Tips voor een betere OT-netwerkbeveiliging

De introductie van het Industrial Internet of Things (IIoT) heeft menige productielijn veranderd in een moderne, connected omgeving. Deze verandering biedt ongekende mogelijkheden voor efficiëntere processen, proactief onderhoud en datagestuurde besluitvorming. Daar staat echter tegenover dat er ook nieuwe uitdagingen zijn, vooral op het gebied van cyberbeveiliging.

Het Industrial Internet of Things (IIoT) ontstond uit de behoefte om dieper inzicht te krijgen in de activiteiten op de fabrieksvloer. Dit resulteerde in de implementatie van netwerkverbonden sensoren, geautomatiseerde machinebesturingen en gecentraliseerde data-analyseplatforms. De groeiende convergentie tussen informatie- en operationele netwerken heeft geleid tot slimmere productieprocessen, maar heeft ook de kwetsbaarheid van OT-netwerken vergroot.

In 2023 was de maakindustrie goed voor 20% van alle cyberafpersingscampagnes, waarmee het de meest aangevallen sector was. Deze toenemende kwetsbaarheid kan worden toegeschreven aan meerdere factoren, waaronder de toegenomen connectiviteit van verouderde apparatuur, het gebrek aan beveiligde gegevensuitwisseling en onvoldoende training op het gebied van cyberbeveiligingsprotocollen.

Steeds geavanceerdere aanvalsmethoden

Cybercriminelen richten zich steeds vaker op OT-netwerken vanwege de cruciale rol die ze spelen in productieprocessen. Traditionele IT-aanvallen, zoals het installeren van malware, hebben plaatsgemaakt voor meer geavanceerde methoden zoals ‘live off the land’ (LOTL) exploits. Deze aanvallen maken gebruik van bestaande legitieme softwarecodes en softwareomgevingen binnen een netwerk, waardoor ze moeilijk te detecteren zijn. Deze technieken stellen aanvallers in staat om zonder sporen achter te laten binnen te dringen in OT-netwerken, totdat ze klaar zijn om een aanval te lanceren.

Een opmerkelijk voorbeeld hiervan is de Volt Typhoon-groep, die wordt gelinkt aan China. Deze groep heeft LOTL-exploits gebruikt om in te breken in netwerken die cruciale infrastructuur beheersen, zoals elektriciteitscentrales en waterzuiveringsinstallaties. Deze technieken kunnen echter net zo goed worden gebruikt om controlelagen van industriële productiesystemen te saboteren.

Strategieën voor verbeterde cyberbeveiliging

Het is essentieel dat zowel IT-afdelingen als OT-netwerkbeheerders zich bewust zijn van de toenemende dreigingen. De aanpak voor het beschermen van OT-netwerken verschilt echter aanzienlijk van de traditionele IT-beveiliging. OT-netwerken sturen niet alleen gegevens, maar beheren ook de operationele veiligheid en de productieprocessen. Wanneer een OT-netwerk wordt gecompromitteerd, kunnen de gevolgen ernstig zijn, zoals productiestilstand, schade aan apparatuur en zelfs bedreigingen voor de veiligheid van werknemers.

Hoe pakken we dan een weldoordachte bescherming van OT-netwerken aan? Dat gebeurt het beste via een aantal stappen:

1. Netwerkmapping en risicoanalyse

De eerste stap in het beschermen van een OT-netwerk is het in kaart brengen van alle apparaten, componenten en interfaces binnen het netwerk. Deze gedetailleerde netwerkanalyse helpt bij het identificeren van kwetsbare punten en mogelijke toegangspunten voor cyberaanvallen. Dit proces, dat bekend staat als netwerkmapping, is vergelijkbaar met het in kaart brengen van een fort om de zwakke plekken te identificeren en te versterken. In traditionele netwerkarchitecturen was deze taak eenvoudiger, omdat alles gecentraliseerd werd beheerd en gemonitord.

Met de komst van IIoT is er echter een verschuiving naar gedistribueerde netwerken ontstaan, waarbij apparaten aan de rand van het netwerk autonoom beslissingen nemen. Hoewel dit het netwerkverkeer vermindert en de reactietijd verbetert, introduceert het ook nieuwe beveiligingsrisico’s. Zonder de juiste beveiligingsmaatregelen kunnen criminelen toegang krijgen tot deze apparatuur aan de rand van het netwerk en deze manipuleren om verkeerde of zelfs catastrofale beslissingen te nemen.

2. Beveiliging door beter ontwerp

Een andere cruciale stap in het beschermen van OT-netwerken is het adopteren van een ‘secure by design’ mentaliteit. Dit concept houdt in dat producten vanaf de ontwerpfase worden voorzien van robuuste beveiligingsmaatregelen, in plaats van beveiliging als een toevoeging te zien. Dit kan variëren van het integreren van beveiligingsfuncties in hardwarecomponenten tot het ontwikkelen van software met ingebouwde beveiligingslagen. 

In mei 2024 hebben 68 softwareproducenten zich vrijwillig gecommitteerd aan het naleven van de principes van de Amerikaanse Cybersecurity and Infrastructure Security Agency’s (CISA) Secure by Design Pledge. Hoewel deze belofte voornamelijk is ondertekend door bedrijven in de IT sector, beginnen de principes ook door te sijpelen in de OT-wereld. Secure by design biedt niet alleen bescherming tegen directe aanvallen, maar ook tegen gecompromitteerde toeleveringsketens door een duidelijke controleketen te documenteren voor de ontwikkeling van software en hardware.

3. Netwerksegmentatie

Zelfs de best beveiligde netwerken zijn niet volledig immuun voor inbraken. Daarom is netwerksegmentatie een essentieel onderdeel van de OT-beveiliging. Deze strategie verdeelt het netwerk in kleinere, geïsoleerde segmenten, waardoor de verspreiding van een aanval wordt beperkt als een aanvaller eenmaal is binnengedrongen.

Netwerksegmentatie kan worden gerealiseerd door een aanpak die ‘software-defined networking’ (SDN) wordt genoemd. Deze controleert en beperkt de communicatie tussen apparaten en machines in een netwerk op basis van zero trust-principes. Dit betekent dat geen enkel apparaat of systeem automatisch wordt vertrouwd, en dat er continu verificatie nodig is om toegang en andere systeemreacties te bepalen.

Zero trust is een benadering die traditionele veronderstellingen over vertrouwen binnen een netwerk terzijde schuift. In plaats van impliciet te vertrouwen op de beveiliging van interne systemen, vereist zero trust dat elke toegangspoging continu wordt gevalideerd. Dit zorgt ervoor dat zelfs als een aanvaller zich binnen het netwerk bevindt, zijn mogelijkheden om schade aan te richten beperkt zijn.

4. De rol van SDN en unidirectionele gateways

SDN-oplossingen bieden een flexibele manier om netwerkverkeer te beheren en te segmenteren zonder ingrijpende veranderingen in de bestaande infrastructuur. Deze technologie- en werken door het softwarematig definiëren en beheren van netwerksegmenten. Dat maakt een gedetailleerde controle mogelijk over welke apparaten en machines met elkaar kunnen communiceren.

Een ander belangrijk instrument in netwerksegmentatie zijn unidirectionele gateways. Deze hardware-apparaten laten data in slechts één richting door. Hierdoor wordt het risico op datalekken verminderd. Door deze technologieën te combineren, kunnen OT-netwerken worden beschermd tegen aanvallen die zich richten op kritieke controlepunten binnen het netwerk.

5. De mens

Een van de grootste uitdagingen in het waarborgen van cybersecurity binnen een bedrijf is de mens. Onvoldoende bewustzijn en gebrek aan training onder medewerkers kunnen zelfs de beste beveiligingsmaatregelen ondermijnen. Daarom is het essentieel om een cultuur van beveiligingsbewustzijn te creëren, waarbij elke medewerker - van de productievloer tot de directiekamer - zich bewust is van de potentiële risico’s en de juiste procedures volgt.

Regelmatige trainingen, duidelijke richtlijnen en handhaving van beveiligingsbeleid zijn noodzakelijk om ervoor te zorgen dat alle medewerkers bijdragen aan de beveiliging van het netwerk. Dit omvat het gebruik van sterke wachtwoorden, tweefactorauthenticatie en het beperken van de toegang tot gevoelige netwerksegmenten.

6. De rol van AI

Met de steeds complexere cyberdreigingen wordt de rol van kunstmatige intelligentie (AI) en machine learning (ML) in OT-cybersecurity steeds belangrijker. Deze technologieën kunnen helpen bij het detecteren en reageren op dreigingen in real-time. Dit doen zij door het analyseren van netwerkverkeer en het identificeren van afwijkende patronen die kunnen wijzen op een aanval.

Hoewel AI en ML veelbelovende tools zijn, is er ook enige terughoudendheid bij OT-netwerkbeheerders om deze technologieën te omarmen. De complexiteit en de nog steeds relatief onbekende risico’s van AI maken het begrijpelijk dat de sector voorzichtig is met de adoptie ervan. Toch zal, naarmate deze technologieën verder worden ontwikkeld en geoptimaliseerd, hun rol in cybersecurity waarschijnlijk groeien.

7. Ketenbeheer en verantwoording binnen de supply chain

Een ander belangrijk aspect van OT-beveiliging is het beheer van de toeleveringsketen. Aangezien steeds meer industriële apparaten en systemen afhankelijk zijn van externe leveranciers, is het van cruciaal belang om de beveiliging van de hele keten te waarborgen. Dit houdt in dat bedrijven moeten zorgen voor transparantie en verantwoording in elke fase van de ontwikkeling en levering van producten.

Bedrijven kunnen gebruikmaken van certificeringen en normen, zoals de ISA/IEC 62443, om ervoor te zorgen dat hun producten en systemen voldoen aan de hoogste beveiligingsstandaarden. Deze normen behandelen verschillende aspecten van OT-cybersecurity, waaronder procesveiligheid, productontwikkeling en het levenscyclusbeheer van systemen.

8. EU Cybersecuritycertificering en internationale normen

Terwijl de Verenigde Staten de ISA/IEC 62443-normen hebben aangenomen, beweegt de Europese Unie richting het EU Cybersecurity Certification (EUCC) kader. Hoewel dit kader mogelijk gerelateerd is aan de ISA/IEC 62443, kunnen er specifieke of aanvullende eisen worden gesteld aan de ontwikkeling van OT-producten die worden verkocht in de lidstaten.

Het naleven van deze internationale normen en certificeringen zal bedrijven helpen om niet alleen te voldoen aan de wettelijke vereisten, maar ook om hun systemen te beschermen tegen cyberdreigingen die zich voortdurend ontwikkelen.

Conclusie

Hoewel de dreiging van cyberaanvallen op OT-netwerken reëel en groeiend is, zijn bedrijven niet machteloos. Door een combinatie van gedegen netwerkanalyse, het adopteren van security by design door ontwerp, netwerksegmentatie, en het versterken van het menselijke element, kunnen bedrijven hun netwerken effectief beschermen.

Daarnaast biedt de integratie van AI en machine learning nieuwe mogelijkheden om proactief bedreigingen te identificeren en erop te reageren. Tot slot is het naleven van internationale normen en certificeringen essentieel om ervoor te zorgen dat de beveiliging van industriële netwerken op het hoogste niveau blijft.