Smart WorkPlace partner Croonwolter&dros heeft een cybersecurity kenniscentrum opgezet en past zijn jarenlange cybersecurity expertise uit onder andere de kritische infrastructuur toe op andere markten, waaronder de industrie. 

Rob Roodenburg, Cyber Security Expert bij Croonwolter&dros, vertelt in een artikel in Process Control, vakblad over procesbesturing en -optimalisatie, dat cyber security zes jaar geleden nog amper een thema was: “Vrijwel geen klant vroeg er om, geen ontwerp hield er rekening mee en niemand wilde er voor betalen. Bedrijven bouwen dan dus ook geen kennis op het gebied van cyber security op.” Er waren wel een paar uitzonderingen: “Onze klanten die zich bezighouden met nucleaire systemen waren in 2013 uiteraard al maximaal beveiligd voor cyber aanvallen, zo ook de kritische overheidsinstanties, de banken, enzovoorts.”

Onder invloed van de VS, waar cybersecurity na 9/11 al eerder een thema was geworden, en door een toename in het aantal cyberincidenten, ontstond ook in Europa en Nederland regelgeving. Inmiddels is sinds 9 november 2018 de Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht. Deze wet regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen). Aanbieders van essentiële diensten (AED’s) en digitale dienstverleners (DSP’s) moeten aan de wet voldoen. De Wbni is erop gericht de digitale weerbaarheid van Nederland te vergroten, de gevolgen van cyberincidenten te beperken en zo maatschappelijke ontwrichting te voorkomen.

Volgens Roodenburg heeft de industrie met name een achterstand bij cybersecurity als wordt gekeken naar de Operationele Techniek (OT). “Binnen de IT zijn we gewend dat hardware vrij vlot wordt vervangen en dat in de tussentijd het systeem goed up to date wordt gehouden. In de OT zie je systemen die rustig 25 jaar meegaan.” Dat oudere OT-systemen niet altijd even cybersecure zijn, is niet vreemd. De systemen die destijds geleverd werden, waren niet bedoeld om ‘aan het internet te hangen’, laat staan te kunnen communiceren met talloze devices, sensoren en systemen.

Omdat vanwege de Wbni systemen nu veilig moeten zijn, is er veel vraag naar cyberdsecurity. Aanbod is er echter amper. Croonwolter&dros is daarop een uitzondering omdat het bedrijf al lange tijd in de kritische infrastructuur actief is. “Wij waren ver voor 2013 al bezig met cybersecurity in nucleaire toepassingen. Toen we merkten dat cybersecurity over de hele breedte van de markt een thema werd, hebben we een nieuwe afdeling opgezet waar we ons specialiseerden in cybersecurity. De experts uit die verschillende branches hebben we nu dus in één afdeling samengebracht. Het idee is dat er op deze manier een cybersecurity kenniscentrum ontstaat, waarin we intern mensen kunnen opleiden en de cybervragen vanuit de andere afdelingen centraal kunnen behandelen.”

Bij het oprichten van het kenniscentrum stond Croonwolter&dros voor de keuze om de experts uitsluitend in te zetten als consultants voor de overige medewerkers, of ze ook te laten meedraaien in de projecten. “We hebben er voor gekozen om ook de experts te laten werken aan het parametreren en het hardenen van de systemen van klanten, juist om ze uitstekende consultants te laten blijven. Uiteraard zetten we de experts in op de complexere projecten. Tijdens dat soort projecten leren andere medewerkers weer door mee te draaien met zo’n project.”

Om cybersecurity goed geregeld te hebben, is het volgens Roodenburg verstandig om gebruik te maken van een CSMS, een cybersecurity management systeem. Net als bij een QMS voor de kwaliteit van het product, is bij een CSMS precies vastgelegd wie er verantwoordelijk is voor wat, wat de procedures zijn, welke maatregelen er wanneer moeten worden genomen.

Roodenburg maakt wel een kanttekening: “Cybersecurity krijg je nooit voor honderd procent waterdicht. Het gaat er om dat je bewust bent dat je bepaalde risico’s loopt. Dan rest de vraag: kan je die accepteren, of moet je die mitigeren? Het antwoord op die vraag is bij een nucleaire reactor anders dan bij een bakker.”

Lees hier het hele artikel in Process Control.

dinsdag 25 juni 2019permalink