HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT CYBERSECURITY

Hoe beoordeelt u OT en IT cybersecurity op een geïntegreerde manier? Certificeringsspecialist Adelina-Elena Voicu presenteert haar onderzoek.

... > OT Site Assessment > Het overbruggen van de kloof tussen OT en IT cybersecurity

HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT

OT-systemen waren vroeger geïsoleerd van netwerken waarop IT-systemen draaiden. IT en OT cybersecurity werden behandeld als afzonderlijke kwesties. Maar de twee worden steeds meer geïntegreerd. Bij het beoordelen van de beveiliging van deze systemen betekent deze integratie nieuwe uitdagingen. Adelina-Elena Voicu, certificeringsspecialist bij Secura, heeft deze uitdagingen uitvoerig onderzocht. Ze beantwoordt drie vragen over haar onderzoek.

WAAROM HEBBEN WE EEN GECOMBINEERDE AANPAK VAN IT EN OT BEVEILIGING NODIG?

'De meeste organisaties hebben tegenwoordig zowel IT- als OT-infrastructuur. Voor OT-systemen is de te volgen norm IEC 62443-2-1. Deze norm is geïnspireerd door de norm voor IT-systemen: ISO 27001. Dit betekent dat deze twee normen vergelijkbare controls bevatten. Maar de ene is specifiek gemaakt voor IT en de andere specifiek voor OT.'

VERSCHILLEN EN OVERLAP

'Als we een Assessment uitvoeren op basis van OT-controls, kunnen we relevante IT-controls missen. Tegelijkertijd kunnen we niet zomaar IT-controls gebruiken en deze uitbreiden naar OT-omgevingen, omdat dit tot conflicten kan leiden.'

'Dus wat ik heb onderzocht is: hoe kunnen we een geïntegreerde IT/OT cybersecurity-aanpak creëren op basis van deze twee vergelijkbare normen? Om dit te doen heb ik de verschillen en overlappende delen van de twee normen, ISO 27001 en de implementatierichtlijnen in ISO 27002, in kaart gebracht.'

Quote by

Adelina-Elena Voicu

Certification specialist

Secura

Als er een noodsituatie is in een fabriek en een operator moet toegang krijgen tot het bedieningsscherm, kan een wachtwoordvereiste een veiligheidsrisico worden.

WELKE CONFLICTEN KUNNEN ER ONTSTAAN ALS U EEN IT-CONTROL TOEPAST IN EEN OT-OMGEVING?

'Laten we het hebben over veilige authenticatie. Het is simpel om te vereisen dat u en ik een wachtwoord gebruiken voor onze laptops. Maar wat als we deze vereiste uitbreiden naar een bedieningsscherm in een fabriek? Als er een noodgeval is en een operator snel toegang moet krijgen tot dat scherm, kan een wachtwoordvereiste de reactiesnelheid vertragen. In zo'n geval wordt het wachtwoord, een IT-beveiligingscontrol, een veiligheidsrisico. Beveiliging is belangrijk, maar veiligheid heeft altijd prioriteit.'

HOE KUNT U DIT ONDERZOEK PRAKTISCH TOEPASSEN?

'We zijn nog bezig met het uitwerken van de praktische implicaties. Maar stelt u zich voor dat u een Assessment wilt uitvoeren om de volwassenheid van uw beveiligingsaanpak te meten. Voor zo'n Assessment zou u bijvoorbeeld controls uit IEC 62443 kunnen toepassen voor uw OT-omgeving, of ISO 27001 voor een IT-omgeving.'

'En als uw bedrijf nu beide omgevingen heeft? Een volledig Assessment voor beide zou tijdrovend en kostbaar zijn. Als we echter de overlappende delen tussen de twee normen kunnen identificeren, kunnen we één Assessment gebruiken om zowel IT als OT af te dekken. Tijdens het Assessment hoeven we bepaalde vragen dan slechts eenmaal te stellen. Dit bespaart zowel tijd als geld.'

Lees meer over dit onderzoek naar het evalueren van de beveiliging van IT/OT-omgevingen in deze twee Whitepapers.

Whitepapers

USP

Gecombineerde aanpak van IT en OT

Het in kaart brengen van de kloven en overlappingen tussen ISO 27001 en IEC 62443

Download
USP

Implementatie conflicten

Hoe implementatieconflicten te vermijden tussen ISO 27001 en IEC 62443

Download
Highlight-image

About the author

Adelina-Elena Voicu works as a junior certification specialist at Secura within the Product Manufacturers market group. She completed a master’s degree in the Information Security and Technology field at the Eindhoven University of Technology. Since graduating she has been working at Secura on projects related to products certification, with a special focus on connected vehicles and industrial products.

Gerelateerde Diensten

Related image

Security Maturity Assessment

Wat is het huidige Maturity Level van uw organisatie en wat kunt u doen om dit te verbeteren?

 Related image

OT Risk Assessment

Beoordeel uw Operational Technology-omgeving om risico's te identificeren, tegenmaatregelen te prioriteren en uw activa te beschermen tegen toenemende cyberdreigingen.

 Related image

Threat Modeling

Ontdek potentiële cyberdreigingen voor uw systeem of applicatie met de Threat Modeling service van Secura, zodat u proactief effectieve beveiligingsmaatregelen kunt implementeren.

NEEM Contact OP

Wilt u meer informatie over het gecombineerd beoordelen van uw IT- en OT-omgevingen? Vul het contactformulier in en wij nemen binnen één werkdag contact met u op.

USP

Over Secura

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.