Sectorsessie Cyber & Industrie -deel 2-

Dit verslag is het vervolg op het eerste deel dat enkele dagen geleden is gepubliceerd. Alle verslagen zijn terug te vinden op https://www.cybernetwerk.nl. Binnenkort zijn hier ook de video-impressies van de sectorsessies terug te vinden.

Aanwezig waren:

  • Jan van Goolen, recent gepensioneerd manager met ruime ervaring in de automatisering bij Huntsman, een petrochemisch bedrijf in de Botlek
  • Arie Verhoeven, directeur VMB Automation, Hendrik-Ido Ambacht, een organisatie die zich bezighoudt met ontwerp en realisatie van hard- en software voor de besturingstechniek
  • Ricardo de Jongh, teamleider van het ICT Operations team bij Monta, een e-fulfilmentbedrijf in Gorinchem
  • Eelco van Harten, innovatiemanager bij FocusOn, een joint venture tussen Krohne en Samson die is gespecialiseerd in het maken van procesinstrumentatie
  • Jacob van der Vis, cyber- en securityexpert bij de Kamer van Koophandel,

Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee was als vanouds verantwoordelijk voor de techniek.

Het vervolg. Certificering of niet?

Het gesprek gaat verder over het belang van registratie van zaken en het hebben van een certificering. De ISO-certificering dient niet alleen een commercieel doel, maar dwingt je ook om over een aantal zaken na te denken en deze te beschrijven. Arie geeft aan dat zij veel werken met PLC’s / microcontrollers. Ook die hangen vaak aan het internet. Zij maken daarbij gebruik van producten die standaard al veiligheidsopties bevatten.

Als je niet aansluit op internet, dan loop je ook het risico niet

Wico gooit er een prikkelende stelling in, waar de aanwezigen direct op reageren. Zo simpel ligt het natuurlijk niet. Je wil immers ook van op afstand zaken kunnen besturen of onderhouden. En heel vaak maken de individuele componenten onderdeel uit van diverse processen. Jan geeft aan dat binnen de organisatie waar hij werkzaam was de bekabeling waarover internetverkeer en e-mail loopt fysiek volledig gescheiden was van de bekabeling waarover de processoftware en –data lopen. Als er remote op het systeem gewerkt moest worden door bijvoorbeeld een leverancier, dan werd daar op dat moment een tijdelijke versleutelde verbinding voor opgezet. Remote meten en monitoren door derden op het eigen netwerk was op geen enkele wijze toegestaan. Als men data wilde uitwisselen of ophalen, dan diende dat op de fysieke locatie onder gecontroleerde omstandigheden te gebeuren. Jan plaatst daarbij wel de kanttekening, dat hij het heeft over de situatie van ca. 4 jaar geleden.

De invloed van corona op processen

Arie reageert op Jans opmerking door aan te geven dat hij heeft gemerkt dat er sinds de coronasituatie wel wat veranderingen hebben plaatsgevonden op dit gebied. Systemen worden nu toch vaker en makkelijker ontsloten om op afstand te kunnen werken, ook waar dat vroeger nooit gebeurde. Dat heeft ook te maken met het gegeven dat de meeste klanten van VMB zelf de kennis niet in huis hebben om bepaalde zaken uit te voeren. Grote, zeker multinationale, organisaties kunnen vaak veel meer zelf.
Eelco geeft aan dat de reden waarom je informatie wel wilt ontsluiten is dat er nog zoveel meer met die data kan worden gedaan dan nu het geval is. Belangrijk is dan wel dat je een aantal -vaak mechanische- barrières opwerpt om die ontsluiting uit veiligheidsoverwegingen zoveel mogelijk te beperken. De trend is nu toch dat de data van devices -juist ook van onder de motorkap- meer worden ontsloten.

Dedicated lijnen (bijvoorbeeld V-LAN’s naast internetverbindingen), is dat wellicht een oplossing?

Eelco reageert hierop door aan te geven dat je nu meer ziet dat er eigen 5G netwerken worden opgezet. Probleem is dan wel dat je het ook allemaal moet snappen. Voor je het weet heb je toch weer een gebruiker die zijn laptop toch ergens op het internet wil aansluiten. Ricardo wijst erop dat je dan toch weer terugkomt op awareness/bewustwording. Je kunt alles wel dichttimmeren, maar het moet wel werkbaar blijven.

Hoe zorg je ervoor dat ook de minder technische gebruiker toch kan blijven werken zonder extra risico in te brengen?

Arie geeft aan dat zij bij een aantal gebruikers bijvoorbeeld de usb-poorten hebben uitgeschakeld. Ook bij Monta zijn de usb-poorten uitgezet. Er zijn genoeg andere manieren om data binnen te halen. Daarnaast worden er aan devices eisen gesteld. Als daaraan niet wordt voldaan worden ze niet toegelaten op het netwerk. Verder worden zaken geregeld via rechtenstructuren van gebruikers. Single Sign On en multifactor authenticatie worden ook weer genoemd als beveiligingseisen.

Hoe gaan jullie om met updates en installaties, is het uitvoeren daarvan beperkt?

Ricardo geeft aan dat er sowieso niemand een admin account heeft op de pc’s. Zij werken met admin by request om eventueel tijdelijke rechten toe te kennen wanneer iets lokaal dient te worden geïnstalleerd. Dit stuit nog weleens op weerstand bij gebruikers, zeker bij developers.

Wordt er in de cloud gewerkt?

De meeste personen werken met Office 365. VMB werkt hybride uit veiligheidsoverwegingen.
De discussie gaat vervolgens over de periode die nodig is om een back-up terug te zetten en de verschillende manieren om back-ups te maken. Wat te doen als hackers al langere tijd binnen zijn en je data al aan het encrypten zijn en je komt daar na een week achter? Dan heeft het terugzetten van een back-up die jonger is dan een week ook geen effect omdat je geback-upte data dan waarschijnlijk ook al geheel of gedeeltelijk is versleuteld. Ook data in de cloud wordt geback-upt naar een andere locatie want ook daar kan het misgaan natuurlijk. Overigens in geval van synchronisatie loop je natuurlijk ook het risico dat je lokaal geencrypte data worden gesynchroniseerd met de cloud zodat ook die data geencrypt wordt.

Kunnen SaaS leveranciers hun verantwoordelijkheid wel blijven nemen?

Wico haalt een voorbeeld aan waarbij een aantal woningbouwverenigingen dat met een cloudpakket van dezelfde leverancier werkt een gezamenlijk probleem had toen het pakket van hun leverancier bleek te zijn gehackt. Als SaaS- leverancier is het bijna niet mogelijk om de verantwoordelijkheid te nemen voor de werking van je applicaties bij meerdere gebruikers. Dat risico is feitelijk te groot geworden. Ricardo geeft aan dat dit in feite bij Monta ook speelt omdat zij een SaaS-oplossing hebben voor Data Warehouse Management. Wat je in de praktijk ziet is dat de ene beveiligingsmaartregel dan de andere dwarszit. Om continuïteit te kunnen waarborgen moet je synchroniseren over meerdere datacenters, maar tegelijkertijd loop je dan dus het zojuist hierboven genoemde risico. De vraag die steeds terugkeert bij een aanval: hoe lang zit je hacker al binnen en hoever moet je terug om een schone back-up te hebben?

Tips / advies

Zoals bij elke sessie sluiten we af met de vraag of de deelnemers nog tips of adviezen hebben voor hun collega’s in de branche.
Eelco: “Ik neem graag de tip van Ricardo over om een keer een brandoefening te doen op het systeem”
Jan: “Pas op voor gebruikers met privé laptops en telefoons”
Ricardo: “Houd IoT gerelateerde zaken (slimme apparaten) gescheiden van de rest, op een eigen netwerk. Wees ook waakzaam op bedreiging van binnenuit (al dan niet onder druk van criminelen)”
Arie: “Zorg dat je een goede verzekering hebt. Zo’n verzekering zorgt er ook voor dat je de boel scherpt houdt omdat ze bepaalde voorwaarden stellen. Probeer te sturen op gedrag van mensen”(phishingcampagnes)