All Categories
Featured
Table of Contents
Uiteindelijk laat je een roadmap zien en kom je in control.’ Streefland wijst er wel op dat dit alleen lukt als een ciso het vertrouwen en de ondersteuning van het management heeft. ‘Die moet snappen dat een ciso risico’s wegneemt waarvan de business profiteert. Daar hoort natuurlijk ook een goede beloning bij.’ Met de nadruk op het monitoren en scannen van de beveiliging van datacenters loopt Secior vooruit op NIS2.
Ze leggen de verantwoordelijkheid bij de leveranciers. ‘Natuurlijk nemen partijen als Siemens, Honeywell Rockwell, ABB en Schneider Electric cyberveiligheid serieus. Maar datacenters hebben vaak geen goed overzicht van al die systemen en leveranciers en de onderlinge samenhang. Dat maakt de apparatuur kwetsbaar.’ Hij ziet ook cybersecurity-uitdagingen bij het onderhoud en de vervanging van apparatuur (dbf smart-alarmsystemen).
De datacenter-eigenaar laat het liggen omdat die denkt dat de leverancier hier zorg voor draagt.’ Ook camera’s zijn kwetsbaar. Bij datacenters hangt die fysieke security, zoals toegangspoortjes en beveiligingscamera’s, weliswaar vaak in een apart netwerk, maar dat is indirect toch aan internet verbonden via bijvoorbeeld het interne it-netwerk. Streefland ziet dat cybercriminelen de camera’s vooral als springplank gebruiken om binnen te komen op het interne netwerk.
Die leverancier van camera’s kwam net als veel andere techspelers uit China onder vuur te liggen vanwege de banden met de Chinese staat met het risico op spionage. Het is juist om die geopolitieke situatie dat Streefland besloot te stoppen bij dat bedrijf. ‘Ik steek nog steeds mijn hand ervoor in het vuur dat Hikvision er alles aan doet om die camera’s zo veilig mogelijk te maken. dbf smart-alarmsystemen.
Ook camera’s van Axis of Bosch vormen een risico als je ze open laat staan. Ook is software altijd kwetsbaar, maar dat geldt dus voor alle merken, vandaar dat er regelmatig patches nodig zijn.’ Op de gewetensvraag of hij datacenters zou adviseren om wel of geen Hikvison-camera’s te gebruiken, antwoordt hij: ‘Ik ben me bewust van de gevoeligheden die er nu spelen rondom Chinese techleveranciers in het huidige politieke klimaat.
Kijkend naar de ot van datacenters ziet Streefland een veel groter gevaar op ons afkomen dan de vermeende spionage via camera’s van al dan niet Chinese leveranciers, namelijk: speciaal op ot toegeschreven malware. Het gaat om Pipedream. dbf smart-alarmsystemen. Dat is een door de Russische cybergroepering Chernovite gebouwde malwaresoort die gebruik maakt van een standaardprotocol van plc’s.
Die malware was namelijk speciaal ontwikkeld voor het protocol van plc’s van Siemens. dbf smart-alarmsystemen. Pipedream daarentegen maakt gebruik van het opc (OLE for process control)-protocol dat gebruikt wordt door plc’s van bijna alle leveranciers. Daardoor is het aanvalsoppervlak vele malen groter: het verspreidt zich namelijk over apparatuur van meerdere leveranciers in allerlei sectoren.
Na ruim een uur praten en als de vragen van Computable zijn beantwoord, moet Streefland weer verder (dbf smart-alarmsystemen). Er wacht een volle mailbox. ‘Weet je trouwens hoe het is afgelopen met mijn melding bij dat datacenter in het zuiden van het land waarvan ik op afstand de temperatuur kan manipuleren? Er is niks mee gedaan.
Bedankt voor uw aanvraag, wij nemen zo spoedig mogelijk contact met u op Uw aanvraag is verzonden - dbf smart-alarmsystemen.
Na de inventarisatie volgt het opstellen van de risicoanalyse. Dit gebeurt aan de hand van de in de inventarisatie opgestelde lijst van dreigingen. De dreigingen dienen hierbij zo concreet mogelijk gespecificeerd te zijn. De indeling naar aspecten 2 De aspecten van cybersecurity kan helpen bij het opstellen van zo’n lijst.
Het is aan te raden om deze door ‘peers te challengen’ op realiteitswaarde, en door de opdrachtgever en gebruikers te (laten) evalueren ten aanzien van de impact op de operatie. Dat geldt zeker als het gaat om het accepteren van restrisico’s (zie hierna), omdat de restrisico’s een impact (kunnen) hebben op de operatie.
Vervolgens dient de opsteller van de risicoanalyse zich af te vragen wat er zou kunnen gebeuren als een dergelijke situatie zich voordoet: De betreffende persoon kan apparatuur uitschakelen. De betreffende persoon kan toegang krijgen tot het netwerk. De betreffende persoon kan toegang krijgen tot een SCADA-computer. Voor elk van die kwetsbaarheden is een gevolg te geven: Als apparatuur wordt uitgeschakeld, kan het object (de tunnel) niet meer worden bediend noch bewaakt.
Als iemand toegang krijgt tot een SCADA-computer kan hij dat deel van de installaties bedienen en besturen zonder zicht te hebben op wat er in de tunnel gebeurt. Dan is het het eindeffect te bepalen: Als de tunnel niet te bedienen is, is deze niet veilig en moet deze worden gesloten. dbf smart-alarmsystemen.
Als iemand een deelinstallatie bedient zonder zicht te hebben op het effect, kunnen onbedoelde effecten in en om de tunnel plaatsvinden die de veiligheid van de weggebruikers nadelig beïnvloeden Als ten slotte het volledige beeld van dreiging, kwetsbaarheden en gevolgen in beeld is gebracht, volgt het schatten van de kans van optreden (dbf smart-alarmsystemen).
Merk op dat dit slechts een voorbeeld is en niet bedoeld om volledig te zijn! Bovenstaand stappenplan is ook toe te passen voor het tunnelsysteem als geheel, maar ook per deelsysteem om een meer gedetailleerd beeld te verkrijgen. dbf smart-alarmsystemen. In geval van bestaande systemen wordt de inventarisatie gedaan op basis van het huidige systeemontwerp, huidige maatregelen en de huidige kwetsbaarheden (‘as is’).
In geval van nieuwe systemen is de inventarisatie op basis van de beoogde operatie en operationele doelstellingen, en de dreigingen en ontworpen cybersecurity-maatregelen. Op basis van de lijst van risico’s en de IEC 62443-3-2 is het mogelijk een zogeheten nulmeting te doen en de omvang van het risiconiveau te schatten zonder het realiseren van beheersmaatregelen.
Wat dat acceptabele niveau is, moet de organisatie bepalen die het te realiseren object gaat beheren. Deze krijgt namelijk te maken met de gevolgen van het optreden van het risico en de noodzaak om binnen een redelijke termijn en tegen redelijke kosten de normale functies van het object weer te herstellen - dbf smart-alarmsystemen.
Zoals hierboven al gesteld, zijn er ook de risico’s van het project zelf. Het gaat daarbij niet meer over risico’s van de OT, maar risico’s die het gevolg zijn van het feit dat in het project informatie wordt geproduceerd die mogelijk interessant is voor kwaadwillenden. Daarin is dan weer onderscheid te maken in informatie over het project (wie werkt eraan, hoeveel kost het, hoe gaat het met de planning, etc.) en informatie over het te realiseren object (de ontwerpdocumentatie).
Als ontwerpdocumentatie in verkeerde handen terechtkomt, bestaat de kans dat een kwaadwillende partij deze onderzoekt op zwakke plekken en ziet hoe de verdediging tegen aanvallen is gerealiseerd. Daarom is het belangrijk om met name voor deze documentatie ook een risicoanalyse uit te voeren (dbf smart-alarmsystemen). Hierbij kan ISO 27005 als basis dienen.
Latest Posts
Alarmsystemen - Security
Services Brandwerende Scheidingswanden
Alarmsystemen Review