Deze publicatie beschrijft een aantal basisprincipes voor het beveiligen van Operationele Technologie (OT). Voor het nationale en maatschappelijke belang is het goed beveiligen van OT essentieel. OT-systemen ondersteunen immers onze vitale processen. En zijn OT-systemen niet goed beveiligd, dan kunnen incidenten een enorme impact hebben. Voor de basisstappen in deze publicatie hanteren wij de indeling van de vijf basisprincipes voor digitale weerbaarheid die NCSC voor IT heeft opgesteld. In deze publicatie zijn de principes verder uitgewerkt waar zij een andere aanpak vragen of extra belangrijk zijn voor OT-systemen.
Doelgroep: Deze publicatie is voor CISO’s die werkzaam zijn in de OT en vanuit hun zorgplicht voor industriële, cruciale infrastructuur (vanuit de NIS2) de noodzaak voelen om de veiligheid van OT-systemen te verbeteren met een concrete en gestructureerde aanpak. Ben je al verder op weg? Lees dan de uitgebreidere publicatie Basismaatregelen voor cybersecurity van IACS.
Wat is Operationele Technologie (OT)?
Een industrieel automatiserings- en besturingssysteem is een verzameling van personeel, hardware, software en beleidsmaatregelen die de veilige en betrouwbare werking van een industrieel proces kunnen beïnvloeden. Zie verder de internationale standaard IEC-62443. In deze norm kan je ook alle van onderstaande onderwerpen uitgebreid terugvinden.
In plaats van IACS wordt vaak de term OT gebruikt. Operationele Technologie (OT) is een verzameling van technologieën bestaande uit software en hardware systemen die in samenhang verantwoordelijk zijn voor het besturen, bewaken en beheren van fysieke processen. Denk aan alle technologie die nodig is om een brug of sluis te bedienen, een waterzuiveringsinstallatie, een energiecentrale of gebouwbeheersystemen. Wij gebruiken in deze publicatie de term OT.
In het verleden, tot ongeveer 20 jaar geleden, communiceerden OT-systemen rechtstreeks met elkaar in een volledig gesloten netwerk en waren de systemen niet gekoppeld aan het internet of andere netwerken. Tegenwoordig is de situatie fundamenteel anders. OT-systemen hebben vaak een koppeling met de kantoorautomatisering van het bedrijf en is toegankelijk via het internet.
Wanneer OT-systemen met het internet worden verbonden, bijvoorbeeld om beheer op afstand mogelijk te maken, worden niet altijd de juiste beveiligingsmaatregelen getroffen. De beveiliging van OT-systemen maakt niet altijd onderdeel uit van securitybeleid. Daarvoor is nodig dat binnen de organisatie bewustzijn is van de risico’s die internetkoppeling met zich meebrengt. Maar ook dat de organisatie een actueel overzicht heeft van alle systemen die met internet verbonden zijn.
Ook neemt de cyberdreiging in het algemeen toe met bijvoorbeeld sabotage-aanvallen. Omdat onze fysieke processen kritisch zijn voor het nationale en maatschappelijke belang is het goed beveiligen van OT cruciaal.
Ondanks dat OT-systemen veel componenten bevatten die ook in het IT domein worden gebruikt zijn de beveiliging strategieën uit dat domein niet een-op-een toepasbaar. Dit komt door de verschillen tussen OT en IT. Denk bijvoorbeeld aan de lange levensduur van OT-systemen, het gebruik van maatwerksystemen, verschil in patchprocessen etc. Wil je meer weten over dit verschil, bekijk dan deze webinar: IACS Kennissessie 10 november 2021
Deze systemen zijn niet altijd in eigen beheer. In dat geval is het belangrijk om als opdrachtgever te monitoren of de goede beveiligingsmaatregelen worden genomen, dat blijft immers de verantwoordelijkheid van de organisatie zelf die de eigenaar is van deze systemen. Dat betekent dat contractmanagement belangrijk is.
Borg dat de leverancier of organisatie die het onderhoud of beheer doet minimale veiligheidseisen heeft genomen en controleer dit. Bij de inkoop van nieuwe OT-systemen zijn deze afspraken onderdeel van het verwervingsproces. Het is van belang om de bestaande en nog aan te schaffen OT oplossingen te toetsen tegen de relevante wetgeving zoals CER, CRA, Cbw/NIS2 etc.
De InformatieBeveiligingsDienst (IBD) van de VNG (Vereniging van Nederlandse Gemeenten) heeft ook een speciaal beleidsdocument opgesteld voor organisaties die een vergelijking willen maken met de eisen die voortkomen uit de BIO (Baseline Informatiebeveiliging Overheid). Ook dient dit op reguliere basis herhaald te worden om continu te blijven voldoen aan veranderende wet en regelgeving.
Basisprincipe 1: Breng je risico’s in kaart
Cybersecurity begint met het begrijpen van de specifieke risico’s van het te beveiligen systeem en welke maatregelen effectief zijn op de langere termijn. Vanzelfsprekend kan je alleen een risicoanalyse doen als de processen en systemen goed in kaart zijn gebracht. Zie hiervoor bijvoorbeeld stap 1 uit deze handleiding.
Maak deze risicoanalyse gezamenlijk voor zowel de netwerk- en informatiesystemen voor de productieprocessen (OT) alsook de kantoorautomatisering en infrastructuur (IT).
In veel industriële organisaties worden al risico analyses uitgevoerd in het kader van (fysieke) veiligheid en milieu. Voorbeelden zijn: HAZOP (Hazard and Operability Study), What-If-Analysis, FTA (Fault Tree Analysis), Bow-Tie Analysis, RI&E (Risico Inventarisatie en Evaluatie) etc. Het is belangrijk om deze processen en uitkomsten te combineren met de risico analyses in het cyberdomein.
Technische maatregelen inzetten of procedures inregelen is maar het halve werk. Uiteindelijk zijn mensen overal bij betrokken. Een gezonde veiligheidscultuur zorgt voor een sterke groei in digitale weerbaarheid.
Omdat beschikbaarheid van systemen een belangrijke factor is, worden wel eens keuzes gemaakt voor OT-omgevingen die niet per se het veiligste zijn, maar wel praktisch zijn. Denk bijvoorbeeld aan het delen van accounts voor operators met hetzelfde wachtwoord. Dat terwijl er ook andere oplossingen mogelijk zijn om te zorgen dat de beschikbaarheid van OT-systemen prioriteit heeft zonder dat dit ten koste gaat van de digitale weerbaarheid.
Het opzetten van een goed team van professionals die de cybersecurity van OT-omgevingen beheren, is kortom van groot belang. Commitment van het management is hierbij cruciaal. In de OT is meestal sprake van een volwassen veiligheidscultuur waarin veiligheid boven alles gaat. Dat komt doordat de consequenties van onveilig gedrag in het algemeen in de OT al langer veel groter zijn.
Het management moet de veiligheidscultuur uitstralen en daarmee medewerkers stimuleren om ook het gewenste veilige gedrag te vertonen. Het NCSC pleit er voor te denken aan een e-learning voor de gehele organisatie. Kennis en bewustwording zijn belangrijk, maar niet genoeg voor digitaal veilig gedrag. De publicatie Voorbij de e-learning, lijdende principes voor digitaal veilig gedrag in jouw organisatie gaat hier verder op in.
Zie voor aanbevelingen en identificatie van IACS rollen en verantwoordelijkheden onderstaande publicatie: IACS Competenties
Basisprincipe 3: Bescherm systemen, applicaties en apparaten
A. Beperk het aanvalsoppervlak
Net als voor IT-systemen is het ook voor OT-systemen van groot belang om je aanvalsoppervlakte te beperken. Het beperken van je aanvalsoppervlak wil zeggen dat je alles uitzet, dichtzet of verwijdert dat niet strikt nodig is. Dat doe je door hardening van je systemen zoals operating systems en software applicaties, netwerk devices, OT specifieke [embedded] devices.
Hardening is het verwijderen, uitschakelen, onbereikbaar maken of beperken van functionaliteiten en communicatiemogelijkheden. Gebruik je risicoanalyse van stap 1 om te bepalen welke elementen nodig zijn en welke niet.
Hieronder volgen een aantal essentiële aandachtspunten om hardening toe te passen.
- Identificeer en verwijder alle services, applicaties, protocollen, drivers en andere niet-essentiële componenten.
- Schakel niet-essentiële (overbodige) componenten uit indien ze niet kunnen worden verwijderd. Soms is het noodzakelijk nog andere mitigerende maatregelen te nemen, omdat sommige componenten ook niet zomaar uitgeschakeld kunnen worden.
- Schakel onveilige communicatieprotocollen uit die niet vereist zijn.
- Verwijder e-mailservices, bestandsdelingsservices, netwerkbeheertools en printerdelings-services waar dit mogelijk is op de directe OT-omgevingen.
- Schakel ook de debugmodus uit.
- Zorg ervoor dat alle configuratie-instellingen zijn gedocumenteerd.
- Beperk de toegang tot systemen, zowel fysieke als digitale toegang.
Pas het principe van “least privilege” toe. Zie het kennisproduct Hoe organiseer ik identiteit en toegang? Omdat beschikbaarheid één van de belangrijkste eisen is aan een OT-systeem is het wel van belang hier in het kader van veiligheid goed over na te denken. Indien er snel iets uit veiligheidsoverwegingen uitgeschakeld moet worden, mag dit niet te lang duren doordat autorisaties ontbreken.
- Breng goed in kaart welke systemen, interfaces en personen op afstand toegang hebben tot de systemen via zowel het interne netwerk als via een internet verbinding.
- Bepaal de vereisten voor externe toegang, inclusief ip-adres, communicatietypen en welke processen je moet monitoren. Alle andere moeten standaard worden uitgeschakeld. Toegang voor gebruikers dient alleen mogelijk gemaakt te worden op basis van multifactorauthenticatie en een versleutelde verbinding.
- Zorg ervoor dat remote access goed gelogd wordt en dat er regelmatig een review plaatsvindt.
Pas alle standaard wachtwoorden op systemen en applicaties aan zodat ze voldoen aan het wachtwoordbeleid van de organisatie.
B. Richt patchmanagement in
Anders dan met IT-systemen zijn veel systemen in OT verouderd doordat ze een lange levensduur hebben. Hierdoor wordt het aanvalsoppervlakte groter waardoor deze systemen erg kwetsbaar zijn. Daar komt bij dat er tegenwoordig standaard toolkits zijn die kwaadwillenden kunnen benutten om deze kwetsbare systemen te misbruiken.
Patchmanagement in OT-omgevingen is uitdagend. Verschillende factoren spelen daarbij een rol en onderstaand stappenplan helpt om daar praktisch mee om te gaan.
- Zorg voor een complete inventarisatie van alle OT-componenten die je regelmatig moet updaten, inclusief versies (software, firmware en overige pakketten).
- Houd bij welke versie geïnstalleerd is.
- Ga na wie de leveranciers zijn en of specifieke procedures gevolgd moeten worden.
Ga na of de OT-componenten zijn geüpdatet met de laatste versies en stem dit af met de procedures van de leverancier. Houd rekening met de relevantie en compatibiliteit van je updates. Als er een update beschikbaar is, valideer dan de authenticiteit en integriteit van de update door de bestands-hash of cryptografische sleutel te verifiëren bij de leverancier.
- Ga na of het risico van niet-patchen binnen de acceptatiegrenzen valt van de organisatie.
- Vraag je telkens af wat de kosten en baten zijn van het uitvoeren van de updates.
- Als patchen niet kan, zijn er dan misschien andere mitigerende maatregelen mogelijk? Hoe beter dit proces wordt geoefend en gedocumenteerd, des te beter worden de beslissingen genomen die hieruit voorvloeien.
Na de risicoafweging categoriseer en prioriteer je de OT- componenten die geüpdatet moeten worden. Prioriteer de systemen die aan netwerkranden staan en of extra veilig moeten zijn.
Test: test de updates zorgvuldig van te voren en houd rekening met de beschikbaarheid en veiligheid van de installatie. Probeer te testen in een representatieve omgeving.
Voer uit: zorg ervoor dat de uitvoerprocedures duidelijk zijn, zodat de installatie eventueel terug kan naar de oude versie als er problemen zijn en dat alle functionaliteiten weer operationeel zijn.
Documenteer en evalueer: ontwikkel een methodiek om deze stappen soepel en effectief te doorlopen. Evalueer de procedures en de resultaten en stuur bij waar nodig.
C . Segmenteer je netwerken
Binnen OT-netwerken heb je een grote diversiteit aan type componenten. Niet elk component is even kwetsbaar of kritisch en de functionaliteit kan verschillen. Het OT-netwerk wordt meestal weergegeven in lagen, omschreven door het referentiemodel ISA-95 (Purdue).
Op de onderste laag vindt men veldapparatuur. In de laag daarboven de systemen die dat aansturen inclusief veiligheidssystemen. Op een laag hoger de bedieningssystemen voor de operatie van de hele installatie(s). Misschien is er ook nog een (tussen) laag voor data opslag, of remote access. Uiteindelijk op de hoogste laag vinden we de IT laag.
Mocht een aanvaller toch binnen weten te komen in een laag; dan kan het segmenteren van je netwerk de gevolgen van een aanval aanzienlijk beperken. Segmenteren betekent dat een netwerk in meerdere segmenten wordt verdeeld.
Volg dit stappenplan om je netwerk te segmenteren:
Bij netwerksegmentatie worden OT-componenten gegroepeerd aan de hand van gezamenlijke veiligheidseisen en functionaliteiten. Een mogelijke indeling ziet er als volgt uit:
Scheid de OT-omgeving van de IT omgeving: deze twee omgevingen zijn zeer verschillend in functionaliteit en doelstelling en er moet een sterke scheiding zijn tussen deze twee netwerken.
Scheid OT-componenten die met veiligheid te maken hebben: dit segment moet vaker aan hogere veiligheidseisen voldoen, omdat de componenten nodig zijn voor de veilige operatie van de installatie voor mens en milieu.
Scheid OT-componenten die tijdelijk of extern zijn: het gaat om componenten die (tijdelijk) onderdeel zijn van het OT-netwerk maar ook (tijdelijk) aangesloten zijn op andere netwerken die minder betrouwbaar zijn.
Scheid OT-componenten die draadloos (wireless) zijn zoals IIoT: De aanvalsvectoren op draadloze systemen zijn anders dan op een bedraad netwerk en dus heeft dit netwerksegment een andere veiligheidsaanpak nodig.
- Netwerksegmentatie is niet altijd makkelijk of praktisch in OT-omgevingen maar een start maak je met ip-adressen, subnet masks, VLANS en access lists. Dit wordt typisch gedaan voor de besturing- en bedien laag, de communicatie tussen de PLC’s en SCADA.
- Voor OT componenten die een hoger risico vormen kies je voor een plaatsing achter een (netwerk) barrière. Voor de scheiding met het IT-netwerk zorg je bijvoorbeeld voor een dubbele firewall met DMZ constructie. Zo is de communicatie tussen IT, OT en extern streng gecontroleerd en indirect.
- Voor meer isolatie of segmentatie kies je voor fysieke scheiding, of een unidirectional gateway of andere sterke vormen van air gapping.
In de derde stap zorg je voor strenge regulering van communicatie. Pas dit toe in verschillende lagen en tussen verschillende netwerksegmenten. Sommige firewalls en (netwerk-) intrusion detection systemen kijken dieper naar protocollen en payloads. Deze componenten plaats je strategisch aan de randen van het netwerk en voor bepaalde (hoog) risicoverbindingen.
Netwerk segmentatie is een manier om preventief je systemen te beschermen, maar dit is niet altijd genoeg. Om goed in de gate te houden wat er gebeurd op je netwerken en ook adequaat te reageren i.g.v. een incident, kan Monitoring, Detectie en Respons (MDR) worden toegepast.
OT netwerken zijn erg gevoelig dus MDR wordt passief toegepast (port mirroring of data replication) om ervoor te zorgen dat operatie en veiligheid niet wordt verstoord. Houd hier rekening mee met je oplossingen.
Met goede documentatie (denk aan je instellingen, configuraties en netwerk tekeningen) houd je je segmentatie onderhoudbaar. Zorg ervoor dat je bij de inrichting van bovengenoemde maatregelen goed nadenkt over de schaalbaarheid: kun je je segmentatie-architectuur snel aanpassen? Dat verbetert je wendbaarheid als het dreigingslandschap verandert of als je nieuwe componenten toevoegt aan je architectuur.
Basisprincipe 4: Beheer toegang tot data en diensten
OT-systemen moeten vaak toegankelijk zijn, bijvoorbeeld voor beheer of onderhoud. Installaties of onderdelen kunnen op diverse locaties staan.
Zowel de fysieke toegang als de digitale toegang zijn daarom essentiële elementen in de lagen van je beveiligingsmodel voor OT-systemen.
Als iemand fysiek machines kan bedienen of manipuleren, worden veel andere beveiligingsmaatregelen omzeild. Richt een goed fysiek toegangsbeleid in waarbij sleutelbeheer expliciet een onderwerp is indien er wordt gewerkt met externe leveranciers die beheer en/of onderhoud doen. Hoe je een toegangsbeleid inricht, lees je onder Basisprincipe 4: Beheer toegang tot data en diensten
Basisprincipe 5: Bereid je voor op incidenten
Omdat beschikbaarheid en veiligheid kritische prioriteiten zijn in OT is het erg belangrijk dat je je systemen na een incident weer goed kan herstellen. Verder is het belangrijk om te leren van incidenten en beveiliging daarop aan te passen. Je leert het meest door ook te evalueren met andere organisaties uit de sector of industrie, bijvoorbeeld in ISAC’s.
De NIS2-richtlijn stelt dat organisaties maatregelen moeten nemen voor de behandeling van incidenten: de ‘incidentresponse’. Met een incidentresponseplan (IRP) zet je daar de eerste stappen voor. Vaak ligt de nadruk van incident response plannen in organisaties op IT. Het is belangrijk de OT-omgeving mee te nemen in zowel plannen en oefeningen. Een operationeel incident response plan voor de afhandeling van incidenten en calamiteiten oefen je jaarlijks en pas je indien nodig aan. De noodbediening testen is daarbij essentieel.
Wees goed voorbereid en ga uit van een “assume breach” scenario. Dit betekent dat je ervan uit gaat dat er misschien al kwaadwillenden zijn die toegang hebben tot je systeem. Als je systeem gecompromitteerd is, wil je zeker weten dat je altijd weer terug kunt naar de situatie voordat je gecompromitteerd was. Daarom zijn back-ups belangrijk. Dit is bij veel OT devices en omgevingen een serieuze uitdaging! Het kan zelfs noodzakelijk zijn om bepaalde devices geconfigureerd en wel op de plank klaar te hebben liggen. Als je adequate back-ups hebt (denk ook aan off-site en immutability principes), ben je snel weer in bedrijf.
Om weer snel in bedrijf te zijn, is het belangrijk om een aantal essentiële stappen te zetten op basis van je back-up beleid. Weet wat belangrijke data is om in je back-up beleid mee te nemen. Denk hierbij ook aan eventuele data voor post-incident forensische analyse. Zorg voor een back-up verificatie proces, waarbij de betrouwbaarheid van het back-up proces wordt gewaarborgd. Documenteer wat de frequentie is van het vernieuwen van deze back-ups en documenteer dit en richt het in.
Bij het testen van deze back-ups gaat het nog weleens fout. Als je een goed incident respons plan hebt, test je hiermee ook je gehele back-up en recovery proces. Doe dit ook daadwerkelijk en onderschat dit niet. Voor OT-systemen is dit lastiger te plannen, je moet specifieke onderhoudsvensters benutten om dit adequaat te doen.
Tot slot
Als je de 5 basisprincipes voor je OT-systemen hebt geïmplementeerd, dan zijn de basis beveiligingsmaatregelen getroffen. Dit betekent niet dat je klaar bent. Periodiek is het nodig om alle principes te controleren en opnieuw vast te leggen indien er veranderingen zijn in de externe of interne omgeving of systemen.
