Je security verbeteren? Luister eens wat vaker naar techneuten

Het antwoord op die eerste vraag luidde in vrijwel alle gevallen: ja. Want Log4j wordt gebruikt om logboeken van applicaties bij te houden. Veel leveranciers van standaardsoftware gebruiken Log4j onder de motorkap. Dat is niet iets wat ze aan hun klanten communiceren. En dus moesten securityspecialisten applicatie voor applicatie controleren.

Dat is al redelijk veel werk bij je IT-omgeving. Maar daar is het Life Cycle Management vrij goed op orde. Dat wil zeggen dat IT-afdelingen snel inzichtelijk hebben welke versies van welke software in gebruik zijn, zodat ze bij die leveranciers kunnen controleren of zij Log4j toepassen. Dat is meestal niet het geval in de IT voor OT-omgeving: de software die fabrieken, machines en assets in het veld aanstuurt. Alle reden dus om ook in de IT voor OT-omgeving Life Cycle Management in te richten.

Voordat je je als boardroom echter druk maakt om een zeer toevallig ontdekt lek in Log4j, zou je eerst eens moeten onderzoeken welke risico’s je introduceert met Industry 4.0. Want vrijwel ieder productiebedrijf is bezig om hun machines en andere assets aan het internet te hangen en zo nieuwe businessmodellen mogelijk te maken, denk aan predictive maintenance. In deze zogenaamde IT voor OT-omgeving hangt het vinden van een lek echter niet af van een toevalligheid, ze liggen voor het oprapen. Het erge is: je eigen personeel weet hier meestal ook wel van, maar ze hebben van hun direct leidinggevende nooit budget gekregen er wat aan te doen.

Het gaat bijvoorbeeld om het afschermen van een IoT-oplossing met een viercijferige code, wat volstrekt onvoldoende is om primaire processen te beveiligen. Of om PC’s die al jaren niet zijn geüpdatet, maar die nog wel een cruciale taak in het productieproces vervullen. Of om een netwerk naar een remote locatie waar geen enkele vorm van beveiliging op zit.  

Het zijn risico’s die bij de eerste de beste pentest boven water zouden komen, alleen worden pentesten nauwelijks uitgevoerd in de IT voor OT-omgeving. Ze vinden wel veelvuldig plaats in alle administratieve systemen die op kantoor draaien. Maar niet op de SCADA- en MES-systemen die fabrieken, windmolenparken of sluizen aansturen.

Ja, dit is bedreigend. Maar er is ook goed nieuws: jouw IT-afdeling weet dit allemaal wel. Het punt is alleen: beveiliging inregelen kost tijd en geld. Het gaat niet alleen om investeringen in hard- en software en netwerkcomponenten. Maar ook om bijvoorbeeld het altijd strikt volgen van de procedures. Vaak kosten die procedures wat meer tijd dan het nemen van een olifantenpaadje. Als IT continu door de directie onder druk wordt gezet om dingen eerder af te maken dan ze eigenlijk kunnen, stimuleer je hen dus om de procedures maar te negeren. Daarmee geef je als directie het signaal: voor ons telt de veiligheid niet zo.

Hetzelfde geldt voor life cycle management, ofwel: het bijhouden van een overzicht welke hard- en software waar in gebruik is, welke versies worden gebruikt et cetera. Het is werk dat niet meteen wat oplevert. Wanneer IT hier geen tijd aan mag besteden, heb je geen idee welke hardware, software en netwerkcomponenten in jouw productieomgeving worden gebruikt. Dan weet je dus ook niet wanneer je gealarmeerd moet zijn als een lek bekend wordt gemaakt.

Het advies is derhalve: neem het advies van je eigen securityspecialisten ter harte. Als zij aangeven dat er in updates of upgrades moet worden geïnvesteerd om veiligheidsredenen, doe dat dan ook. Als zij aangeven dat ze meer tijd nodig hebben om een Industry 4.0 toepassing te ontwikkelen, geef ze die tijd. Want het is heel makkelijk om in een PoC businesswaarde aan te tonen van een oplossing op het gebied van remote en predictive maintenance. Maar het is veel ingewikkelder om zo’n product op een goed beveiligde manier uit te rollen. Security by Design kost nu eenmaal meer tijd en meer geld kost dan het uitrollen van een IoT-oplossing vol kwetsbaarheden.

Wil je meer weten over dit onderwerp? Download dan onze whitepaper ‘Industry 4.0: ontwerp je OT-omgeving vanuit een IT-visie’.