- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: To implement secure OT, organisational awareness is needed
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
To implement secure OT, organisational awareness is needed
3.1 Bewustzijn van OT-gerelateerde risico’s
Om draagvlak te creëren bij management en medewerkers voor het belang van OT-security is inzicht nodig in de aan OT gerelateerde risico’s. Inzicht krijgen in de kans op en impact van verstoringen op het primaire proces is mogelijk met adequaat risicomanagement. Ontwikkelingen en trends op het gebied van cybersecurity worden nog niet altijd vertaald naar risico’s die van toepassing zijn op operationele processen. Dat dit niet altijd gebeurt kan komen door onvoldoende of onjuiste aandacht van het management. Het kan ook zijn dat IT- en OT-medewerkers nog niet voldoende met elkaar optrekken om de verwevenheid goed aan te pakken.
3.1.1 Belang aansluiten bij bestaand risicomanagement
Het is van belang om ontwikkelingen en trends op het gebied van OT-security te integreren in bestaande risicomanagementmethodieken. Dit vereist een kritische en dynamische blik op het risicomanagementproces.
Cybersecurity onderdeel van bestaand risicomanagement.
Het management draagt verantwoordelijkheid voor de continuering van de primaire processen en houdt daarvoor rekening met verscheidene risico’s (zowel die in de huidige risicomanagementprocessen als die in de bredere Business Continuity Management (BCM) processen van de organisatie). Het is van groot belang dat cybersecuritydreigingen hier onderdeel van zijn en dat aan de hand daarvan risico’s inzichtelijk worden gemaakt. Belangrijk is dat dit besef er is bij zowel het management als het operationele niveau.
Het management moet de ernst van OT-security dreigingen begrijpen (bijvoorbeeld door uit te kunnen leggen wat de impact van OT-security verstoring is op het primaire proces). Operationele OT-medewerkers moeten risico’s afstemmen op de verschillende medewerkers en juist verwoorden. Uit meerdere interviews is namelijk naar voren gekomen dat OT-security vertaald moet worden naar risico’s die voor iedereen begrepen moet worden. Dit kan ook betekenen dat risico’s verschillend worden gepresenteerd. Soms is het bijvoorbeeld wel nodig extra technische informatie te geven en soms is dit juist iets dat weggelaten moet worden om aandacht op andere onderwerpen te vestigen.
Succesfactor. Zet cyberdreigingen om in realistische risico’s en kansen voor de eigen organisatie. Gebruik voorbeelden van incidenten in positieve of negatieve zin (van binnen of van buiten de organisatie) voor verdere bewustwording.
Succesfactor. Sluit aan bij bestaande risicomanagement processen om geïnformeerde investeringsbesluiten te nemen.
Succesfactor. Stel een cybersecuritystrategie op waar ook structurele inbedding van OT-security in risicomanagement wordt opgenomen. Deze strategie moet ingaan op kansen en dreigingen, vertaald naar organisatiedoelen. Tevens is het van belang de doelstellingen, maatregelen en KPI’s te vertalen naar individueel niveau, dit kan bijdragen aan cybersecurity bewustzijn en handelen in de hele organisatie.
Praktijkvoorbeeld. Een van de respondenten gaf aan bestaande business continuity management activiteiten zo in te richten dat OT-security hiervan een vast onderdeel werd.
Praktijkvoorbeeld. Een van de organisaties is aan de slag gegaan om cybersecurity mee te nemen in de Failure Mode and Effect Analysis methodiek die zij al hanteerden in de eigen organisatie. Immers cyber security incidenten zijn een reële mogelijkheid geworden voor het falen van apparatuur.
Uitvragen van zorgen aan management.
Het is van belang om het management uit te vragen wat voor zorgen er bestaan. Het gaat hier om de zorgen in algemene zin, maar ook of zij OT gerelateerde zorgen hebben. Dit is een eerste stap om OTsecurity mee te nemen in risicomanagement, namelijk welke risico’s on ‘top of mind’ zijn bij het management. Deze zorgen geven inzicht in de aspecten waarop gestuurd kan worden door het management en de verantwoordelijke voor OTsecurity. OT-security kan op deze wijze als kans en bedreiging integraal opgenomen worden. Uit interviews komt naar voren dat men zich de meeste zorgen maakt over verstoringen van het primaire proces en de materiële en financiële nadelige gevolgen die hieruit voortvloeien5. Bedrijven over de hele wereld hebben een vergelijkbare prioritering van deze zorgen kenbaar gemaakt (Kaspersky, 2019).
Safety en security dichter bij elkaar.
Het kan helpen om de safety en security domeinen dichter bij elkaar te brengen. Maatregelen die genomen worden door safety en security afdelingen onderscheiden zich van elkaar. De safety afdeling wil de organisatie beschermen tegen veelal niet-moedwillige of ondoordachte handelingen. De security afdeling treft maatregelen om zich te beschermen tegen veelal moedwillige of onvoorzichtige handelingen. OT-security valt met name onder de rationale van security. Voorbeelden van cybersecurity dreigingen en cyberveilig handelen blijken beter aan te spreken bij medewerkers wanneer de consequenties gekoppeld worden aan safety voorbeelden. OT kan bijvoorbeeld onveilig zijn door slechte (digitale) toegangscontrole en als een gevolg daarvan potentieel letselschade veroorzaken.
Succesfactor. Het is van toegevoegde waarde om OT-security te koppelen aan de organisatiedoelen, omdat er anders mogelijk veiligheidsrisico’s ontstaan. Dit wordt door organisaties verschillend vormgegeven.
Praktijkvoorbeeld. OT-cybersecuritymaatregelen en audits worden bij sommige organisaties gekoppeld aan handelingen, gebruiken en maatregelen die vastgesteld zijn door de Health Safety Environment (HSE) Directive. Hierdoor werd OT-security onlosmakelijk verbonden en geïntegreerd in de bedrijfsvoerings- en beheersprocessen.
Praktijkvoorbeeld. Een organisatie gaf aan dat zij medewerkers actief betrekken bij de totstandkoming van de risicobeoordelingen uit de safety en security afdelingen. Ze gebruikten hiervoor onder andere de maandelijkse HSE briefings.
Investeringsbesluiten vanuit integraal risicomanagement.
De juiste investeringsbesluiten moeten worden afgezet tegen de doelen van een organisatie, bezien vanuit risicomanagement en BCM. Daarom is het belangrijk om cybersecurity in de huidige risicomanagementstructuren mee te nemen (integraal). Het gaat vaak om een afweging, een keuze, waar een investering te doen of te besluiten dit juist niet te doen. De noodzaak voor genoeg middelen om mensen op te leiden, expertise binnen te halen, de juiste systemen in te kopen, op tijd te kunnen onderhouden of vervangen en om continu de risico’s in kaart te kunnen brengen, is groot. Uit de interviews komt naar voren dat er een diversiteit bestaat in het niveau van bewustzijn en het beschikbaar maken van budget voor cybersecurity. Soms is de noodzaak geprioriteerd en speelt budget geen rol. In andere gevallen moeten de risico’s van cybersecurity tot in detail uitgewerkt worden om een deel van het al beperkte budget te ontvangen.
Succesfactor. Bewustwording van het belang en toegevoegde waarde van OT-security draagt bij aan investeringsbesluiten. Incidenten kunnen hiervoor in de communicatie en onderbouwing worden benut.
Succesfactor. Investeringsbehoeften uitvragen bij verschillende organisatielagen, bijvoorbeeld aan de operationele managers. Deze managementlaag is namelijk verantwoordelijk voor productie en staat dicht genoeg bij de werkzaamheden. Zo worden kosten beter ingeraamd en leidt dit tot afgewogen keuzes.
Communicatie over kansen en bedreigingen
Om cybersecurity mee te nemen in het risicomanagement van de organisatie, gaat het om de juiste communicatie van de OT-security kansen en bedreigingen. Steeds gedetailleerde of technische informatie communiceren draagt niet bij aan de bewustwording van het belang en mondt niet uit in investeringsbesluiten. Het is nodig om uitdagingen die gerelateerd zijn aan (OT-) security van context te voorzien, te duiden en vervolgens mogelijke oplossingen benoemen.
Context van cybersecurity kansen en bedreigingen.
Het is nodig om voor uitdagingen, oplossingen en maatregelen context te schetsen, deze te duiden en te plaatsten in lijn van de organisatiedoelen. Het is hier van belang het nut en de noodzaak in begrijpelijke taal te communiceren. Context is de context vanuit de organisatie, denk aan de organisatiedoelen en de interne processen. Context gaat daarnaast ook verder dan de eigen organisatie, denk aan de ontwikkelingen in de sector en de veranderende dreigingen.
Succesfactor. Communiceer altijd de context van OT-security in het grote geheel. Besef dat OT-security een deel is van de puzzel om de organisatiedoeleinden te verwezenlijken.
Succesfactor. OT(-security) lead moet zelf het belang en de toegevoegde waarde van OT-security bij het management op het netvlies zetten.
Uitval primaire proces inzichtelijk maken.
Het is belangrijk om de kans op een verstoring of uitval van het primaire proces door een cyberdreiging inzichtelijk maken aan het management. Zo kan een CISO bijvoorbeeld de rol duiden die OTsecurity kan spelen bij het voorkomen van aantasting of bij onderhoud van de kroonjuwelen of het primaire proces bij een betreffende C-level bestuurder. Als dit eenmaal bij het management bekend is, zorgt dit voor de omslag om OT-security mee te nemen in de (investerings)besluiten.
Succesfactor. OT-security dreigingen vertalen naar risico’s die het primaire proces (gedeeltelijk) verstoren, idealiter gebaseerd op kwantitatieve data (die niet altijd beschikbaar is).
Praktijkvoorbeeld. Een van de ondervraagde organisaties hanteerde een methode waarbij ‘kroonjuwelen’ werden geïdentificeerd. Deze werden vervolgens gecommuniceerd aan de verschillende C-level verantwoordelijken. Hiermee maakten zij de kwetsbaarheid en afhankelijkheden van deze ‘kroonjuwelen’ duidelijk voor de betreffende directieleden. De organisatie nam OT-security op in de analyse om daarmee te zorgen dat OT-security opgenomen werd in het pakket aan verantwoordelijkheden en beheersmaatregelen om de kroonjuwelen van het bedrijf te beschermen.
Continu risico’s monitoren en communiceren.
Het is belangrijk om na het identificeren van de risico’s voor OT, deze ook continu te monitoren en hierover te communiceren. Dit draagt bij aan het bewustzijn en kennisniveau van het management en zorgt ervoor dat zij beter op de hoogte is van de actuele OTsecurity risico’s. Zo blijven de geïdentificeerde kritieke (aandacht)punten onder de aandacht. Hierbij is het ook waardevol om dit breder in de organisatie te communiceren, zodat elke medewerker zich steeds bewuster wordt van de risico’s en van wat ze kunnen doen.
Praktijkvoorbeeld. Een van de respondenten heeft een visueel aantrekkelijk, toegankelijk en up-to-date maturity dashboard per asset uit het primaire proces (compliance, patches, back-up, downtime, uptime, aantal verouderde of niet bijgewerkte systemen) opgezet. Deze is voor de organisatie (onboarding en formalisatie van nieuwe medewerkers, rollen, aanwezige managers en specialisten) ontwikkeld. Hiermee is de organisatie in controle over de OT-security en kan hier binnen de hele organisatie over gecommuniceerd worden.