Omgaan met dreigingen in een operationele technologie (OT) omgeving.

Productiesystemen, energiecentrales en besturingssystemen zijn voorbeelden van Operationeel technische (OT) omgevingen die steeds vaker op afstand worden onderhouden. Om dit onderhoud op afstand mogelijk te maken, worden vaak onvoldoende veilige technologieën gebruikt. Hierdoor is ongecontroleerde toegang tot het bedrijfsnetwerk mogelijk. Denk hierbij bijvoorbeeld aan het risico tot het onbewust binnenhalen van ransomware en andere dreigingen. Zo is de USA Colonial Pipeline in 2021 gehackt. BDO heeft de meest voorkomende dreigingen in kaart gebracht voor uw OT omgeving.

Het binnendringen van een OT omgeving.

Hackers investeren veel tijd, geld en moeite om cyberaanvallen te ontwerpen en uit te voeren. In de praktijk blijkt dat de aanval wordt ontworpen voor een specifiek (kwetsbaar) systeem. De aanvallen op OT omgevingen zijn gericht op specifieke Industrial control systemen (ICS). De ICS zijn de losse systemen die samen de operationele omgeving draaiende houden denk bijvoorbeeld aan een systeem om een windturbine te besturen. Als een kwetsbaar ICS is geïdentificeerd kan dit bijvoorbeeld leiden tot het verkrijgen van langdurige toegang tot de ICS systemen. Deze aanvallen gaan over het begrijpen van het netwerk en de voorbereiding op toekomstige activiteiten zonder directe gevolgen. Vervolgens wordt de aanval verder uitgevoerd door bijvoorbeeld ransomware of malware te plaatsen binnen het ICS systeem. Hierdoor wordt de data van uw OT omgeving versleuteld of wordt de controle van de ICS overgenomen. Hierdoor komt het productie proces stil te liggen met financiële schade tot gevolg.

Wat kunt u nu al doen om uw OT omgeving te beschermen?

Zorg altijd voor een verdedigbare netwerkarchitectuur. Dit kan bereikt worden door het aanbrengen van virtuele groepen in het computernetwerk tussen IT en OT, ook wel netwerksegmentatie genoemd. Netwerksegmentatie is vereist om verspreiding van bijvoorbeeld ransomware tussen verschillende groepen te voorkomen. De groepen werken als het ware als een barrière waardoor een aanval gedetecteerd kan worden en gestopt. Zo kan een aanval op het IT systeem niet doorwerken in een OT systeem.

Daarnaast kan ICS-netwerkmonitoring helpen bij het detecteren van bedreigingen in meerdere fasen van de ICS Cyber ​​Kill Chain. Dit model  wordt gebruikt om de stadia van een cyberaanval te beschrijven. Door netwerkmonitoring te implementeren wordt bijvoorbeeld ontdekt of er onbekende connecties worden gemaakt naar uw interne OT netwerk. Zo brengt u dreigingen in kaart. Tevens levert het monitoren gedetailleerde logs/forensisch bewijs dat onderzoeken makkelijker maakt.

Door het opstellen van incident respons plannen kunt u de kritieke ICS systemen binnen de OT omgeving beschermen. Weet u bijvoorbeeld wat er moet gebeuren na een ransomware aanval waar bij uw data versleuteld is? Of wie heeft bijvoorbeeld welke verantwoordelijkheid tijdens een incident? Ook moeten er communicatieplannen worden ontworpen om betrokken belanghebbenden te informeren wanneer de incident respons plannen worden geactiveerd. Deze plannen kunnen opgesteld worden aan de hand van de IEC 62443 (International Electrotechnical Commission). De IEC 62443 is een internationale reeks normen die zich bezighouden met cyberbeveiliging voor operationele technologie in automatiserings- en controlesystemen.

Implementeer veerkrachtige, gevalideerde back-up- en herstelprocedures. Hierdoor kunt u bijvoorbeeld herstellen van een ransomware aanval. Tot slot is het implementeren van multi-factor authenticatie (MFA) een absolute eis voor het beschermen van uw OT omgeving. MFA moet worden geïmplementeerd voor alle methoden van toegang op afstand tot de OT-omgeving. Hierdoor is het voor hackers lastiger om vanaf afstand toegang te verkrijgen tot de kritieke OT systemen.

Elimineren van kwetsbaarheden samen met BDO

Er worden continu nieuwe kwetsbaarheden in OT gevonden. Daarom is het van belang dat deze kwetsbaarheden tijdig worden ontdekt én geëlimineerd. Hoe? De cyberweerbaarheid kan verbeterd worden door bijvoorbeeld een IEC62443 kader voor beveiliging van OT toe te passen, zoals beschreven in de tips. Onze ervaren specialisten kunnen u helpen bij het definiëren van een heldere roadmap. Zo’n roadmap begint bij het creëren van inzicht als basis voor een weloverwogen advies. Hierna volgt de implementatie en uiteindelijk de uitvoering en operationele verantwoordelijkheid. Met een Incident Response Team zorgen we tenslotte voor waarborging van de continuïteit en de weerbaarheid zowel proactief als repressief. 

Meer informatie

Bent u benieuwd naar kwetsbaarheden binnen uw organisatie als het gaat om operationele technologie? Spart u graag eens over uw situatie? Neem dan voor meer informatie vrijblijvend contact op met onze specialisten.

Tijdens ons webinar op 24 januari zullen wij verder ingaan op cybersecurity op het gebied van OT, meld u nu aan.