4/10/2021

Cybersecurity audit pakt ook OT-risico's aan

Cybersecurity audit pakt ook OT-risico's aan

Cybersecurity staat de laatste jaren hoog op de agenda, zeker bij bedrijven en organisaties. Op IT-vlak zijn de lekken meestal al gedicht, maar bij de OT-infrastructuur worden de risico’s nog te vaak onderschat. De continuïteit van de bedrijfsprocessen en de bescherming van persoonsgebonden informatie zijn nochtans cruciaal. Een cybersecurity audit kan de verbeterpunten blootleggen.  De laatste 10 jaar is op het vlak van cybersecurity in gebouwen veel aandacht gegaan naar de pure IT-infrastructuur zoals computers en printers. De OT – operational technology – wordt echter nog te vaak stiefmoederlijk behandeld. Nochtans is het gebruik sterk gestegen van onder meer camera’s, toegangscontrole, branddetectie en gebouwenbeheersystemen voor koeling en verwarming die met het netwerk geconnecteerd zijn. Dat maakt de OT-infrastructuur kwetsbaar voor misbruik. Heel wat beheerders of gebruikers van een gebouw zijn zich niet bewust van de mogelijke risico’s van een gebrekkige bescherming op OT-vlak. Zo bevat de software voor de toegangscontrole persoonsgegevens waarvoor de GDPR geldt. Een slecht beveiligd camerasysteem laat hackers rondkijken in je gebouw. Het schendt niet alleen de privacy van wie er in rondloopt, maar kan ook leiden tot fysieke inbraak en diefstal. De koel- of verwarmingsinstallaties hacken, kan ervoor zorgen dat een productiebedrijf stilvalt. En dit zijn slechts enkele voorbeelden. Niet alleen op technisch maar ook op organisatorisch vlak wordt ingegrepen. Dit gebeurt volgens het principe van de Organisatorisch Fysieke Elektronische Meldings maatregelen (OFEM). Dat OFEM-principe kan zowel in de fysieke als in de virtuele wereld worden toegepast.

Cybersecurity audit

Ingenium voert samen met NVISO Belgium bij bedrijven en organisaties cybersecurity audits uit. We combineren daarbij de expertise van NVISO op IT-vlak met onze technische kennis van de OT-zijde. Een audit begint met een aantal workshops met de klant om het gebouw en de technieken beter te leren kennen. Daarbij wordt extra aandacht besteed aan de kritische installaties, waarvan het risico op uitval zal worden getest.

Er wordt onder meer in kaart gebracht:

  • hoe het netwerk is opgebouwd en beheerd
  • welke informatie makkelijk te verkrijgen is en welke info als kritisch kan worden beschouwd
  • welke lokalen met technische apparatuur zonder autorisatie toegankelijk zijn
  • wat de loginprocedures zijn welke datapunten (voor bijvoorbeeld telefoon of internet) makkelijk toegankelijk zijn
  • welke softwareapplicaties moeten worden getest om na te gaan of de gegevens goed beschermd zijn.

Intern en vanop afstand

Niet alleen in het gebouw zelf worden testen uitgevoerd. Met remote access testen kijken we of ook vanop afstand technische installaties kunnen worden overgenomen. Daarbij is het onder meer belangrijk om te weten:

  • welke technische installaties van buitenaf bereikbaar zijn voor onderhoud door externe partners
  • of de authenticatie gebeurt met vaste wachtwoorden of met multifactor authentication.

Mogelijk pijnpunten

De mogelijke pijnpunten  die we tegenkomen in recente kantoorgebouwen bij een cybersecurity audit zijn:

  • Het ontbreken van malwaredetectie en een firewall die fungeert als goede ‘scheidsrechter’ voor de dataflows van de technieken
  • Technische systemen zijn niet beveiligd en vrij toegankelijk via het netwerk
  • Geen sluitend paswoordbeleid waardoor men achteraf nooit precies kan nagaan wie welke handeling heeft gedaan
  • Persoonsgebonden data die gemakkelijk te vinden zijn
  • Technische lokalen die voor iedereen fysiek toegankelijk zijn
  • Geen gebruik van encryptie
  • Gebrek aan security patches
  • Geen goede back-up- en restore policy
  • Login procedure voor “remote access” (inloggen van buiten het bedrijfsnetwerk) is vaak ontoereikend

Aanpassen en hertesten

De problemen situeren zich dus zowel op het vlak van hardware, software als netwerkopbouw. Veel van de opgenoemde beveiligingsrisico’s bevonden zich niet buiten maar ín het gebouw zelf. Na de audit keken we in overleg met de klant welke issues weggewerkt moeten worden, en welke als een aanvaardbaar risico kunnen worden beschouwd.  Dit op basis van risico versus kost.  Als de nodige aanpassingen zijn gedaan, volgt er een nieuwe test om te kijken of het gewenste resultaat ook effectief bereikt wordt.

De audit in dit voorbeeld toonde duidelijk aan dat er tal van risico’s aanwezig waren. Het groeiend aantal IP-toestellen in de OT-wereld zorgt ervoor dat er extra aandacht nodig is om de netwerken op een veilige manier op te bouwen.

Kan jouw bedrijf of organisatie ook een cybersecurity audit gebruiken? Onze expert Tim Opsomer geeft je graag meer uitleg: tim.opsomer@ingenium.be.

Downloads

No items found.

Neem contact met onze expert

Tim Opsomer

Gerelateerde nieuwsberichten

Grootschalige laadinfra voor elektrische voertuigen - investeer slim en toekomstgericht
in de kijker
13/8/2024

Grootschalige laadinfra voor elektrische voertuigen - investeer slim en toekomstgericht

Vlaanderen besliste dat vanaf 2026 enkel nog fossielvrije bedrijfswagens – volledig elektrisch of op waterstof – fiscaal aftrekbaar zullen zijn. Een leasewagen op diesel of benzine zal voor 0% aftrekbaar zijn. Daarnaast moeten gebouwen die niet voor bewoning bestemd zijn en een minimaal aantal parkeerplaatsen hebben, tegen 2025 of bij nieuwbouw of ingrijpende renovatie zelfs onmiddellijk laadpalen voor elektrische voertuigen voorzien.
Een digitaal gestuurde aanpak is de snelste weg naar het bereiken van net zero gebouwen
in de kijker
24/6/2024

Een digitaal gestuurde aanpak is de snelste weg naar het bereiken van net zero gebouwen

In de snel veranderende wereld van vandaag is het beheren van onroerend goed uitdagender dan ooit. De sector ontwikkelt zich in een ongekend tempo, waardoor we worden geconfronteerd met unieke obstakels en veranderingen die onze volledige aandacht en aanpassingsvermogen vereisen.
De SRI-catalogus, een interessante checklist voor het integreren van slimme gebouwen
in de kijker
1/4/2024

De SRI-catalogus, een interessante checklist voor het integreren van slimme gebouwen

De beslissing om een gebouw intelligent te maken, valt best al in de conceptfase van een bouw- of renovatieproject. Toch kan technologie naderhand ook stapsgewijs worden geïntegreerd. Deze aanpak vereist weliswaar een nauwkeurige inventarisatie van de mogelijkheden, gevolgd door een bewuste keuze van focusthema’s.