Operationele technologie: de volgende uitdaging van de IT-auditor

UIT DE IT-AUDITOR
Dit artikel is eerder gepubliceerd op deitauditor.nl

Dankzij de industrial internet of things (IIoT) speelt IT een steeds grotere rol binnen de operationele technologie (OT). Nieuwe technologieën zoals artificial intelligence, cloud computing en big data doen hun intrede en hebben direct impact op de monitoring en besturing van industriële processen. Het zorgt niet alleen voor meer efficiency, maar creëert ook nieuwe risico’s. Dit wekt de interesse van hackers én de overheid. Deze bijdrage geeft aan hoe de IT-auditor hierop kan aansluiten.

Door de opkomst van nieuwe technologieën vindt een toename van de automatiseringsgraad plaats. Deze ‘vierde industriële revolutie’ stelt de OT voor de grootste uitdaging ooit. De wijze waarop de beheersing van fysieke processen en machines plaatsvindt, verandert snel. De revolutie kenmerkt zich door de toepassing van IIoT-apparaten en doordat organisaties zich transformeren tot ICT-bedrijven.

Uitdaging voor de IT-auditor

Dit biedt unieke kansen voor organisaties, maar wekt ook de interesse van hackers. Een veilige samenwerking van IT met OT is dan ook essentieel. De IT-auditor heeft als uitdaging om tijdig aan te haken bij de ontwikkelingen in het OT-domein, kennis over OT-omgevingen op te doen, en de specifieke beveiligingsrisico’s die hierbij spelen in beeld te krijgen.

Ontwikkelingen

De volgende ontwikkelingen zijn ‘drivers’ voor de IT-auditor om nu ook binnen het OT-domein actief te worden (zie figuur 1):

• Toename OT-malware – Het is nog maar tien jaar geleden dat Stuxnet de securitywereld op zijn kop zette. Dit was de eerste gerichte cyberaanval die op OT plaatsvond. Sindsdien lukt het statelijke actoren regelmatig om (delen van) vitale infrastructuren van landen stil te leggen.
• Digitale Transformatie – De industrie innoveert snel en nieuwe technieken doen hun intrede. De huidige OT-omgevingen zijn niet meer te vergelijken met die van een paar jaar terug. OT en IT vloeien steeds meer in elkaar over.
• Toename IT-malware – De digitale transformatie biedt hackers nieuwe kansen, waardoor IT-gerelateerde criminaliteit doordringt in de OT-omgevingen. Recent voerde een hacker bijvoorbeeld een ransomware-aanval uit op een aardgasfabriek in de Verenigde Staten. De hacker kreeg via de IT-omgeving toegang tot de OT en versleutelde vervolgens in beide omgevingen data. De fabriek lag twee dagen stil.
• Uitbreiding wet- en regelgeving – De ontwikkelingen wekken ook de interesse van de overheid, met als gevolg dat steeds meer aanbieders van essentiële diensten (AED’s) moeten voldoen aan de Wet beveiliging netwerk- en informatiesystemen (Wbni), waardoor ze zelfs onder toezicht vallen van de bevoegde autoriteit voor de sector waar de organisatie toe behoort.¹ Een AED levert een essentiële dienst als de continuïteit hiervan van vitaal belang is voor de Nederlandse samenleving.

Hierna volgt een toelichting op de ‘drivers’ uit figuur 1.

Driver 1 – Toename OT-malware

Essentiële diensten zoals de levering van water en energie, moeten te allen tijde beschikbaar zijn. Van oorsprong richtten de ontwerpen van traditionele OT-omgevingen zich dan ook op fysieke dreigingen. Maatregelen om vroegtijdig potentiële cybersecurity-incidenten te detecteren en tijdig te reageren, kregen hierdoor minder aandacht.

Lange tijd leek aandacht voor deze digitale weerbaarheid niet nodig te zijn. Het keerpunt kwam in 2010, toen specifieke malware gericht op OT-omgevingen aanzienlijke schade veroorzaakte aan het nucleaire programma van Iran. Stuxnet was hiermee de eerste cyberaanval door een statelijke actor op een OT-omgeving, die ook brede bekendheid kreeg. De wereld kreeg een indruk hoe toekomstige aanvallen eruit zouden komen te zien.

Nieuwe cyberaanvallen door statelijke actoren en hieraan gelieerde actoren volgden dan ook snel. Na Stuxnet zijn de vijf bekendste: Havex (Dragon Fly), Black Energy, Industroyer (Crashoverride) en Triton (Trisis). Zie figuur 2 voor meer uitleg (in een aantal gevallen is de vermelde aanvalsmethode of aanvaller gebaseerd op vermoedens).

Het Cybersecuritybeeld Nederland 2019 geeft aan dat door de veranderende geopolitieke verhoudingen de dreiging van sabotage en spionage verder toeneemt naarmate Nederland onderdeel wordt van, of betrokken raakt bij, geopolitieke conflicten. In dit kader is Nederland vanwege het lidmaatschap en de vestigingsplaats van internationale instituties een interessant doelwit. Andere redenen zijn de Nederlandse rechtszaak over het neerhalen van vlucht MH17 met een luchtdoelraket en de cruciale rol die Nederland speelde bij de Stuxnet-aanval. Het lijkt erop dat het dus niet wachten is óf Nederland digitaal aangevallen wordt, maar wannéér.

In het algemeen steeg de kans op een cyberaanval op een OT-domein de afgelopen jaren flink. Veel OT-domeinen bevatten systemen van twintig jaar of ouder die hier in hun ontwerp geen rekening mee hielden, omdat niet kon worden voorzien dat ze ooit met de buitenwereld verbonden zouden worden.

Het tegen moderne aanvalstechnieken weerbaar maken van deze legacyomgevingen vraagt daarom bijzondere aandacht van de IT-auditor. De IT-auditor kan zijn opdrachtgever zekerheid verschaffen door onder meer het volgende te onderzoeken:

• Worden de koppelingen tussen het IT- en het OT-domein voldoende beheerst?
• Worden patches weloverwogen uitgevoerd? Worden alternatieve mitigerende maatregelen ingevoerd als patches niet mogelijk zijn?
• Signaleren pentesters risico’s en worden de gevonden issues tijdig opgelost?
• Vindt er logging en monitoring op de OT-omgeving plaats om cyberaanvallen te detecteren en wordt indien nodig adequaat op meldingen gereageerd?
• Houdt het securitymanagement rekening met de dreiging van OT-malware?

Met betrekking tot logging, monitoring en detectie is een interessante ontwikkeling dat beveiligingsspecialisten in OT steeds vaker diensten aanbieden voor het 24/7 monitoren van industriële systemen. Deze diensten zijn vergelijkbaar met de security operations centers (SOC’s) uit de IT-wereld.

Driver 2 – Digitale transformatie

OT gebruikt industrial control systems (ICS’s) om de fysieke toestand van een systeem te bewaken of te wijzigen. ICS’s kom je overal tegen: van distributie van elektriciteit tot vervoer van water via leidingen en personen via spoorwegen. Om data uit ICS’s te kunnen gebruiken voor besluitvorming en het voorspellen van onderhoud, maken organisaties steeds vaker gebruik van IIoT-apparaten. Hierbij koppelen organisaties apparaten aan internet, en vindt monitoring en aansturing op afstand plaats.

Technologieën als artificial intelligence, cloud computing en big data doen hun intrede. De industriële sector sluit steeds meer aan op IT en de digitale transformatie is begonnen. Industry 4.0 is gestart (zie figuur 3). In dit kader kan de IT-auditor onder meer aan zijn opdrachtgever zekerheid verschaffen door onder andere het volgende te onderzoeken:

• Worden nieuwe technologieën risk-based geïmplementeerd? En wordt hierbij naar de keten van leveranciers en onderleveranciers gekeken?
• Worden er security-by-designprincipes gehanteerd bij het implementeren van nieuwe OT- technologie?
• Zijn nieuwe OT-componenten veilig geïntegreerd met de bestaande OT-componenten?

Driver 3 – Toename IT-malware met impact op de industriële sector

Het aantal cyberaanvallen neemt niet alleen toe, maar verandert ook in opzet en complexiteit. Historisch gezien waren het statelijke actoren die specifieke aanvallen op OT-omgevingen uitvoerden, met als doel maatschappelijke ontwrichting te veroorzaken. Sinds 2018 zien we de trend dat naast statelijke actoren en hieraan gelieerde actoren ook cybercriminelen vanuit een commercieel oogpunt ransomware-aanvallen uitvoeren binnen de industriële sector (zie figuur 4). Een belangrijk aandachtspunt hierbij voor de IT-auditor is het bewaken van de optimale samenwerking tussen IT en OT.

Naast de onderzoeksvragen van driver 1 kan de IT-auditor in dit kader zijn opdrachtgever zekerheid verschaffen door onder meer de volgende vragen te beantwoorden:

• Is er een integraal beveiligingsbeleid met zowel aandacht voor IT als OT?
• Is er een overall architectuurontwerp met zowel aandacht voor IT als OT?
• Is er adequate monitoring op en detectie van IT-cyberaanvallen die impact kunnen hebben op de OT-omgeving?
• Houdt securitymanagement rekening met de dreiging van malware?

Driver 4 – Uitbreiding wet- en regelgeving

Bedrijfsleven en overheid werken nauw samen om de digitale weerbaarheid van essentiële diensten te borgen. Om dit mogelijk te maken, worden AED’s steeds meer onder formeel toezicht van onder andere de Inspectie Leefomgeving en Transport, en het Agentschap Telecom gesteld.

Om dit mogelijk te maken bracht Europa hiervoor de NIS Directive uit. Nederland vertaalde deze in 2018 naar de Wbni. De wet schrijft voor dat aanbieders van vitale processen passende en evenredige technische en organisatorische maatregelen moeten nemen om hun netwerk en informatiesystemen te beveiligen. Eventuele incidenten met aanzienlijke gevolgen moeten zij melden bij de overheid. De Wbni noemt deze verplichtingen de zorg- en meldplicht. Daarnaast trad op 27 juni 2019 de Europese cybersecurity act (CSA) in werking met als doel dat de EU grensoverschrijdende cyberaanvallen beter het hoofd kan bieden. Hiermee komt vrijwillige certificering van producten, processen en diensten een stap dichterbij.

Lidstaten hebben tot medio 2021 om de kaders uit te werken. In 2024 evalueert de Europese Commissie de CSA en bepaalt dan onder andere of certificering verplicht zal worden. In dit kader kan de IT-auditor zijn/haar opdrachtgever zekerheid verschaffen door onder meer het volgende te onderzoeken:

• Voldoet de organisatie aan de zorg- en meldplicht zoals opgenomen in de Wbni? Ook voor organisaties die (nog) niet onder deze wet vallen, is de zorgplicht een goed uitgangspunt voor de IT-auditor.
• Volgt de organisatie de ontwikkelingen rondom de Wbni en CSA en bereidt zij zich hier indien nodig op voor?
• Is de organisatie aangesloten op de informatievoorziening vanuit de overheid en industriële sector met betrekking tot actuele dreigingen?

Tot slot

Om een eerste indruk van de beveiliging van een OT-domein te krijgen, kan de IT-auditor de Checklist beveiliging van ICS/SCADA-systemen van het NCSC gebruiken. Deze checklist bevat een overzicht van organisatorische en technische good practices.

Een vervolg op het verkregen inzicht is het formuleren van onderzoeksvragen. In deze bijdrage zijn vier drivers beschreven die voor de IT-auditor aanleiding kunnen zijn om nu actief te worden binnen het OT-domein. De drivers zijn de toename van OT-malware, de digitale transformatie, de toename van IT-malware en de uitbreiding van wet- en regelgeving. Per driver zijn meerdere mogelijke onderzoeksvragen geformuleerd die de IT-auditor kan onderzoeken. Hierbij zal de IT-auditor uiteraard een normenkader gebruiken.

Een veel gebruikt normenkader binnen het IT-domein is de ISO27000-serie. Hoewel nieuwe OT-processen en systemen steeds meer richting ISO27000-normering verschuiven, is de IEC62443 een specifieke aanvulling voor het OT-domein op deze norm. IEC62443 bevat een uitgebreide normenset die zich richt op de continuïteit en de digitale weerbaarheid van organisaties. Uiteraard zijn er nog diverse andere good practices die de IT-auditor kan gebruiken.

Door een verbreding van het IT-auditvakgebied naar het OT-domein kan de IT-auditor een belangrijke bijdrage leveren aan de digitale weerbaarheid van organisaties in de industriële sector. Deze ontwikkeling biedt de IT-auditor unieke kansen. Wellicht is de tijd dan ook gekomen om de naam van de IT-auditor te evolueren naar IT/OT-auditor of cybersecurity-auditor.

Noot
1. De Wbni noemt voor de verschillende sectoren de volgende bevoegde autoriteiten: energie, digitale infrastructuur: de minister van EZK. Bankwezen, infrastructuur voor de financiële markt: De Nederlandsche Bank. Vervoer, levering en distributie van drinkwater: de minister van I&W. Gezondheidszorg: de minister voor Medische Zorg.