Bij het onderwerp cyberrisico denken veel ondernemers aan phishing, virussen en bedrijfsinformatie, terwijl steeds meer ondernemingen ook hun industriële controlesystemen (ICS) en operationele techniek (OT) verbonden hebben met het internet. Is jouw bedrijf kwetsbaar? Doe de check van het Digital trust center (DTC).
Uit een onderzoek van KPN uit 2021 blijkt dat veel industriële controlesystemen (ICS, vaak meet- en regelsystemen die voor de aansturing van industriële processen of gebouwbeheersystemen worden gebruikt) eenvoudig toegankelijk zijn via eenvoudige Google-zoekopdrachten en standaardwachtwoorden. Zo kregen de onderzoekers via het standaardwachtwoord van de fabrikant eenvoudig toegang tot een ICS van een pand in Eindhoven, dat onder andere gebruikt wordt door een hotel en de verhuur van kantoorruimtes.
Grote gevolgen
Operationele Technologie (OT) gaat over de productieprocessen van een bedrijf. Vroeger waren die geïsoleerd van het internet maar die tijd is voorbij. De beveiliging laat vaak te wensen over en de gevolgen kunnen groot zijn. Zo werd industriebedrijf VDL enkele jaren geleden slachtoffer van een cyberaanval. De productie bij VDL Nedcar in Born kwam stil te liggen en omdat alle systemen verbonden zijn, konden ook andere locaties in binnen- en buitenland niet of slechts deels produceren.
Inzicht
De Security Check Procesautomatisering geeft bedrijven die gebruik maken van ICS of OT-apparaten inzicht in de veiligheid van hun procesautomatisering. Wanneer doe je genoeg aan de veiligheid van deze systemen? Dat hangt af van hoe ernstig de gevolgen zijn op het moment dat er een cyberincident optreedt. Zijn de gevolgen zeer ernstig voor bijvoorbeeld de gezondheid, bedrijfscontinuïteit of milieu, dan word je geacht meer maatregelen te treffen. Vallen de gevolgen mee, dan ligt de lat lager. De zelfscan start met deze inventarisatie.
Wat levert het op?
Het resultaat van de zelfscan is een praktische inventarisatie van maatregelen die jouw bedrijf nog moet nemen voor goed beschermde ICS en OT-apparaten.
Voorbeelden van maatregelen
- Inventariseer de belangrijkste ICS bedrijfsprocessen. Controleer deze inventarisatie minimaal 1 keer per jaar, er kan nieuwe technologie zijn aangeschaft of processen kunnen veranderd zijn.
- Stel een tekening op van de netwerkarchitectuur, met daarin de belangrijkste ICS apparaten. Besteed speciale aandacht aan de aanwezigheid van mogelijke verbindingen met andere netwerken (van bijvoorbeeld leveranciers) en internet. Controleer deze tekening minimaal 1 keer per jaar.
- Denk na over het jaarlijks testen van de ICS organisatie op zogenoemde “readiness” door het simuleren van een cybersecurity incident.