Beheer

Security

Beveiliging industriële automatisering loopt achter

7 september 2012

De beveiliging van industriële automatisering is een hot topic. Sinds de ontdekking van Stuxnet en de opkomst van ‘Advanced Persistent Threats’ – of tenminste de discussie erover – lijkt het of alle IT-incidenten zich rond de vitale infrastructuur afspelen. Een vitale infrastructuur is bijna synoniem met industriële automatisering. Rioleringspompen, nucleaire opwerkingsfabrieken en sluizen zijn het nieuwe doelwit voor digitale aanvallen, van cyberjihadist tot digitale legereenheid. Je zou kunnen denken dat het script van Die Hard IV dichterbij is dan we vijf jaar geleden voor mogelijk hielden.

Door al deze aandacht, zowel in frequentie als diepte, wordt de suggestie gewekt dat elke levensmiddelenfabrikant, autofabriek of waterleidingmaatschappij zich moet wapenen tegen cyberwar. Wie iets langer nadenkt realiseert zich dat dit onzin is. Aan de andere kant ligt het risico op de loer om de beveiliging van industriële automatisering gelijk te stellen aan de beveiliging van kantoorautomatisering. De realiteit is dat industriële automatisering achterloopt. En dat terwijl de gevolgen van IT-incidenten bij industriële automatisering in enkele gevallen veel groter kunnen zijn.

Verschil

De theorie rond beveiliging van industriële automatisering is hetzelfde als in andere IT-omgevingen. Risicoanalyses gebruiken dezelfde formule, de elementen in de formule zijn gelijk. Bij de parameters, waarmee de formules worden berekend, wordt het verschil zichtbaar. Confidentialiteit van informatie staat centraal bij beveiliging van kantooromgevingen of financiële systemen. Bij industriële automatisering staan processen en de beschikbaarheid daarvan centraal. Bij de formule ‘risico = kans x gevolg’ zijn zowel de kans als het gevolg wezenlijk anders dan in omgevingen waar informatie centraal staat.

Omdat IT-beveiliging een kostenpost is worden vaak stappen gesimplificeerd of overgenomen uit eerdere projecten. Best practices, zoals dat in de IT wordt genoemd. Wat voor een ander gewerkt heeft, zal hier ook wel afdoende zijn, wordt vaak gedacht. Daarmee verdwijnt de relatie met de situatiespecifieke parameters in de risicoanalyse. Omdat industriële automatisering in de kern om processen gaat (en niet om informatie) is het zaak terug te keren naar de bron.

De reden waarom het overnemen van eerder opgedane ervaring in industriële omgevingen tot problemen kan leiden, is dat beveiliging veel minder volwassen is dan in kantoorautomatisering. Bewustwording ligt op een lager peil en op het gebied van beleid en procedures is een achterstand. Hier is veel goed werk te verrichten voor IT-beveiligers, mits zij zich bewust zijn van de verschillen. Men is onvoldoende bekend met veiligheidsincidenten. Ook standaarden rond IT-beveiliging in industriële omgevingen zijn niet volwassen. Reden waarom beveiligers hier soms teruggrijpen op de ISO 27000. Dat is prima, mits de verschillen met meer traditionele IT herkend worden.

Risicoanalyse

Ook bij hergebruik van beveiligingsoplossingen binnen industriële automatisering blijft het oppassen: de ene gebruiker van industriële automatisering is de andere niet. De meeste organisaties hoeven zich geen zorgen te maken over dreigingen van cyberlegers van vreemde mogendheden. Voor diefstal van intellectueel eigendom ligt het al anders. Vaker nog spelen veiligheid en milieu een rol: voor een (petro)chemische fabriek kan verstoring of ongecontroleerde stopzetting van processen tot levensgevaarlijke situaties leiden. Denk ook aan het zwembad in de buurt, waar waarschijnlijk met risicovolle hoeveelheden chloor wordt gewerkt.

En er is nog een reden waarom men ervoor moet waken al te vlug tot implementatie over te gaan zonder gedegen analyse: ook de bedrijfsdoelstelling en missie zouden als input moeten dienen bij een risicoanalyse en de selectie van maatregelen. Informatiebeveiligers bekend met de SABSA-methodiek (Sherwood Applied Business Security Architecture) voor security-architectuur zullen dit beamen. Kortom: welke risico’s zijn er en welke moeten echt gereduceerd worden? Honderd procent beveiligen kan niet, soms is tachtig procent nog te veel.

Onbekendheid met veiligheidsincidenten heeft tot gevolg dat ondoordacht handelen in vele organisaties oorzaak nummer één is van IT-incidenten. Dat kan ondoordacht handelen van procesoperators zijn, maar net zo goed van de IT-afdeling. Het volgende rijtje incidenten zal bij veel organisaties in de top tien staan:

  1. Virusbesmetting door besmette draagbare harddisk of USB-stick.
  2. Verstoring van netwerkverkeer door aansluiten laptop (denk aan onderhoudsmonteurs).
  3. Onbedoelde netwerkverbindingen, bijvoorbeeld tussen industriële en kantoornetwerken (of internet).
  4. Verstoring van processen door automatische updates van het besturingssysteem of virusscanners die belangrijke bestanden blokkeren of een hoge CPU-belasting veroorzaken.

Kortom, er is veel te verbeteren door ervaren (informatie)beveiligers. Zaken die in kantooromgevingen vanzelfsprekend zijn, bieden in industriële omgevingen ruimte voor verbetering. Naast bewustwording, beleid en daarvan afgeleide richtlijnen en procedures wordt een duidelijke verdeling van taken, verantwoordelijkheden en bevoegdheden vaak vergeten. Leveranciers van industriële automatisering (denk ook aan PLC’s), de eigen procesoperators en engineers, maar ook de centrale IT-afdeling kunnen hier een goede rol spelen, mits de taken en verantwoordelijkheden op elkaar zijn afgestemd.

Nieuw werkterrein IT-beveiligers

Beveiliging van industriële automatisering biedt een nieuw werkterrein voor IT-beveiligers. Er is nog veel te verbeteren. Binnen een aantal sectoren en organisaties kunnen de gevolgen aanzienlijk zijn. Een goudmijn in een tijd waarin het werk niet voor het oprapen ligt. Er zijn een paar wetenswaardigheden om rekening mee te houden:

1. Verhouding tussen de IT-afdeling, procesoperators en engineers: vaak is er wantrouwen tussen de IT- en engineeringdiscipline. Leg nadruk op de gemeenschappelijke doelen en respecteer de belangen van engineers.

2. Verantwoordelijkheid rond IT-beheer: vaak ontbreken afspraken over taken en verantwoordelijkheden. Bepalen hiervan brengt vaak hiaten aan het licht die bij incidenten onnodige verwarring en vertragingen opleveren.

3. Heterogeniteit en lifecycle: industriële omgevingen bevatten veelal een mengelmoes van technologie. De levenscyclus van industriële systemen is lang en alleen het strikt noodzakelijke wordt vervangen. Houd daar rekening mee bij het selecteren van tools.

4. Laag hangend fruit: wat in kantooromgevingen gemeengoed is, is in industriële omgevingen soms onbekend. Bewustwording rond beveiliging, kritische apparatuur achter slot en grendel of veranderen van standaardwachtwoorden. Zaken die de doorgewinterde beveiligingsspecialist mogelijk over het hoofd ziet of onderschat.

5. Leveranciers: zij dicteren vaak welke additionele applicaties wel en niet op hun systemen mogen draaien. De noodzaak van stabiele en voorspelbare processen hebben geleid tot een strikt regime. Daardoor kan het lastig of onmogelijk zijn om bepaalde agents of andere applicaties te installeren. Toestemming krijgen van een leverancier is een tijdrovende klus en soms onmogelijk omdat garanties dan vervallen.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!