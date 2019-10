Operationele technologie (OT) is Gartner's benaming voor industriële spullen die op het internet zijn aangesloten, waaronder industrial control systems (ICS) en supervisory control and data acquisition (SCADA), die vooral te vinden zijn in productieomgevingen en openbare nutsbedrijven zoals waterzuiveringsinstallaties en het energienet.

Cyberaanvallen op OT kunnen verwoestend zijn. Toen de NotPetya ransomware werd gebruikt tegen Maersk, leed het bedrijf 300 miljoen euro verlies - en het had nog veel erger kunnen zijn. Maersk was slechts toevallig slachtoffer in de hack-oorlog tussen Rusland en Oekraïne. Soortgelijke incidenten lijken zich in de toekomst vrijwel zeker weer voor te doen bij andere bedrijven.

Het beschermen van je bedrijf tegen datalekken is een moeilijk probleem, maar het beschermen van je productieapparatuur tegen bedreigingen van buitenaf is nog moeilijker. Negatieve gevolgen kunnen variëren van langdurige stilstand en productiviteitsverlies tot machines die ontploffen op de fabrieksvloer.

Hoe communiceert een CSO deze risico's aan andere leidinggevenden, om nog maar te zwijgen van de raad van bestuur? Hier is de top vijf van OT security takeaways.

OT-beveiliging gaat verder dan IT-beveiliging

De mensen binnen OT-omgevingen zijn vooral industrieel ingenieur en hebben meestal een elektrotechnische achtergrond, en komen niet vanuit een server- en datacenterachtergrond. Het groeiende alarm over de zwakke punten in de OT-beveiliging heeft de aandacht gevestigd op de mate waarin OT-beveiliging achter loopt op de traditionele IT-beveiliging. Het is niet overdreven om te zeggen dat OT-beveiliging een decennium achterloopt op de traditionele IT-beveiliging.

Erger nog, OT-ingenieurs verdienen minder dan hun collega's in IT-security, en de onderbezette openbare nutsbedrijven of de kleinere productiebedrijven hebben grote moeite gekwalificeerd OT-securitypersoneel te werven, op te leiden en te behouden. Het prioriteren van je OT-securitypersoneel leidt tot minder zorgen over de OT-beveiliging in je bedrijf.

OT beveiliging staat haaks op IT-beveiliging

IT-beveiligingsmedewerkers maken zich zorgen over datalekken; OT-beveiligingsmedewerkers maken zich zorgen over dingen die ontploffen. Veiligheid is nummer één als het gaat om zware apparatuur, gevolgd door uptime. Dit staat in schril contrast met de traditionele IT-beveiliging, waar data koning is. Ervoor zorgen dat een aanvaller jouw gevoelige gegevens niet steelt is de belangrijkste taak voor IT, maar niet voor OT.

In OT staan veiligheid en beschikbaarheid voorop, gevolgd door integriteit en daarna vertrouwelijkheid. Talrijke bronnen uit het bedrijfsleven vertellen ons dat ze liever maandenlang draaien met ICS-apparatuur die is geïnfecteerd met malware dan dat ze ongeplande downtime nodig hebben om de machine schoon te maken en te patchen.

Een data-inbreuk die de productiecijfers op een OT-systeem lekt, kan slecht zijn, maar downtime of een sabotage-aanval op de integriteit van de operatorcommando's zou veel erger zijn. Het werven van personeel voor dit compleet andere wereldbeeld vereist vaak dat ervaren IT-beveiligingsmedewerkers worden opgeleid in de OT-context.

OT-beveiliging brengt meer risico's met zich mee

"Mensen worden misleid dat het goed gaat met de computerbeveiliging", vertelde beveiligingsexpert Bruce Schneier vorig jaar naar aanleiding van zijn nieuwe boek Click Here to Kill Everybody. "Wat verandert, is waar de computers zich bevinden. Er is een groot verschil tussen het crashen van jouw spreadsheet waardoor je je gegevens verliest, of dat jouw auto crasht en je je leven verliest."

Hetzelfde geldt voor OT-beveiliging. De foutmodi zijn anders en veel extremer. Dat betekent dat jouw worst-case scenario veel slechter is in OT dan in IT. Wanneer jouw multi-miljoen-dollar productiemachine uitvalt vanwege malware, zal het echt duur zijn om te vervangen, om nog maar te zwijgen van de downtime. En dat is niet eens het ergste scenario.

Angst zaaien voor het veiligheidsrisico van OT zou ook contraproductief zijn, maar deze risico's zijn reëel. Als jouw onderneming vertrouwt op ICS/OT-kernsystemen, dan stelt het niet beveiligen van deze systemen de organisatie bloot aan catastrofale risico's. Het geven van Schneiers laatste boek aan andere leidinggevenden en leden van de raad van bestuur zou ook niet de slechtste manier zijn om deze ideeën te communiceren.

OT- en IT-beveiliging convergeren naar elkaar toe

IT en OT convergeren, ten goede of ten kwade. Zwakke punten in IT-systemen kunnen van invloed zijn op de werkelijke prestaties - en veiligheid - van ICS-apparatuur. Dat betekent het einde van IT/OT-silo's vanuit een enterprise security architectuur en de personeelsbezetting.

IT en OT zijn historisch gezien twee verschillende werelden, met een culturele en technische kloof tussen hen. IT- en OT-medewerkers moeten van elkaar leren, zodat ze elkaar beter begrijpen en effectiever kunnen werken. Wanneer dat OT-beveiligingsalarm opduikt in de SIEM, weet de IT-securitygeek die het alarm krijgt, beter wat het betekent en wat er aan te doen is.

"Naarmate productieomgevingen meer met elkaar verbonden worden, kunnen IT- en ICS-infrastructuur niet meer als losstaand worden beschouwd", concludeerde een recent Forescout-rapport over OT-beveiliging. "Kritische OT-activa moeten worden beveiligd tegen op IT gerichte malware die vanuit point-and-click-toepassingen door kwaadwillenden over de hele wereld kan worden gelanceerd.

Ook kan het OT-beveiligingspersoneel veel leren van IT-beveiligingsmedewerkers, die al veel langer over beveiliging nadenken en aan deze zaken werken. Cross-training betekent kruisbestuiving van ideeën en beveiligingsmedewerkers met een completer beeld van wat zij moeten beschermen. (Het betekent ook dat je ze meer moet betalen als je ze wilt behouden: hint, hint.)

OT-systemen moeten voortdurend worden bewaakt

Omdat OT-netwerken vaak gebruik maken van protocollen die onveilig zijn vanwege hun ontwerp (ze zijn nooit gemaakt met het internet in gedachten), is het van cruciaal belang om ze voortdurend in de gaten te houden. Dit zal storingen opvangen, een alarm geven als een kwaadwillende aan het rondneuzen is, en OT-beveiligingsmedewerkers meer zicht geven op schaduw-IT.

Zaken worden altijd zonder toestemming op OT-netwerken aangesloten. Soms is het de bedoeling dat er extra industriële apparatuur bij komt, soms is het de laptop of mobiele telefoon van een consultant. Het is van cruciaal belang om die apparaten uit OT-netwerken te weren en er tevens voor te zorgen dat laptops die in een OT-omgeving worden ingezet de minimaal noodzakelijke software draaien. Verwijder draadloze kaarten van werklaptops en segmenteer al het draadloze verkeer op een onbetrouwbaar, niet-OT-netwerk.

OT-security heeft steun van het management nodig

.

Zelfs de beste CSO ter wereld kan de veiligheidskwesties van OT niet aanpakken zonder de steun van de CEO en de raad van bestuur. Als de baas niet duidelijk maakt dat hij bedrijfsbrede steun voor beveiligingsinitiatieven verwacht, dan zullen die initiatieven een vroegtijdige dood sterven.

Het is belangrijk om duidelijk te maken dat het potentieel catastrofale risico van OT-beveiligingskwesties een bedreiging vormen voor de winstgevendheid - en in sommige gevallen, het voortbestaan - van een bepaalde organisatie. Het betekent het inhuren van slimme IT- en OT-beveiligingsmedewerkers, de cross-trainingen en het betalen van wat ze waard zijn. Goede OT-security engineers blijven schaars.

Maak van de beveiliging van OT/ICS-apparatuur een prioriteit van jouw organisatie of wees voorbereid op iets ergers dan een datalek - exploderende apparatuur, gewonde of gedode werknemers en downtime. De markt zal slimme beveiligingsbeslissingen vandaag niet belonen, maar het zal morgen zeker slechte beveiligingsbeslissingen bestraffen.