Netwerkbeheerder Alliander heeft een omvangrijke security-aanpak om de beveiliging van zijn elektriciteitsnet op een hoog niveau te houden. Een brede blik maakt hier onderdeel van uit. “Wij gebruiken alle security-incidenten ter wereld om er zelf van te leren.”

Alliander heeft naast IT-systemen veel Operational Technology (OT) op de onderstations. Binnen het concern waren IT en OT jarenlang twee afzonderlijke afdelingen. Zes jaar geleden werden ze samengevoegd tot één afdeling. Als gevolg van veranderende bedrijfsprocessen zijn de IT- en OT-werelden steeds nauwer met elkaar verweven en staan beheerders van energienetwerken voor de enorme uitdaging om naast de stabiliteit ook de beveiliging van hun netwerk goed te borgen.

Kroonjuwelen beschermen

Tijdens een lezing bij Siemens vertelde Erwin Kooi, lead IT architect SCADA, hoe Alliander hiermee omgaat. In 2012 formuleerde het bedrijf een resilience visie. Hieruit leidde men de security missie af: “De kroonjuwelen verdedigen tegen moedwillig toegebrachte schade door mensen.” Een aantal zaken wakkerde de afgelopen jaren het bewustzijn van netbeheerders voor cyber security verder aan. Daaronder het verschijnen van de thriller Black-out. Auteur Marc Elsberg vertelt in dit boek hoe heel Europa als gevolg van een cyberaanval zonder stroom komt te zitten. Kooi: “Dit heeft in de boardrooms tot veel bewustzijn geleid dat we dit goed moeten regelen.” In 2015 legde een aanval op het SCADA-systeem in een Oekraïense provincie het elektriciteitsnetwerk stil. Een jaar later slaagden hackers erin om in Kiev een onderstation uit te schakelen. Kooi: “Wij zijn naar aanleiding van deze voorvallen onmiddellijk gaan kijken hoe dit bij ons geregeld is en praten hier ook vaak over met andere netwerkbeheerders. Security is een gebied waarop we elkaar niet beconcurreren.”

Tocht naar security

Het sector-brede overleg leidde er onder andere toe dat alle netwerkbeheerders tegenwoordig alleen nog slimme meters uitrollen die men op afstand niet aan en uit kan zetten. Vrij naar het motto: het beste risico is er één dat je niet hebt. “Security is een tocht, een groeipad naar secure worden. Niemand twijfelt er nog aan dat op termijn alles aan elkaar gekoppeld wordt. Dat gaat gewoon gebeuren en daar moeten we mee leren omgaan.”

Brede aanpak

Alliander heeft een brede aanpak om de beveiliging van het netwerk te borgen. “Door te werken met standaardaarden houden we ons beveiligingsniveau op een hoog niveau. Via netwerksegmentering scheiden we kritische van niet-kritische onderdelen. Cruciale componenten zijn onderdeel van gezoneerde netwerken.” Via een noodknop kan Alliander het OT-netwerk afkoppelen van het IT-netwerk. De informatiestroom tussen beide netwerken komt dan onmiddellijk tot stilstand. Informatie uit het OT-netwerk wordt gebufferd en pas als alles weer veilig is voor analyse doorgestuurd naar de IT-kant. “We hebben deze knop gebruikt tijdens de WannaCry-aanval omdat we vonden dat het risico aan de IT-kant te groot was.”

Training en onderzoek

De ervaring leert dat security veel training en samenspel behoeft. IT’ers en OT’ers gaan immers elk op hun eigen manier met dit thema om. Voor IT’ers draait alles om data. Logisch dus dat ze bij een aanval kiezen voor: save the server, kill te process. De OT’er zal steeds proberen het proces, in dit geval de energievoorziening, veilig te stellen. Ook als dit betekent dat men de server moet ‘killen’. Kooi: “Deze noodgevallen oefenen wij regelmatig. Ons security response team bestaat voor de helft uit IT’ers en voor de helft uit OT’ers. In ons security lab doen we onderzoek naar malware, vaak in samenwerking met universiteiten en fabrikanten. Verder delen we informatie met andere netwerkbeheerders en andere partijen. Dit netwerk wordt steeds groter.”

Leren van incidenten

Security vraagt volgens Kooi om een brede blik. “Om op hoog niveau beveiligd te blijven, moet je aandacht hebben voor wat er in de wereld gebeurt en niet alleen binnen je eigen organisatie. Wij gebruiken relevante security-incidenten ter wereld om er zelf van te leren. En we delen de opgedane kennis graag met anderen.” Kooi vindt dat in het reguliere onderwijs meer aandacht aan security moet worden besteed. “Het is mooi dat er tegenwoordig speciale opleidingen rond IT-security bijkomen. Nog mooier zou het zijn om dit thema ook te verankeren in bestaande opleidingen, want in een connected wereld krijgt iedereen ermee te maken.”