Ewald Coenraad
Pas de laatste jaren ontstaat er meer besef onder asset owners dat ook hun bedrijf kwetsbaar kan zijn voor cyberdreigingen. Van ransomware tot levensgevaarlijke procesverstoringen: er kan van alles gebeuren. Cyber Resilience Team helpt de industrie met een verdedigingsplan.
Bijna was het mis gegaan: door een cyberaanval dreigde een enorme explosie in een chemische fabriek. Het voorval vond plaats in Saoedi-Arabië, zo'n drie jaar geleden en werd pas een jaar later bekend gemaakt. Beruchte voorbeelden in Nederland van de afgelopen tijd zijn de digitale aanval op transportbedrijf Maersk in de Rotterdamse haven, de aanval op Citrix-systemen, waardoor bij veel overheden thuiswerken onmogelijk werd, en de aanval op de Universiteit van Maastricht, die uiteindelijk tonnen losgeld betaalde na een ransomware-aanval.
Veilig wanen
In de industrie wanen veel asset owners zich veilig doordat volgens hen de besturingssystemen van de installaties (OT) losgekoppeld zijn van internet en de kantoorautomatisering (IT). ‘Wanen is hier wel het juiste woord’, vertelt Ewald Coenraad, ‘want bij heel veel bedrijven is er – soms ongemerkt – wel degelijk een koppeling tussen de operationele besturingssystemen en het internet. Daarmee staan de poorten naar kwaadwillende personen helaas open.’ Ewald werkt als Consultant Cyber Security bij Cyber Resilience Team, een zusterbedrijf van KH Engineering. Zij werken samen met collega’s van ons Israëlische moederbedrijf Ludan, dat ook veel expertise in huis heeft in cyberveiligheid.
Los van internet?
Om bedrijven veilig te krijgen, kunnen zij Ewald en zijn collega’s inschakelen voor advies. ‘Het is de laatste tijd een erg populaire service’, vertelt Ewald. ‘En terecht, want eigenlijk is het opmerkelijk dat asset owners zoveel investeren in procesveiligheid zonder na te denken over cyberveiligheid.’ Daar zit wel een klein stukje historie achter, weet Ewald. ‘In de tijd dat elektronische procesbesturing werd ingevoerd, bestond internet nog niet in de huidige vorm. Bovendien stonden deze systemen ook daadwerkelijk op zichzelf, draaiden ze op UNIX en waren ze alleen verbonden met de controlekamer. Maar in de loop van de tijd deed toch de kantoorautomatisering, inclusief Windows, zijn intrede in de controlekamer. Daardoor werd procesinformatie – bijvoorbeeld in de vorm van KPI-dashboards – ook in de directiekamer zichtbaar gemaakt. Modernere systemen zijn ook steeds meer opgebouwd met off-the-shelf devices uit de IT-wereld, waaronder Windows pc’s. En de systeemleverancier promoot ook dat het wel handig is dat hij op afstand mee kan kijken bij storingen, waardoor eveneens een koppeling met internet ontstaat. Wanneer ik mijn onderzoek bij een klant start, vind ik in veertig procent van de installaties een verbinding met internet waar men nog niet van op de hoogte was.’
Weerbaar maken
Om het bedrijf weerbaar te maken tegen een digitale aanval (“cyber resilience”), biedt Cyber Resilience Team verschillende oplossingen. ‘We beginnen veelal met een “maturity check”, waarin we vaststellen hoe cyberbewust en -weerbaar het bedrijf eigenlijk is’, legt Ewald uit. ‘Ook brengen we in kaart waar de zwakke plekken zitten en of je deze kunt voorkomen. En zo niet, welke beschermende maatregelen je kunt nemen. Die kunnen we doorvoeren met technische hulpmiddelen, zoals apparatuur, tools, apps of een aanpassing in de architectuur, maar er zitten ook organisatorische en menselijke aspecten aan vast. Daarom kunnen we management en medewerkers ook trainen in veiligheidsbewustzijn. Een serieuze hack gebeurt namelijk niet zoals in de film in een paar tellen. Vaak gaan er maanden van voorbereidingen aan vooraf. Tijdens zo’n periode wordt er ook in kaart gebracht wie medewerkers zijn en welke rollen zij hebben. Daarvan moet je je óók bewust zijn.’
Evenwicht
In hun risico-inventarisatie en advies voor maatregelen proberen de medewerkers van Cyber Resilience Team altijd het evenwicht te vinden tussen goed beschermd zijn, werkbaarheid en een betaalbare prijs. ‘Je kunt alles wel willen loskoppelen en dichttimmeren, maar dat is vaak veel te duur’, zegt Ewald. ‘We kunnen wel een gedegen advies geven over de acties die het bedrijf kan ondernemen om een stuk veiliger te worden zonder dat het onbetaalbaar wordt. Daarmee kun je het risico van een cyberaanval aanzienlijk verminderen.’
Perfecte partner
Cyber Resilience Team is als zusterbedrijf van KH Engineering de perfecte partner voor dit type werkzaamheden. ‘Vanuit onze expertise weten we hoe een installatie in elkaar zit en kennen we de operationele technologie erachter. Ook weten we hoe je moet werken in de chemische procesindustrie, wat natuurlijk heel anders is dan in een kantooromgeving, waar de IT elke drie jaar wordt vernieuwd’, stelt Ewald. ‘In een fabriek wordt de installatie én de besturing meestal voor een jaar of twintig neergezet. Bovendien moet de fabriek veelal 24/7 blijven produceren terwijl je in een kantoor best even ‘s nachts de boel stil kunt leggen. De combinatie van diepgaande proceskennis én cyber security maakt ons uniek.’
Voor meer informatie over het CR-team: www.cr-team.eu of neem contact op met Ewald Coenraad.