NIS2 brengt beveiligingsvereisten plots in concrete vorm naar OT-omgevingen. Om daar op een adequate manier bescherming in te bouwen, kunnen organisaties niet vertrouwen op het IT-draaiboek.
“Organisaties zien OT vaak volledig apart van IT”, weet Patrick Banken, Business Development Manager bij Kappa Data. “Als we dan langskomen, dan zien we dat beheerders soms toch schrikken wanneer ze zien hoeveel toestellen van de OT-omgeving er eigenlijk toch met de buitenwereld verbonden zijn.”
Grote impact
In het kader van NIS2 moeten organisaties hun kritieke assets voldoende beveiligen. Daarbij gaat het niet alleen om IT-databases, maar ook om productie-omgevingen. De afgelopen jaren werd meermaals pijnlijk duidelijk hoe groot de impact van een ransomware-aanval kan zijn wanneer die ook fabriekslijnen platlegt.
Banken schuift mee aan bij een ronde tafel over NIS2, georganiseerd door ITdaily, om dat probleem te fileren. Hij krijgt gezelschap van vier andere experts: Sabine van Hoijweghen, Head of Sales en Partner bij Secutec, Bart Loeckx, Director Networking & Security bij Telenet Business, Ron Nath Mukherjee, Cybersecurityconsultant bij Eset, en Johan Klykens, Cybersecurity Certification Authority (NCCA) bij het CCB.
Schrikwekkend
“Het is haast schrikwekkend hoeveel verschillende protocollen er gebruikt worden binnen OT”, stelt Loeckx vast. “Iedere leverancier gebruikt zo zijn eigen protocol en wat er in fabrieken draait, is soms zo exotisch dat je het niet realistisch kan vereenzelvigen met het hele IT-gebeuren. Je hebt dan soms geen andere keuze dan voor een air-gapped oplossing gaan.”
Voor de beveiliging van OT-omgevingen moet je kijken naar andere technologieën.
Johan Klykens, Cybersecurity Certification Authority (NCCA), CCB
“Voor de beveiliging van OT-omgevingen moet je kijken naar andere technologieën”, weet Klykens. “We zien wel dat er stilaan oplossingen op de markt komen met veel features die een stuk toegankelijker zijn. Vanuit de OT-wereld zijn technische beveiligingsoplossingen meer en meer in opmars.”
Andere economische realiteit
Het is niet realistisch om te verwachten dat OT-beveiliging plots zal mee-evolueren aan het tempo van IT, beseft iedereen rond de tafel. Banken geeft een voorbeeld: “Cloud is in het IT-landschap doodnormaal, maar voor OT blijft het gebruik ervan toch des duivels. OT staat echt nog op een totaal andere plek vergeleken met IT. De IT-wereld verandert bijna dagelijks en OT volgt niet aan dezelfde snelheid.”
OT staat echt nog op een totaal andere plek vergeleken met IT.
Patrick Banken, Business Development Manager Kappa Data
“Dat is logisch”, voegt Loeckx toe. “Het gaat hier om een puur economisch verhaal. De levenscyclus van de investeringen in de OT-omgevingen is heel anders dan die van IT-investeringen en bovendien liggen de bedragen veel hoger. Je kan niet zomaar een productieband vervangen of zelfs maar even stilleggen. De economische impact is te groot en die realiteit mogen we niet negeren.”
Dat vindt Loeckx meteen ook geruststellend. Er is immers geen fundamenteel probleem indien de autonoom draaiende systemen op termijn een transitie zullen doormaken en vervangen worden volgens de principes van Zero Trust.
Geen EDR
Wat logisch is in IT, kan niet zomaar in OT. Je kan niet zomaar een EDR-oplossing uitrollen. Banken: “Het is een uitdaging om op een veilige en stabiele manier gevoelige systemen te scannen, zeker wanneer die niet zoveel datapakketten kunnen verwerken. OT-beveiligers moeten naar hypersegmentatie en andere vormen van security kijken.”
“Je moet niet het paard achter de wagen spannen en denken: we kopen zware tools of dure technologie en dan is ons probleem opgelost”, zegt Mukherjee. “Het gaat erom eerst de basics goed te doen, te weten welke assets je hebt en wat kritiek is.”
Wat is er zichtbaar?
“Ik denk ook dat het belangrijk is om van de buitenkant te kijken, voegt van Hoijweghen nog toe. “Het gaat al snel over asset management. Het is natuurlijk belangrijk om te weten wat er allemaal draait, maar dat is niet het hele plaatje.”
Ze verduidelijkt: “Welke aspecten van de organisatie zijn zichtbaar langs de buitenkant? Uiteindelijk is het dat wat cybercriminelen vinden. Als er een kwetsbaar apparaat of een toepassing open staat naar het internet, en aanvallers zo eenvoudig kunnen binnenbreken, maakt het bij wijze van spreken al niet meer zo veel uit welke assets er binnen het netwerk staan. De beveiliging van de buitenkant is bij ons doorgaans wel het eerste punt.”
De beveiliging van de buitenkant is bij ons doorgaans wel het eerste punt.
Sabine van Hoijweghen, Head of Sales en Partner, Secutec
Met een druk op de knop
In afwachting dienen creatieve oplossingen zich aan. “Ik heb een kmo gezien met een kleine OT-omgeving die heel beperkt moest communiceren naar buiten toe”, vertelt Klykens. “Zij hebben een fysieke knop geïnstalleerd die een operator moet indrukken. Enkel dan ontstaat er een connectie naar de buitenwereld. Dat toont de creativiteit van bedrijven om de uitdagingen het hoofd te bieden. En van dat soort oplossingen word ik diep gelukkig”, besluit hij.
Over het algemeen zijn de deelnemers van de ronde tafel positief over de situatie. OT-beveiliging is een unieke uitdaging, maar dat besef is doorgedrongen. Terwijl er meer en meer oplossingen verschijnen die monitoring en beveiliging van de OT-omgeving mogelijk maken, zijn er ook alternatieve plannen van aanpak, waarbij een grondige scheiding van OT en IT doorgaans belangrijk is. Af en toe out of the box denken, hoort daar zeker bij.
Dit is het tweede artikel in een reeks van drie naar aanleiding van onze ronde tafel rond NIS2. Klik hier om de themapagina te bezoeken met de andere artikel, de video en onze partners.