van deze security check. De tool is ontwikkeld door een publiek-privaat samenwerkingsverband tussen de Cybersecurity Alliantie, het NCSC, het Digital Trust Center (DTC) van het ministerie van EZK, Deloitte, VNG-IBD, Novel-T, Siemens, ASML en Accenture.

Praktisch hulpmiddel

Onlangs is het jaarlijkse Cybersecuritybeeld Nederland (CSBN) gepubliceerd, waarin de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staat. Daarnaast is de Handreiking Cybersecuritymaatregelen verschenen. De bedrijfsvoering van veel organisaties is steeds sterker afhankelijk van automatiserings- en controlesystemen. De security check biedt organisaties een praktisch hulpmiddel om invulling te geven aan de oproep uit het CSBN om de cyberweerbaarheid te vergroten. Het doel van het samenwerkingsverband dat de check heeft ontwikkeld, is om organisaties (klein, groot, vitaal, niet-vitaal, privaat en publiek) belangeloos te helpen bij het vergroten van de bewustwording. Daarnaast biedt de scan concreet toepasbare oplossingen waarmee de cyberweerbaarheid van industriële controlesystemen kan worden vergroot. De Security Check Procesautomatisering kan ook zonder IT-kennis gebruikt worden en is te vinden op de website van het DTC [https://www.digitaltrustcenter.nl/tools/doe-de-security-check-procesautomatisering].

Strategisch, tactisch en operationeel niveau

De cyberveiligheid van industriële procesautomatisering is heel specifiek omdat het vaak een aparte digitale omgeving is. De beveiliging van de controlesystemen (ICS) vraagt om een andere aanpak dan IT in kantooromgevingen. Om de juiste maatregelen te kunnen treffen, is extra aandacht nodig op strategisch, tactisch en operationeel niveau in organisaties. In de Security Check Procesautomatisering komen onderwerpen aan bod als toegangscontrole, incident respons en wijzigingsbeheer. Bestaande raamwerken, leidraden en normenkaders (bewezen methodieken en instrumenten) zijn hierin meegenomen.

De risico-lat

Hoeveel en welke maatregelen een organisatie moet treffen, hangt af van de gevolgen van een cyberincident in de industriële processen. Hoe ernstiger de gevolgen (financieel, gezondheidsrisico’s, milieuschade) hoe meer maatregelen er nodig zijn. De check begint dan ook met het inventariseren van een normkader: hoe hoog moet de risico-lat bij een organisatie liggen? De uitkomst is een checklist met maatregelen die passen bij het beveiligingsniveau van de organisatie.
In september zullen de eerste bevindingen rondom de inzet van de tool worden gepresenteerd door de ICS-alliantie tijdens de jaarlijkse ONE Conference over cybersecurity in Den Haag.

Bron: Nationaal Cyber Security Centrum