Meer dan 100 kandidaten geslaagd voor het IEC 62443 cyber security examen

01-09-2020 Op vrijdag 26 juni noteerde NEN het heuglijk feit dat meer dan honderd kandidaten zijn geslaagd voor het IEC 62443 cyber security examen. Met dit certificaat toont de kandidaat aan dat hij over voldoende expertise beschikt om in een IACS-omgeving een beleid op te zetten en te implementeren in overeenstemming met IEC 62443 en Europese regelgeving.

Binnen de industriële sector en installatiebranche is een sterke behoefte aan gekwalificeerd personeel op het gebied van cyber security. Uitval van primaire bedrijfsprocessen kost geld en kan gevaarlijke situaties opleveren. Door kennis te nemen van de IEC 62443-normenreeks is een bedrijf beter in staat om cyber security op te nemen in de organisatie. IEC 62443 is een wereldwijd erkende en ondersteunde norm. De norm biedt een solide basis voor het managen van cyber security binnen het IACS-domein.

Overzichtelijk en behapbaar

Een van de gelukkigen die het certificaat in ontvangst mocht nemen, was Henk van Ee. Hij is werkzaam bij MKB Cyber Campus in Leeuwarden. Tevens is hij docent Securitymanagement bij Saxion Hogeschool in Apeldoorn. De reden dat Van Ee de training IEC 62443: cyber security for industrial automation & control systems volgde en afsloot met een examen, was dat er volgens hem in security onderwijs nog te weinig aandacht is voor de OT-kant (operationele technologie). Daarnaast is hij projectleider van een traject ‘Cyber in de agrarische sector’ waar hij ook te maken krijgt met de OT-kant van een bedrijf. “Het belangrijkste wat ik heb geleerd is het belang van de beschikbaarheid aan de OT-kant. Dat betekent andere uitdagingen ten opzichte van de IT-kant van een bedrijf waar het vaak meer draait om vertrouwelijkheid van gegevens. Aan de IT-kant zeg je ’s middags om 16.00 uur: ‘Jongens, we zetten de systemen even twee uurtjes stil, want we doen een noodzakelijke update.’ Aan de OT-kant is dat veel lastiger, omdat je rechtstreeks in de productie ingrijpt. Je moet dus heel goed nadenken over hoe je bijvoorbeeld securitywijzigingen doorvoert. De training IEC 62443: cyber security for control systems industrial automation geeft handvatten en een framewerk om cyber security aan te pakken. Dat is deels een afvinklijst, maar ook hoe je je systeem moet opdelen in logische onderdelen. Dat doe je volgens een bepaalde methodiek. Met de IEC 62443 normenreeks maak je de beveiliging overzichtelijk en behapbaar en je hebt een gemeenschappelijke ‘taal’.”

Communicatie

Cyber security blijft een lastig onderwerp om onder de aandacht te brengen. Als voormalig manager ICT en professional uit het onderwijsveld en dus niet direct verantwoordelijk voor de operationele cyber security bij een bedrijf, heeft Van Ee wel een idee hoe dat komt. “Veel mensen die in de OT-omgeving van een bedrijf te maken hebben met veiligheid zijn heel technisch. Als ze aan hun management moeten uitleggen waarom beveiliging belangrijk is, dan verzanden ze in technische verhalen. De simpele vraag op managementniveau ‘Is er iets kapot?’, is al lastig te beantwoorden. ‘Nee, er is niks kapot, maar we kunnen heel veel schade oplopen.’ ‘Maar waarom moeten we hier dan investeren?’, is dan de logische vervolgvraag. Tja, en dan wordt het een lastig verhaal. Je moet investeren in iets wat er nog niet is en misschien ook nooit gaat gebeuren. Technische mensen vinden het vaak lastig om de urgentie uit te leggen. Als ik dan toch een verbeterpunt voor de training mag aanvoeren, dan is het één onderdeel: ‘Hoe overtuig ik mijn manager van de noodzaak van cyber security?’”

Ondergeschoven kindje

Ook Peter van der Els is geslaagd voor het examen. Van der Els is als security officer in dienst bij Hoogheemraadschap Rijnland, maar een groot deel van zijn tijd werkzaam bij Hoogheemraadschap van Schieland & Krimpenerwaard. Net als Van Ee valt het ook hem op dat veel beveiliging bij de overheid is gericht op de IT-beveiliging, de kantoorautomatisering. “Overheden hanteren over het algemeen de Baseline Informatiebeveiliging Overheid (BIO). Maar daar is procesautomatisering, de OT-kant, een ondergeschoven kindje. De reden? Bij procesautomatisering gaat het om integriteit en beschikbaarheid en vertrouwelijkheid. Deze drie zijn aspecten van systemen en de gegevens die daarin verwerkt worden. Een eigenschap van procesautomatiseringssystemen is dat de beschikbaarheid doorgaans belangrijk is voor een ongestoorde productie. De gegevens uit zo’n systeem zijn meestal niet vertrouwelijk. Maar ze moeten wel juist zijn (integer) anders kunnen er productiefouten ontstaan. Bij een waterschap kan dat een verkeerd waterpeil betreffen of onvoldoende zuivering. Bij kantoorautomatisering is het andersom: die gegevens zijn vaak vertrouwelijk (persoonsgegevens, financiële gegevens, technische gegevens en dergelijke). Maar het is minder belangrijk dat die altijd beschikbaar zijn, behalve als het gegevens zijn die de productie aansturen. Denk aan een personeelssysteem. Erg vertrouwelijk, maar als het er een paar uur uitligt is dat geen ramp.”

Meerwaarde

De meerwaarde van de IEC 62443 training zit volgens Van der Els vooral in het in praktijk brengen van IEC 62443, waarbij de theorie vertaald wordt richting praktijk. “In deze norm gaat het risicomanagement behoorlijk ver. Eerst heb je de risicoanalyse op hoofdlijnen en daarna volgt de detaillering. Zo kun je als het ware aan de hand van een stroomschema een risicoanalyse doorvoeren en op basis daarvan de juiste maatregelen bepalen. Zo wordt IEC 62443 behapbaar. De training geeft inzicht in de structuur van de norm. En door de casussen die tijdens de training voorbijkomen, krijg je steeds meer inzicht in hoe je de norm moet hanteren, maar ook hoe je hem kunt vertalen naar je eigen organisatie.”

Eerder door u bekeken