Elke drie kwartier heeft Siemens wereldwijd te maken met een ernstige digitale inbraakpoging. Natuurlijk is zo’n groot bedrijf interessant voor hackers; er is immers meer te halen. Maar toch is het voor veel ondernemers een statistiek om nachtmerries van te krijgen. Want uiteindelijk zijn alle bedrijven potentiële slachtoffers voor cybersecurity, niet alleen de grote jongens. Aan iedereen de taak om de eigen systemen waterdicht te maken, in de wetenschap dat kwaadwillenden maar een heel klein gaatje nodig hebben om binnen te komen. ‘Het is complex, maar zeker geen onmogelijke missie.’
Jalal Bouhdada (DNV): ‘Maak het kwaadwillenden zo moeilijk mogelijk. Hackers zijn lui, dus als je goed voorbereid bent en je doet je huiswerk, dan gaan ze naar de volgende.’ Foto: DNV
– ‘Geen enkele softwareleverancier zal claimen dat zijn product hackerproof is.’
– ‘Niemand kan van de ene op de andere dag het bestaande machinepark upgraden.’
– ‘Industriële cyberspionage kun je niet negeren.’
– ‘Er moet een plan liggen, anders raken mensen in paniek.’
In 2010 werd Stuxnet ontdekt, de eerste computerworm die expliciet was gericht op plc’s. Voor die tijd waren er natuurlijk allerlei virussen en andere malware in omloop om IT-systemen te besmetten, maar met Stuxnet betraden hackers ook de OT-wereld. Deze specifieke worm – naar alle waarschijnlijkheid ontwikkeld door de Verenigde Staten en Israël – richtte zich op de industriële controlesystemen van Iraanse nucleaire centrifuges waar hij inderdaad behoorlijk wat schade veroorzaakte.
Voor Siemens was Stuxnet een eyeopener omdat de worm zodanig was geprogrammeerd dat hij de besturingssoftware van de Duitse automatiseringsgigant opzocht. ‘Destijds stond cybersecurity bij heel weinig mensen in de OT-wereld op de agenda. Voor ons was Stuxnet direct aanleiding om ons te gaan wapenen en cybersecurity onderdeel van ons DNA te maken’, zegt Dirk De Bilde, ceo van Siemens Nederland.
It versus ot
Jalal Bouhdada van de DNV Cybersecurity Advisory Board en auteur van het boek Securing industrial control systems and safety instrumented systems begrijpt wel waarom cybersecurity in de maakindustrie vijftien jaar geleden geen issue was. ‘Voor die tijd waren productieomgevingen nog nauwelijks verbonden met de buitenwereld. Dat is tegenwoordig wel anders. De harde realiteit is dat de attack surface veel groter is geworden. Ook omdat er zowel in IT- als in OT-omgevingen volop connecties zijn met klanten en toeleveranciers. Als er ergens in de keten iets fout gaat, heeft dat nu impact op heel wat organisaties.’
‘De attack surface is veel groter geworden’
Omdat virussen in de IT-wereld al bestaan sinds de jaren 80, ligt de bescherming tegen dat soort malware heel ver voor ten opzichte van cyberprotectie in de industriële automatisering. Maar er is nog een belangrijke complicerende factor met cyberdreigingen in de ot. ‘IT-systemen worden typisch na zo’n drie jaar afgeschreven, vaak nog sneller’, weet De Bilde. ‘Voor machines in een fabriek praat je al gauw over een cyclustijd van tien jaar. En regelmatig draaien ze na twintig jaar nog steeds prima. Fabriekseigenaren beseffen weliswaar dat cybersecurity belangrijk is maar ze kunnen hun euro’s maar één keer uitgeven. Het staat wel op hun to-do-lijst, maar vaak als punt 11 of 12, terwijl ze meestal niet verder komen dan punt 10.’ Maar, zo waarschuwt De Bilde direct: ‘Je kunt cybersecurity niet wegdelegeren of stilletjes hopen dat er niks met jouw bedrijf gebeurt. Bedrijven hebben daar hun verantwoordelijkheid te nemen.’
De impact van een cyberaanval in de OT is ook beduidend anders. ‘Als mijn pc een keer een halve dag niet werkt, dan vloek ik een keer, maar dat is het wel ongeveer’, aldus De Bilde. ‘Als daarentegen een complete productielijn komt stil te staan omdat een hacker de boel heeft overgenomen, dan zijn de poppen echt aan het dansen.’ Die productiestilstand loopt snel in de papieren en dat maakt de maakindustrie een aantrekkelijk hackdoelwit. ‘Dat is het grote verschil tussen cybersecurity in IT en OT’, aldus De Bilde.
Jos van Baal van Isah: ‘In de hele keten zijn gebruikers regelmatig de meest kwetsbare schakel. Die mag je echt niet vergeten.’ Foto: Isah
Nergens aankomen
Bouhdada ziet dat de bewustwording in de OT-wereld toeneemt. ‘Iedereen heeft genoeg voorbeelden gezien van incidenten en hacks’, zegt hij. Dat wil niet zeggen dat het altijd even makkelijk is om tot actie over te gaan. ‘Ik ken heel wat – voornamelijk grijze – managers die zeggen: “Alles draait dus we blijven eraf.” Er zit een emotionele factor aan, maar ook een financiële want investeren in cybersecurity kost nu eenmaal geld.’ En ook al zijn die oudere systemen meestal niet het meest productief, ze hebben ook een voordeel. Want welke hacker weet nog hoe die oude software werkt? Die machines ongemoeid laten, is dus ook een vorm van cyberveiligheid.
De Bilde vult aan: ‘Het zijn best pittige investeringen als je moderne, cyberveilige systemen wilt neerzetten. Financieel is dat niet altijd haalbaar. Gelukkig kun je met een aantal basisingrepen al heel wat bereiken, dus ik maak me daar wat minder zorgen om. Vele malen groter is de uitdaging om met terugwerkende kracht de installed base te beschermen. Het is voor niemand mogelijk om van de ene op de andere dag het bestaande machinepark te upgraden. Daarvoor ontbreken het geld en de resources. Dus je moet het slim aanvliegen en keuzes maken.’ Siemens ziet hier een grote businesskans in. ‘Verschillende leveranciers, ook wij, bieden oplossingen om verouderde systemen te ringfencen. Dan bouw je als het ware een beschermingsmuur rondom die machines met een beveiligde connectie naar de buitenwereld.’
Morgen weer achterhaald
Niemand is veilig, benadrukt Bouhdada nog maar eens. ‘Er is geen 100 procent zekerheid. Ook al doe je alles via het boekje, er is altijd een kans dat iemand toch binnendringt.’ Jos van Baal, manager ict en informatiemanagement bij ERP-specialist Isah Business Software, valt Bouhdada bij: ‘Volledige garantie is er nooit. Geen enkele softwareleverancier zal dan ook claimen dat zijn product hackerproof is. Want mocht die garantie er vandaag al zijn, dan is hij morgen weer achterhaald.’ Dat is immers de voortdurende strijd tussen cyberaanvallers en -verdedigers. Bouhdada weer: ‘Maak het kwaadwillenden daarom zo moeilijk mogelijk en zorg dat je geen makkelijk slachtoffer bent. Hackers zijn lui, dus als je goed voorbereid bent en je doet je huiswerk, dan gaan ze naar de volgende.’
Bouhdada wijst naar de geopolitieke situatie. Want de Stuxnet-worm als cyberwapen heeft heel wat navolging gekregen. ‘Die dreiging dwingt bedrijven om extra alert te zijn. Om geen schade op te lopen maar ook om hun eigen IP te beschermen, want industriële cyberspionage kun je niet negeren.’ Van Baal ziet diezelfde ontwikkeling: ‘Sommige criminelen gaat het om harde euro’s; daar heeft het gros van het mkb mee te maken. Maar er zijn ook partijen, waar statelijke actoren – met vrijwel onbeperkte budgetten – enorm veel tijd en effort in steken om bedrijfsgeheimen te stelen. Er wordt dan vaak gewezen naar landen als China en Rusland, maar ik denk dat veel meer landen zich hieraan schuldig maken. Ze gaan zo doelgericht te werk dat ze ook mensen omkopen. Dat zal een gemiddelde Russische cybercrimineel niet zo snel doen.’
Buikpijn
Van Baal stipt daarmee een belangrijk punt aan. Want cybersecurity is natuurlijk een technische uitdaging; de software en hardware moeten goed beveiligd zijn. Maar het is net zo goed een menselijke uitdaging. ‘In de hele keten zijn gebruikers regelmatig de meest kwetsbare schakel. Die mag je echt niet vergeten’, aldus Van Baal. ‘Bij Isah besteden we daarom veel aandacht aan cyberbewustwording bij onze medewerkers. Soms gaan we daarin best ver en schakelen we een extern bedrijf in voor een social engineering test.’ Via allerlei manieren – ontmoetingen, mailtjes, appjes et cetera – proberen die ethische hackers Isah-medewerkers om de tuin te leiden en ze bijvoorbeeld gebruikersnamen en wachtwoorden te ontfutselen. ‘Mensen die erin trappen, lopen wel een tijdje met buikpijn rond maar hebben zeker hun les geleerd.’
‘Als we in Nederland een voortrekkerspositie willen hebben in digitalisering, dan kunnen we wat betreft cybersecurityregelgeving niet de minste leerling van de klas zijn’, vindt Dirk De Bilde van Siemens. Foto: Siemens
Ook Bouhdada benadrukt het feit dat medewerkers en gebruikers goed moeten worden getraind. ‘Je moet dit soort scenario’s minimaal één keer per jaar oefenen. Goede voorbereiding is noodzakelijk. Er moet een plan liggen, anders raken mensen in paniek. Ik heb het in de praktijk meegemaakt; iedereen gestrest, niemand die weet wat hij moet doen, dat zijn heel nare toestanden.’ Ook het screenen van medewerkers en random checks horen bij een compleet cybersecuritypakket. ‘Met alle privacyregels is dat tegenwoordig allemaal heel lastig’, weet Bouhdada. ‘Sowieso is de complexiteit toegenomen, maar het is zeker geen onmogelijke missie. Aan bedrijven de taak om alles te beveiligen. Hackers zitten in de luxepositie dat ze maar één ingangetje hoeven te vinden. Dus het is topsport om elke dag te zorgen dat je ze één stap voorblijft.’
Veilige wolk
Naast alle preventieve maatregelen draait cybersecurity om detectie en respons. Gevraagd naar een voorbeeld uit zijn directe omgeving, kan Van Baal opgelucht melden dat er nog geen securityincidenten zijn geweest bij Isah en zijn klanten. Dat betekent niet dat Isah incident response-team nooit in actie hoeft te komen. ‘Gisterenmiddag nog’, vertelt Van Baal, ‘kregen we een alert van ons monitoringsysteem. Er was een scan gestart van de IP-adressen op ons netwerk. Typisch iets wat hackers doen om een netwerk te verkennen. Dus alle leden van het team werden opgetrommeld en we zijn een onderzoek gestart. In dit geval bleek dat de scan vanaf het gastennetwerk gebeurde. Dat was al direct een opluchting, want uit securityoverwegingen is dat een gescheiden netwerk. En toen we verder gingen zoeken, bleek dat er inderdaad gasten in huis waren die een legitieme reden hadden om zo’n scan uit te voeren.’
Link magazine september 2024. Thema: Elektrificatie/waterstof.
Vraag exemplaar op: mireille.vanginkel@linkmagazine.nl
Als ERP-specialist heeft Isah ook een verantwoordelijkheid in de keten. De data uit zijn pakketten overschrijden immers haast per definitie bedrijfsgrenzen. ‘Onder meer onze supplychainfunctionaliteit draait in de cloud’, aldus Van Baal en hij legt uit: ‘Cloudproviders zoals Microsoft hebben enorme budgetten om beveiligingsmaatregelen en bewakingsmogelijkheden uit te rollen; daar kunnen gewone mkb’ers niet tegenop. Het lijkt me niet dat de cloud dus de zwakste schakel zal zijn. Maar je hebt zeker te maken met veel partijen; wij als softwareleverancier, de infrastructuren van de twee bedrijven die de data delen, de cloudconnectie en alle internetverbindingen daartussen. Je moet dat allemaal goed in kaart brengen, wil je echt veilig data kunnen delen.’
Omdenkmentaliteit
Zoals gezegd heeft Siemens elke drie kwartier te maken met een serieuze hackpoging. ‘We worden dus nog veel vaker aangevallen’, aldus De Bilde. ‘Dat managen we goed want we detecteren deze pogingen snel en het is tot nu toe nog nooit uit de hand gelopen.’ Het is niet dat Siemens mooi weer speelt omdat het zijn incidenten liever onder de pet houdt. De Bilde predikt juist openheid. ‘We moeten met z’n allen veel meer praten en in ketens denken. Cybersecurity in het OT-landschap zit nog in de taboesfeer. Ik begrijp dat bedrijven zich schamen en het daardoor lastig vinden om eerlijk te zijn over hacks. Maar we moeten juist naar een cultuur waarin we meer gaan delen zodat iedereen kan leren van de fouten die ergens worden gemaakt.’
– ‘We moeten met z’n allen veel meer praten en in ketens denken.’
De Bilde geeft toe dat die oproep vraagt om een omdenkmentaliteit. Hij verwijst daarom naar de coronacrisis: ‘Ook toen stonden we met z’n allen voor een grote uitdaging waar we niet onmiddellijk een oplossing voor hadden. Maar de wetenschap is gaan samenwerken en heeft data gedeeld waardoor we ongelooflijk snel tot een vaccin kwamen. Ook toen was er echt wel concurrentie tussen de verschillende partijen, maar die stond het proces niet in de weg.’
Gehoor in Den Haag
De Bilde onderstreept nog maar een keer dat cybersecurity absoluut niet alleen het domein van it’ers is. ‘In regelgeving ligt daar helaas wel nog de focus op. Er is nog te weinig oog voor OT. Samen met onder meer branchevereniging FME hebben we als Siemens Nederland er daarom bij verschillende overheden op gehamerd om OT heel nadrukkelijk mee te nemen in de nieuwe NIS2-regels. In deze tijd waar IT en OT met een rotvaart op elkaar afstevenen, moet ot ook bovenaan staan en niet bij wijze van spreken ergens weggestopt in paragraaf 383.6. Daar zijn we echt voorvechters van geweest, dus heel positief dat we in Den Haag gehoor hebben gekregen.’
De tweede, geüpdatete versie van de Network and Information Security Directive (NIS2) is in Nederland momenteel nog volop in ontwikkeling. Dat frustreert De Bilde. ‘Ik doe zeker geen oproep voor meer regelgeving; daar zitten we als bedrijfsleven niet op te wachten. Maar als we in Nederland een voortrekkerspositie willen hebben in digitalisering, dan kunnen we wat betreft cybersecurityregelgeving niet de minste leerling van de klas zijn. Ondanks het bewustzijn en de luisterbereidheid van de overheid denk ik niet dat we daar helemaal dezelfde symfonie spelen.’
De ceo van Siemens sluit af met een statement waarom het belang van cybersecurity niet overschat kan worden: ‘Om ons welvaartsniveau te behouden, moeten we onze arbeidsproductiviteit verhogen. Dat betekent automatiseren en digitaliseren. En daarmee zeg je gelijk dat we cyberveiliger moeten worden. Want vooroplopen in digitalisering kan alleen als we ook onze cybersecurity goed op orde hebben.’
HackGPT
De opkomst van artificial intelligence heeft ook impact op het cybergevaar. Het is een natte droom voor hackers om met AI-tools aan de slag te kunnen gaan. Rustig achteroverleunend laten ze AI zoeken naar de zwakke plekken in de beveiliging van bedrijven. Daarna zetten ze kunstmatige intelligentie in om automatisch hackcode te creëren.
Gelukkig is AI andersom ook te gebruiken bij de beveiliging van OT-systemen. Want een AI-model is prima in staat om te bedenken wat normaal systeemgedrag is en om alarmbellen te laten afgaan als er van die norm wordt afgeweken. Bovendien kan AI ontwikkelaars bijstaan om kwetsbaarheden in de software te identificeren nog voordat de code überhaupt is uitgerold.
Data delen in de keten: cybersecurity en beveiliging
IT-systemen zijn kwetsbaar voor hackers en andere kwaadwillenden; het is een dagelijkse strijd tussen verdedigers en aanvallers. In de industrie ligt het beveiligingsniveau over het algemeen lager. Terwijl juist daar ook veel schade kan worden aangericht. Schokkend genoeg werd van alle industrieën de maakindustrie vorig jaar het vaakst getroffen door een cyberaanval (25 procent van de gevallen). Nu alle systemen steeds meer worden verbonden, ook buiten de schijnbaar(!) veilige grenzen van het eigen bedrijf, is cybersecurity een ketenverantwoordelijkheid geworden, een risico dat bedrijven samen moeten aanpakken. Een onbewaakt achterdeurtje bij een klant of toeleverancier kan de eigen business immers danig in de war schoppen.
