Met de oorlog in Oekraïne en de Russische vijandigheid is cyberweerbaarheid belangrijker dan ooit tevoren. Digitale aanvallen op doelen in de havens van Rotterdam en Antwerpen zijn volgens verschillende experts te verwachten. Daarom is het cruciaal om je hierop voor te bereiden. Directeur Evelien Bras van FERM legt in dit artikel uit wat bedrijven nu al kunnen doen, en Jeroen van Hardeveld van Bilfinger Tebodin vertelt over de diensten die Bilfinger op dit gebied aan het ontwikkelen is.

Om te beginnen heeft Evelien Bras geen geruststellende mededeling voor bedrijven in de procesindustrie. ‘Het aantal cyberaanvallen is hoog. Als je elke poging om een bedrijfsnetwerk binnen te komen als aanval meetelt, hebben grote bedrijven in het Rotterdamse havengebied er meer dan honderdduizend per jaar. Daarbij rekenen we dan phishingmails mee, die met grote aantallen ongericht worden verstuurd. Zelfs als je het hebt over aanvallen op een mkb-bedrijf, kun je uitgaan van een gemiddelde van twaalf per dag. Je moet je dus niet afvragen waarom je zou worden aangevallen, dat gebeurt namelijk gewoon, ook al ben je geen specifiek doelwit. Je kunt je beter afvragen welk risico je loopt áls er iemand binnen komt, en je daarop voorbereiden.’

Betrouwbaarheid verliezen

Zeker voor een industrieel bedrijf is je betrouwbaarheid het grootste goed dat je kunt verliezen, stelt Evelien. ‘Iedereen kan worden aangevallen. Maar het is lastig uit te leggen als je niet hebt nagedacht over wat je moet doen. Je acties tijdens een cyberaanval zijn bepalend voor het vertrouwen dat je omgeving in jou heeft.’ Daarom raadt Evelien aan om een cyberaanval mee te nemen in je reguliere programma van veiligheidsoefeningen. ‘Voor een industrieel bedrijf is het grootste risico de vermenging van IT en de fabrieksbesturing, ook wel OT genoemd. Kun je dat losknippen, de aanval beperken en in nood terug naar handmatige bediening?’

Fort Knox

Daarmee pleit zij zeker niet voor minder IT. ‘Zeker gezien de ontwikkeling op de arbeidsmarkt vind ik dat we vol moeten inzetten op zoveel mogelijk digitalisering. Die trend is onomkeerbaar. Maar doe het veilig. Basisprincipes daarbij zijn: pas op voor phishing en scamming. Installeer tijdig updates en patches, en segmenteer je IT- en OT-systemen. Net als bij brandveiligheid is compartimentering van je systemen ook essentieel, zodat je altijd een geïnfecteerd deel kunt isoleren. En beveilig je procestechnologie als Fort Knox!’

Aansluiten

Cyber security wordt steeds meer een zaak van de directie. Terecht, vindt Evelien, ‘want het gaat om continuïteit en reputatie. De risicoafweging  moet je zorgvuldig doen. Want wat een technische afdeling misschien als een acceptabel risico ziet, kan de juridische afdeling heel anders ervaren. Maak dus een plan en neem daarin op aan welke knoppen je als management wilt kunnen draaien. Welk contract kan ik blijven uitvoeren? Welke stakeholders moet ik informeren? En blijf bij, de ontwikkelingen gaan snel. Wat dat betreft kun je je als bedrijf in het Rotterdamse havengebied aansluiten bij FERM. Dat biedt een aantal voordelen. We delen best practices, we beschikken over dreigingsinformatie vanuit overheden en je kunt met ons sparren over cyberweerbaarheid.’

Norm voor cyberveiligheid

Om bedrijven te helpen met hun cyberweerbaarheid  is Bilfinger Tebodin bezig om een aantal diensten te ontwikkelen. Jeroen van Hardeveld vertelt: ‘Bij ons is deze ontwikkeling ontstaan vanuit onze jarenlange ervaring met risicoanalyses in de procesindustrie en het integreren van Safety Integrity Systemen (SIS) in het proces. Dat gaat over functionele veiligheid van een proces. Die wordt onafhankelijk en naast het procesregelsysteem gebouwd om het proces naar een veilige toestand te brengen; ook wanneer het regelsysteem zou falen. Inmiddels zijn de normen daarvoor doorontwikkeld. Zo staat in de huidige norm IEC 61511 dat je cyberveiligheid moet meenemen in het ontwerp van het SIS . En er komt nieuwe wetgeving aan waarmee bedrijven in de procesindustrie te maken krijgen. Dat is de NIS2-richtlijn van de EU. Deze richtlijn scherpt een aantal verplichtingen aan en er gaan meer sectoren onder de NIS2-richtlijn van de EU vallen.

Nieuwe regelgeving

Aan deze regelgeving zullen steeds meer bedrijven moeten voldoen. ‘En ik sluit niet uit dat de nieuwe wet versneld wordt ingevoerd of sneller wordt uitgebreid naar andere sectoren, gezien de toenemende dreiging’, zegt Jeroen. Bedrijven moeten zich erop voorbereiden dat er flink geïnvesteerd moet worden in cyberveiligheid. ‘Je moet bedenken dat een fabriek in de regel wordt gebouwd voor een levensduur van 20-25 jaar. Veel fabrieken draaien dus nog op oude systemen van rond het jaar 2000. Ter vergelijk, in dat jaar werkte je op de pc nog met Windows 98 of Windows XP. Dat levert onherroepelijk risico’s op. Want behalve die verouderde systemen hebben veel fabrieken bewust of onbewust toch links met internet. Het kan bijvoorbeeld zijn dat een leverancier ooit een gsm-modem heeft ingebouwd om onderhoud op afstand mogelijk te maken. Dat heeft voordelen, maar ook risico’s.’

Risicoanalyse

Bilfinger Tebodin is daarom bezig met het ontwikkelen en aanbieden van nieuwe diensten. Jeroen: ‘Ten eerste helpen we bedrijven met een risicoanalyse. Daarin brengen we niet alleen de risico’s in kaart maar is ook een verplichting uit de nieuwe NIS2-richtlijn. En we kunnen een business continuity plan voor bedrijven maken. Daarin leg je vast wat je precies gaat doen als er toch onverhoopt een indringer in je systeem komt. We maken bijvoorbeeld een scenario om zo snel mogelijk weer veilig op te kunnen starten. Bovendien gaan we meedenken over de netwerkstructuur van het regelsysteem. En over de fysieke inrichting van je beveiliging: moeten we bijvoorbeeld sommige netwerkkasten met een extra sleutel beveiligen? Is er een goed werkend toegangssysteem?’

Onderhoudsplan

Bedrijven zullen dus de aanpassingen aan hun OT een plek moeten geven in het onderhoudsplan. ‘Begin eens met een inventarisatie van wat je hebt’, zegt Jeroen. ‘Wat voor PLC’s heb je in de fabriek, wat voor servers heb je, en op welke operating systems draaien ze? Hoe zijn ze met elkaar verbonden, wie heeft toegang tot de systemen en wat zijn de afspraken over toegang op afstand? De volgende stap is om te kijken wat er een update nodig heeft. Zowel qua systemen als qua beleid. Bij al deze stappen kan Bilfinger Tebodin helpen. Vanaf het ontwerpen van een nieuw systeem tot het assisteren bij de benodigde wijzigingen in je bestaande systemen en de zorg voor de juiste documentatie.’

Nationaal Cyber Security Centrum

Meer tips en adviezen: https://www.ncsc.nl/