Als de Europese NIS2 ook in Nederland in wetgeving is omgezet, moeten meer bedrijven aan strenge security-eisen voldoen. Zo ook diverse industriële en chemische bedrijven. Maar juist daar is security vaak nog een uitdaging, ziet Rob Verseijden, cybersecurityspecialist bij Batenburg Magion in Den Haag.
Kleine bedrijven hikken tegen hoge kosten online veiligheid aan
De Nederlandse overheid werkt op dit moment hard om de NIS2-richtlijn in nationale wetgeving om te zetten, via de zogeheten Cyberbeveiligingswet. Toch zijn sommige nieuwe regels al wel bekend, waaronder de regel dat ceo’s persoonlijk aansprakelijk kunnen worden gesteld bij een security-incident. Die regel geldt als bedrijven aantoonbaar niet voldoende hebben gedaan om een incident te voorkomen of om daarvan te herstellen – bijvoorbeeld door geen back-ups te maken of updates niet te installeren – en er schade is ontstaan die ook derde partijen, zoals eindgebruikers of klanten, raakt.
‘Vroeger had je bij wijze van spreken een modem rechtstreeks aan het apparaat hangen. Daar kwam echt niemand tussen, dus dat was veilig’, vertelt Rob Verseijden. ‘Maar op een gegeven moment zijn we gaan werken met de netwerken die we op kantoren ook gebruiken, want die technologie is goedkoper. Wat vervolgens vergeten wordt, is dat je daarmee ook het onderhoud moet plegen zoals je dat aan kantoorzijde doet. Je kunt niet meer zoals vroeger een systeem kopen en vijftien jaar later eens naar onderhoud gaan kijken. Een pc gaat niet zonder morren zo lang mee.’
IT anders dan OT
IT heeft in tegenstelling tot OT regelmatig met updates te maken, om beveiligingsproblemen te voorkomen. Nu de productievloer steeds meer IT gebruikt, is dat daar ook nodig. Maar een beveiligingsupdate kan per ongeluk ergens anders iets beschadigen. In een kantooromgeving vaak geen reden tot paniek – even niet kunnen mailen is niet onoverkomelijk – maar in fabrieken draait apparatuur 24/7 door. Gaat iets offline, dan kan een situatie onveilig worden of is snel sprake van grote financiële schade. Updates worden daarom uitgebreid gecontroleerd, wat veel tijd kost. Even snel updaten kan in de OT dus niet.
Link magazine juli/augustus 2024 Thema Mens, Cultuur, Organisatie & Productiviteit. Lees Link magazine digitaal of vraag een exemplaar op bij mireille.vanginkel@linkmagazine.nl
Dat geldt ook voor wijzigingen in de apparatuur, weet Verseijden. ‘Zelfs al vervang je een simpele server, je loopt alles na. Welke functies vervult die server? Hebben we die redundant? Zo niet, hoe lang kan het apparaat uitvallen? Pas als alles duidelijk is, iedereen ingelicht en er klaar voor is, kan de server worden vervangen.’ Dat betekent dat er veel tijd overheen gaat voordat een relatief eenvoudige wijziging of update doorgevoerd kan worden.
Computers op Windows XP
Daarnaast is niet altijd duidelijk wat waar draait, met als gevolg dat soms nog sterk verouderde software wordt gebruikt. ‘Je hebt ook pc’tjes in kastdeuren zitten. Daar zit een schermpje met een pc erachter, waar een embedded versie van Windows XP op draait. Vaak worden die dingen vergeten’, vertelt Verseijden. De ondersteuning voor Windows XP stopte al in 2014, wat betekent dat beveiligingsproblemen niet meer worden opgelost. ‘Zolang de pc niet aan een netwerk hangt en alleen lokaal draait, is dat ook niet zo erg. Er kan toch niemand bij. Maar als het apparaat wel met een netwerk is verbonden, wordt het een probleem.’
Een andere reden dat soms nog Windows XP of iets vergelijkbaars wordt gebruikt, is omdat een nieuwere versie installeren lastig kan zijn. Niet alle protocollen en software die in de industriële wereld worden gebruikt, kunnen namelijk met de nieuwere besturingssystemen omgaan. ‘Je hebt dus heel snel met een domino-effect te maken: je vervangt Windows XP door een nieuwere versie, maar dan moet je ook allerlei andere systemen vervangen. Dat wordt heel snel duur.’
Meedraaien
Goed met dit soort en andere beveiligingsuitdagingen omgaan, wordt met de NIS2 van nog groter belang. Wat Verseijden betreft, is het dan ook belangrijk dat de industriële kant net als IT een ingang heeft op C-niveau binnen een bedrijf. ‘Bij grotere bedrijven heeft de IT-afdeling een ciso (chief information security officer) en cto die verantwoordelijk zijn. Maar vaak zijn die ciso’s niet op de hoogte van de productievloer of de OT-omgeving. Terwijl ze daar net zo goed bij betrokken zouden moeten worden.’
Daarnaast ziet Verseijden mogelijkheden via een zogeheten security operations center (soc) – een dienst waarbij een externe partij het netwerk monitort op verdacht gedrag, wat kan wijzen op hackers. Dergelijke dienstverlening is vaak erg duur en zeker voor kleinere bedrijven buiten bereik. Verseijden hoopt dat er soc’s komen met een aantal grote klanten, die nog wat capaciteit over hebben. ‘Daar kunnen kleinere bedrijven dan misschien op meedraaien, tegen een aantrekkelijk tarief. Dan worden ze in ieder geval gemonitord en heb je tijd om in te grijpen als er iets gebeurt.’
