TNO heeft samen met het NCSC onderzocht welke organisatorische succesfactoren te identificeren zijn voor het digitaal weerbaarder maken van Industrial Control Systems, die overal zijn terug te vinden in de vitale infrastructuur in Nederland.

ICS-systemen zorgen bijvoorbeeld voor het bedienen van sluizen en bruggen, de distributie van elektriciteit en voor het aansturen van processen in productiebedrijven. Daarnaast zijn ze in kleinere schaal ook terug te vinden in bijvoorbeeld gebouwbeheersystemen. Waarom zijn deze systemen zo anders? Het gaat vaak om omvangrijke systemen die belangrijke processen aansturen waardoor het direct een grote impact kan hebben als er iets fout gaat. Een productieproces kan bijvoorbeeld helemaal stil komen te liggen of het kan zelfs impact hebben op de maatschappij, als er langer dan een paar uur geen elektriciteit is of er geen water meer uit de kraan komt of als alle verkeerslichten ineens ontregeld zijn. Het is dus cruciaal dat de beveiliging van deze systemen hoog op de agenda staat.

Wat is er onderzocht?
Om organisaties die veel gebruik maken van ICS verder te kunnen helpen heeft het NCSC een onderzoeksvraag opgesteld. TNO heeft dit onderzoek uitgevoerd. Een aantal organisaties is gevraagd naar de succesfactoren die echt hebben geleid tot een wezenlijke bijdrage aan het inrichten van digitaal veilige ICS. Rijkswaterstaat is één van de organisaties die input leverde voor dit onderzoek. Ook vele andere vitale en niet vitale organisaties hebben hun kennis en ervaringen ter beschikking gesteld. Door samen te werken en informatie te delen, hebben organisaties nu meer handelingsperspectief om deze uitdaging te adresseren.

Wat is de specifieke problematiek van ICS?
Er zijn drie punten waardoor ICS-security anders is dan IT security.

1. Ten eerste: de ondersteuning van het vitale proces. Zoals gezegd, ICS besturen productieprocessen of maatschappelijke vitale processen. Dit betekent dat het zeer belangrijk is dat deze systemen altijd beschikbaar en betrouwbaar zijn. Bij kantoorautomatisering, zoals een tekstverwerkingssysteem is het uitermate vervelend als er een uur lang geen documenten gemaakt kunnen worden. Maar als een fabriek een uur stil ligt of de bruggen een uur open blijven staan kan een heel groot deel van de maatschappij daar meteen last van krijgen. Dit heeft ook gevolgen voor de onderhoudsprocessen. Een ICS-omgeving is niet zomaar even stil te leggen om een nieuwe patch toe te passen. In deze omgevingen is risicomanagement letterlijk van levensgroot belang. Als er een patch uitkomt kan deze niet zomaar dezelfde dag worden doorgevoerd. Hier gaat een zorgvuldige analyse aan vooraf waarbij alle risico’s van een kwetsbaarheid voor de processen worden doorgelicht, dus zowel vanuit kans als impact. Bij deze analyse wordt gekeken of na een patch bijvoorbeeld de veiligheid van mens en omgeving gewaarborgd blijft. Belangrijk hierbij is om de beschikbaarheid en veiligheid van het systeem als belangrijke randvoorwaarden mee te nemen.
2. Ten tweede: de levensduur van de systemen. Deze grote systemen zijn niet zomaar te vervangen; vernieuwingen brengen grote investeringen met zich mee. De systemen zijn op maat gemaakt voor een specifieke functie en zijn vaak zeer betrouwbaar, maar ook kostbaar. De levensduur loopt vaak op tot meer dan twintig jaar. Voor reguliere IT-systemen is dit ongeveer vijf jaar. Het gat tussen de laatste technische ontwikkelingen en deze oudere (legacy) systemen wordt daardoor steeds groter waardoor het moeilijker is om ze veilig te houden.
3. Ten derde: de specifieke schaarse expertise die er nodig is om ICS veilig en goed te laten werken. Vaak zijn het de mensen die werken in de operationele techniek die begrijpen hoe een ICS omgeving in elkaar zit.  Zij weten welke processen aangestuurd worden door welke componenten en hoe alles samenwerkt. Security is relatief nieuw voor deze ICS specialisten ten opzichte van de IT wereld. Automatisering in de ICS wereld vereist dus andere (specifieke) kennis en vaardigheden dan IT-ers. Omdat deze omgevingen zo anders zijn en het risico van digitale aanvallen relatief nieuw is, is het voor veel bedrijven lastig om de security goed op orde te krijgen. Juist omdat dit zo’n andere eisen stelt aan security hebben organisaties hier gerichte hulp bij nodig. Er is veel te doen om digitaal weerbaarder te kunnen worden maar hoe moet dat dan worden aangepakt?

Wat zijn de belangrijkste uitkomsten?
De belangrijkste uitkomsten zijn te vinden in deze samenvatting. De rode draad die duidelijk naar voren komt is dat een goede ICS-security-omgeving vraagt om integraal risicomanagement. Inzicht hebben in IT- en ICS-risico’s zijn allebei belangrijk om goed te kunnen sturen op organisatiedoelstellingen. Hierbij is de aandacht voor de security-risico’s voor ICS van het management essentieel. Organisaties die dat al goed voor elkaar hebben, denken dat ze effectiever zijn met ICS-security. Daarnaast is kennisdeling heel belangrijk. Zoals eerder gezegd is de kennis schaars. Daarom is het belangrijk dat ICS-experts en IT-experts binnen een organisatie samenwerken op het gebied van cybersecurity. Hierbij is het van grote waarde dat zij zich ook kunnen verplaatsen in elkaars wereld en het taalgebruik. Dit is namelijk verschillend door de gebruikte technieken. Op deze manier kunnen zij nog beter samenwerken door vanuit een integrale visie samen aan een betere security te werken, van zowel primaire alsook alle ondersteunende processen. Door deze samenwerking kan ook een integraal risicobeeld aan het management worden gegeven.

Hoe gaat dit organisaties helpen?
De onderzoekers hopen dat organisaties die dagelijks bezig zijn met ICS veel herkennen in het onderzoek. De onderzoeksresultaten kunnen een bijdrage leveren in het bepalen waar het binnen de organisatie al goed gaat en hoe het nog beter kan. De succesfactoren worden geïllustreerd met praktijkvoorbeelden om zoveel mogelijk concreet en vooral praktisch handelingsperspectief te bieden op de thema’s die gedefinieerd zijn in het onderzoek. Dit kan alle organisaties, groot en klein helpen om gericht te werken aan het verhogen van de digitale weerbaarheid van hun ICS-omgevingen.

Wilt u meer informatie?

Kijk dan op Succesfactoren voor weerbare industriële controlesystemen voor het gehele onderzoek.