www.technologieenindustrie.com
17
'25
Written on Modified on
Schneider Electric: Het versterken van cybersecurity voor onze kostbaarste bron: water
Veilig drinkwater en gezuiverd afvalwater zijn cruciaal, maar water-OT-systemen zijn kwetsbaar voor cyberaanvallen, wat betere beveiliging vereist wereldwijd.
www.se.com
Veilig drinkwater is onmisbaar voor mensen en gezuiverd afvalwater is van cruciaal belang voor de volksgezondheid. Helaas zijn water- en afvalwatersystemen, net als andere operationele technologie (OT)-systemen, kwetsbaar voor cyberaanvallen. Overheden en instanties in de VS, de Europese Unie, het Verenigd Koninkrijk, Australië en andere landen erkennen deze dreiging voor kritieke infrastructuur. Betere waterbeveiliging is dan ook hard nodig.
Het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor voortdurende, geavanceerde cyberdreigingen tegen OT-systemen in water- en afvalwater-toepassingen. Om deze groeiende risico’s voor de waterveiligheid het hoofd te bieden, wenden OT-gebruikers en regelgevende instanties zich tot de IT-sector voor advies en uiteindelijk, effectieve oplossingen.
Overheden wereldwijd – van Australië en Europa tot India en de VS – hebben waterveiligheid steeds hoger op de agenda staan. Cyberaanvallen kunnen afkomstig zijn van zowel interne als externe dreigingsactoren binnen water- en afvalwater-organisaties. Een extern voorbeeld is de groep "CyberAv3ngers", die naar verluidt meerdere cyberaanvallen heeft uitgevoerd op OT-watersystemen in Israël en de VS. Maar naast deze externe dreigingen kunnen ook menselijke fouten potentieel catastrofale gevolgen hebben bij de configuratie van OT-apparaten of -netwerken. Zo zou het incident bij de waterzuiveringsinstallatie in Oldsmar, Florida zijn veroorzaakt door een fout van een medewerker.
Het verbeteren van waterzekerheid
Gelukkig zijn sommige van de belangrijkste kwetsbaarheden voor watersystemen bekend, al worden ze niet altijd van tevoren aangepakt. Kwetsbaarheden voor OT-apparatuur, zoals remote terminal units (RTU's), programmeerbare logische besturingen (PLC's), human machine interfaces (HMI's) en SCADA-systemen, worden gepubliceerd door instanties zoals CISA en in open forums zoals de Common Weakness Enumeration.
OT-systemen kunnen IT gebruiken om de waterveiligheid te verbeteren. Het doel van IT is om gegevens, netwerken en systemen te beschermen tegen ongeautoriseerde toegang, inbreuken en cyberdreigingen. Om deze doelen te bereiken implementeert IT beveiligingsmaatregelen zoals firewalls, encryptie, toegangscontroles en regelmatige systeemupdates. IT houdt ook toezicht op reacties op incidenten, beveiligingsaudits en gebruikerstraining om een robuuste beveiligingshouding te helpen garanderen. Wereldwijd beschikt IT over de middelen die bij de expertise horen, evenals de CAPEX.
Netwerkgerichte OT-apparatuur, zoals RTU's, PLC's, HMI's, kunnen een grote bijdrage leveren aan de beveiliging van water- en afvalwaterprocessen door de koppeling met IT-systemen te integreren. Dit omvat het gebruik van directoryservices zoals Active Directory. Maar ook de mogelijkheid om de toegang van operators tot OT-apparaten en netwerken te beperken tot gebruikers met OT-netwerkaccounts. Een belangrijke uitbreiding van deze optie is de beperking van gebruikerstoegang binnen het OT-apparaat zelf.
Hierdoor krijgt een gebruiker alleen toegang tot de functies die nodig zijn voor zijn werk wanneer hij een apparaat zoals een PLC, RTU of HMI gebruikt. Een technicus kan bijvoorbeeld geautoriseerd zijn om de status van een pompstation dat is aangesloten op een RTU te bekijken, maar niet om de toepassing te wijzigen die door de RTU wordt gebruikt. Dit staat bekend als rolgebaseerd toegangsbeheer (RBAC).
OT-netwerkaccounts beheren met RBAC
Het controleren en beheren van toegang voor bevoegde gebruikers is cruciaal voor de beveiliging van waterinfrastructuur. Uit het Verizon 2023 Data Breach Investigations Report blijkt dat bij driekwart van de onderzochte datalekken menselijke fouten of acties een rol speelden..
Het gebruik van RBAC (Role-Based Access Control) voor het beheren van accounts op OT-netwerkniveau biedt aanzienlijke voordelen ten opzichte van beheer per afzonderlijk apparaat. Het wijzigen van toegangsgegevens brengt risico’s met zich mee, en het handmatig bijwerken van wachtwoorden of accounts per apparaat is op grote schaal niet houdbaar. Dit proces vereist dat een gebruiker:
- Het specifieke programma voor dat apparaat opent
- Inlogt en het wachtwoord wijzigt
- Zich afmeldt en de nieuwe inloggegevens doorgeeft aan operators in het veld
Hierdoor bestaat het risico dat apparaten of operators over het hoofd worden gezien, wat weer operationele en beveiligingsrisico’s oplevert. Gebruikers kunnen mogelijk geen toegang krijgen tot de apparaten en referenties kunnen gemakkelijk openbaar worden gemaakt buiten de organisatie. Een andere uitdaging is de tijd die nodig is om wachtwoorden per apparaat handmatig te wijzigen. Afhankelijk van het aantal medewerkers en apparaten kan dit uitgroeien tot een fulltime functie.
Het belang van standaard IT-tools
Door aanvullende IT-technologieën te integreren, kunnen OT-apparaten nog beter worden beveiligd. Zo helpt het toevoegen van multifactorauthenticatie (MFA) aan een Role-Based Access Control (RBAC)-systeem om het risico te verkleinen dat gelekte of misbruikte OT-netwerkreferenties worden gebruikt.
Daarnaast biedt de integratie van een Privileged Access Management (PAM)-tool, zoals CyberArk, OT-netwerkbeheerders de mogelijkheid om de toegang per apparaat en dienst nauwkeurig te beheren via centraal beheerde accounts.
In de praktijk kan een operator bijvoorbeeld toegang aanvragen tot een specifieke locatie en tijdelijke inloggegevens ontvangen voor de slimme RTU die aan die locatie is gekoppeld. Zodra het werk is voltooid, zorgt de PAM ervoor dat de inloggegevens op elk apparaat worden bijgewerkt.
Een laatste IT-aanpak die OT-waterbeveiliging kan versterken, is Syslog. Dit is een standaardmethode voor het loggen van gebeurtenissen op een apparaat, zoals mislukte inlogpogingen. Hierdoor kunnen OT-netwerkbeheerders snel afwijkingen opsporen, zoals onverwachte configuratiewijzigingen of mogelijke beveiligingsinbreuken, en hier tijdig op reageren.
Bovendien biedt Syslog een uitgebreide audittrail van activiteiten, wat essentieel is voor forensische analyse, naleving van regelgeving en het reconstrueren van gebeurtenissen voorafgaand aan een beveiligingsincident.
IT-methoden inzetten om de waterveiligheid binnen OT te verbeteren
Door standaard IT-tools en -methoden te integreren in RTU's, PLC's, HMI's en SCADA-systemen kan de beveiliging van kritieke water- en afvalwaterinfrastructuur aanzienlijk worden versterkt. IT biedt oplossingen voor enkele van de meest voorkomende kwetsbaarheden: het niet updaten van apparaten en het ontbreken van toegangsbeperkingen voor onbevoegde gebruikers.
Het implementeren van nieuwe OT-apparatuur en -tools die RBAC (Role-Based Access Control), PAMs (Privileged Access Management Systems) en Syslog ondersteunen, verhoogt de cybersecurity binnen water- en afvalwatersystemen. Schneider Electric’s SCADAPack™ 47x en 47xi maken het mogelijk om dergelijke IT-tools in te zetten en zo kritieke cyberdreigingen te beperken.
www.se.com
Het belang van standaard IT-tools
Door aanvullende IT-technologieën te integreren, kunnen OT-apparaten nog beter worden beveiligd. Zo helpt het toevoegen van multifactorauthenticatie (MFA) aan een Role-Based Access Control (RBAC)-systeem om het risico te verkleinen dat gelekte of misbruikte OT-netwerkreferenties worden gebruikt.
Daarnaast biedt de integratie van een Privileged Access Management (PAM)-tool, zoals CyberArk, OT-netwerkbeheerders de mogelijkheid om de toegang per apparaat en dienst nauwkeurig te beheren via centraal beheerde accounts.
In de praktijk kan een operator bijvoorbeeld toegang aanvragen tot een specifieke locatie en tijdelijke inloggegevens ontvangen voor de slimme RTU die aan die locatie is gekoppeld. Zodra het werk is voltooid, zorgt de PAM ervoor dat de inloggegevens op elk apparaat worden bijgewerkt.
Een laatste IT-aanpak die OT-waterbeveiliging kan versterken, is Syslog. Dit is een standaardmethode voor het loggen van gebeurtenissen op een apparaat, zoals mislukte inlogpogingen. Hierdoor kunnen OT-netwerkbeheerders snel afwijkingen opsporen, zoals onverwachte configuratiewijzigingen of mogelijke beveiligingsinbreuken, en hier tijdig op reageren.
Bovendien biedt Syslog een uitgebreide audittrail van activiteiten, wat essentieel is voor forensische analyse, naleving van regelgeving en het reconstrueren van gebeurtenissen voorafgaand aan een beveiligingsincident.
IT-methoden inzetten om de waterveiligheid binnen OT te verbeteren
Door standaard IT-tools en -methoden te integreren in RTU's, PLC's, HMI's en SCADA-systemen kan de beveiliging van kritieke water- en afvalwaterinfrastructuur aanzienlijk worden versterkt. IT biedt oplossingen voor enkele van de meest voorkomende kwetsbaarheden: het niet updaten van apparaten en het ontbreken van toegangsbeperkingen voor onbevoegde gebruikers.
Het implementeren van nieuwe OT-apparatuur en -tools die RBAC (Role-Based Access Control), PAMs (Privileged Access Management Systems) en Syslog ondersteunen, verhoogt de cybersecurity binnen water- en afvalwatersystemen. Schneider Electric’s SCADAPack™ 47x en 47xi maken het mogelijk om dergelijke IT-tools in te zetten en zo kritieke cyberdreigingen te beperken.
www.se.com
