Cyber security in de nucleaire sector

Het verslag door WINMAG Pro van de lezing van NRG tijdens ons security congres 'Black Hat Sessions' op 18 juni 2015.

Dat veiligheid prioriteit nummer één is in de nucleaire sector, zal echt niemand verbazen. Ed de Myttenaere en Paul van der Ploeg, beiden werkzaam bij NRG, deden een (klein) boekje open over hoe dat in zijn werk gaat in deze sector.

NRG
NRG is een leverancier van medische isotopen waarmee kankerpatiënten behandeld worden. Het bedrijf is gevestigd bij de reactor in Petten. Dat veiligheid van informatie daar een groot issue is, spreekt natuurlijk voor zich. Het bewerkstelligen van deze beveiliging is een ingewikkelde klus, maar tegelijkertijd interessant voor de bezoekers van de Black Hat Sessions. Logischerwijs konden De Myttenaere en Van der Ploeg, manager information technology & information en information security officer, niet alle ins en outs vertellen over NRG en de beveiliging aldaar. Wat ze wel konden vertellen, liet een routing van maatregelen zien die net zo ingewikkeld als interessant is.

Inventarisatie
Om tot een degelijke veiligheid in een nucleaire en dus risicovolle omgeving te komen, wordt er eerst data geïnventariseerd. Wie heeft welke data en wie is er zoal verantwoordelijk voor deze data? Tevens wordt nagegaan wat er precies gebeurt en wat de gevolgen zijn wanneer deze data niet beschikbaar is. Hoewel de inventarisatie redelijk straight forward lijkt, is het aantal actoren in de inventarisatie flink, wat zorgt voor een ingewikkelde en lange klus.

Regelgeving
De inventarisatie ingewikkeld, maar het wordt nog ingewikkelder zodra getoetst wordt of de beveiliging toereikend is voor de wet- en regelgeving. En dan hebben we het over zowel Europese als wereldwijde wetgeving. Vanuit alle groepen die geïnventariseerd zijn en met toepassing van de regelgeving worden er risico-analyses gemaakt. Hiermee wordt inzichtelijk waar de zwakke plekken in de beveiliging liggen.

Zonering
Een praktische maatregel die NRG heeft genomen is zonering. Dit houdt in dat alle computers binnen de organisatie verdeeld zijn in zones en groepen. Het gevolg hiervan is dat hackers niet via ‘stepping stones’, dus springend van computer naar computer en van netwerk naar netwerk, alsnog gevoelige data en netwerken kunnen bereiken van NRG.

WINS: World Institute for Nuclear Security
Gelukkig zijn alle bedrijven in de nucleaire sector met elkaar verbonden via het World Institute for Nuclear Security (WINS). Binnen deze organisatie deelt men kennis met elkaar en stelt men handvaten vast voor goede beveiliging. Dat is belangrijk, want zoals Paul van der Ploeg meermaals zei tijdens de presentatie: 'Blijf met elkaar praten.' Goede en heldere communicatie is een van de belangrijkste manieren om tot een succesvol veiligheidsbeleid te komen.

Awareness
Een van de belangrijkste conclusies van De Myttenaere en Van der Ploeg is dat awareness een van de belangrijkste factoren is om tot een goed werkend security-beleid te komen. ‘Als de mens de noodzaak niet inziet van goede beveiliging, gebeurt het ook niet’, zeggen de twee mannen. En dat klopt, want als er in een keten een zwakke schakel zit, dan is dit meestal een mens.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa