Focus op Security van operationele middelen... ondergeschoven kind?

In een tijd waarin het coronavirus de wereld in de greep heeft, koppen de kranten over datalekken bij de GGD. In talkshows en actualiteiten programma’s kunnen we speculeren over hoe dit heeft kunnen gebeuren en welke risico’s dit met zich mee brengt en wat de impact hiervan is. Uiteraard is dit uiterst relevant.

Ondertussen gaat het “gewone” leven ook door. Zaken waar we met zijn allen misschien niet zo bij stil staan, omdat die heel normaal zijn. Neem bijvoorbeeld gas, water en licht. Deze nutsvoorzieningen zijn altijd voor iedereen op ieder tijdstip beschikbaar en bieden primaire levensbehoeften. Liggen hier dreigingen op de loer? Wellicht ten overvloede om te benoemen maar als hier iets mis gaat zijn de rapen gaar. Gaat het bij het beveiligen hiervan slechts om informatie en privacy, of gaat het ook om fysieke zaken en data?

Neem bijvoorbeeld een energiebedrijf: wat kan er mis gaan? Verschillende soorten fraude zijn mogelijk. Facturatiefraude: wellicht wordt degene die het pleegt hier rijk van, maar misschien merk je als gewone consument weinig van als een crimineel zich hiermee bezig houdt. Dit soort criminaliteit wordt over het algemeen ervaren als ongrijpbaar en misschien eng... alsof er iemand meekijkt. Hoe goed beveiligen we de toegangssystemen van een energiecentrales of een windmolenpark, kortom onze operationele en fysieke middelen? Er zijn cybercriminelen die zich bewust zijn van economische en maatschappelijke kwetsbaarheid op het gebied van de sectoren in de nutsvoorziening, zij hebben het niet gemunt op de slimme meters bij de klant! 

Als het om energie en water gaat, zijn we ontzettend kwetsbaar. Een ontwikkeling die we hierbij waarnemen is de convergentie van operationele technologie en informatietechnologie; het naar elkaar toe groeien van de fysieke- en virtuele wereld. Informatietechnologie en operationele technologie staan steeds meer in elkaars verlengde en, dientengevolge, de beveiliging van IT en OT dient in onderlinge samenhang ontworpen te worden, vanaf het niveau van investeringsbeslissingen en bij de planning van infrastructuur.

Met de exponentiële groei van internetcriminaliteit de laatste jaren is het bijzonder van belang om proactief met beveiliging om te gaan. We moeten onze known unknowns scherp in het vizier hebben, want het boevengilde is erg inventief als het gaat om het ontwikkelen van aanvalsvectoren. Hoe neem je de integratie van informatietechnologie in operationele technologie mee in de overkoepelende architectuur van de organisatie? Hoe bescherm je de organisatie op een slimme en gestructureerde manier tegen aanvallen? Hoe wordt security denken onderdeel van het DNA van de organisatie? Er gebeurt veel in de wereld om ons heen en we moeten ons bewust zijn van de dreigingen die op de loer liggen, misschien nu wel meer nu onze focus sterk op COVID en privacy is gericht. Hebben we onze known unknowns scherp in het vizier? Weten we welke keuzes we moeten maken? Hoe we deze keuzes moeten wegen om tot het besef te komen dat er oplossingen nodig zijn en welke oplossingen we moeten kiezen? Hebben we de juiste balans tussen de fysieke en virtuele wereld hierin meegenomen? Hoe deze omgevingen te integreren, vanaf strategisch planningsniveau tot aan het invullen van requirements ten aanzien van strategische oplossingen. Herken je je hierin of wil je weten wat jouw organisatie hieraan kan doen? Wij zijn benieuwd.