Security in OT-land: Zo pakken de Zeesluis en Tata Steel dat aan

Een veel groter risico is volgens de beveiligingsexpert dat de sluizen niet meer werken, wat een hoop geld kost en voor onveilige situaties kan zorgen. En dat is best reëel: “Er zijn allerlei voorwaardes waar aan voldaan moet worden voor een deur open mag. Het waterpeil moet in orde zijn, er moet van alles aan en uit staan en je rijwegbegeleiding moet de goede kant op wijzen. Dat gebeurt allemaal geautomatiseerd. Als je dat compromitteert, dan gebeuren er ongelukken. En dat zie je pas als het ongeluk is gebeurd.”

Rebooten gaat niet zomaar

Als een apparaat besmet raakt met malware, is de oplossing binnen de reguliere IT in de basis vrij eenvoudig: het wordt geformatteerd, opnieuw ingericht en het probleem is opgelost. “Maar als ik dat bij zo’n geautomatiseerde rijwegbegeleiding [begeleiding voor schepen om via de juiste waterweg bij de sluis te komen, red.] doe, heb ik per definitie een onveilige situatie. Je weet niet wat dan de staat is van die begeleiding of van bijvoorbeeld de stoplichten op die baan. Hier begint het belangrijke verschil te ontstaan tussen IT en OT: cybermaatregelen voor normale IT zijn in mijn ogen niet of zeer beperkt bruikbaar in een OT-omgeving.”

Gelukkig zijn er diverse maatregelen die vooraf al genomen kunnen worden om de situatie wel veilig te houden. Stoplichten op de gewone weg gaan bijvoorbeeld automatisch knipperen als ze uitstaan of niet aangestuurd worden. “Zo’n zelfde standaardmodus moet voor de weg naar de zeesluis zijn gedefinieerd en in een draaiboek zitten. Als dat klaarligt en goed wordt afgehandeld, kan ik rustig de machine herstellen.”

Veiligheid in gevaar

Ook verderop aan het Noordzeekanaal liggen de draaiboeken klaar. Want ook bij Tata Steel staat allerlei OT, die net als bij de sluizen niet zomaar kan worden uitgeschakeld. “Alle processtappen binnen onze fabriek voor de vervaardiging van staal zijn in grote mate geautomatiseerd. De hardware en software voor de proces- en installatiebesturing binnen de fabrieken noemen we vandaag de dag OT. OT is bovendien een grote databron voor IT. Bij de bouw van nieuwe installaties wordt dit ook meegenomen zodat we door middel van sensoren en digitalisering energie kunnen besparen en de productkwaliteit en onderhoud verder kunnen optimaliseren”, vertelt Thomas van Houten, Information Manager Process Control Systems bij Tata Steel.

Mocht daar wat fout gaan – van een cyberaanval tot gewoon een storing – dan heeft dat flinke impact. “In eerste instantie denk je direct aan productiederving. Maar we hebben ook een aantal installaties die kijken naar procesveiligheid. Die veiligheid kan dus mogelijk in gevaar komen. Daarom hebben we deze netwerken diep weggestopt achter firewalls en wordt er monitoring op gedaan.”

Daarnaast zorgt Thales ervoor dat systemen zoveel mogelijk up-to-date blijven met de beveiligingsupdates. Een uitdaging, gezien apparatuur dus niet zomaar kan rebooten na een update. Bovendien komt het soms voor dat systemen na een update niet goed meer werken. Hier heeft Tata Steel juist wel wel een IT-principe voor overgenomen. “Van IT-systemen zijn we gewend om een productiesysteem, acceptatiesysteem, testsysteem en ontwikkelsysteem te hebben. Dat hebben we ook in de OT-wereld.” Daardoor kan een update eerst goed getest worden en vervolgens op een opportuun moment worden uitgerold naar de daadwerkelijke apparatuur.

Hoe dichter bij de installatiebesturing, hoe lastiger zo’n principe van een acceptatiesysteem is aan te houden. “PLC’s zijn vaak qua hardware enkelvoudige systemen, dus dan moet dat anders getest worden, mogelijk tijdens een inspectiestop van de installatie.”

Monitoring

Daarnaast zet Tata Steel flink in op monitoring via zijn eigen Security Operations Center (SOC). Daarvoor maken ze gebruik van een systeem dat kan zien welke kwetsbaarheden er zijn. “Er wordt OT Asset discovery gedaan en vulnerability detection wanneer OS-versie en firmware versies te ver verouderd zijn. Er wordt per fabriek op een KPI-dashboard gerapporteerd.”

Dergelijke monitoring is ook bij een zeesluis van groot belang, benadrukt Ten Bos. Vooral omdat de systemen daarin vaak verouderd zijn en dus geen security-updates meer krijgen. “De oude zeesluis, de Noordersluis, komt uit de tijd rond de Eerste Wereldoorlog. Daar zit nog hardware in – en dat is geen grapje – uit die tijd. Dat is niet kapot te krijgen.” Zelfs de apparatuur in de nieuwe zeesluis is waarschijnlijk al niet supernieuw. “Hoe lang duurt het ontwerpen en bouwen van zo’n sluis? Je bent al gauw tien jaar verder. In cyberland is een half jaar al oud. Dus ieder OT-systeem dat neergezet en operationeel gebracht wordt, is per definitie oud.” Daarom is de secure by design-aanpak van belang, net als het stellen van hoge security-eisen voor de apparatuur én monitoring. “Je moet die OT-systemen goed monitoren op hun gedrag en die monitoring aanscherpen naar nieuwe bedreigingen. Dat kun je goed up-to-date houden. En daarnaast moet je altijd herstelacties controleren en testen. Je moet net doen alsof het schip een keer zinkt en met zijn allen naar de reddingsboot rennen.”

Verouderde apparatuur is bij Tata Steel echter een minder groot probleem, weet Van Houten. “Toen ik voor het eerst met de OT in aanraking kwam, was de insteek: software slijt niet. Inmiddels weten we dat dat niet meer werkt.” Apparatuur die toch zo ver verouderd is dat er geen updates meer voor verschijnen, worden dan ook zo snel mogelijk geïsoleerd. “Dat is de maatregel om de periode te overbruggen tot we wel een oplossing hebben gevonden. En die oplossing is het vervangen van het systeem.”