NIS2 vraagt van industriële bedrijven grote inspanningen om hun OT-omgevingen te beveiligen: Waar te beginnen?

Het doel van de NIS2-richtlijn (Network and Information Security) is om het niveau van fysieke en digitale security voor een groot aantal bedrijven te verhogen en om een uniform niveau van volwassenheid vast te stellen in alle EU-landen. In Europa zullen duizenden bedrijven te maken krijgen met de implementatie van NIS2, die gepland staat voor oktober 2024.

We praten veel over IT en aanvallen gericht op kantooromgevingen, maar we vergeten maar al te vaak cyberaanvallen gericht op operationele omgevingen (OT) en de grote kwetsbaarheid van deze netwerken. Industriële bedrijven zullen hun inspanningen moeten verdubbelen om te voldoen aan de eisen van NIS2. Laten we echter niet vergeten dat, ook al zal de richtlijn in eerste instantie veel beperkingen opleggen, het doel is om bedrijven te helpen hun productiemiddelen te beschermen.

OT is net zo onveilig als het MKB

Terwijl we veel praten over IT cybersecurity, vergeten we maar al te vaak het besef van de cybersecurity van operationele omgevingen (OT) te vergroten. Ook al kunnen cyberaanvallen tegen fabrieken en industriële bedrijven desastreuze gevolgen hebben. Waarom zijn deze OT-netwerken zo kwetsbaar?

• OT-omgevingen lopen 10 tot 15 jaar achter op het gebied van cybersecurity in vergelijking met IT-omgevingen en zijn niet "by design" beveiligd.
• Veel industriële bedrijfsnetwerken zijn nog steeds gebaseerd op "platte" architecturen, wat betekent dat servers, werkstations en andere industriële terminals op hetzelfde netwerk werken zonder enige segmentatie. Met andere woorden, door één deur open te laten, krijg je toegang tot het hele netwerk.
• De kwestie van het beheer van OT-security is nog niet opgelost. Wie is verantwoordelijk voor OT-security? Als er een OT-security team is, hoe kunnen zij dan samenwerken met IT security managers?
• Remote access tot programmable logic controllers en andere robots in OT-systemen is verveelvoudigd, vooral tijdens COVID-19, waardoor vaak slecht of volledig onbeveiligde verbindingen met de buitenwereld zijn ontstaan.

Aan de slag in drie fasen en twaalf stappen

Industriële bedrijven met meer dan 50 werknemers en een omzet van 10 miljoen euro zijn talrijk en hun OT-netwerken zullen aanzienlijke gevolgen ondervinden van NIS2. In plaats van toe te geven aan paniek, vatten we de belangrijkste zaken samen om in 3 fasen en 12 stappen te voldoen aan deze nieuwe versie van de NIS-richtlijn, waarbij we ons specifiek richten op de industriële sector.

Fase 1: Beoordelen, ontdekken en definiëren

1. Security audits

Beoordeel de security van het bedrijf door audits uit te voeren, gericht op OT-netwerken, maar ook - als nieuwe eis van NIS2 - op fysieke toegang tot het bedrijf en de apparatuur.

2. Beleid

Definieer een beleid en governance specifiek voor OT-security, te beginnen met het bepalen wie verantwoordelijk is voor OT-security, aan wie ze rapporteren, wie beslissingsbevoegdheid heeft met betrekking tot investeringen, etc.

Fase 2: Implementatie en uitrol

3. Segmentatie

Ontwerp en implementeer een architectuur die segmentatie van OT cybersecurity en industriële besturingssystemen (ICS) integreert. Met andere woorden, stap af van platte netwerken en segmenteer IT- en OT-netwerken.

4. Asset discovery en threat detection

Selecteer en implementeer tools voor detectie van assets en dreigingen voor OT/ICS, zoals Intrusion Detection Systems (IDS).

5. OT-configuratiehygiëne

Handhaaf OT-configuratiehygiëne door te zorgen voor de aanwezigheid van klassieke beveiligingscomponenten zoals back-upsystemen (met het 3+2+1 back-upmodel) en wachtwoordbeheerders voor machines. Aangezien NIS2 ook betrekking heeft op leveranciers met toegang tot netwerken, moet het bedrijf zorgen voor cybersecurity-hygiëne garanties van zijn leveranciers.

6. Veilige remote access tot OT-systemen

Fabrikanten van machines/programmeerbare controllers enz. hebben vaak primair toegang tot hun machines voor onderhoudsdoeleinden, dus het bedrijf moet securitygaranties van hen eisen.

7. Toegang tot OT controleren

Maatregelen implementeren om de toegang tot OT-systemen te reguleren en te controleren, om ervoor te zorgen dat alleen geautoriseerd personeel kan communiceren met kritieke industriële bedrijfsmiddelen. Dit omvat het afdwingen van strikte authenticatie- en autorisatieprotocollen om ongeautoriseerde toegang of kwaadaardige activiteiten te voorkomen.

8. OT-endpoints beschermen

Implementeer securitymaatregelen om endpoints binnen OT-omgevingen, zoals industriële machines, controllers en sensoren, te beschermen tegen cyberdreigingen. Dit omvat het inzetten van antivirussoftware, Endpoint Protection and Response (EDR), Intrusion Detection Systems (IDS), het implementeren van controles voor USB-apparaten en het regelmatig bijwerken van endpoint security-maatregelen om opkomende dreigingen en kwetsbaarheden te beperken.

9. OT-supply chain beveiligen

Implementeer maatregelen om de OT-supply chain te beschermen tegen cybersecurity risico's van software, OEM's en externe dienstverleners. Dit omvat het uitvoeren van grondige risicobeoordelingen, het opstellen van duidelijke contractuele overeenkomsten met leveranciers om cybersecurity-verantwoordelijkheden vast te leggen en het regelmatig controleren van de naleving door leveranciers om kwetsbaarheden te verminderen en de algehele OT-security te verbeteren.

Fase 3: Monitoren, reageren en meten

10. Security Operations Center (SOC)

Implementeer doorlopende bewaking van OT cybersecurity via geïntegreerde SOC of managed SOC-oplossingen.

11. Incident response plan

Ontwikkel en onderhoud een incident response plan dat specifiek is toegesneden op het aanpakken van cyberaanvallen of andere incidenten gericht op OT-systemen.

12. Voortdurende audits

Voer ten slotte regelmatig audits en beveiligingstests uit voor OT-omgevingen om ervoor te zorgen dat de eisen op het gebied van cybersecurity voortdurend worden nageleefd en om eventuele kwetsbaarheden of zwakke punten onmiddellijk te identificeren.