Les voor de toekomst

Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de ICT-beveiligingswereld om zijn of haar visie te delen. Dit keer een diepte-interview met Eric Luiijf, Principal Consultant bij TNO.

Nederland heeft ten behoeve van het in vertrouwelijke context delen van informatie sectorale ISACs, zoals voor energie, nucleair, drinkwater, haven en luchthaven. Amerika heeft dat ook, maar daarnaast ook een ‘horizontale’ ICS-ISAC die de ICS-beveiligings(deel)communities samenbrengt. Vindt in Nederland c.q. Europa ook samenwerking of overleg plaats tussen verschillende ICS-beveiligingscommunities?
Tijdens de ontwikkeling van de ISACs onder de nationale infrastructuur tegen cybercrime (NICC) en het latere CPNI.NL heeft, voordat de ISACs organisatorisch onder het Nationaal Cyber Security Centrum zijn komen te vallen, een thematische ISAC voor procescontrolesystemen (PCS) bestaan. Gedurende een aantal jaren zijn succesvolle themamiddagen gehouden over bijvoorbeeld de impact van Stuxnet, hoe om te gaan met legacy, hoe krijg ik het management mee in investeringsbeslissingen en dergelijke. Verder zijn vanuit deze thematische benadering bewustwordingsboekjes ontwikkeld in zowel het Engels als het Nederlands [1] en zijn binnen het process control security roadmap initiatief verschillende producten voor de ICS-veiligheid in onze vitale infrastructuren ontwikkeld. Sinds 2008 bestaat binnen Europa de ‘European SCADA and Control Systems Information Exchange’ (EuroSCSIE) waarin Engeland, Zweden, Nederland en Zwitserland de drijvende krachten zijn. Verder houdt een thematische werkgroep van het European Reference Network for Critical Infrastructure Protection (ERNCIP) zich bezig met de veiligheid van procescontrolesystemen en smart grids. Internationaal is er ook nog de ‘Meridian Process Control Security Information Exchange’ (MPCSIE) waar door overheden informatie over dit thema wordt gedeeld.

In de publicatie van jou en Te Paske [2] bij de Global Conference on Cyberspace 2015 wordt gesteld dat in Qatar een nationale beveiligingsstandaard van toepassing is, die minimumeisen bevat waaraan ICS-operators moeten voldoen. Kun je daar iets over zeggen? En: hebben we zoiets ook in Nederland?
De wijze en mate waarop een overheid regels stelt aan bijvoorbeeld vitale infrastructuurbeheerders, is sterk afhankelijk van de nationale historie en cultuur. Daarnaast is een EU-land verplicht om een Europese Directive om te zetten in nationale wet- en regelgeving. In Europa en ook daarbuiten zijn er landen waar niets gebeurd als er geen wet is. In andere landen wordt regelgeving of een maatregel van bestuur door een ministerie of toezichthouder gebruikt om het gewenste doel te bereiken. In Nederland wordt vaak het poldermodel gebruikt, waarbij de overheid en politiek na ‘ongelukken’ altijd nog de kaart van wet- en regelgeving kan trekken (‘stick and carrot’). Daarnaast kan een Nederlandse Norm minimumeisen stellen. In Qatar heeft het Ministerie van ICT [3] gemeend om zo’n nationale norm te stellen. Duitsland en Frankrijk proberen via normen de fabrikanten en leveranciers van procescontrolesystemen te dwingen tot het leveren van veiliger producten. Duitsland heeft daarnaast vrij recent cybersecurity wetgeving aangenomen waaraan nog aan te wijzen vitale infrastructuurbeheerders moeten voldoen. In Nederland hebben we geen nationale procescontrole security standaard. Wel zijn Nederlandse gebruikers en leveranciers van procescontrolesystemen samen actief in de WIB en internationale gremia bij de ontwikkeling van klassen van veiliger en certificeerbare producten voor industriële automatisering. Ook wordt hard getrokken aan de internationale ontwikkeling van een Workforce Development Framework dat moet leiden tot gecertificeerde professionals.

We zijn nu bijna tien jaar verder, waarbinnen de externe dreiging behoorlijk is toegenomen

De verdergaande Nederlandse implementatie van de Europese wetgeving tot het verplicht melden van de cybersecurity-incidenten kan gezien worden als een vangnet dat organisaties dwingt om cybersecurity, zowel in het ICT- als ICS-domein, serieus te nemen. Zoals aangegeven in een paper van Allard Kernkamp en mij [4] moet daarin de juiste balans gevonden worden om ontwijkend gedrag te vermijden: melden van iedere inbraakpoging of virusdetectie dan wel pas na een heel langdurige analyse melden van de inbreuk. De overheid kan daarbij door het teruggeven van bruikbare informatie om incidenten voor te zijn, het tijdig melden van serieuze inbreuken stimuleren.

Wat gaat er, op hoofdlijnen, in Nederland goed qua ICS-veiligheid, en wat niet?
In 2006 is door TNO en KEMA een analyse uitgevoerd naar de mogelijke rol of rollen voor de overheid op het gebied van ICS-veiligheid. We zijn nu bijna tien jaar verder, waarbinnen de externe dreiging behoorlijk is toegenomen. Binnen de vitale infrastructuren is de bewustwording groeiende en worden maatregelen genomen, al blijkt dit in de praktijk om een veelheid aan redenen2 lastig. Wat er niet goed gaat is wat ik in een eerdere publicatie “onbewust onveilig” noem. De wijze waarop ICS organisaties binnenkomt en onveilig geïnstalleerd wordt zonder dat er aan beveiliging gedacht wordt. Noch de ICT, noch de ICS-afdeling is daarbij betrokken; wel bijvoorbeeld de facilitair manager (gebouwbeheersing, toegangsbeheer, luchtbehandeling), een medisch specialist (bestraling, scanapparatuur) of een gemeentelijke verkeersafdeling. Kijk eens naar de uitkomsten van het SHodan INtelligence Extraction (Shine) project waarbij met Shodan in beeld gebracht is welke ICS in allerlei landen direct aan het internet liggen. Met 29.349 open aan het internet gekoppelde ICS staat Nederland op plaats 17. Waarschijnlijk is het merendeel van die systemen niet goed of zelfs geheel niet beveiligd, denk aan het Veere-incident in 2012. Er bestaat nationaal dus nog een grote ICS-beveiligingsuitdaging.

TNO heeft in december 2014 een inventarisatie en verkennende studie gepubliceerd in het kader van een Nationale Weerbaarheidsmonitor, dat is gericht op het meten van weerbaarheid. De ‘voorraden’ waarover wordt gesproken, moeten worden geoperationaliseerd via indicatoren. Kan daarbij ook worden gedacht aan indicatoren die betrekking hebben op ICS en/ of ICT-beveiliging? Zo ja, kun je daar iets over zeggen?
De TNO studie voor het WODC geeft een mogelijke structuur voor de Nationale Weerbaarheidsmonitor aan de hand van kapitalen/voorraden waarvan ‘infrastructureel kapitaal’ er één is. Daaronder vallen voorraden die bijdragen aan de weerbaarheid. Beveiliging kan daar een onderdeel van zijn. De gedachte daarachter is dat de stand van zaken betreffende weerbaarheidsverhogende capaciteiten (‘voorraden’) gemeten zouden kunnen worden aan de hand van nader uit te werken indicatoren. Daarin zou wellicht een indicator als ICS- of ICT-beveiliging een rol kunnen spelen, mits die meetbaar te maken is voor ons land. Weerbaarheid is internationaal een ‘hot topic’, maar blijkt nogal lastig te operationaliseren te zijn. Dit is de reden waarom ook de EU een aantal onderzoeksvragen naar resilience in het Horizon 2020 programma opgenomen heeft.

Op welke manier(en) zou je ‘t liefst zien dat bedrijven zoals Madison Gurkha in het algemeen bijdragen aan versterking van ICS-veiligheid in Nederland? (En eventueel: hoe vooral niet?)
Ik zie vier rollen: Vergroten van de bewustwording van organisaties, o.a. door het houden van de Black Hat Sessions (BHS) en deze Update. Het helpen van jullie klantenkring om hun ICS veilig te houden, ook voor nieuwe dreigingen, waarbij naast de technische aspecten ook oog is voor de organisatorische aspecten van beveiliging waarvoor in de vaak nog onvolwassen ICS-beveiligingswereld onvoldoende aandacht is. Het bij elkaar brengen en elkaar leren begrijpen van de ICT- en de ICS-werelden waar op het snijpunt de integrale beveiliging de dupe is als dat niet goed geregeld is. Het leveren van de juiste producten die de beveiliging kunnen verbeteren, maar dan vanuit het perspectief dat technische beveiliging slechts een beperkte bijdrage levert om het risico in te perken. De menselijke en organisatorische factoren moeten niet vergeten worden.

Tijdens de BHS van 18 juni jl. zinspeelde je op de mogelijkheid dat de volgende grote IT-speler zomaar een fabrikant van TV’s of koelkasten kan zijn die met Internet of Things (IoT) aan de slag gaat. Is het niet hoog tijd voor wettelijke minimumeisen aan zulke apparaten? Bijvoorbeeld ten aanzien van veilige defaults, veilige updatemechanismen, enz.; of dat de apparaten bestand moeten zijn tegen bepaalde vormen van hacking en/of bepaald failsafe gedrag vertonen?
Ja. Vergelijkbaar met de EU richtlijn voor elektromagnetische compatibiliteit (EMC) zou in een norm of richtlijn de minimum beveiligingseisen voor de toekomstige IoTontwikkelingen op handige wijze (zoveel mogelijk ‘technologieonafhankelijk’) vastgelegd kunnen worden. Dit overlapt het werkgebied van de Nederlandse Autoriteit Consument en Markt (ACM) en de NEN. Die zouden een voortrekkersrol kunnen spelen waarbij ook een aantal experts uit het bedrijfsleven, onderzoekswereld en TNO ingeschakeld worden. Het probleem is echter een wereldmarktprobleem, een dergelijk initiatief zou dus al snel door de Europese pendanten van de ACM en NEN omgezet moeten worden in Europese normen en regelgeving. Verder zou net zoals bij een energielabel op de smart koelkast of TV een beveiligings- en privacylabelkunnen staan, bijv. een E-label voor TV’s die gesprekken opnemen of het kijkgedrag naar Taiwan sturen.

1 Luiijf, H.A.M., “Process Control Security in het Informatieknooppunt. Cybercrime”, NICC, december 2009.
2 Eric Luiijf and Bert Jan te Paske (2015), Cyber Security of Industrial Control Systems, TNO. www.tno.nl/ICS-security
3 ICTQatar (2014) National Standards for Security of Critical. Industrial Automation and Control Systems. http://www.qcert.org/sites/default/files/public/documents/national_ics_security_standard_v.3_-_final.pdf
4 Eric Luiijf and Allard Kernkamp (2015), Sharing Cyber Security. Information, TNO. www.tno.nl/infosharing

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa