Waarom cybersecurity niet in een beveiligingsplan mag ontbreken

Rockwell

We kennen allemaal de gevolgen die cybercriminaliteit kan hebben voor onze intellectuele eigendommen, klantenbestanden en productiviteit. Helaas zijn we minder goed op de hoogte van de fysieke risico’s die deze bedreigingen in productie-omgevingen met zich mee kunnen brengen. Zo kan een cyberaanval op een industrieel besturingssysteem flinke schade aanrichten aan productie-installaties, ernstige milieuschade veroorzaken of zelfs lichamelijk letsel bij werknemers tot gevolg hebben.

Voor industriële bedrijven, die zich momenteel midden in een digitaal transformatieproces bevinden - of dit nu een strak geleid proces betreft of een gestage evolutie - is het van groot belang dat de beheersing van structurele veiligheids- en beveiligingsrisico’s een integraal onderdeel van dat proces is.

Een goed gedefinieerde beveiligingsaanpak zal ook de verzameling, analyse en uitwisseling van informatie verbeteren. Hierdoor kunnen werkonderbrekingen en frustraties als gevolg van problemen door de beveiliging tot een minimum beperkt worden en - niet geheel onbelangrijk - de onderneming blijft adequaat beschermd.

Ken de risico’s

Tegenwoordig leggen de normen voor beveiliging en veiligheid een verband tussen veiligheids- en beveiligingsrisico's. De ISA/IEC 62443-1-1 norm voor cybersecurity geeft aan dat een inbraak in de beveiliging consequenties kan hebben, die veel verder gaan dan de aantasting van informatie: ‘Het potentiële verlies aan mensenlevens of productie, milieuschade, schending van de regelgeving en aantasting van de operationele veiligheid zijn veel ernstigere gevolgen. Deze gevolgen kunnen de aangevallen organisatie overstijgen: ze kunnen zelfs de openbare infrastructuur ernstig beschadigen’.

De functionele veiligheidsnorm IEC 61508-1 bepaalt dat risico’s die verbonden zijn aan industriële apparatuur en besturingssystemen voor alle redelijkerwijs te voorziene omstandigheden in kaart gebracht moeten worden. De norm stelt: ‘De evaluatie moet alle mogelijke menselijke aspecten bevatten en aandacht besteden aan abnormaal en opvallend gebruik van de automatiseringssystemen. Blijkt uit de risicoanalyse dat er sprake kan zijn van mogelijk kwaadwillige of ongeoorloofde handelingen die een redelijkerwijs te veronderstellen veiligheidsdreiging vormen, moet er een analyse van de veiligheidsdreigingen worden uitgevoerd’.

Beveiliging benadert problemen op basis van risicomanagement, waarbij gebruik gemaakt wordt van voortdurende risicoanalyse en baselining om ervoor te zorgen dat bepaalde risicodrempels gehaald worden. Het niveau van aanvaardbare risico's varieert per bedrijfstak en is afhankelijk van de potentiële gevolgen.

Hacker

Als je bedenkt dat cyberaanvallen doorgaans ontstaan nadat een hacker een kwetsbaar doelwit vindt - in plaats van zich specifiek op een bepaald bedrijf te richten - is een cyberaanval dus in praktisch elke organisatie te verwachten.

Het beoordelen van de cybersecurityrisico's, het bepalen van een aanvaardbaar risiconiveau en het beperken van geïdentificeerde risico's tot een aanvaardbaar niveau zijn de basisstappen om bedrijven te beschermen tegen voorspelbaar misbruik en kwaadwillige of ongeoorloofde acties.

Net als bij beveiliging in het algemeen is het negeren van cybersecurity en de bijbehorende risico’s geen optie. Denk vooral niet: ‘Zolang ik niet op de hoogte ben van het risico, kan ik niet verantwoordelijk worden gehouden’. Dat is geen acceptabele houding, noch uit ethisch oogpunt, noch met het oog op naleving van de gemaakte afspraken. Maar vooral niet wanneer er levens op het spel staan.

Pak risico’s samen aan

De risico's die connected technologieën met zich meebrengen, worden door sommigen als argument tegen modernisering gebruikt. Het is echter belangrijk om je te realiseren dat niets doen geen oplossing is.

Door legacysystemen te lang in gebruik te houden, onthouden bedrijven zichzelf niet alleen waardevolle mogelijkheden voor meer inzicht en andere voordelen van IIoT, maar deze systemen zijn ook nog extra kwetsbaar, omdat zij vaak de veiligheidsmaatregelen van hedendaagse systemen missen. Je kunt de digitale transformatie maar beter omarmen en tegelijkertijd de veiligheid en beveiliging als onderdeel van het proces organiseren.

Zo worden er in de IT-wereld al lang veel beveiligingspraktijken toegepast, maar ze zijn nieuw voor de OT-wereld. Ondanks het feit, dat de beveiligingsprocessen vergelijkbaar zijn, worden ze in de kantooromgeving heel anders toegepast dan op de fabrieksvloer.

In een productie-omgeving moeten cybersecurity en veiligheidsrisico's zowel deel uitmaken van het standaard risicobeheer als van het veranderingsproces. Daarnaast moeten veiligheidsprofessionals worden betrokken bij het beheer van processen en de naleving van normen en regels.

Er is een nieuw tijdperk voor de industrie aangebroken. De voordelen van Industrie 4.0 wegen absoluut op tegen de verhoogde risico’s. Als je die risico’s begrijpt en ze als onderdeel van de digitalisering aanpakt, kun je de activiteiten verder uitbreiden en tegelijkertijd beschermen wat het meest belangrijk is.

Klik hier voor meer informatie over industriële veiligheid

Steve Ludwig, Commercial Programs Manager, Safety, Rockwell Automation

  Steve Ludwig