Cybersecurity focust vooral op ICT-systemen en netwerken. Maar een goed functionerend datacenter vraagt ook om koeling, stroom en fysieke beveiliging die ook kwetsbaar zijn voor aanvallen. Gezien het risico voor de kritieke infrastructuur in Nederland, richt het nieuwe Nederlandse bedrijf Secior zich specifiek op deze uitdaging.
Datacenters zijn voor hun functioneren afhankelijk van Operationele Technologie (OT), Internet of Things (IoT) en IT. Koeling, stroomdistributie, IoT-sensoren, toegangscontrole en brandblussystemen maken deel uit van het ‘slimme gebouw’ dat een modern datacenter is. Over de security daarvan wordt echter weinig gesproken. “Je moet security echt vanuit drie dimensies bekijken: OT, IoT en IT”, zegt CEO Fred Streefland van Secior. “De huidige Security Operations Centers, SOCs, in de cybersecurityindustrie hebben zich altijd heel erg op dat laatste gericht, maar met aanvallen op of via OT- en IoT-systemen kun je een heel datacenter lamleggen.”
Tijdens de oorlog in Oekraïne zijn dergelijke aanvallen op datacenters al waargenomen, weet Fred. “Er is zelfs malware ontplooid die specifiek de OT-systemen aanvalt. Daarnaast hebben wij in Oekraïne aanvallen op OT-systemen gezien, die gecoördineerd plaatsvonden met traditionele IT-aanvallen, waarschijnlijk om de kans van slagen te vergroten.”
Urgent
Dat inzicht is op zichzelf niet nieuw. Cyberveiligheid – bescherming van kritieke nutsfaciliteiten tegen door vijandige overheden aangestuurde hackers – houdt zich al jaren bezig met dit soort vraagstukken. Vooral in landen die aan Rusland grenzen, is het al langer actueel. Er zijn, naast de oorlog in Oekraïne, nog meer redenen waarom de aandacht op security van deze domeinen moet worden verbreed, zo meent Fred. “We hebben ook te maken met de nieuwe Europese NIS2-richtlijnen. In de nieuwe versie van het EU NIS2-document, die de EU-landen dit jaar nog bekrachtigen, zijn datacenters aangemerkt als kritieke infrastructuur. Dat betekent dat ze aan bepaalde cyberveiligheidseisen moeten voldoen, boetes kunnen krijgen als de security niet op orde is, en zelfs bestuurders hoofdelijk aansprakelijk kunnen worden gesteld.” Een derde reden is dat verzekeringsmaatschappijen terughoudender worden bij het verzekeren van grote cyberaanvallen door statelijke actoren. “Het Britse Lloyds stopt daar al mee vanaf 2023”, noemt Fred.
Ervaring en inzicht
Secior is opgericht door brancheveteranen om aan deze securitybehoefte te voldoen. Naast Fred, die sinds afgelopen juli de rol van CEO vervult, maakt Sander Nieuwmeijer ook deel uit van het managementteam. Beiden hebben door de jaren heen een schat aan kennis opgedaan. “Sander merkte twee jaar geleden op hoe een datacenter engineer de koeling van zijn datacenter regelde met zijn smartphone”, zegt Fred. “Dat riep vragen bij hem op.”
Het idee achter Secior is de digitale weerbaarheid van datacenters te vergroten. Dat begint met het inzichtelijk maken van de gehele OT-, IoT- en IT-infrastructuur van een datacenter. “We brengen alles in kaart, inclusief de risico’s, en gaan vervolgens in op hoe de risico’s het beste kunnen worden gemitigeerd”, legt Fred uit. “Heel vaak weten organisaties niet hoe groot hun werkelijke aanvalsoppervlak is. Veel van de OT-systemen zijn ontworpen om een functie uit te voeren, zonder dat security een overweging was. Nu er vaak een DataCenter Infrastructure Management (DCIM) dashboard aan is toegevoegd, staan ze echter indirect in verbinding met het internet.” In veel gevallen weten datacenters niet wat ze in huis hebben. “Tijdens een scan in een groot datacenter kwamen we ruim 100.000 IoT-sensoren tegen, aanzienlijk meer dan de eigenaar vermoedde.” De fysieke toegangscontrole in datacenters is meestal goed zichtbaar. Maar het complete aanvalsoppervlak, vooral het OT- en IoT-gedeelte, wordt vaak onderschat.
Onafhankelijk
De scan die Secior uitvoert, is niet afhankelijk van één leverancier. “We gebruiken een Secior INSITE-platform, waarbinnen verschillende ‘scan tools’ passen. Het is echt best-of-breed. Mede door alle legacy systemen, de hoeveelheid systemen en de onderlinge complexiteit van de systemen in een datacenter, is het helaas onmogelijk om echt alle systemen dicht te timmeren”, waarschuwt Fred. “Maar je moet de risico’s wel kennen, want alleen dan heb je een goed verhaal bij een cyberincident en heb je alles gedaan om dit te voorkomen.”
Uiteindelijk is het volgens Fred de ambitie dat Secior een rol op zich neemt die bijvoorbeeld Fox-IT in de bankenwereld vervult: de go-to partij voor security-monitoring, audits, certificeringen en eventueel incident response. Hij is een warm voorstander van verplichte jaarlijkse assessments. “Wat wij voor datacenters doen, zou je in de toekomst ook voor ziekenhuizen en nutsbedrijven kunnen uitvoeren. Maar vergis je niet: datacenters zijn kritieke infrastructuur. Als een datacenter uit de lucht gaat, berokkent dat extreem veel schade. Zonder datacenters geen internet.”
Meer weten over Secior? Mail Fred Streefland naar f.streefland@secior.com of bel hem op 06 392 942 00.
Dit artikel verscheen eerder in ITchannelPRO magazine nummer 4