- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Knowledge and expertise concerning OT is needed
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Knowledge and expertise concerning OT is needed
3.5 Kennis en kunde van OT-security
Kennis en kunde is nodig om OT-security in de organisatie op te nemen, zowel het volledig oprichten als het doorontwikkelen. Dit is van belang omdat het institutioneel geheugen van organisaties vaak tekort schiet en kennis die beschikbaar was op den duur vervaagt. Daarnaast is het van belang omdat bepaalde kennis niet (voldoende) aanwezig is binnen organisaties. Kennisvergaring gebeurt zowel door eigen mensen op te leiden als door kennis in te kopen. Dat dit cruciaal is wordt in de interviews beaamd.
3.5.1 Vergaren en versterken van kennis en kunde
Zowel technische kennis en kunde van OT als cybersecurity kennis in zijn algemeenheid is cruciaal om digitaal veilige OT in te regelen. Deze kennis en kunde is er niet altijd voldoende en er zijn verschillende manieren naar voren gekomen om deze kennis en kunde te vergaren.
Eigen mensen binnenhalen en opleiden.
Een belangrijke reden om eigen mensen op te leiden (in-house expertise) is om niet afhankelijk te zijn van externe expertise en leveranciers. Zeker niet op het moment van een incident waarbij externen waarschijnlijk overvraagd of niet op de hoogte zijn van de bijzonderheden in het productieproces. Daarnaast gaan ontwikkelingen snel door het dynamische karakter van cybersecurity en is er behoefte om continu kennis en kunde te vergaren. Er moet ruimte zijn voor medewerkers die uit eigen interesse hun kennis willen vergroten. Daarnaast is actief beleid nodig om ontbrekende kennis aan huidige medewerkers bij te brengen.
Succesfactor. Weet welke kennis benodigd is voor veilige OT en werf hier actief op.
Succesfactor. Geef ruimte aan medewerkers die uit eigen interesse willen groeien en die vooroplopen in de benodigde kennis.
Succesfactor. Reserveer middelen om medewerkers voortdurend bij te scholen.
IT-en OT-security deskundigheid.
Het is van meerwaarde om medewerkers die de organisatie door en door kennen en die deskundigheid met leiderschap samen brengen met elkaar te verbinden. Dit is cruciaal omdat op deze wijze jarenlange operationele ervaring, eigen interesse en gevoel voor leiderschap bij elkaar worden gebracht. Het is lastig balans te vinden tussen het management en de operatie, maar dit is precies het vlak waar duiding, bewustzijn en keuzes gemaakt kunnen worden. Als een CISO ‘nieuw’ in de organisatie is en dus nog geen natuurlijke autoriteit is, is het van belang een team samen te stellen waarin de verschillende expertises bijeenkomen om deze deskundigheid toch te hebben.
Succesfactor. Maak gebruik van medewerkers die de organisatie door en door kennen en zet hen voorop in het verspreiden van de benodigde deskundigheid.
Succesfactor. De diversiteit van de competenties en deskundigheid van de medewerkers moet inzichtelijk en beschikbaar zijn voor een CISO. Organiseer de (face-to-face) interactie die hiervoor benodigd is en kennis en kunde kan versterken.
Praktijkvoorbeeld. De CISO-functie bevatte niet alle benodigde IT-en OT-expertise en ervaring. Er is doelbewust gekozen in plaats van één person een team samen te stellen waardoor de diverse disciplines in een klap vertegenwoordigd waren.
Gezamenlijk oefenen.
Om kennis en kunde bij te brengen zijn oefeningen cruciaal. Hierbij is het van belang om meerdere medewerkers uit verschillende disciplines te betrekken. Zo kan er kruisbestuiving plaatsvinden en kan eenieder leren. Laat bijvoorbeeld een OT-security medewerker deelnemen aan een algemene crisisoefening, om specifieke OT risico’s en consequenties van het falen van systemen mee te nemen. Binnen het cybersecurity-domein is het soms lastig te komen tot realistische dreigingen en wordt het nog moeilijker om hier dan op te acteren. Betrek daarom al tijdens het formuleren van scenario’s deze OT-security specialisten, om tot realistische scenario’s te komen.
Succesfactor. Ontwikkel een ingrijpend en realistisch scenario, oefen het reactieplan en evalueer hoeveel tijd er nodig is om de procesautomatisering weer volledig te herbouwen. Dit gezamenlijk doen zorgt voor het vergaren en versterken van kennis en kunde.
Praktijkvoorbeeld. Een van de respondenten waarbij het IT- en OT-team al samengevoegd is gaf aan dat daardoor de Ontwikkel-Test-Acceptatie (OTA)-omgeving een gezamenlijke activiteit geworden is. Dit droeg onder andere bij aan het implementeren van meer security-by design principes, en het uitvoeren van oefeningen en audits werd erdoor vergemakkelijkt.
Assessments met expertise.
Assessments zijn van grote toegevoegde waarde omdat er met een ‘blik’ van buiten naar de organisatie gekeken wordt en hiermee blinde vlekken inzichtelijk worden gemaakt. Het is van belang om assessments uit te voeren met deskundigen die zowel de OT-problematiek beheersen als medewerkers erbij te betrekken die de installatie door en door kennen. Het is van toegevoegde waarde om deze assessments niet slechts als een check te zien, maar als een kans om de eigen organisatie veilig te stellen. Hierin kan een organisatie ook zelf een eerste stap nemen en bepalen waarop de assessments geënt moeten worden om een veilige OT te garanderen.
Succesfactor. Betrek OT-specialisten bij assessments.
Praktijkvoorbeeld. Een van de organisaties gaf aan dat de assessments vaak een papieren exercitie zijn, waarbij dit vaak door mensen wordt gedaan die niet zelf uit de OT komen, of er geen diepgaande kennis van hebben. Door niet naar de installaties zelf te gaan en de actuele situatie te bekijken, blijven assessments in algemeenheden hangen. Om dit te realiseren is het van groot belang dat de personen die assessments uitvoeren inhoudelijke kennis van zaken hebben.
3.5.2 Versterken aandacht van management
Om kennis en kunde te ontwikkelen, is het van belang dat de noodzaak hiervan ook bij het management bekend is. Het kost tijd en geld om mensen op te leiden, naar bepaalde conferenties te laten gaan en hun netwerk op peil te houden.
Het belang en toegevoegde waarde van OT-security wordt door het management uitgedragen.
Het management moet OT-security begrijpen en uitdragen in de organisatie. Dit is van belang omdat het management kan sturen op hoe OT-security in de organisatie in te regelen. Wordt er besloten om IT en OT samen te zetten? Hoeveel tijd en geld wordt er vrij gemaakt voor opleidingen? En het aannemen van nieuwe mensen met bepaalde expertise?
Succesfactor. Borg OT-security als een jaarlijkse bedrijfsdoelstelling.
Succesfactor. Het management faciliteert het delen van ervaring en kennis op dit onderwerp met andere bedrijven.
Praktijkvoorbeeld. Het onderbrengen van OT-cybersecurity in een van de jaarlijkse bedrijfsdoelstellingen is bij een van de deelnemende organisaties zeer effectief gebleken. De COO was hierbij degene die OT-cybersecurity-doelstellingen verplicht liet opnemen. Deze centrale aanpak is interessant aangezien in operationele organisaties cybersecurity vaak als kostenpost (bedreiging) wordt gezien, terwijl aandacht voor het onderwerp bij het management ook besproken kan worden in termen van kansen.
Praktijkvoorbeeld. De OT(-security) lead legt zelf belangrijke informatie uit aan het management. Hiermee wordt het management beter in staat gesteld om het belang van OT-security in te zien. Respondenten gaven aan dat een randvoorwaarde is dat deze persoon gezaghebbend is op het onderwerp en door het management ook als zodanig wordt erkend.
Audits creëren aandacht.
Het is van belang om audits te zien als een hulpmiddel om de eigen organisatie volwassener te krijgen in OT-security. Audits brengen mogelijke kwetsbaarheden naar voren. Dit is het startpunt geweest voor velen om aandacht te besteden aan OT-security. Daarnaast kunnen de resultaten van audits goed gebruikt worden om aandacht van het management voor OT-security onderwerpen te krijgen en hierin ook een overwogen keuze te nemen over wat wanneer wordt opgepakt. Audits worden meestal door externe partijen uitgevoerd. Daarbij worden gangbare technieken, zoals penetratietesten, gebruikt om de werkelijke weerbaarheid te toetsen. Natuurlijk worden ook de processen en mensen onder de loep genomen. Goede auditeurs gebruiken een set met actuele en relevante audit controls waarop getoetst wordt. In het algemeen eindigen de rapporten op de bureaus van het hoogste management en dat creëert aandacht.
Succesfactor. Gebruik audits om de mogelijke kwetsbaarheden als startpunt te gebruiken om OT-security onder de aandacht te brengen bij het management.
Praktijkvoorbeeld. Een van de respondenten gaf aan dat de uitkomsten van deze succesfactor ervoor zorgden dat de manager van een productieomgeving de risico’s niet meer begreep; ze bleken namelijk te technisch waardoor de resultaten van de audit nooit uitgevoerd zijn. Dit probleem is verholpen door de lokale teams verantwoordelijkheid te geven. Bijvoorbeeld voor het opvolgen van de bevindingen in de audits.
Praktijkvoorbeeld. Een ander voorbeeld uit de praktijk is het bepalen van de audit controls waarop getoetst wordt. Bedrijven uit een bepaalde sector hebben gezamenlijk bepaald welke van de regels uit relevante standaarden voor deze bedrijven als minimale vereiste opgenomen moesten worden. Iedere sector of verzameling van bedrijven zou dezelfde actie kunnen ondernemen om hun eigen set aan regels te definiëren.