Vandaag is in Den Haag de Security Check Procesautomatisering gelanceerd. Dit is een interactieve zelfscan die Nederlandse organisaties handvatten biedt om hun industriële controlesystemen (ICS-SCADA) veiliger te maken. De Cybersecurity Alliantie, belangenbehartiger van cyberveiligheid in operationele techniek, heeft een belangrijke rol gehad in de ontwikkeling van deze security check. Daarom heeft Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid, de ICS-tool vandaag namens de Alliantie in ontvangst genomen. In aanwezigheid van Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van EZK. De tool is ontwikkeld door een publiek-privaat samenwerkingsverband tussen de Cybersecurity Alliantie, het NCSC, het Digital Trust Center (DTC) van het ministerie van EZK, Deloitte, VNG-IBD, Novel-T, Siemens, ASML en Accenture.
Praktisch hulpmiddel
Vorige week nog is het jaarlijkse Cybersecuritybeeld Nederland (CSBN) gepubliceerd, waarin de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staat. Daarnaast hebben we de Handreiking Cybersecuritymaatregelen uitgebracht.
De bedrijfsvoering van veel organisaties is steeds sterker afhankelijk van automatiserings- en controlesystemen. De security check biedt organisaties een praktisch hulpmiddel om invulling te geven aan de oproep uit het CSBN om de cyberweerbaarheid te vergroten. Het doel van het samenwerkingsverband dat de check heeft ontwikkeld, is om organisaties (klein, groot, vitaal, niet-vitaal, privaat en publiek) belangeloos te helpen bij het vergroten van de bewustwording. Daarnaast biedt de scan concreet toepasbare oplossingen waarmee de cyberweerbaarheid van industriële controlesystemen kan worden vergroot. De Security Check Procesautomatisering kan ook zonder IT-kennis gebruikt worden en is te vinden op de website van het Digital Trust Center (DTC).
Strategisch, tactisch en operationeel niveau
De cyberveiligheid van industriële procesautomatisering is heel specifiek omdat het vaak een aparte digitale omgeving is. De beveiliging van de controlesystemen (ICS) vraagt om een andere aanpak dan IT in kantooromgevingen. Om de juiste maatregelen te kunnen treffen, is extra aandacht nodig op strategisch, tactisch en operationeel niveau in organisaties. In de Security Check Procesautomatisering komen onderwerpen aan bod als toegangscontrole, incident respons en wijzigingsbeheer. Bestaande raamwerken, leidraden en normenkaders (bewezen methodieken en instrumenten) zijn hierin meegenomen.
De risico-lat
Hoeveel en welke maatregelen een organisatie moet treffen, hangt af van de gevolgen van een cyberincident in de industriële processen. Hoe ernstiger de gevolgen (financieel, gezondheidsrisico’s, milieuschade) hoe meer maatregelen er nodig zijn. De check begint dan ook met het inventariseren van een normkader: hoe hoog moet de risico-lat bij een organisatie liggen? De uitkomst is een checklist met maatregelen die passen bij het beveiligingsniveau van de organisatie.