Cybersecurity niveau

Voordat überhaupt kan worden begonnen aan het verhogen van het cybersecurity niveau van het operationele domein, is het belangrijk om te weten wat het huidige niveau is. Immers, hoe weet je of er vooruitgang is wanneer het beginpunt niet bekend is.

Bij het vaststellen van dit beginpunt wordt meteen duidelijk of het noodzakelijk is om extra maatregelen te nemen. Want hoewel vaak wordt gesteld dat het beveiligingsniveau in het OT-domein laag is, weet je dat pas zeker na een meting.

Maar hoe gaat een goede meting – of, zoals wij het noemen: een Assessment – nu in z’n werk? Hoe weet je waar je moet beginnen? Hoe weet je wanneer je klaar bent?

Eén van de eerste zaken om te bepalen is of er een noodzaak is om te voldoen aan specifieke standaarden. Denk hierbij aan de IEC 62443 (voorheen ISA 99) of de NIST 800-82. En wellicht zijn nog andere standaarden relevant, afhankelijk van de industrie waarin u zich bevindt. En zelfs wanneer het niet noodzakelijk is om aan een bekende standaard te voldoen, geeft het vaak wel een goede leidraad en gedefinieerd begin.

De zojuist genoemde IEC 62443 en NIST 800-82 zijn waarschijnlijk de meest bekende standaarden en wij werken dan ook voornamelijk met deze. Hierbij is de IEC 62443 iets abstract en is de NIST 800-82 juist heel pragmatisch. Vanwege dit laatste adviseren wij dan ook vaak, wanneer een industrieel bedrijf net begint met cybersecurity, de NIST-standaard als beginpunt te nemen.

NIST 800-82

In de NIST 800-82 zijn 18 verschillende domeinen gedefinieerd (gebaseerd op de NIST 800-53) waarop gemeten kan worden wat het huidige cybersecurity niveau is van een ‘Industrial Control System’ (ICS). Deze domeinen zijn als volgt:

  • Access Control (AC)
  • Awareness and Training (AT)
  • Audit and Accountability (AU)
  • Security Assessment and Authorization (CA)
  • Contingency Planning (CP)
  • Configuration Management (CM)
  • Identification and Authentication (IA)
  • Incident Response (IR)
  • Maintenance (MA)
  • Media Protection (MP)
  • Physical and Environmental Protection (PE)
  • Planning (PL)
  • Personnel Security (PS)
  • Risk Assessment (RA)
  • System and Services Acquisition (SA)
  • System and Communications Protection (SC)
  • System and Information Integrity (SI)
  • Program Management (PM)

Al deze domeinen zijn voorzien van specifieke vragen waarmee, gebaseerd op de antwoorden, een goed beeld kan worden geschetst van het cybersecurity niveau van het industriële netwerk.

Het is echter ondoenlijk om bij een Fasttrack Assessment al deze domeinen en bijbehorende vragen te behandelen. Vandaar dat een selectie wordt gemaakt van een aantal domeinen die voor uw bedrijf op dat moment het belangrijkst zijn.

De keuze voor domeinen is afhankelijk van het specifieke Control System dat onderwerp is van het Assessment. Dus daarom wordt als eerste een keuze gemaakt voor het Control System en vervolgens de relevante cybersecurity domeinen.

Interviews

Wanneer duidelijk is welk Control System het Assessment zal ondergaan, en wanneer duidelijk is welke cybersecurity controls zullen worden gebruikt, is de volgende stap het bepalen van de juiste stakeholders om één of meerdere interviews mee te houden. Een interview bestaat uit een 1-op-1 gesprek met een deskundige van uw bedrijf op een specifiek gebied, gerelateerd aan het geselecteerde Control System en de geselecteerde cybersecurity controls.

Om een indruk te geven van de vragen die worden gesteld volgt hieronder een aantal voorbeeldvragen:

  • Does the organization have an Awareness and Training Procedure?
  • Are practical exercises included in the security awareness training that simulate actual cyber-attacks?
  • Are employees provided with initial and periodic training in the employment and operation of physical security controls?
  • Are periodic reviews conducted of existing authorized physical and electronic access permissions to ensure they are current?
  • Is the concept of least privilege used to accomplish assigned tasks?
  • Does the system log both successful and unsuccessful logon attempts?

Dit is slechts bedoeld om een indruk te geven van het type vragen en is afhankelijk van de gekozen cybersecurity controls. Het totaal aantal vragen bij een Fasttrack Assessment ligt tussen de 70 en 100.

Rapportage

Nadat de interviews zijn afgerond worden de verkregen resultaten geïnterpreteerd door consultants van SECUROTY. HIerbij worden de antwoorden op de vragen aandachtig geanalyseerd en wordt een score toegekend in lijn met de prioriteit van het onderwerp. Op deze manier is gegarandeerd dat het uiteindelijke resutaat goed aansluit bij uw bedrijf.

Volgend op de interpretatie wordt een duidelijk en overzichtelijk rapport opgesteld waarbij in heldere bewoordingen is aangegeven wat mogelijke vervolgstappen zijn, inclusief prioriteiten.

Resultaat

Het resultaat van bovengenoemde activiteiten is het hebben van duidelijk inzicht in het huidige cybersecurity niveau van het OT-domein. Dit biedt een startpunt voor vervolgacties waarbij kan worden begonnen met het aanpakken van de kleine en eenvoudige zaken en kan worden toegewerkt naar de grote en complexe zaken, met als uiteindelijk doel het creëren van een solide, cybersecure industrieel netwerk.

Assessments

Meer weten over onze Assessments en direct uitgebreide informatie aanvragen? Dat kan hier.