Het Britse NCSC heeft 29 september op het eigen blog een zeer interessant bericht over een OT security richtlijn geplaatst. Dit is in Nederland nog niet doorgedrongen, hoewel de Nederlandse NCSC een van de zeven instanties is die het document heeft vormgegeven. De nieuwe OT richtlijn is verplicht leesvoer voor iedereen die met dit onderwerp te maken heeft. De strekking van de blogpost staat hieronder vertaald weergegeven
Het NCSC lanceert nieuwe richtlijnen om OT-organisaties te helpen bij het creëren en onderhouden van een ‘definitief overzicht’ van hun omgeving, een nauwkeurig en actueel beeld van het systeem dat in de loop van de tijd zal veranderen om de nauwkeurigheid en autoriteit ervan te behouden.
Connectiviteit, complexiteit en verandering maken deel uit van de huidige OT-realiteit. Systemen die vroeger volledig geïsoleerd waren, staan nu in verbinding met bedrijfs-IT, cloudplatforms, tools voor het beheer van externe leveranciers en externe datadiensten. Grote, langlevende omgevingen brengen de extra uitdaging met zich mee van ongedocumenteerde veranderingen, waarbij tijdelijke oplossingen permanent worden, apparaten worden vervangen zonder dat de gegevens worden bijgewerkt en netwerkpaden in de loop van de tijd veranderen. En zonder een volledig, actueel inzicht in uw hele omgeving kunnen effectieve cyberbeveiligingsmaatregelen niet worden ontworpen, geïmplementeerd of onderhouden.
Het ‘definitieve dossier’ dat in de richtlijn wordt beschreven, is niet alleen een technische lijst van activa, maar geeft ook weer hoe uw OT uw missie en uw activiteiten ondersteunt, en omvat:
- Componenten: individuele apparaten, controllers, software en gevirtualiseerde systemen, ingedeeld naar hun kriticiteit, blootstelling en beschikbaarheidsvereisten.
- Connectiviteit: hoe deze activa binnen het OT-netwerk en daarbuiten met elkaar communiceren, inclusief externe connectiviteit, gebruikte protocollen en eventuele beperkingen zoals latentie of bandbreedte.
- Bredere systeemarchitectuur: zones, leidingen en segmentatiemaatregelen; voorzieningen voor veerkracht, zoals redundantie of paren met hoge beschikbaarheid; en de gedocumenteerde redenering achter ontwerpkeuzes.
- Toegang tot de toeleveringsketen en derden: welke leveranciers, integrators en serviceproviders zijn aangesloten op uw omgeving, hoe worden zij beheerd en hoe worden die verbindingen beveiligd?
- Bedrijfs- en impactcontext: inzicht in wat er operationeel, financieel en vanuit veiligheidsoogpunt zou gebeuren als een asset of verbinding zou uitvallen of gecompromitteerd zou raken, en dat gebruiken om prioriteiten te stellen.
Hoe meer een tegenstander weet over uw OT, hoe gemakkelijker het voor hem is om effectieve aanvallen te plannen en uit te voeren. Elk diagram, elke configuratie en elke beschrijving is waardevolle informatie voor een ervaren aanvaller. Dit betekent dat uw definitieve dossier een van de meest gevoelige verzamelingen informatie is die u in uw bezit heeft. Het mag alleen toegankelijk zijn voor degenen die het nodig hebben, moet worden beschermd tegen manipulatie en moet worden beheerd met veilige wijzigingscontrole.
De richtlijnen helpen u deze informatie op de juiste manier te beschermen, zonder dat dit ten koste gaat van de operationele en veiligheidswaarde ervan. Het opbouwen van uw definitieve dossier gebeurt niet van de ene op de andere dag en is geen eenmalige taak. Zelfs een gedeeltelijk overzicht is beter dan niets, en het zal zich verder ontwikkelen naarmate u systematisch te werk gaat met uw activa, netwerken en leveranciersrelaties.
Voor veel organisaties bestaan de puzzelstukjes al, in ontwerpdocumenten, handleidingen van leveranciers, onderhoudslogboeken of monitoringtools. Het doel is om deze samen te brengen, te valideren en up-to-date te houden. Door deze aanpak te volgen, kunt u weloverwogen, op risico’s gebaseerde beslissingen nemen over patches, architectuurwijzigingen, toegang voor derden en noodplanning, zodat uw controles evenredig zijn en gericht zijn op de punten die het belangrijkst zijn.
Als u niet uw hele OT-omgeving kunt overzien, kunt u deze ook niet echt verdedigen. Deze richtlijn helpt u dat inzicht te verkrijgen, door gefragmenteerde kennis om te zetten in een definitief, levendig overzicht, zodat u de OT-systemen, -diensten en -toeleveringsketens kunt beschermen die het belangrijkst zijn.
Deze richtlijn is opgesteld door het NCSC in samenwerking met:
- Australian Signals Directorate (ASD)
- US Cybersecurity and Infrastructure Security Agency (CISA)
- Canadian Centre for Cyber Security (Cyber Centre)
- US Federal Bureau of Investigation (FBI)
- New Zealand’s National Cyber Security Centre (NCSC-NZ)
- Netherland’s National Cyber Security Centre (NCSC-NL)
- Germany’s Federal Office for Information Security (BSI)
(bron)