Cybersecurity is een belangrijk onderwerp binnen de industriële automatisering. Steeds meer organisaties worden zich bewust van de noodzaak om hiermee aan de slag te gaan en ook de regelgeving op dit gebied groeit. Terecht, want de gevolgen van een hack of gijzeling kunnen enorm zijn. Naast de hoge geldsommen die geëist worden, komen primaire processen zoals het leveren van energie en drinkwater in het geding. Hoe kan jouw organisatie cybersecurity
implementeren binnen haar dagelijkse operatie zonder dat dit een grote druk legt op de tijd van medewerkers? KienIA ontwikkelde een zevenstappenaanpak waarmee jij grip krijgt op cybersecurity.
Martijn Theune werkt sinds 2015 bij KienIA als projectmanager en adviseur op het gebied van industriële automatisering. Eén van zijn specialismes is operationele techniek (OT) cybersecurity. Hij vertelt: “De kennis en ervaring van organisaties op dit gebied verschilt enorm. Een groep organisaties in met name de vitale infrastructuren zette, vanwege de strenge regelgeving die hier geldt, al grote stappen op dit gebied. De grootste groep bedrijven erkent echter het belang van cybersecurity binnen industriële automatisering, wil hiermee aan de slag, maar weet niet hoe en waar te beginnen. Tot slot is er een kleine groep die de kop in het zand steekt en denkt dat een hack of ransomeware gijzeling hen niet zal overkomen.”
Onderdeel van het dagelijks werk
KienIA wil mensen bewustmaken van het feit dat zij cybersecurity dagelijks moeten toepassen. “De tijd dat een fabriek of installatie standalone draaide is voorbij”, legt Martijn uit. “Processen en systemen worden steeds intelligenter, op afstand bestuurbaar of zelfs zelfsturend. Een goede cybersecurity is dan onmisbaar. En het belang hiervan neemt alleen maar verder toe. Anderzijds is het begrijpelijk dat organisaties het lastig vinden om hiermee aan de slag te gaan. Zij worden overspoeld met theoretische kaders zoals wetgeving en normen, maar een praktisch plan van aanpak om cybersecurity in de dagelijkse operatie te implementeren ontbreekt.”
“Sommige bedrijven pakken cybersecurity als een apart project op. Wij zijn er echter van overtuigd dat het een onderdeel van je dagelijks werk moet worden, zoals ook veiligheid dit is. Bij een bezoek aan een bouwplaats vinden we het heel normaal om een helm en veiligheidsschoenen te dragen. We hopen dat cybersecurity in de toekomst net zo’n onderdeel van de dagelijkse operatie wordt. Daarin is nog een lange weg te gaan.”
Stapsgewijs overzicht creëren
Klanten benaderden KienIA regelmatig met de vraag om hen te helpen voldoen aan normen en/of wet- en regelgeving op het gebied van cybersecurity. Martijn: “Als specialisten op het gebied van ISO27001, IEC62443 en de Wbni willen we hier graag in ondersteunen. Allereerst gingen we in gesprek met verschillende klanten in de energie-, (drink)water- en inframarkt. Waar liepen zij tegenaan en zitten hun knelpunten? Dit was vaak heel praktisch: managers en technisch specialisten binnen een operationele omgeving hebben simpelweg geen tijd om zich door de enorme hoeveelheid theorie heen te worstelen. Dit doen wij daarom voor hen. En we gaan nog een stap verder: we kijken hoe wij stapsgewijs overzicht kunnen creëren en meedenken met organisaties door de theorie om te zetten in een pragmatisch stappenplan waarmee zij direct aan de slag kunnen.”
De zevenstappenaanpak
De focusgroep OT Cybersecurity binnen KienIA, waar Martijn onderdeel van is, ontwikkelde een methodiek om cybersecurity op een pragmatische manier te implementeren binnen je dagelijkse bedrijfsvoering. “Onze aanpak bestaat uit zeven stappen die voor elk bedrijf binnen de industriële automatisering toepasbaar zijn, onafhankelijk van hun beleid op dit gebied en de normen of regelgeving, zoals de ISO27001, IEC62443 en Wbni, waaraan zij moeten voldoen. Ze geven inzicht in waar je staat en wat je moet doen voor een goede cyberveiligheid.”
Martijn licht toe: “Het belangrijkste is om de juiste focus te bepalen voordat je start met de implementatie. Dit doe je onder andere door de scope helder te maken en de juiste doelen te stellen die ook praktisch haalbaar zijn. We kijken vanuit de cyberdreigingen op welke vlakken jouw organisatie kwetsbaar is en welke risico’s dat met zich meebrengt. Met een risicogestuurde methode bepalen we welke maatregelen genomen moeten worden om de risico’s onder controle te krijgen. Daarbij houden we ook rekening met wetten, normen, beleidskaders en eisen met betrekking tot cybersecurity die van toepassing zijn. Dit vertalen wij naar praktisch uitvoerbare maatregelen voor jouw organisatie. Gezamenlijk bepalen we dan welke acties er nodig zijn om deze praktische maatregelen te implementeren. En gaan we dit ook doen. Je kunt onze aanpak periodiek herhalen, zodat dit een routine wordt en cybersecurity onder de aandacht blijft.”
Helderheid over cybersecurity
“De zevenstappenaanpak maakt helder hoe jouw organisatie ervoor staat op het gebied van cybersecurity. Het geeft daarbij een handvat en een manier van denken om op een pragmatische manier cybersecurity te implementeren in de dagelijkse operatie”, vat Martijn samen. “Wat doe je al goed en welke acties moet je nog nemen? Door het stappenplan te volgen hoef je je niet door de grote hoeveelheid theorie te worstelen. Je legt de focus op datgene wat ertoe doet. Het geeft je overzicht en controle, maakt dat je weet waar kwetsbaarheden zitten en hoe je die op moet lossen. Kortom: het zorgt ervoor dat jouw cybersecurity goed geregeld is.”
Wil jij meer weten over de zevenstappenaanpak van KienIA of direct hiermee aan de slag? Neem dan contact op met Martijn (martijn.theune@kienia.nl).