Welkom bij deze toolbox over security in het domein van Operationele Technologie (OT). Operational Technology (OT) is een verzamelnaam voor verschillende systemen die worden gebruikt voor het beheer van systemen in de fysieke wereld zoals het aansturen en monitoren van apparatuur. Denk hierbij aan systemen van bijvoorbeeld Priva, Loytec en Siemens. Het kan dan gaan om het uitlezen van sensoren of het inschakelen van een pomp, schakelaar of klimaatsysteem op basis van een bepaalde conditie. Deze systemen kunnen erg belangrijk zijn voor organisaties en productieketens. Het is daarom belangrijk dat deze niet stilgelegd kunnen worden door hackers. Laat jij deze systemen al veilig achter?

Op Studica vind je een uitgebreidere training met daarin meerdere quizzen om je kennis te testen. Ook worden de onderwerpen hierin verder toegelicht en vind je meer voorbeelden en praktijk toepassingen. 

Om een beeld van het belang van het beveiligen van IT, OT en IoT systemen kijken we eerst naar de risico's en gevaren die kunnen optreden wanneer systemen niet adequaat beveiligd worden. 

Wat als een kwaadwillende toegang krijgt tot bijvoorbeeld een Unica CTS beheer omgeving, een gebouwbeheersysteem of een koelsysteem? 

Hij of zij heeft dan bijvoorbeeld de mogelijkheid om op afstand de temperatuur te regelen bij klanten van Unica. Dit kan grote gevolgen hebben, bijvoorbeeld een tennistoernooi wat niet gespeeld kan worden in Ahoy omdat het binnen 30+ graden is. Of een vriesopslag van een grote supermarktketen die volledig ontdooid, waardoor er tienduizenden kilo's aan voedsel verloren gaat.

Cyber Resilience Act (CRA)

In 2024 heeft de Europese Unie nieuwe wetgeving goedgekeurd, namelijk de Cyber Resilience Act (CRA). De CRA is gericht op fabrikanten, distributeurs en importeurs van soft- en hardware en heeft als doel dat digitale producten in Europa veiliger worden.

De producten die onder de wet vallen zijn diverse IT, IoT en OT producten. De wet stelt eisen aan de producten tijdens de ontwikkeling, maar ook gedurende hun levenscyclus. Enkele voorbeelden hiervan zijn PLC's, slimme meters, remote control producten/software en routers. Belangrijk om te weten is dat onderdelen van industriële automatiserings- en besturingssystemen onder de CRA vallen. Dit betekent dat wij hier als Unica op veel vlakken mee te maken zullen krijgen.

De belangrijkste punten uit de CRA zijn:

• Verplichte cyberveiligheidseisen voor digitale producten, zoals software en IoT-apparaten, vanaf de ontwikkelingsfase;
• Verantwoordelijkheid voor fabrikanten, importeurs en distributeurs om ervoor te zorgen dat producten veilig zijn en blijven;
• Verplichte updates voor beveiliging en het melden van kwetsbaarheden;
• Fabrikanten dienen incidenten of misbruikte kwetsbaarheden binnen 24 uur te melden aan de overheid;
• Producten die voldoen aan de CRA-wetgeving worden voorzien van een CE-keurmerk;
• Vanuit de zorgplicht dienen technisch dienstverleners (zoals Unica) oplossingen en apparatuur veilig geconfigureerd op te leveren aan hun klanten en hen proactief te adviseren bij onveilige situaties/configuraties.
• Het niet voldoen aan de CRA-wetgeving kan resulteren in boetes tot 2,5 procent van de wereldwijde omzet. Voor Unica zou dit kunnen oplopen tot miljoenen euro's.

Hoewel de CRA in 2024 in werking is getreden betekent dit nog niet dat fabrikanten onmiddellijk aan alle eisen moeten voldoen. In september 2026 zal een belangrijke mijlpaal bereikt worden met de introductie van een meldplicht, gevolgd door volledige naleving van de CRA in december 2027. Zie hieronder een tijdlijn van de ontwikkelingen rondom de CRA.

Meer weten over de CRA? Check de volgende bronnen:

• Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software
• Cyber Resilience Act (CRA) | Apparatuur & richtlijnen | Rijksinspectie Digitale Infrastructuur (RDI)
• De Cyber Resilience Act treedt vandaag in werking | Digital Trust Center (Min. van EZ)

Als Unica zijnde hebben we een grote verantwoordelijkheid om onze installaties en systemen op een veilige manier te op te leveren en te onderhouden. Iedereen draagt hierbij verantwoording om de omgevingen en systemen waar zij aan werken zo veilig mogelijk te houden. Heb je het idee dat je ergens kwetsbaarheden of zwakke punten ziet in bepaalde beveiligingsmaatregelen? Meld dit dan altijd bij je leidinggevende zodat hij of zij hier actie op kan ondernemen. 

Te vaak komt het voor dat (onterecht) gedacht wordt dat de kantoor IT verantwoordelijken ook de volledige verantwoordelijkheid nemen voor de OT/IoT omgevingen.  Maar ook binnen industriële omgevingen zijn vaak meerdere partijen actief.

Vaak begint het met gebrek aan, of onduidelijke afspraken. Hierdoor kunnen systemen tussen wal en schip vallen waardoor ze onveilig achter gelaten zijn.

• Maak (in samenspraak met de klant) altijd duidelijke afspraken wie verantwoordelijk is voor systemen. In deze afspraken dien je minimaal rekening te houden met:  wie beheert de toegang/accounts, wie voert updates uit.
• Mogelijk heeft een klant minimale (security) eisen waar de configuratie of beheer aan moet voldoen. Vraag hier naar zodat onduidelijkheden voorkomen worden.

Om gebruik te kunnen maken of toegang te krijgen tot een systeem is vaak een (beheer) account benodigd. Een kwaadwillende/hacker komt graag in het bezit van een (beheer) account. Het is daarom belangrijk veilig om te gaan met accounts en deze accounts veilig te configureren.

Accounts veilig configureren

• Geef een gebruiker/account alleen de rechten die hij/zij nodig heeft. Geef nooit te veel rechten of zomaar administrator/superuser rechten.
• Waar het kan altijd een account koppelen aan een gebruiker/naam. Vermijd het gebruik van gedeelde accounts.
• Waar mogelijk richt veilige wachtwoord vereisten in zoals minimale lengte, complexiteit en periodieke vernieuwing.
• Richt altijd multi-factor authenticatie (MFA) in waar het kan. 
• Verwijder eventuele standaard accounts die meegeleverd worden met een installatie (denk hierbij aan admin/admin accounts). Maak in de plaats hiervoor nieuwe accounts aan met een uniek en sterk wachtwoord.

Veilig omgaan met accounts

• Deel nooit je account met een ander. Een account is uniek en van jou. 
• Gebruik sterke wachtwoorden (verderop meer over wachtwoorden).
• Pas hygiëne toe, verwijder oude / ongebruikte accounts.

• Hoe langer een wachtwoord, hoe sterker dit is. Voor serviceaccounts is een wachtwoord van minimaal 25 karakters verplicht. 
• Vermijd veelvoorkomende wachtwoorden. Voorbeelden hiervan zijn 'zomer2024' 'welkom01' 'wachtwoord123' enz.
• Gebruik voor ieder account een ander wachtwoord. Als er dan één wachtwoord achterhaald wordt blijven je andere accounts veilig.
• Gebruik een wachtwoordmanager. Dit helpt om complexe en lange wachtwoorden te gebruiken die erg lastig te kraken zijn.

Hackers maken graag gebruik van kwetsbaarheden in software om zichzelf toegang te verschaffen. Een kwetsbaarheid is een zwakte in hardware of software die door een hacker kan worden uitgebuit om ongeautoriseerde toegang tot een systeem te verkrijgen. Tegenwoordig vindt 90% van de hacks plaats door het misbruiken van een onopgeloste kwetsbaarheid.

Leveranciers van hardware en software brengen continu updates/patches uit van hun spullen om deze kwetsbaarheden te dichten. Het is daarom erg belangrijk om altijd de laatste updates te installeren..

• Installeer waar het kan altijd de laatste versie van de software of firmware. 
• Binnen OT/industriële omgevingen kan het uitdagend zijn om updates te installeren, adresseer de risico's dan wel altijd bij de organisatie / leidinggevende zodat er b.v. een maintenance window gebruikt/gepland kan worden. Mocht een maintenance window te lang op zich laten wachten kan het een alternatief zijn om systemen te isoleren of af te schermen van andere systemen of het internet.

Om verbinding te maken met bepaalde systemen of installaties kan het gebruikelijk zijn om een USB- of netwerkkabel te verbinden met je laptop. Het is goed om je hierbij bewust te zijn van de mogelijke risico's die dit oplevert. Hieronder vind je verschillende risico's. In de Studica training worden deze verder toegelicht.

• Verbinding tussen Unica device en derde systeem of installatie: door verbinding te maken tussen je laptop en het betreffende systeem geef je eventuele aanwezige hackers ook de mogelijkheid om deze verbinding te gebruiken. Dit werkt twee kanten op. Een manier om dit risico te vermijden is door werkzaamheden uit te voeren via apparatuur van de klant/eigenaar van de installatie.

• Gebruik van USB-sticks: USB-sticks worden regelmatig gebruikt om malware te installeren op apparatuur van slachtoffers. Wij raden daarom aan het gebruik van USB-sticks zoveel mogelijk te beperken. Indien je bijvoorbeeld een onbekende USB-stick ergens vindt, stop deze dan ook nooit zomaar in je laptop. 

• Veilig bestanden delen: De voorkeursmethode om veilig bestanden te delen is via OneDrive. Indien dit niet mogelijk is overleg dan met de klant wat de meest veilige manier is om de bestanden over te dragen. Er zijn hiervoor twee opties. 
  • Optie 1: is om de bestanden klaar te zetten in een OneDrive omgeving en deze bestanden op deze manier over te zetten naar een systeem van de klant. Vervolgens kan de klant met een eigen, gescande USB-stick deze bestanden van zijn of haar eigen systeem halen.
  • Optie 2: is om een Unica USB-stick te formatteren. Vervolgens kopieer je de bestanden naar de geformatteerde USB-stick, deze USB-stick laat je dan scannen of goedkeuren door de klant waarna de klant de bestanden kan overzetten naar zijn of haar systeem.

Back-ups geven de mogelijkheid data van een geselecteerd moment terug te halen op het moment dat er data verloren gaat. Het is belangrijk om zowel projectdata als productiedata onderdeel te laten zijn van het back-up proces. 

Wat te doen bij wijzigingen aan productie systemen:
Stel je moet werkzaamheden verrichten aan een productie systeem bij een klant. Wat is de veiligste manier om ervoor te zorgen dat er geen data verloren raakt en de verstoring aan het systeem zo minimaal mogelijk is? 

Ten eerste is het belangrijk om van te voren een 'disaster recovery' of een 'roll-back' plan op te stellen. Kortom, wat is de procedure op het moment dat er tijdens de werkzaamheden iets misgaat waardoor het systeem onbruikbaar raakt. Zorg ervoor dat je deze procedure kent, hierdoor kun je sneller adequaat handelen wanneer er problemen ontstaan tijdens de werkzaamheden.

Daarnaast is het essentieel om voorafgaand aan de werkzaamheden een back-up te maken of te controleren dat er een recente back-up beschikbaar is. Door een back-up te maken voorafgaand aan de werkzaamheden borgen we dat er altijd een terugval optie is. Dit is essentieel wanneer er tijdens de werkzaamheden problemen voordoen die ten gevolg hebben dat het systeem niet meer operationeel te krijgen is. 

Indien het een gevirtualiseerd systeem betreft laat dan ook een snapshot maken van het systeem. Doe dit in aanvulling tot een beschikbare back-up. Een back-up biedt namelijk meer mogelijkheden om data terug te halen dan een snapshot.

Als technisch dienstverlener worden wij als Unica steeds meer geacht onveilige situaties te rapporteren en te melden aan de klant. Maar wat zijn nou voorbeelden van onveilige situaties?

• Zwakke wachtwoorden: Je doet beheer bij een klant en hiervoor krijg je een account toegewezen van hen. Het komt regelmatig voor dat dit soort beheeraccounts erg eenvoudige wachtwoorden hebben. Denk hierbij aan zaken zoals 'Welkom01' of '1234'. Dit levert aanvullende risico's op omdat deze wachtwoorden door hackers binnen enkele minuten gekraakt zijn. 
• Buitensporige rechten: Wanneer je bij een kant een account krijgt om werkzaamheden uit te voeren en dit account heeft veel meer rechten dan je nodig hebt is dit een risico. Mocht dit account in de handen van een hacker vallen heeft deze persoon gelijk toegang tot een hele set aan systemen in plaats van dat één systeem kwetsbaar is.
• Niet gescheiden en afgeschermde systemen: Het kan voorkomen dat je aankomt op de locatie van je werkzaamheden en eigenlijk zo door kan lopen naar het betreffende systeem zonder dat je je aan hoeft te melden of dat het systeem in een afgesloten ruimte staat. Kwaadwillenden kunnen in dit geval ook eenvoudig fysieke toegang verkrijgen tot het systeem. Naast fysieke afscherming is ook digitale afscherming belangrijk. Zo dienen systemen niet open en bloot aan het internet te hangen. 
• Verouderde software/firmware versies: Wanneer je een systeem tegen komt waar verouderde software of firmware op actief is dan brengt dit risico's met zich mee. Waar het kan update je altijd naar de laatste versie. Wanneer dit niet kan adresseer je het risico bij de klant/opdrachtgever.
• Standaard accounts: Als je in een omgeving komt waarbij veel standaard accounts aanwezig zijn (bijvoorbeeld user: admin, wachtwoord: admin) is dit een indicatie dat er te weinig aandacht is voor accountbeveiliging. Omdat dit soort accounts in verschillende omgevingen voorkomen met dezelfde wachtwoorden zijn deze makkelijk te raden door hackers.

Dit zijn enkele voorbeelden, echter zijn onveilige situaties niet beperkt tot deze voorbeelden. Indien je twijfelt aan de veiligheid van een situatie, overleg dan altijd met je leidinggevende over de situatie. 

In het vorige onderdeel hebben we enkele voorbeelden benoemd van onveilige situaties. Maar wat moet je doen wanneer je één van de voorbeelden of een andere onveilige situatie tegen komt? 

Door nieuwe wet- en regelgeving worden wij als Unica verplicht om onveilige situaties te melden en indien mogelijk eventuele verbeteringen voor te leggen. Als wij dit nalaten kunnen hier forse boetes of straffen op staan. Er zijn al diverse rechtszaken aangespannen tegen technisch dienstverleners omdat zij nagelaten hebben onveilige situaties te melden en aan te pakken. Het is daarom van groot belang dat wij als Unica hierin onze verantwoordelijkheid nemen.

Indien je een onveilige situatie tegen komt is het belangrijk om dit te bespreken met je projectleider. Hij of zij kan samen met de klant de situatie evalueren en beslissen welke acties er vereist zijn. Indien de klant bewust kiest om de onveilige situatie te accepteren is het belangrijk om dit vast te laten leggen. Hierbij is het van belang om duidelijk te maken welk risico de klant loopt wanneer hij het advies naast zich neerlegt. Op deze manier kan aangetoond worden dat de klant een bewuste risico afweging heeft gemaakt en daarmee ook verantwoordelijk gehouden kan worden indien er misbruik gemaakt wordt van de betreffende onveilige situatie.

Ga met elkaar in gesprek over het volgende:

1. Ben jij wel eens onveilige situaties tegengekomen in het werk?
2. Ken je nog plekken waar op dit moment van dit soort onveilige situaties bestaan? Zo ja, bespreek dit met je collega's en de projectleider van deze locatie.
3. Zo ja, wat heb je toen gedaan?
4. Zou je nu anders handelen nu je deze toolbox hebt gevolgd? 

Het kan natuurlijk wel eens voorkomen dat je twijfelt over het beleid van Unica omtrent bepaalde onderdelen van industriële security. Om je hierbij te helpen hebben we een Quick Reference Card gemaakt. Dit is een kaart met hierop een overzicht van de belangrijkste beleidspunten op het gebied van industriële security.