Cybersecurity van Operationele Techniek

23 maart, 2023
Aanbevelingen uit een casestudy bij de provincie Zuid-Holland
Door digitale transformatie vloeien IT en OT steeds meer in elkaar over. In dit artikel worden aanbevelingen gegeven voor de cybersecurity van operationele techniek gebaseerd op interne audits bij de provincie Zuid-Holland.
Introductie
Operationele Techniek (OT) is een verzamelnaam voor systemen die worden gebruikt voor het beheer van operationele processen in de fysieke wereld, zoals het aansturen en monitoren van (industriële) apparatuur. OT speelt een grote rol in verschillende sectoren en wordt veel toegepast in de maakindustrie, olie- en gasindustrie, waterschappen en in de transport- en energiesector. [DIGI23] Het domein van de OT is behoorlijk in ontwikkeling. Zo is er sprake van een digitale transformatie waardoor IT en OT steeds meer in elkaar overvloeien en een toename van OT-malware. Ook is er een uitbreiding van wet- en regelgeving, waaronder een verwachte herziening1  van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Hierdoor wordt deze wet op nog meer sectoren – inclusief de decentrale overheid – van toepassing. Dit maakt de cybersecurity van OT steeds belangrijker en dat geldt ook voor de rol van de IT-auditor hierin. [BOMM20]

Dit artikel bevat aanbevelingen voor de cybersecurity van OT. Deze zijn gebaseerd op interne audits naar de OT van de provincie Zuid-Holland, zoals hierna beschreven. De aanbevelingen kunnen organisaties helpen bij het inrichten van de cybersecurity van hun eigen OT en dienen als attentiepunten voor de IT-auditor.

1. De Europese regels uit de ‘Network and Information Security’ (NIS) richtlijn zijn in Nederland geïmplementeerd in de Wbni. Op 16 januari 2023 is de nieuwe NIS2-richtlijn in werking getreden. Met NIS2 wordt het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid naar diverse sectoren die belangrijk zijn voor de economie en samenleving, waaronder decentrale overheden. De EU-lidstaten hebben tot 17 oktober 2024 om de richtlijn om te zetten in nationale wetgeving. In Nederland zal de Wbni moeten worden aangepast, onder meer om de verplichtingen voor overheden vorm te geven. [BUUR23]
Verschijningsvormen van OT bij de provincie
De provincie beschikt over OT in de vorm van centrale objectbediening. Dit valt onder haar Dienst Beheer Infrastructuur en dus buiten de IT-afdeling. Centrale objectbediening wordt in de praktijk geassocieerd met de brugbediening vanuit bediencentrales, maar ook andere objecten in de provincie worden centraal bediend. Hieronder volgt een globale beschrijving van de verschijningsvormen en het belang ervan voor de provincie.

De bovengenoemde centrale brugbediening gebeurt met een samenstel van systemen voor de brugbesturing zelf en ondersteuning daarvan, zoals camera’s, marifoons en windmeters. Voor het verkeersmanagement op provinciale wegen worden centraal bediende verkeersregelinstallaties, die doorgaans bestaan uit verkeerslichten, lussen in het wegdek en camera’s, en route-informatiepanelen ingezet. De genoemde systemen worden via een private glasvezelinfrastructuur en internet ontsloten op de betreffende bedienlocaties. Het systeem- en netwerkbeheer heeft de provincie grotendeels uitbesteed. Relevante gebeurtenissen voor de bediening, waaronder storingen in de systemen, worden gelogd en gemonitord op een centrale incident coördinatie (IC-)desk. Daarnaast is er centrale bediening van openbare verlichting voor de verkeersveiligheid en pompen voor het verwijderen van water uit brugkelders en tunnels. Dit gebeurt via cloudapplicaties die de provincie als Software as a Service (SaaS)2 afneemt en ook door andere organisaties worden gebruikt. De openbare verlichting en pompen zijn via internet verbonden met de desbetreffende cloudapplicaties. Dat gaat deels draadloos, bijvoorbeeld via mobiele telefoonnetwerken. Via de cloudapplicaties worden ook storingen gerapporteerd en afgehandeld.

Het belang van centrale objectbediening voor de provincie verschilt per variant en daarmee verschillen ook de eisen op het gebied van de cybersecurity. De missie van de provinciale Dienst Beheer Infrastructuur is “vlot en veilig over weg en water, samen met anderen”. Het openen van de bruggen via een hack doet hier potentieel meer afbreuk aan dan bijvoorbeeld het uitschakelen van de openbare verlichting, waar weggebruikers hun rijgedrag op aan kunnen passen. Naast het belang verschilt ook de kwetsbaarheid voor cyberdreigingen per variant.

Bij sommige OT draait veiligheidskritieke functionaliteit bijvoorbeeld ‘standalone’ waardoor deze kwetsbaarheid er niet of nauwelijks is. De verkeersregelinstallaties zijn hier een voorbeeld van; die hebben een autonome ‘bewaker’, waarin onder meer is geprogrammeerd dat kruisende rijstroken niet gelijktijdig groen licht krijgen.

Het beheersen van cybersecurityrisico’s vergt dus maatwerk. Organisaties met OT kunnen hiertoe de onderstaande aanbevelingen uit de provinciale casestudy in overweging nemen. IT-auditors kunnen ze gebruiken als attentiepunten bij de beoordeling van de cybersecurity van OT.
2. De cursief gedrukte begrippen zijn beschreven in de begrippenlijst aan het eind van dit artikel.
Aanbevelingen voor de cybersecurity van OT
1. Implementeer een CSMS om cybersecurity op de kaart te zetten
De eerdergenoemde Wbni verplicht organisaties die essentiële diensten aanbieden om 'passende en evenredige technische en organisatorische beveiligingsmaatregelen' te treffen. Een managementsysteem op basis van plan-do-check-act is een instrument om dat continu te waarborgen. Voor het beschermen van informatie wordt hiervoor doorgaans het Information Security Management System (ISMS) op basis van ISO 27001 ingezet [ISO22]. Voor het beschermen van OT-assets is er het Cyber Security Management System (CSMS) op basis van IEC 62443 (normdeel 2-1) [IEC10]. Van oudsher is, terecht, al veel aandacht voor de technische en functionele werking van OT. Een CSMS helpt om ook de cybersecurity op de kaart te zetten en ondersteunt het management bij het nemen van beslissingen hierover. Het geeft concreet inzicht in welke OT-assets een organisatie in huis heeft, waar de cybersecurityrisico’s zitten en wat de te nemen maatregelen zijn. Een ISMS en CSMS kunnen naast elkaar in een organisatie bestaan en elk een andere eigenaar hebben. Voor het CSMS is de manager onder wie de OT valt hiervoor een goede kandidaat, mede gezien het voor succes noodzakelijke commitment.

Een CSMS omvat in beginsel alle OT van een organisatie, maar het is wel nodig om de risicoanalyses en daaruit voortvloeiende cybersecurity maatregelen per soort OT te benaderen aangezien zowel het belang voor de organisatie als de kwetsbaarheden per soort kunnen verschillen. Voor de cybersecurity risicoanalyse is het te overwegen om aan te sluiten bij risicoanalysemethodieken die al in de organisatie gebruikt worden. Zo kunnen de risico’s uit verschillende domeinen – zoals informatiebeveiliging en assetmanagement – makkelijker worden opgetild of samengebracht per asset. Verder is het raadzaam om een centrale registratie van security risico’s en de afhandeling daarvan te voeren in één organisatiebreed ‘Governance, Risk en Compliance’-systeem. Houd er rekening mee dat het inrichten van een nieuw CSMS tijd vergt. Wacht dus niet met het aanpakken van bekende cybersecurity risico’s van OT tot het CSMS gereed is.

2. Integreer cybersecurity in de ‘tweede lijn’ om de regie te nemen
Overheidsorganisaties dienen een Chief Information Security Officer (CISO) aan te stellen, op basis van een vastgesteld CISO-functieprofiel. [BIO20] Het is te overwegen om deze tweedelijnsfunctie het volledige security-domein te laten bestrijken, waarin, naast informatie, ook de OT-assets worden meegenomen. Zo blijft het geheel in beeld en is er één geïntegreerde sturings- en verantwoordingslijn voor de directie en het bestuur. Hiertoe wordt de CISO (of kortweg CSO) idealiter rechtstreeks onder de directie gepositioneerd, bijvoorbeeld als onderdeel van concerncontrol, en niet onder een vakafdeling zoals de IT- of OT-afdeling. De CSO kan aan het hoofd staan van een expertiseteam van (tweedelijns) beveiligingsspecialisten, die desgewenst wel onder de vakafdelingen vallen en de betreffende security managementsystemen onderhouden. Van belang is in ieder geval dat de kennis van de verschillende security disciplines, zoals netwerk security en fysieke beveiliging, in de organisatie aanwezig is en gedeeld wordt. Zo kan de organisatie zelf de regie nemen over de cybersecurity van haar OT en dit als geheel passend en evenredig houden, in lijn met de Wbni.

3. Organiseer het beheer van de OT zodat dit structureel gebeurt
Het beheer van OT wil nog weleens ad hoc ofwel incident-gedreven zijn, met als valkuil dat je achter de feiten aan blijft lopen. De volwassenheid kan worden verhoogd door beheertaken goed te beleggen en toe te zien op de uitvoering. Meestal staat de organisatie zelf aan de lat voor het functioneel beheer. Beleg dit expliciet als taak bij medewerkers. Toegangsbeheer is hier namelijk onderdeel van en moet zorgvuldig worden uitgevoerd om security incidenten te voorkomen. Over de beheertaken die bij leveranciers liggen, kan de organisatie contractuele afspraken maken in onder andere ‘service level agreements’. De eisen op het gebied van cybersecurity die voortvloeien uit de eerdergenoemde risicoanalyses zouden hier onderdeel van moeten zijn. Zorg dat een contract- of leveranciersmanager hierop toeziet.

Verder is het raadzaam om met leveranciers af te spreken hoe zij zich verantwoorden over cybersecurity. Dat kan bijvoorbeeld via (service level) rapportages en overleggen van/met de leverancier zelf, maar ook via ‘Service Organization Controls’ (SOC) rapportages en certificeringen die door onafhankelijke auditors worden verstrekt. SaaS-dienstverlening, zoals die bij de centrale objectbediening van de provincie, leent zich bij uitstek voor SOC-rapportages en certificeringen, omdat daarmee in één keer kan worden voorzien in de (assurance)behoefte van alle organisaties die zo’n dienst afnemen.

4. Tref preventieve maatregelen om cybersecurity incidenten te voorkomen
Met preventieve (technische) maatregelen kan een organisatie cybersecurity incidenten helpen voorkomen. De norm IEC 62443 (deel 2-1) [IEC10] bevat een overzicht van mogelijke maatregelen per onderdeel van het CSMS. Op basis van een risicoanalyse kan de organisatie hieruit een keuze maken. Hieronder staan enkele specifieke aandachtspunten die volgen uit de casestudy bij de provincie.

Pas ‘security by design’ toe of tref compenserende maatregelen
Software en protocollen voor OT zijn soms betrekkelijk oud en niet (bewezen) cybersecure. Zo kan sommige bediensoftware worden gebruikt zonder in te loggen en kennen sommige protocollen geen versleuteling, omdat cybersecurity oorspronkelijk ondergeschikt was aan andere criteria zoals efficiency en effectiviteit. Dit maakt OT kwetsbaar voor hackaanvallen waarbij bijvoorbeeld de bediening wordt overgenomen. Op de wat langere termijn kan dit worden aangepakt door met leveranciers of de markt als geheel te werken aan software en protocollen op basis van ‘security by design’-principes. Tot die tijd kan een organisatie compenserende maatregelen treffen. Denk hierbij aan (aanvullende) fysieke toegangsbeveiliging van bedienlocaties en maatregelen op netwerkniveau, zoals het versleutelen van datacommunicatie via VPN-tunnels en het (verder) opdelen van het OT-netwerk in afscheiden segmenten zodat niet direct de hele OT blootgesteld wordt aan een geslaagde hackpoging.

Realiseer veilige beheertoegang tot het OT-netwerk
De beheertoegang van monteurs en ander personeel tot het OT-netwerk is inherent risicovol vanwege de hoge rechten en verdient daarom bijzondere aandacht. Een onderdeel hiervan is de beveiliging van de door hen gebruikte devices, zoals laptops. De beveiliging kan bijvoorbeeld worden gewaarborgd door de devices in eigen beheer uit te geven of met geautomatiseerde controles op het beveiligingsniveau ervan. Daarnaast kan gebruik worden gemaakt van beheernetwerken, eventueel in combinatie met beveiligde opstapservers, zodat deze devices niet direct onderdeel zijn van het OT-netwerk zelf. [HOOG18]
Besteed zorg aan de beveiliging van objecten in het veld
Objecten in het veld dienen heel bewust alleen via vertrouwde netwerken, zoals het besloten OT-netwerk en eventueel een beheernetwerk, te worden ontsloten en niet via publieke netwerken, zoals het internet. Dat laatste zou hackers wereldwijd namelijk de gelegenheid geven om een inbraakpoging te doen op het object en vandaaruit wellicht verder in het OT-netwerk te komen. Om dat risico verder in te perken is het ook wenselijk om de toegestane verkeersstromen vanuit het lokale object naar het OT-netwerk tot een minimum te beperken. Verder is het van belang om de netwerkinfrastructuur (routers, modems e.d.) in het veld te hardenen en patchen volgens de desbetreffende richtlijnen. Denk hierbij onder andere aan het dicht zetten van fysieke poorten en het inrichten van device authenticatie zodat geen ongeautoriseerde objecten op het OT-netwerk kunnen worden aangesloten.

Voer security assessments uit om de getroffen maatregelen te testen
Het is raadzaam om de effectiviteit van de bovenstaande preventieve maatregelen te testen door herhaaldelijk security assessments, zoals penetratietests en vulnerability scans, uit te voeren en de objecten in het veld hier nadrukkelijk in mee te nemen. De bevindingen uit de security assessments kunnen worden geregistreerd en afgewikkeld via de eerdergenoemde centrale risicoregistratie.

5. Beperk de impact van cybersecurity incidenten zodra deze zich voordoen

Zorg dat cybersecurity incidenten snel worden gedetecteerd en opgepakt
Security incidenten zijn nooit helemaal te voorkomen met preventieve maatregelen. Daarom is het van belang om deze zo snel mogelijk te detecteren en tijdig aan te pakken. Op basis van een risicoafweging kan worden bepaald welke soorten incidenten gemonitord dienen te worden, door wie en met welke frequentie. Het is verstandig om hierbij ook een breder perspectief te nemen dan alleen een specifieke soort OT, want als verschillende onderdelen uit het IT- en OT-domein gebundeld worden dan is een (professioneler) security operations center (SOC) wellicht haalbaar. Verder is het te overwegen om de storingen in álle OT te bewaken via een gemeenschappelijke IC-desk, zodat niets gemist wordt.

De security incidenten die worden gesignaleerd via een SOC, IC-desk of anderszins worden idealiter via een centraal security incidentmanagementproces afgewikkeld. Dit komt de uniformiteit daarvan ten goede, maar ook de betrouwbaarheid van de cybersecurity incidentregistratie. Dat laatste is mede van belang om te kunnen voldoen aan de meldplicht uit de Wbni: aanbieders van essentiële diensten moeten ernstige (security) incidenten melden bij het Nationaal Cyber Security Centrum (NCSC) en hun sectorale toezichthouder. [NCSC23]

Richt business continuity management in
Ook met de bovenstaande preventieve en detectieve maatregelen kunnen security incidenten optreden die leiden tot calamiteiten binnen de OT. Dat komt doordat er altijd restrisico’s overblijven die vanuit kosten-baten-overwegingen niet verder worden gereduceerd. Denk bijvoorbeeld aan het risico dat men doelgericht kritieke netwerkinfrastructuur beschadigt waardoor OT niet meer centraal te bedienen is. Een organisatie kan hierop anticiperen door mogelijke calamiteiten en bijbehorende herstelprocedures, inclusief tijdelijke lokale bediening, vooraf in kaart te brengen. De maximaal toegestane hersteltijd is hiervoor het uitgangspunt. Deze varieert per soort OT en kan worden bepaald met een business impact-analyse voor het aspect ‘beschikbaarheid’. [ISF97] Het is gebruikelijk om deze zaken op te nemen in een business continuity plan en om dit plan vervolgens periodiek te evalueren en waar nodig te testen.
Tot slot: tips voor het uitvoeren van audits naar de cybersecurity
Voor organisaties met verschillende soorten OT, zoals de provincie, kan het praktisch zijn om de audits naar de cybersecurity daarvan in delen uit te voeren. Mogelijke auditobjecten zijn respectievelijk de organisatie van cybersecurity in het algemeen en de technische cybersecurity per soort OT, waarbij bijvoorbeeld de meest risicovolle OT als eerste kan worden geaudit. De IEC 62443 norm is een bruikbaar referentiekader en in het bijzonder normdeel 2-1 [IEC10], dat maatregelen per onderdeel van het CSMS bevat. De aanbevelingen in dit artikel kunnen dienen als specifieke attentiepunten. De risico’s die blijken uit de audits kunnen – net als de risico’s uit security assessments – worden opgenomen in de centrale risicoregistratie. Zo is ook de afwikkeling ervan te volgen.

Voor zover het onderhoud en beheer van de OT is uitbesteed en de betreffende leveranciers cybersecurity voor hun rekening nemen kan de IT-auditor gebruik maken van SOC-rapportages of certificeringen. Als die (nog) niet beschikbaar zijn dan kan de IT-auditor ervoor kiezen om de cybersecuritymaatregelen zelf te toetsen bij de leverancier, zeker als contractueel een ‘right to audit’ is overeengekomen.
Lars Hoogendijk MSc RE CISA | Senior Auditor bij de provincie Zuid-Holland
Lars Hoogendijk werkte van 2015 tot begin 2023 bij de Eenheid Audit en Advies van de provincie Zuid-Holland. Hier verrichtte hij onder andere de interne audits naar de cybersecurity van de provinciale OT, die aan de basis liggen van dit artikel. Eind 2018 is Lars geslaagd voor het IEC 62443 security professional examen van het Nederlands Normalisatie Instituut. 
Begrippenlijst
BegripOmschrijving
Chief Information Security Officer (CISO)De CISO definieert het informatiebeveiligingsbeleid en organiseert en stuurt de informatiebeveiliging van de organisatie overeenkomstig de behoeften en de risicobereidheid van de organisatie. [IBD20] In wezen is een CISO een risicomanager met een focus op informatiebeveiliging.
Cyber Security Management System (CSMS)Een CSMS zorgt ervoor dat de cybersecurity van (OT-)assets in stand wordt gehouden met als doel om een bepaald niveau van vertrouwelijkheid, integriteit en beschikbaarheid te behalen. [IEC10]
Essentiële diensten WbniDeze diensten zijn van essentieel belang voor instandhouding van kritieke maatschappelijke en/of economische activiteiten. [NIB16] Voorbeelden zijn het afwikkelen van scheepvaartverkeer door het Havenbedrijf Rotterdam en een veilige en vlotte vlucht- en vliegtuigafhandeling voor Schiphol. Ook decentrale overheden zullen krachtens de nieuwe NIS2 richtlijn aan de Europese verplichtingen op het gebied van cybersecurity moeten voldoen. [BUUR23] (zie ook noot 1) 
Information Security Management System (ISMS)Een ISMS zorgt ervoor dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden behouden door een risicomanagementproces toe te passen en geeft belanghebbenden het vertrouwen dat risico’s afdoende worden beheerst. [ISO22]
ManagementsysteemEen managementsysteem is een plan-do-check-act cyclus om beleid en doelen vast te stellen en te behalen en kan verschillende vormen aannemen, zoals een kwaliteitsmanagementsysteem, financieel managementsysteem of een security managementsysteem. [ISO15]
Security Operations Center (SOC)Een SOC is een combinatie van mensen, processen en technologie om een organisatie te beschermen tegen cyberdreigingen. Hiertoe monitoren SOC-analisten het netwerk van de organisatie continu. Ze onderzoeken (potentiële) beveiligingsincidenten en nemen de nodige stappen om deze aan te pakken. [VIEL20]
Service Organization Controls (SOC) rapportEen SOC-rapport (niet te verwarren met het security operations center) is een assurancerapport dat zekerheid verschaft over de beheersingsdoelstellingen en -maatregelen die in dat rapport zijn geformuleerd. [NOREA21]
Software as a Service (SaaS)SaaS is software die als een online dienst wordt aangeboden. De klant hoeft de software niet aan te schaffen, maar sluit bijvoorbeeld een contract per maand per gebruiker af. De SaaS-aanbieder zorgt voor installatie, onderhoud en beheer. De gebruiker benadert de software over het internet bij de SaaS-aanbieder. [TURN20]
TweedelijnsfunctieHet 'Three Lines of Defense'-model’ is voor veel organisaties én functies een belangrijke leidraad bij het inrichten van de governance. Kort samengevat: de eerste lijn is management, de tweede lijn is risicomanagement & compliance en de derde lijn is internal audit. Daarnaast is er external audit, die soms als vierde lijn wordt gezien. [IIA20]
Overzicht van bronnen
ReferentieOmschrijving
[BIO20]Baseline Informatiebeveiliging Overheid (BIO), maatregel 6.1.1.4, v1.0.4zv, 17 juni 2020.
[BOMM20]Bommel van, S.: De volgende uitdaging van de IT-auditor: Operationele Technologie, in: de IT-auditor, editie 2-2020, 16 juni 2020.
[BUUR23]Buuren van, E: Wat betekent de NIS2-richtlijn voor onze decentrale overheid?, website Kenniscentrum Europa Decentraal (KED), 17 februari 2023.
[DIGI23]Operational Technology, website digital trust center van het Ministerie van Economische Zaken en Klimaat, geraadpleegd op 4 maart 2023.
[HOOG18]Hoogendijk, L.: Informatiebeveiliging bij remote beheer, in: de IT-auditor, editie 3-2018, 14 december 2018.
[IBD20]Handreiking functieprofiel Chief Information Security Officer (CISO), een operationeel kennisproduct ter ondersteuning van de implementatie van de BIO, Informatiebeveiligingsdienst voor gemeenten (IBD), versie 2.12, maart 2020.
[IEC10]IEC 62443-2-1, Industrial communication networks – Network and system security –
Part 2-1: Establishing an industrial automation and control system security
Program, edition 1.0, 2010-11.
[IIA20]The IIA’s three lines model, An update of the Three Lines of Defense, Institute of Internal Auditors (IIA), juli 2020.
[ISF97]SPRINT risk analysis for information systems user guide, appendix B business impact assessment forms for availability, integrity and confidentiality, European Security Forum (ISF), januari 1997. 
[ISO15]NEN-EN-ISO 9001:2015 (nl), kwaliteitsmanagementsystemen – eisen, ICS 03.120.10 oktober 2015. 
[ISO22]ISO / IEC 27001:2022 (nl), Informatiebeveiliging, cybersecurity en bescherming van de privacy – managementsysteem voor informatiebeveiliging – eisen, derde editie, 2022-10.  
[NCSC23]Nationaal Cyber Security Centrum (NCSC), Wbni-melding, website NCSC, 5 maart 2023.
[NIB16]Richtlijn (EU) 2016/1148 van het Europees Parlement en de Europese Raad, houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, 6 juli 2016.
[NOREA21]Handreiking voor SOC 2 en SOC 3 op basis van ISAE3000 / Richtlijn 3000A, Nederlandse Orde van Register EDP-auditors (NOREA), december 2021.
[TURN20]Turner, B.: What is SaaS? Everything you need to know about Software as a Service, in: Techradar, 17 september 2020.
[VIEL20]Vielberth, M., Böhm, F., Fichtinger, I., en Pernul, G.: Security Operations Center: A Systematic Study and Open Challenges, in: IEEE Access, 31 december 2020.