In de digitale samenleving communiceren miljarden apparaten met elkaar. Naast kansen creëert dit risico’s. Hoe beschermen we ons tegen de bedreigingen van de cybermaatschappij? Hierover ging Siemens onlangs in dialoog met klanten en relaties.

Bijna dagelijks berichten de media over problemen met IT-security bij bedrijven. Soms is het een storm in een glas water, maar het rumoer in de pers creëert wel aandacht voor het thema. Dat is ook nodig, want bedrijven lopen steeds meer risico om gehackt te worden. Terwijl enkele jaren geleden nog vooral banken het doelwit van cyberaanvallen waren, hebben hackers het tegenwoordig ook gemunt op fysieke installaties. In onze open samenleving, waarin alles met alles verbonden is, gaan hackers op zoek naar de zwakste schakel in de keten. Ze gaan steeds gesofisticeerder te werk en hun aanvallen worden gerichter.

Internet of everything

Op dit moment zijn er naar schatting wereldwijd vijf miljard apparaten met internet verbonden. Dat is nog maar een fractie van alle devices die in omloop zijn. Over een aantal jaar zullen tientallen miljarden apparaten toegang hebben tot internet. Volgens Gert Bravenboer, divisiedirecteur Digital Factory en Process Industries & Drives bij Siemens Nederland, is ‘the internet of things’ weldra een voorbijgestreefd buzz-woord. ‘We evolueren naar the internet of everything. Zo’n 50 miljard apparaten zullen in 2020 met het internet verbonden zijn en big data genereren. Dit wordt enorm complex en alle partijen in de keten krijgen ermee te maken.’ Hoog tijd voor een dialoog over de bedreigingen die deze ontwikkeling met zich meebrengt en de noodzaak van standaardisatie. Volgens Bravenboer komt dit debat te langzaam op gang. ‘We onderschatten hoe ver hackers al zijn met big data en hebben nog te weinig antwoorden op hun bedreigingen.’

‘IT-security is geen losstaand iets, maar moet onderdeel zijn van je bedrijfscontinuïteitsbeheer.’

Lange life cycle

Dr. Rolf Reinema, hoofd van Siemens Corporate Technology, vertelde hoe Siemens omgaat met digitale dreigingen. IT-security heeft binnen Siemens traditie, aldus Reinema. Het vormt een uitdaging binnen industriële omgevingen. Zo is de life cycle van industriële systemen veel hoger dan die van systemen in de kantooromgeving. Niet alle oplossingen voor IT-security op kantoor zijn ook toepasbaar in industriële productieomgevingen. Bovendien voelt in fabrieken vaak niemand zich echt verantwoordelijk voor IT-security: de medewerkers op de productievloer en binnen de IT-afdeling wijzen vaak naar elkaar.

Denken als een hacker

Wie zijn plant goed wil beveiligen, moet volgens Reinema ‘denken als een hacker’ en op zoek gaan naar de zwakste schakel in het systeem. Hij adviseerde de aanwezigen om systemen steeds vanuit een overall perspectief te bekijken en niet alleen vanuit het oogpunt van IT-security. Naast firewalls en andere beveiligingssoftware zijn ook fysieke maatregelen nodig om productieomgevingen te beschermen. Dit heet defence in depth, het beveiligen van een fabriek in meerdere lagen.

Ook Siemens pakt IT-security op integrale wijze aan. ‘We implementeren IT-security zowel in onze producten als in het proces’, zei Reinema. ‘Dat betekent dat we gebruikers ook leren producten veilig te configureren. We maken hen bewust van een veilige omgang met paswoorden. Ook wijzen we erop dat veiligheid een zaak is van permanent verbeteren. Je bent er niet door één keer flink in veiligheid te investeren. Aan veiligheid moet je voortdurend werken. IT-security is geen losstaand iets, maar moet onderdeel zijn van je bedrijfscontinuïteitsbeheer.’
Over standaardisatie zei Reinema dat het creëren van nationale regelgeving rond IT-security niet de juiste weg is. ‘Hackers denken niet in nationale termen. Het internet kent geen grenzen. Wat we nodig hebben, zijn internationale normen.’