Succesfactoren voor weerbare industriële controlesystemen

TNO heeft onderzocht welke organisatorische succesfactoren te identificeren zijn voor het digitaal weerbaarder maken van ICS (Industriële Controle Systemen). Deze succesfactoren hebben in de beleving van de respondenten geleid tot een wezenlijke bijdrage aan het inrichten van digitaal veilige ICS.

Dit onderzoek heeft als doel organisaties met ICS te inspireren en op weg te helpen om ICS-cybersecurity verder te verbeteren. Het is bedoeld voor iedereen die betrokken is bij security van ICS binnen organisaties, zowel vanuit het management als vanuit de operationele technologie.

Wat is ICS?

ICS is de overkoepelende term voor de hardware en software die industriële processen uitvoeren, controleren en aansturen. Ook de termen OT (Operationele Techniek) en SCADA (Supervisory Control and Data Acquisition) zijn hieraan verbonden. De veiligheid en beschikbaarheid van deze systemen is van belang voor de vitale processen van een organisatie, en zorgen potentieel voor een grote impact op de samenleving wanneer deze verstoord raken of gemanipuleerd worden.

Wat zijn deze succesfactoren?

De succesfactoren zijn verdeeld in vijf thema’s: Bewustzijn, Basismaatregelen, Beheer en Onderhoud, Kloof tussen IT en OT en tot slot Kennis en Kunde. Hieronder worden enkele bijbehorende acties per thema benoemd:

Actie 1: Bewustzijnsvergroting ICS kwetsbaarheden

  • Vertaal ICS-securitydreigingen naar procesrisico’s; wat kan het primaire proces (gedeeltelijk) verstoren of hoe kan het ongewild gemanipuleerd worden? Probeer dit te kwantificeren naar de potentiële impact van een verstoring.
  • Besef dat OT-security een belangrijk onderdeel is van de primaire bedrijfsprocessen. Benoem weerbare ICS als een jaarlijkse bedrijfsdoelstelling.
  • Betrek operationele managers bij het bepalen van acceptabele risico’s en bijbehorende investeringsbehoeften, aangezien zij verantwoordelijk zijn voor de productieprocessen.
  • Betrek het management bij operationele audit processen en gebruik de uitkomsten om ICS bij het management onder de aandacht te brengen.

Actie 2: Basisbeveiligingsmaatregelen op orde

  • Maak, waar mogelijk, een keuze voor een overkoepelende standaard of framework om kantoorautomatisering en ICS veilig in te richten. Leer gezamenlijk (IT- en OT medewerkers) van het proces om de gekozen standaard op de eigen organisatie toe te passen.
  • Vertaalde relevante standaarden op basis van je wensen en eisen naar de eigen organisatie. Dit vraagt veel capaciteit, maar het betaalt zich terug.
  • Pols bij branchegenoten welke practices, standaarden en raamwerken ondersteuning bieden in het kiezen en toepassen van basisbeveiligingsmaatregelen.

Actie 3: Passende Beheer en Onderhoudsactiviteiten

  • Zorg dat je weet wat je in huis hebt en wanneer iets aan vervanging toe is. Stem hierop je investeringsplan af.
  • Denk na over diversifiëring van je leveranciers. Weeg het risico van ‘common mode failure’ af tegen de (extra) beheerskosten van het hebben van meerdere leveranciers.
  • Beschik ten alle tijden over basiskennis op het gebied van OT(-security) om met externe leveranciers samen te werken. Dit betekent dat er minimaal als klankbord gefungeerd kan worden als bijvoorbeeld leveranciers op locatie systemen komen installeren.
  • Sluit aan bij bestaande risicomanagementprocessen in de eigen organisatie om goed geïnformeerde investeringsbesluiten te kunnen nemen over weerbare ICS.
  • Zorg voor bewustwording over het belang en de toegevoegde waarde van weerbare ICS zodat dit bijdraagt aan investeringsbesluiten. Incidenten kunnen hiervoor in de communicatie en onderbouwing worden benut.

Actie 4 Verklein de kloof tussen IT en OT

  • Een eerste stap in de vorming van een team kan zijn; het starten van gezamenlijk overleggen tussen het IT-en ICS-team. Dit geeft richting aan een integrale aanpak van cybersecurity.
  • Zorg ervoor dat het management zich realiseert dat verschillen in functiewaarderingen van IT- en OT-medewerkers die gelijkwaardig werk doen, de onderlinge samenwerking niet ten goede komt en moedig gelijkwaardige waardering aan.
  • Laat IT- en OT-afdelingen samen oefeningen uitvoeren en daarvoor scenario’s opstellen

Actie 5: Verhoog ICS kennis en kunde

  • Deel de actuele security status met het management.
  • Zorg ervoor dat het management het delen van ervaring en kennis op dit onderwerp met andere bedrijven en organisaties faciliteert. Bijvoorbeeld door medewerkers op persoonlijke titel de mogelijkheid te geven kennis en ervaring te delen met anderen buiten de organisatie.
  • Maak kennisdeling onderdeel van de functioneringsgesprekken, zodat individuele medewerkers gestimuleerd en uitgedaagd worden om hierin uit te blinken.

Wat kan ik nu doen?

  • Zet ICS op de agenda van het bestuur. Ga met deze succesfactoren de discussie aan met het management en operationele specialisten op de werkvloer. Bepaal bijvoorbeeld op welke succesfactoren meer kan worden ingezet.
  • Sluit aan bij werkgroepen of ISAC’s.
  • Raadpleeg de informatie die al voorhanden is zoals TNO Rapport en de NCSC handreikingen.

Wilt u meer weten? Het TNO-onderzoeksrapport is hier onder te vinden en is ook beschikbaar op de website van TNO.