Een ICS-perspectief voor CISO’s
Cyberoperaties maken tegenwoordig net zo goed deel uit van militaire strategie als fysieke aanvallen. Daardoor kunnen vergeldingsacties in cyberspace zowel militaire als civiele infrastructuur raken. Voor CISO’s die industriële processen beheren rijst daarom de vraag: “Zijn wij een doelwit en zijn we voldoende voorbereid?”
Organisaties bepalen niet zelf of ze doelwit zijn; dat hangt af van externe geopolitieke factoren. Wat CISO’s wél kunnen beïnvloeden, is de mate van voorbereiding en de weerbaarheid van systemen. Dat begint met voortdurende situational awareness en het gebruik van OT-gerichte threat intelligence om beveiligingsmaatregelen af te stemmen op sector en systemen.
De gebeurtenissen in het Midden-Oosten vergroten de zorgen: analyses laten zien dat geopolitieke crises vaak leiden tot meer ‘hacktivistische’ campagnes. Vanuit het perspectief van Industrial Control Systems blijft de situatie vooralsnog beheerst. Maar dit soort zaken kunnen veranderen.
Voor security leaders is dit onderscheid belangrijk. Cyberaanvallen die industriële processen verstoren, vereisen uitgebreide voorbereiding, toegang tot systemen en diepgaande proceskennis. Historisch gezien kosten dergelijke operaties veel tijd om op te bouwen.
De eerste fase van geopolitieke cyberescalatie bestaat meestal uit een snelle verkenning, herhaalde inbraakpogingen en waarschuwingstekens (in plaats van directe verstoring van industriële processen). Aanvallers proberen eerst toegang te krijgen tot bedrijfsnetwerken voordat ze operationele omgevingen benaderen. Tot nu toe zijn er (gelukkig) geen bevestigde manipulaties van industriële processen.
Toch kunnen geopolitieke spanningen wel indirecte verstoringen veroorzaken. Zo is er in de regio van het Midden-Oosten sprake van aanhoudende GPS- en GNSS-interferentie die maritiem verkeer beïnvloedt. Dit toont aan hoe afhankelijk industriële operaties zijn van externe diensten zoals satellietnavigatie, telecom en cloudsystemen.
Voor CISO’s ligt de focus daarom op gedisciplineerd risicomanagement en operationele paraatheid. De SANS Five ICS Cybersecurity Critical Controls bieden hierbij duidelijke prioriteiten:
ICS-specifiek incident responsplan
Incident respons moet rekening houden met veilige operaties en processtabiliteit. Regelmatige oefeningen helpen IT, OT en management effectief samen te werken.
Defensible architecture
Segmentatie tussen IT- en OT-netwerken, Industrial Demilitarized Zones en gecontroleerde communicatie beperken de bewegingsruimte van aanvallers en ondersteunen monitoring.
ICS-netwerkzichtbaarheid en monitoring
Monitoring moet gericht zijn op ICS-protocollen en gekoppeld zijn aan threat intelligence om verdachte activiteiten vroeg te detecteren.
Beveiligde remote access
Externe toegang is een belangrijk aanvalspunt. Strikte controle, sterke authenticatie en gecontroleerde toegangspunten zijn essentieel.
Risk based vulnerability management
Niet elke kwetsbaarheid kan direct worden gepatcht. Focus moet liggen op kwetsbaarheden die toegang geven tot operationele systemen of kritieke processen.
De huidige situatie vraagt om waakzaamheid, niet om paniek. Organisaties moeten hun preventieve, detectie en herstelmaatregelen evalueren. Als een organisatie niet kan beantwoorden of systemen gecompromitteerd zijn, wijst dat op onvoldoende OT-monitoring.
Destructieve cyberaanvallen op industriële systemen vereisen tijd en voorbereiding. Organisaties met goede zichtbaarheid, sterke netwerkgrenzen en solide herstelplannen vormen daardoor een aanzienlijk moeilijker doelwit.
Kortom: voorbereiding vóór een crisis is essentieel om veerkrachtig te blijven tijdens geopolitieke spanningen. Sterke monitoring, duidelijke netwerkgrenzen en effectieve responsmogelijkheden vormen de kern van goede ICS-beveiliging.
Michael Hoffman
Certified Instructor SANS Institute
Lees meer
