Maak beveiliging operationele technologie weerbaarder met IEC 62443

05-07-2017 Eén van de grootste zorgen van organisaties is de uitval en verstoring van de eigen digitale omgeving. Met name binnen onze vitale infrastructuur zijn organisaties zich bewust van de implicaties die dergelijke gebeurtenissen kunnen hebben voor de continuïteit van de organisatie en in bepaalde gevallen voor Nederland.

Marcel Jutte is directeur bij Hudson Cybertec, een bedrijf dat zich heeft gespecialiseerd in cyber security voor de operationele technologie. Hudson Cybertec is autoriteit op dit gebied: het werkt mee aan het ontwikkelen van de norm, de IEC 62443, en geeft er namens NEN trainingen in. Een interview over het ontwikkelen van IEC 62443 en het belang er van.

IT beveiliging? Dat is toch ISO 27000?

“Ja bij IT wel, maar wij hebben het niet over IT, informatie technologie, maar over OT, operationele technologie. Wij houden ons bijvoorbeeld niet bezig met de pc’s van een verzekeraar. Dat is een typische kantoorautomatiseringsomgeving. Wij richten ons op de systemen die worden gebruikt voor het primaire proces, bijvoorbeeld in de industrie, maar ook die van de operatiezaal in een ziekenhuis. Dit soort operationele systemen hebben hele andere karakteristieken, en daarvoor is IEC 62443 ontwikkeld. Voluit is dat IEC 62443 - cyber security voor Industrial Automation and Control Systems. Bij de IT ligt de nadruk op informatie, bij de OT op fysieke processen en systemen. Bijvoorbeeld bij een waterleidingbedrijf zorgt de IT voor de administratie en dat betalingen van klanten verwerkt worden, en zorgt de OT ervoor dat er water uit de kraan komt. In onze netwerken zien we vaak verouderde netwerkarchitecturen. Wat dertig jaar geleden ontworpen is, zien we nu nog steeds terug. PLC-systemen die al twintig jaar draaien; het komt voor. Je laptop van twintig jaar oud is niet meer functioneel, maar doet het nog wel, dus waarom zou je het veranderen. Maar deze systemen zijn niet ontworpen met security in het achterhoofd. Het is dus niet mogelijk om de normen die voor de IT gelden, op de OT toe te passen. We hebben het in de praktijk wel gezien; een IT-er die was begonnen met het aanpassen van ISO 27000, want hij zag wel dat het voor de OT het toch enigszins anders lag. Dat is goedbedoeld, maar zo iemand is het wiel aan het uitvinden dat er al lang is, en dat is IEC 62443. En grappig genoeg lag ISO 27000 wel aan de basis van IEC 62443. Maar dit gaat veel verder, hier wordt gewerkt met security levels, dat gebeurt bij ISO 27000 niet. Dat geeft inzicht in welke maatregelen je minimaal moet hebben om een security level te halen en daarmee het cybersecurity risico te reduceren. Bijvoorbeeld op het gebied van authenticatie. Dat is maar een basis, maar geeft veel meer inzicht. Het is ook gelijk duidelijk welke maatregelen je minimaal moet nemen om risico’s verder te verminderen als het overblijvende risico niet acceptabel is voor de organisatie.”

Waar liggen de grenzen van wat met normen mogelijk is?

“Er wordt vaak gedacht dat als men voldoet aan een standaard, bijvoorbeeld ISO 27000, dat het dan wel goed zit voor wat betreft cyber security. Dit geeft mijns inziens een vals gevoel van veiligheid. Bovendien hebben veel standaarden geen domeinspecifieke eisen. Ook lopen standaarden vaak achter op wat kwaadwillenden voor capaciteiten hebben. De doorloopsnelheid van standaarden is daar simpelweg te langzaam voor.”

Wat is de status van IEC 62443?

“IEC 62443 is een normenreeks in ontwikkeling. Een aantal modules van de in totaal dertien is definitief, en aan de rest wordt nog gewerkt. Maar dat is feitelijk niet zo belangrijk. Helemaal af wordt het waarschijnlijk nooit. De norm moet de ontwikkelingen blijven volgen en dient daarop te worden aangepast. Deze normenreeks is gepubliceerd en nu goed toepasbaar. De training die wij geven, draait dan ook om deze norm. Heb je die training gedaan, dan ben je niet gelijk security specialist, maar je weet wel hoe je de norm kunt toepassen. Overigens is een norm niet heilig. Je bent er niet met alleen de norm, je moet hem toepassen en daarvoor geldt dat ieder bedrijf anders is. Je kunt een standaard gebruiken als basis, maar meer ook niet. Daar bovenop moet je het doen met de kennis en kunde van experts op jou specifieke domein.”

Wat zijn de voordelen van IEC 62443?

“De normenreeks is toepasbaar voor alle belanghebbenden; zowel de eindgebruikers, als de system integrators en de leveranciers. Hij is specifiek ontwikkeld voor de IACS omgevingen, door experts uit de industrie zelf. Dat zorgt ook voor draagvlak. Daarnaast zien we het als een voordeel dat de normenreeks uit verschillende normdelen bestaat, die stapsgewijs kunnen worden ingevoerd.”

Wat zijn de voordelen van normalisatie in het algemeen?

“Een van de grote voordelen is dat alle betrokkenen dezelfde taal spreken. Dat is erg leuk om mee te maken als bij trainingen de klant en de leverancier tegelijk aan de training deelnemen. Zij raken direct al tijdens de training in hele leuke discussies verwikkeld. Daarnaast ligt er natuurlijk veel vast in een norm. Zo’n norm heeft bewezen ‘te werken’, waardoor je niet meer zelf het wiel hoeft uit te vinden, en normen brengen duidelijkheid omdat ze voor iedereen inzichtelijk zijn.”

Wat is het voordeel van zelf betrokken te zijn bij het werken in een normcommissie?

“Ik vind het belangrijk om in het vakgebied waarin je actief bent, in ons geval cybersecurity voor IACS, een bijdrage te leveren aan zoiets als een standaard. Hudson Cybertec werkt dagelijks met de IEC 62443 normenreeks en heeft hierover veel kennis opgebouwd. En natuurlijk vinden we het belangrijk dat de norm blijft aansluiten bij de behoefte uit de markt.”

Meer informatie

Voor informatie over deze norm(en) of over het normalisatieproces: (Rianne Boek), (consultant, NEN), telefoon (015) 2 690 365 of e-mail elektrische-installaties@nen.nl

Voor informatie over de training: neem contact op met NEN Trainingen, telefoon (015) 2 690 188 of e-mail training@nen.nl. Bekijk voor de data van het NEN examen de training IEC 62443: Cyber security voor Industrial Automation and Control Systems.

Eerder door u bekeken

Ook interessant voor u