4/10/2021

Cybersecurity audit pakt ook OT-risico's aan

Cybersecurity audit pakt ook OT-risico's aan

Cybersecurity staat de laatste jaren hoog op de agenda, zeker bij bedrijven en organisaties. Op IT-vlak zijn de lekken meestal al gedicht, maar bij de OT-infrastructuur worden de risico’s nog te vaak onderschat. De continuïteit van de bedrijfsprocessen en de bescherming van persoonsgebonden informatie zijn nochtans cruciaal. Een cybersecurity audit kan de verbeterpunten blootleggen.  De laatste 10 jaar is op het vlak van cybersecurity in gebouwen veel aandacht gegaan naar de pure IT-infrastructuur zoals computers en printers. De OT – operational technology – wordt echter nog te vaak stiefmoederlijk behandeld. Nochtans is het gebruik sterk gestegen van onder meer camera’s, toegangscontrole, branddetectie en gebouwenbeheersystemen voor koeling en verwarming die met het netwerk geconnecteerd zijn. Dat maakt de OT-infrastructuur kwetsbaar voor misbruik. Heel wat beheerders of gebruikers van een gebouw zijn zich niet bewust van de mogelijke risico’s van een gebrekkige bescherming op OT-vlak. Zo bevat de software voor de toegangscontrole persoonsgegevens waarvoor de GDPR geldt. Een slecht beveiligd camerasysteem laat hackers rondkijken in je gebouw. Het schendt niet alleen de privacy van wie er in rondloopt, maar kan ook leiden tot fysieke inbraak en diefstal. De koel- of verwarmingsinstallaties hacken, kan ervoor zorgen dat een productiebedrijf stilvalt. En dit zijn slechts enkele voorbeelden. Niet alleen op technisch maar ook op organisatorisch vlak wordt ingegrepen. Dit gebeurt volgens het principe van de Organisatorisch Fysieke Elektronische Meldings maatregelen (OFEM). Dat OFEM-principe kan zowel in de fysieke als in de virtuele wereld worden toegepast.

Cybersecurity audit

Ingenium voert samen met NVISO Belgium bij bedrijven en organisaties cybersecurity audits uit. We combineren daarbij de expertise van NVISO op IT-vlak met onze technische kennis van de OT-zijde. Een audit begint met een aantal workshops met de klant om het gebouw en de technieken beter te leren kennen. Daarbij wordt extra aandacht besteed aan de kritische installaties, waarvan het risico op uitval zal worden getest.

Er wordt onder meer in kaart gebracht:

  • hoe het netwerk is opgebouwd en beheerd
  • welke informatie makkelijk te verkrijgen is en welke info als kritisch kan worden beschouwd
  • welke lokalen met technische apparatuur zonder autorisatie toegankelijk zijn
  • wat de loginprocedures zijn welke datapunten (voor bijvoorbeeld telefoon of internet) makkelijk toegankelijk zijn
  • welke softwareapplicaties moeten worden getest om na te gaan of de gegevens goed beschermd zijn.

Intern en vanop afstand

Niet alleen in het gebouw zelf worden testen uitgevoerd. Met remote access testen kijken we of ook vanop afstand technische installaties kunnen worden overgenomen. Daarbij is het onder meer belangrijk om te weten:

  • welke technische installaties van buitenaf bereikbaar zijn voor onderhoud door externe partners
  • of de authenticatie gebeurt met vaste wachtwoorden of met multifactor authentication.

Mogelijk pijnpunten

De mogelijke pijnpunten  die we tegenkomen in recente kantoorgebouwen bij een cybersecurity audit zijn:

  • Het ontbreken van malwaredetectie en een firewall die fungeert als goede ‘scheidsrechter’ voor de dataflows van de technieken
  • Technische systemen zijn niet beveiligd en vrij toegankelijk via het netwerk
  • Geen sluitend paswoordbeleid waardoor men achteraf nooit precies kan nagaan wie welke handeling heeft gedaan
  • Persoonsgebonden data die gemakkelijk te vinden zijn
  • Technische lokalen die voor iedereen fysiek toegankelijk zijn
  • Geen gebruik van encryptie
  • Gebrek aan security patches
  • Geen goede back-up- en restore policy
  • Login procedure voor “remote access” (inloggen van buiten het bedrijfsnetwerk) is vaak ontoereikend

Aanpassen en hertesten

De problemen situeren zich dus zowel op het vlak van hardware, software als netwerkopbouw. Veel van de opgenoemde beveiligingsrisico’s bevonden zich niet buiten maar ín het gebouw zelf. Na de audit keken we in overleg met de klant welke issues weggewerkt moeten worden, en welke als een aanvaardbaar risico kunnen worden beschouwd.  Dit op basis van risico versus kost.  Als de nodige aanpassingen zijn gedaan, volgt er een nieuwe test om te kijken of het gewenste resultaat ook effectief bereikt wordt.

De audit in dit voorbeeld toonde duidelijk aan dat er tal van risico’s aanwezig waren. Het groeiend aantal IP-toestellen in de OT-wereld zorgt ervoor dat er extra aandacht nodig is om de netwerken op een veilige manier op te bouwen.

Kan jouw bedrijf of organisatie ook een cybersecurity audit gebruiken? Onze expert Tim Opsomer geeft je graag meer uitleg: tim.opsomer@ingenium.be.

Téléchargements

Aucun élément n'a été trouvé.

Contactez notre expert

Tim Opsomer

Nouvelles connexes

Infrastructure de recharge des véhicules électriques à grande échelle - investir intelligemment et de manière prospective
sous les feux de la rampe
13/8/2024

Infrastructure de recharge des véhicules électriques à grande échelle - investir intelligemment et de manière prospective

La Flandre a décidé qu'à partir de 2026, seules les voitures de société non fossiles - entièrement électriques ou fonctionnant à l'hydrogène - seront déductibles des impôts. Une voiture louée fonctionnant au diesel ou à l'essence sera déductible à 0 %. En outre, les bâtiments non résidentiels disposant d'un nombre minimum de places de parking devront être équipés de bornes de recharge pour les véhicules électriques dès 2025, voire dans les nouveaux bâtiments ou lors de rénovations importantes.
Une approche numérique est la voie la plus rapide pour parvenir à des bâtiments à consommation zéro.
sous les feux de la rampe
24/6/2024

Une approche numérique est la voie la plus rapide pour parvenir à des bâtiments à consommation zéro.

Dans le monde d'aujourd'hui, qui évolue rapidement, la gestion de l'immobilier est plus difficile que jamais. Le secteur évolue à un rythme sans précédent, nous confrontant à des obstacles et des changements uniques qui requièrent toute notre attention et notre capacité d'adaptation.
Le catalogue SRI, une liste de contrôle intéressante pour l'intégration des bâtiments intelligents
sous les feux de la rampe
1/4/2024

Le catalogue SRI, une liste de contrôle intéressante pour l'intégration des bâtiments intelligents

La décision de rendre un bâtiment intelligent doit être prise dès la phase de conception d'un projet de construction ou de rénovation. Cependant, la technologie peut également être intégrée progressivement par la suite. Cette approche nécessite un inventaire précis des possibilités, suivi d'un choix conscient des thèmes centraux.