Bijeenbrengen OT en IT is lastig, maar essentieel voor cybersecurity

Header-website-ICS2019

Confidentialiteit van informatie in computersystemen; de integriteit van data; de beschikbaarheid van geautomatiseerde systemen: het zijn de drie pijlers waarmee we maatregelen tegen cybercriminaliteit binnen ondernemingen willen waarborgen. En dan maakt het niet uit of het gaat om voorzieningen in de IT-sfeer, dan wel in het OT-domein. Toch is de focus vanuit die verschillende omgevingen totaal verschillend. IT-specialisten leggen de nadruk op de confidentialiteit van data; OT-medewerkers vinden beschikbaarheid van systemen veel belangrijker. Het is slechts één voorbeeld van de kloof die tussen beide groeperingen helaas bestaat. IT’ers en OT’ers vertrouwen elkaar niet. In hun voordracht tijdens het Heliview congres Industrial Cyber Security zullen Ad Krikke en Alex van Delft gezamenlijk vanuit hun verschillende functies in de uiteenlopende disciplines bij Koninklijke DSM de uitdagingen rond cyberbeveiliging voor het voetlicht brengen. Het bijeenbrengen van de werelden van IT en OT op basis van vertrouwen is een traject met obstakels maar essentieel voor succes.

OT naïef over cyberdreiging

Terwijl de voorzieningen voor de kantoorautomatisering van een bedrijf over een termijn van drie jaar worden afgeschreven en de daarop draaiende informatiesystemen gemiddeld hooguit 10 jaar meegaan, hebben de systemen en apparaten voor de operationele besturing en bewaking van industriële productieprocessen een levensduur van soms wel 40 jaar. Anekdotisch is het verhaal over fabrikanten die jarenlang de tweedehands markt afstroopten op zoek naar nog bruikbare Intel 8086-processoren voor hun productiemachines. In het Intel processorengamma zijn ze al vele generaties verder, maar sommige bestaande, in tientallen jaren bewezen programmatuur draait daar niet op en dus blijven de betreffende gebruikers op de oude voet doorgaan. En waarom niet? Die productiemachines hangen immers niet aan het internet. Die veronderstelling blijkt in de praktijk vaak een misvatting. Niet zelden leidden efficiency motieven in de afgelopen jaren naar het uitbesteden van onderhoudsactiviteiten. In het begin kwamen de contractanten langs voor het uitoefenen van hun controlerende taak. Hun fysieke aanwezigheid was niet langer noodzakelijk met de komst van internet en de mogelijkheid om op afstand machines en appraten te monitoren. Wie dacht dat zijn productiemachines strikt offline functioneerden, kwam bedrogen uit. De meet- en regeltechniek met inschakeling van sensoren maakt de fabrieksvloer net zo ’connected’ als de kantooromgevingen en - ook in het geval van gescheiden netwerken - net zo kwetsbaar voor kwaadwilligen in de cybersfeer. Terwijl de voor de productie vitale SCADA-systemen nog geheel in het OT-domein binnen de ’veilige’ beschermingswallen van de onderneming blijven, schuiven de MES-voorzieningen steeds meer op in de richting van de bestuurlijk administratieve automatisering. Aantrekkelijk geprijsde alternatieven in de cloud liggen in het verschiet. De breedband onlineverbindingen vinden in rap tempo hun weg naar de fabrieksvloer.

IT opereert vanuit ivoren toren

Ad Krikke_ICS2019 Ad Krikke, Chief Information Security Officer (CISO) bij Koninklijke DSM behoort qua functie nu tot de IT-gelederen van de multinational, maar heeft jarenlang als audit-inspecteur de risico’s in kaart gebracht bij de verwerkingsprocessen op diverse DSM-locaties in de wereld. ”Die periode heb ik als zeer leerzaam ervaren omdat je inzicht krijgt in de manier en de schaal waarop we binnen de productieprocessen ondernemingsdata vergaren. Gelijktijdig bouw je een netwerk op van contacten op de werkvloer. Van IT’ers wordt toch te vaak gezegd dat ze opereren vanuit een ivoren toren. Dat isolement verklaart het wantrouwen tussen de mensen uit de IT en de OT-specialisten in de fabriek als het gaat om het controleren op en het verrichten van handelingen ten behoeve van de cybersecurity. Om die reden geef ik de presentatie op het Heliview congres samen met Alex van Delft, een collega die toeziet op de beveiliging van de systemen in het OT-domein. Die auditervaring heeft mij geleerd dat we onszelf gemakkelijk overschatten als het gaat om het beheer over de IT- en OT-voorzieningen. Vanuit veiligheidsoverweging houden we daar graag grip op, maar vergeten dat er dienstverleners bestaan die daarin meer gespecialiseerd zijn dan wij. Ik begrijp waarom daarop in de fabrieken een meer terughoudende zienswijze bestaat. Het even tijdelijk stilzetten van installaties, zoals in de IT-wereld in het geval van onderhoud soms gebeurt, is bij chemische processen onmogelijk. Daar werken de installaties 7 x 24 uur. Ik kijk er niet vreemd van op dat zich ook binnen ons bedrijf situaties voordoen waarbij OT-specialisten hun IT-collega’s domweg van hun terrein weren. En toch hebben we in de fabrieken ervaren dat door digitalisering van de meet- en regelprocessen we de kwaliteit van de productie hebben verbeterd. Gelijktijdig mogen we onze ogen niet sluiten voor de kwetsbaarheden die daardoor ontstaan. Een DCS-systeem met duizenden via netwerkkabels aangesloten sensoren zal bij intensief dataverkeer wel eens minder kunnen gaan presteren wanneer door netwerksegmentatie er minder bandbreedte voorhanden is. In het algemeen kan je stellen dat de lange levenscyclus die we in de fabrieken gewend waren voor apparaten en systemen, verleden tijd is. Vroeger werd het fabrieksproces afgestemd op de functionaliteit van de geïnstalleerde plc’s. Nu gaan we die eerder vervangen om ze beter te laten functioneren in samenhang met processen, passend in het traject van de digitale transformatie en de aansluiting op de Industrie 4.0 concepten.”

‘Economy of scale’ uit de cloud

De cloud als optie om meer profijt te trekken uit de ’economy of scale’ is binnen DSM inmiddels een bespreekbaar onderwerp. Uiteraard zal de aanbieder moeten voldoen aan alle voorwaarden rondom beveiliging en beschikbaarheid. Voor Ad Krikke is het stellen van die eisen een ’no-brainer’. ”Het is alsof je bij het kopen van een auto de vraag stelt of er veiligheidsgordels inzitten. Een potentiële outsourcing leverancier kan er zeker van zijn een goed geïnformeerde engineer aan te treffen die hem professioneel toetst op vakbekwaamheid, inclusief het afdekken van cybersecurity risico’s.” Soms blijkt een perfecte oplossing niet haalbaar, maar met enige realiteitszin komt iedereen tot de conclusie dat ook in het geval van dataverwerking in eigen beheer er kwetsbaarheden in de beveiliging bestaan. Volgens de DSM CISO maakt het niet uit of je nu systemen on-premise dan wel in de cloud hebt, wanneer iemand het op jou gemunt heeft, kan hij in alle gevallen toeslaan. Het gaat om de perceptie dat OT-engineers lijnrecht tegenover IT-engineers staan als het gaat om cybersecurity. Twee jaar geleden startte de onderneming met een programma om stapsgewijs de vertrouwensband tussen OT’ers en IT’ers tot stand te brengen. Dat programma begint volgens Krikke vruchten af te werpen. Gezamenlijk brengen vertegenwoordigers uit beide kampen de risico’s in kaart via een assessment. Als men het daarover eens is, worden er maatregelen voorgesteld conform de industrie standaarden die gezamenlijk zijn uitgewerkt naar ’Best Practices’. Op de fabrieken gaat men frequent na of er aan de norm wordt voldaan en zo niet, dan volgt er een verbeterplan. Krikke: ”Met preventieve onderhoudsvormen gaan we straks nog veel meer data vanuit de fabriek uitwisselen met de buitenwacht. IT’ers denken via automatisering nog veel meer op fabrieksniveau voor elkaar te kunnen brengen. Het is absoluut noodzakelijk dat OT’ers en IT’ers meer respect voor elkaars standpunt opbrengen. Aan beide kanten is men verplicht om elke verandering in een change procedure aan te geven en te zorgen dat de diverse verandering op elkaars processen aansluiten. Begrip voor elkaar bereik je niet met alleen angstverhalen over cybercriminaliteit. Die creëren juist de kloof. Vertrouwen verbindt!”

Het congres Industrial Cyber Security vindt plaats op 14 maart in DeFabrique in Utrecht