Organisaties die van OT (operationele technologie)-systemen gebruikmaken moeten die niet zomaar aansluiten op IT-netwerken en stilstaan bij de risico’s die dit met zicht meebrengt, waaronder het overlijden van personen, zo adviseert de Amerikaanse geheime dienst NSA. Onder operationele technologie vallen allerlei industriële systemen, wetenschappelijke apparatuur en automatiseringssystemen.

Binnen de Amerikaanse overheid en defensiesector zijn volgens de NSA veel OT-systemen in gebruik die niet meer door de leverancier worden ondersteund en waar onvoldoende middelen voor het beheer zijn vrijgemaakt. Om de cybersecurity van OT-systemen te verbeteren heeft de NSA een Cybersecurity Advisory gepubliceerd waarin het verschillende aanbevelingen doet.

De Amerikaanse geheime dienst stelt dat organisaties direct in actie moeten komen om hun OT-netwerken en controlesystemen te beschermen tegen kwetsbaarheden die worden geïntroduceerd door het aansluiten van deze systemen op IT-netwerken. Aanvallers die via de it-omgeving weten binnen te komen kunnen zo ook de OT-systemen aanvallen. Daarbij wijst de NSA naar de recente supply-chain-aanval via de software van SolarWinds.

Volgens de NSA moeten organisaties beseffen dat een geïsoleerd OT-systeem beter beschermd is tegen aanvallen dan een systeem dat met een IT-netwerk is verbonden. Toch erkent de geheime dienst dat er scenario’s kunnen zijn waarbij een OT-systeem toch met een netwerk verbonden moet zijn. In deze gevallen kan er voor een tijdelijke verbinding worden gekozen, bijvoorbeeld om updates te downloaden of voor onderhoudswerkzaamheden.

Wanneer wordt besloten dat een netwerkverbinding noodzakelijk is, wijst de NSA op verschillende maatregelen die moeten worden genomen, zoals het toevoegen van sensoren en monitoring en het creëren van een netwerkoverzicht en baseline voor systemen en netwerkcommunicatie. “Hoewel er legitieme redenen kunnen zijn voor connectiviteit en het automatiseren van processen, lopen OT- en controlesystemen inherent risico wanneer ze met zakelijke IT-systemen zijn verbonden. Sta stil bij de risico’s, voordelen en kosten voordat je zakelijke IT- en OT-netwerken met elkaar verbindt”, concludeert de NSA.

Image

Source