IT-principes kan je niet forceren op OT-omgevingen

OT-omgevingen vormen de zwakke schakel voor organisaties die in overeenstemming willen geraken met NIS2. De specifieke uitdagingen van OT zorgen er bovendien voor dat je de beveiliging van de operationele omgeving niet zomaar kan meenemen in een IT-traject. Hoe los je dat op?

NIS2 noopt Belgische en Europese bedrijven om hun cyberbeveiliging op te krikken. De richtlijn vraagt organisaties om hun cyberbeveiliging op een risico-gebaseerde manier te bekijken en zichzelf zo te beschermen. In een IT-context is dat geen al te complexe zaak: bedrijven die beveiliging de afgelopen jaren serieus hebben genomen, zijn doorgaans al min of meer in overeenstemming met NIS2.

Anders is het bij organisaties met operationele omgevingen, in bijvoorbeeld de maakindustrie. OT-omgevingen zijn unieke, kwetsbare en vaak oude omgevingen, die erg kritiek zijn. Treft een ransomware-aanval de IT-infrastructuur en ligt het marketingdepartement plat, dan is dat heel vervelend. Valt de productie van de fabriek echter stil, dan lopen de kosten snel op.

NIS2 voor OT?

ITdaily brengt vijf experts samen om te praten over de uitdagingen van NIS2, en de impact van de regelgeving op OT-omgevingen komt naar voren als een belangrijk onderwerp. Rond de tafel zitten Alex Ongena, CEO en oprichter van AXS Guard, Ron Nath Mukherjee, Cyber Security Consultant bij Eset, Driek Desmet, System Engineer bij Easi, Koen Pauwelyn, verantwoordelijk voor Industrial Cybersecurity Services bij Siemens en Yoran Dons, ICS Security Consultant bij SoterICS.

Mukherjee stelt zich een belangrijke vraag: “Zou er een specifieke NIS2 voor OT moeten zijn?” De andere experts rond de tafel denken van niet. Er heerst echter consensus dat OT-omgevingen aanpakken in het kader van NIS2 een stiel apart is.

Nul op de nulmeting

“In de OT-omgeving draait veel legacy”, schetst Pauwelyn. “Daar vind je bijvoorbeeld Windows XP-computers, of zelfs nog oudere systemen. Soms staan er PLC’s (Programmable Logic Controllers) van veertig jaar oud. Dergelijke systemen kan je natuurlijk niet voorzien van de laatste nieuwe beveiligingsupdates. Ze vereisen een specifieke aanpak.”

In een OT-omgeving vind je oudere systemen die je niet zomaar kan voorzien van de laatste nieuwe beveiligingsupdates.

Koen Pauwelyn, verantwoordelijk voor Industrial Cybersecurity Services bij Siemens

Dat heeft een impact op de manier waarop bedrijven naar hun beveiliging moeten kijken. Alles begint bij de nulmeting: meten is weten en je kan de zaken pas verbeteren als je weet wat de startsituatie is.

Pauwelyn: “Wanneer je zo’n nulmeting doet voor de staat van de OT-omgeving, dan scoort alles nul. Je kan echter geen NIS2-rapport opstellen voor IT en één voor OT: alles hoort samen. OT is daarin de zwakke schakel.”

Duidelijk kostenplaatje

Het komt er dus op aan om de OT-omgeving beter te beveiligen. Het bijhorende kostenplaatje is in ieder geval eenvoudiger te verantwoorden dan voor IT. Het is moeilijk te berekenen wat de kost is wanneer het voorgenoemde marketingdepartement uitvalt, maar met een productielijn ligt dat anders.

In een OT-omgeving kan je de kost van een cyberincident immers heel goed calculeren. Een organisatie weet perfect hoeveel een minuut stilstand kost. Het kost tijd om na een hack de omgeving te herstellen, alles te resetten en de back-ups terug te zetten. Als je die termijn kan reduceren met bijvoorbeeld twee of drie dagen, kan je vlot uitrekenen hoeveel je bespaart met een dergelijke investering.

OT is dus een kritieke schakel, die aandacht nodig heeft. Die aandacht is bovendien eenvoudig financieel te verantwoorden. Wat is dan de volgende stap?

Niet zomaar stilleggen

“Het is geen optie om bijvoorbeeld de XP-machines even van een update te voorzien”, gaat Pauwelyn verder. “Achter die toestellen hangen hele productielijnen. Sommige bedrijven draaien tien jaar volcontinu zonder onderbreking. “De productielijn stilleggen is onmogelijk”, beaamt Desmet. Zo’n lijn stilleggen kan immers miljoenen kosten.”

De productielijn stilleggen is onmogelijk, dat kan miljoenen kosten.

Driek Desmet, System Engineer bij Easi

Het is niet zo dat dergelijke bedrijven NIS2 dan maar negeren. “Ze wachten ook op dat tijdsslot, maar intussen moeten ze wel in overeenstemming zijn met NIS2. Dat is een uitdaging”, weet Pauwelyn.

Beveiliging in lagen

Dons stelt gerust. “Er zijn manieren om daarmee om te gaan. De belangrijkste zit volgens mij in de architectuur, en meer specifiek hoe je het netwerk opdeelt. Beveiliging komt altijd in lagen. Wanneer je bijvoorbeeld een XP-systeem wil updaten, zit je al meteen op één van de laatste lagen. Er zijn veel zaken die je er nog tussen kan steken.” Dons wil met andere woorden niet fixeren op de zaken die je niet zomaar kan verbeteren, aangezien er architecturaal voldoende mogelijkheden bestaan die de beveiliging van OT-omgevingen kan opkrikken en wél haalbaar zijn.

Hij gaat verder: “Bij NIS1 was er al sprake van het belang van monitoring, en dat lag toen gevoelig. Sinds dan is er veel veranderd, en is er veel volwassen tooling verschenen. Mensen en bedrijven beginnen het verdienmodel rond OT-beveiliging beter en beter te begrijpen.”

Architectuur en segmentatie

“Het beste dat je nu kan doen, is inzetten op de architectuur”, herhaalt Dons. Hij heeft het dan in eerste instantie over netwerksegmentering: als componenten binnen het OT-netwerk gevoelig zijn, moet je die afschermen en bedreigingen tegenhouden voor ze het OT-netwerk kunnen bereiken.

Het beste wat je kan doen, is inzetten op de architectuur.

Yoran Dons, ICS Security Consultant bij SoterICS

Ongena is het daarmee eens. AXS Guard heeft om die reden specifieke OT-oplossingen ontwikkeld. “Segmentatie speelt een belangrijke rol, en niet invasief kijken naar wat er op het netwerk gebeurt ook.”

Monitoren en verzamelen

Door de toegang te monitoren, kan een beveiligingssysteem het normale gedrag van een OT-omgeving leren. Het is dan mogelijk om met anomalie-detectie vreemde trafiek te detecteren en te blokkeren, zodat alleen legitiem verkeer mogelijk is.

“Verder moeten bedrijven hun OT-assets verzamelen”, weet Ongena. “Zeker voor legacy-systemen is dat een groot probleem. Organisaties weten niet altijd meer wat waar staat. Een subcontractor heeft misschien ooit een machine geïnstalleerd maar is intussen weg.” De rest van de tafel knikt. “Automatische inventarisatie is dus ook heel belangrijk.”

Snel maar gevaarlijk

Ongena begrijpt hoe de zaken soms mislopen. “Steeds meer controlesystemen hebben wel internettoegang nodig. Bij de installatie lossen aannemers dat dan op door bijvoorbeeld snel een klein routertje te plaatsen, dat alle beveiliging passeert. Als er maar internet is. Zoiets moet je verbieden, maar dan moet je ook een oplossing aanbieden. Je moet internetconnectiviteit voorzien, die je dan ook kan monitoren.”

Soms is de enige oplossing om zaken in een doos te steken met een slot erop.

Alex Ongena, CEO en oprichter AXS Guard

De tafel is het eens over één belangrijk punt: IT-principes forceren op OT, dat werkt niet. De OT-omgeving heeft zijn eigen specifieke aanpak nodig. Ongena illustreert verder: “Soms is de enige oplossing om zaken in een doos te steken met een slot erop. Dat lijkt oud, maar het is wel zo. Je kan USB-poorten bijvoorbeeld fysiek gaan dichtmaken. Dat zie je in de IT-wereld niet meer.”

Cultuurshock

Technisch en praktisch zijn er oplossingen, maar daarmee is de klus niet geklaard. Ieder project staat of valt met de mensen. “Er is ook nood aan trainingen”, bevestigt Ongena. “Zeker in de OT-wereld. Mensen die daar werken, hebben doorgaans een andere opleiding. Ze hebben minder kennis rond de IT-wereld en security. We moeten daar specifieke opleidingen voorzien. Het is echter niet altijd gemakkelijk om uit te leggen waarom dat nodig is. Je moet het echt vanaf het begin gaan uitleggen.”

“Cultuur speelt een belangrijke rol”, beaamt Dons. Dat moeten organisaties meenemen in hun aanpak van OT. Gewapend met begrip voor de complexiteit van de OT-omgeving, en voorzien van een plan van aanpak op maat, kunnen ook bedrijven met complexe productie-omgevingen naar NIS2-conformiteit streven.


Dit is het tweede redactionele artikel in een reeks van drie rond het thema NIS2. Klik op onze themapagina om alle artikelen van de ronde tafel te zien, de video en onze partners.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.