- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: The improvement of IT and OT systems' resilience is essential in protecting critical processes from cyberthreats
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
The improvement of IT and OT systems' resilience is essential in protecting critical processes from cyberthreats
Introductie en huidige staat
Nederland moet kunnen vertrouwen op de veiligheid en weerbaarheid van de vitale processen. Vitale processen46 zijn processen die een essentiële dienst leveren zoals stroomvoorziening, telecommunicatie en betalingsverkeer, en waarvan verstoring door cyberaanvallen direct ontwrichtende effecten kunnen hebben op de maatschappij en een bedreiging vormt voor de nationale veiligheid. Kenmerkend is dat vitale processen vaak van elkaar afhankelijk zijn waardoor een incident in het ene proces ook het andere proces ernstig kan verstoren. Denk hierbij aan de uitval van energievoorziening dat ook directe gevolgen heeft voor de warmwatervoorziening, het openbare vervoer, en leven ondersteunende apparatuur in ziekenhuizen. Een deel van vitale processen is afhankelijk van betrouwbare informatietechnologie (IT), maar een groot deel ook van zogenaamde operationele technologie (OT). De impact van een cyberincident in vitale processen manifesteert zich daardoor ook snel in de fysieke wereld, met alle veiligheidsconsequenties van dien. Een andere zorg is dat veel vitale aanbieders gebruik maken van verouderde OT-systemen; in het verleden bestond OT uit op zichzelf staande systemen waar tijdens het verbinden van deze systemen met IT vaak geen rekening met cybersecurity is gehouden, en beveiligingsupdates zijn niet altijd (tijdig) beschikbaar. Kortom, de weerbaarheid van de IT en OT van vitale processen tegen cyberdreigingen is essentieel om Nederland nu en in de toekomst met vertrouwen te digitaliseren. De drie onderstaande paragrafen lichten toe welke initiatieven er momenteel binnen dit domein lopen.
Sectorale veiligheidsraamwerken en -eisen voor OT en IT
Cybersecurityrisico’s binnen OT in vitale processen ontstaan vaak uit verouderde technologie en verouderde besturingssystemen, omdat ze niet voldoende afgeschermd zijn van de kwetsbare bedrijfs-IT. Beheer en beveiliging van IT en OT wordt vaak door verschillende teams met verschillende werkprocessen en kennis gedaan47. De beveiliging van OT vereist daarom een significant andere aanpak ten opzichte van ‘reguliere’ cybersecurity, en het onderscheid tussen OT en IT is van belang bij de aanpak. Daarnaast wordt vanwege de uniciteit van de OT-omgevingen en -systemen binnen de verschillende sectoren vaak op basis van door organisaties zelf bepaalde doelen en normen ingericht. Dit gebeurt momenteel veelal ad-hoc en er zijn geen gedeelde (minimale) weerbaarheidsdoelstellingen.
Ook erkennen en behandelen partijen in de vitale sector (in zowel de private als publieke sector) elkaar nog niet genoeg als ketenpartners en ontbreekt daarmee structurele samenwerking op het gebied van cyberweerbaarheid48. Momenteel streeft iedere vitale partij nog binnen het eigen deel naar weerbaarheid terwijl betere samenwerking ten aanzien van ketenveiligheid een grotere bijdrage levert dan de som der delen. Ook wordt kennis over de beveiliging van OT niet breed genoeg gedeeld met partijen buiten de vitale sector, terwijl het gebruik van OT niet beperkt is tot de vitale sector.
Een belangrijke stap die hierin is gezet, is dat de Wet beveiliging netwerk- en informatiediensten (Wbni) eind 2018 in werking is getreden. De Wbni is de Nederlands implementatie van de Europese Network and Information Security (NIS) Directive. De Wbni bevat voor (voornamelijk) vitale aanbieders regels op het vlak van zorgplicht voor cybersecurity en eisen voor het melden van cybersecurityincidenten49. De Europese Commissie heeft na publieke consultatie van experts erkend dat de huidige NIS verbeterd moet worden, onder andere als gevolg van veranderingen in het dreigingslandschap, inconsistenties in toepassing tussen EU-landen en verdergaande digitalisering die een groter deel van de samenleving raakt50. Daarom is de NIS 2 voorgesteld, waarin onder andere zowel nieuwe maatregelen als ook nieuwe vitale sectoren worden voorgesteld51. De nieuwe NIS 2 zal door de Nederlandse overheid vertaald moeten worden naar een nieuwe Wbni.
Inhaalslag met verbeterprogramma’s
Om vitale processen goed te beveiligen moeten bij veel organisaties IT- en OT-systemen beter beveiligd worden. Hier zijn vaak (omvangrijke) verbeterprogramma’s voor nodig. Zo zijn er op dit moment binnen specifieke sectoren programma’s bezig om de cyberweerbaarheid te vergroten, zoals het programma Beveiligd Werken Rijkswaterstaat (BWR) binnen de vitale sector Keren en Beheren52. De meeste vitale processen omvatten zowel publieke als private organisaties, met zeer wisselende mate van volwassenheid waar het hun eigen cyberweerbaarheid betreft. Om tot volledig weerbare vitale processen te komen zijn daarom maatregelen binnen deze organisaties nodig, door bijvoorbeeld directe investeringen en het versterken van toezicht.
Toezicht op vitale sectoren
Cybersecurity in vitale sectoren kan in de praktijk onvoldoende afgedwongen worden, zowel voor IT als OT. De Wbni legt een zorgplicht (treffen van beveiligingsmaatregelen) op aan Aanbieders van Essentiele Diensten (AED’s). Het Agentschap Telecom, de Nederlandse Bank, de Inspectie Leefomgeving en Transport (ILT) en de Inspectie Gezondheidszorg en Jeugd (IGJ)53 zijn aangewezen om toezicht op de cybersecurity van deze AED’s te houden. Bij het niet naleven van de zorgplicht kan een toezichthouder een AED een bindende aanwijzing geven en indien nodig zelfs een bestuurlijke boete opleggen. Het is daarmee een belangrijke stok achter de deur om verdere verbeteringen in cyberweerbaarheid van vitale sectoren. Op dit moment is een aantal betrokken toezichthouders nog onvoldoende in staat om toe te zien op de naleving van de Wbni. Zo moet het ILT, dat toezicht moet houden op de vitale sectoren vervoer en levering en distributie van drinkwater, haar toezicht rol in het kader van de Wbni, inclusief kennis, expertise en inspectieproces, in 2021 nog verder opbouwen54, en heeft de IGJ, omdat het op dit moment nog geen toezicht hoeft te houden bij gebrek aan AED’s in de zorg, ook nog geen capaciteit opgebouwd op dit vlak. Zonder effectief toezicht kan niet goed in kaart worden gebracht hoe weerbaar vitale sectoren zijn, en zijn AED’s niet goed aan te spreken op het nakomen van hun zorgplicht als ze achterblijven.