De digitale veiligheid van Industrial Automation & Control Systems (IACS) in vitale infrastructuur en processen moet beter worden geborgd. Dat schrijft de Cyber Security Raad (CSR) in een adviesrapport aan de bevoegde ministers en staatssecretarissen.

Door de digitalisering worden we steeds afhankelijker van IACS. Deze op ICT gebaseerde meet- en regelsystemen sturen (productie)processen aan. Daaronder ook vitale infrastructuur en processen zoals bruggen, sluizen, waterzuivering en energievoorziening. Verstoringen of uitval hiervan kunnen grote maatschappelijke en economische gevolgen hebben. Volgens de CSR hebben we de dreigingen en risico’s nog te weinig in beeld. De raad baseert zich onder meer op onderzoeken en adviesrapporten van TNO en de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Ook de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwde al eerder dat statelijke actoren proberen zich toegang te verschaffen tot onze vitale processen.

Risico’s en dreigingen
Aangezien vitale processen en infrastructuur via het Internet of Things verweven zijn met niet-vitale processen, kan een klein cybersecurity-lek tot een ketenverstoring leiden. Niet alleen in eigen land; onder meer energievoorziening heeft een internationaal karakter. Ketens bestaan uit zowel ICT- als OT-systemen (Operationele Technologie). Over het algemeen ligt de nadruk sterk op de cyberbeveiliging van ICT. De beveiliging van OT-systemen of IACS heeft pas de laatste jaren veel aandacht gekregen. Verstoringen in OT-systemen kunnen dan ook enorme schade kunnen berokkenen. Zo werd in 2016 BlackEnergy-malware ingezet bij aanvallen op energiecentrales. Hierdoor kwamen in de Oekraïne ongeveer 700.000 mensen zonder stroom te zitten. In 2017 werd de malware NotPetya gebruikt voor een wereldwijde cyberaanval, waarbij opnieuw de Oekraïne het voornaamste doelwit was. Hoewel er in Nederland tot op heden geen IASCS-gerelateerde cyberincidenten in de vitale infrastructuur met een grote impact zijn geweest, kunnen we volgens de CSR niet achteroverleunen.

Boardroomtaak
Software- en daarmee ook malware-ontwikkeling is voortdurend in beweging. Onder meer veroudering van besturingssystemen vermindert hun cyberweerbaarheid. De cyberveiligheid van vitale infrastructuur is volgens de CSR een ‘boardroomtaak’. Dit is volgens de CSR in Nederland niet goed geregeld. Zo gaf de Algemene Rekenkamer eerder aan dat de digitale weerbaarheid van onze waterkeringen niet conform planning loopt, terwijl de overheid hierin een regie- en voorbeeldrol heeft. In 2019 stelde de WRR in haar adviesrapport ‘Voorbereiden op digitale ontwrichting’ dat we onvoldoende voorbereid zijn op verstoringen en/of uitval van vitale processen. “Nederland moet kunnen vertrouwen op de veiligheid en continuïteit van de vitale infrastructuur”, aldus de CSR in zijn rapport. “De cyberweerbaarheid van IACS van vitale aanbieders moet op het vereiste niveau worden gebracht dat passend en proportioneel is gelet op de dreigingen en risico’s.”

Maatregelen
Volgens de CSR zorgen drie maatregelen in onderlinge samenhang voor meer inzicht, overzicht en robuustheid van de IACS en daarmee meer cyberweerbaarheid:

  1. Vitale sectoren beschikken zonder uitzondering over een eigen sectoraal IACS- controleraamwerk. Waar nodig wordt het toezicht proportioneel versterkt.
  2. De kennis over IACS wordt gebundeld en het delen van (geclassificeerde) IACS-dreigingsinformatie wordt beter gefaciliteerd.
  3. Beheerders van IACS worden bij het inkoopproces beter ondersteund.

Deze adviezen van de CSR aan alle ministers zullen de komende tijd een invulling moeten krijgen. Organisaties binnen de vitale infrastructuur en hun hele toelevertingsketen krijgen hier dus mee te maken.

Siemens en cybersecurity
Als leveranciers van besturingstechnologie staat Siemens op het vlak van cybersecurity goed opgesteld. Johan de Wit, Technical Officer Enterprise Security bij Siemens Smart Infrastructure: “We zijn al jaren betrokken bij initiatieven van het Nationaal Cyber Security Center (NCSC), de Cybersecurity Alliantie en het Information Security Forum (ISF). Momenteel nemen we deel aan het nationale INTERSECT-onderzoek naar de cyber-beveiliging van IoT- en OT-systemen.” In dit grote wetenschappelijk onderzoeksproject, mede gefinancierd door de NWO (Nederlandse Organisatie voor Wetenschappelijk Onderzoek), werkt Siemens samen met alle technische universiteiten, kennisinstellingen en andere organisaties  aan het versterken van de cyberveiligheid van IoT- en OT-systemen.

Charter of Trust
In het CSR-rapport wordt verwezen naar de Charter of Trust (CoT), die Siemens tijdens de Security Conference München twee jaar geleden lanceerde. Inmiddels hebben zich  17 internationale bedrijven en organisaties aangesloten bij dit initiatief om hun organisaties, oplossingen en vitale infrastructuur te beschermen tegen cyberdreigingen. Vanuit de gedachte dat cybersecurity een keten-onderwerp is, stimuleren ze kleine en middelgrote toeleveranciers om aan te sluiten bij de gezamenlijk geformuleerde cybersecurity-standaarden. Bedrijven met onvoldoende middelen en kennis om hun cybersecurity te verhogen, worden hierbij ondersteund.

Security by Design
Om de cybersecurity van haar eigen technologie te borgen heeft Siemens door al haar business units en organisatielagen heen het Product & Solution Security (PSS) Initiative uitgerold. Cybersecurity is daarmee opgenomen in alle organisatieprocessen, vanaf de ontwikkeling van producten, de realisatie van geïntegreerde oplossingen en systemen tot aan de langjarige dienstverlening. Security by design is daarmee gewaarborgd gedurende de gehele levensduur.