Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
Date Trend snippet:
21 May 2021
Relevance date:
2019
Type of Treath or Oppertunity
Domain of application
Source of threat
- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: As protection of the public is a governments social responsibility, it should assist vital infrastructure companies in securing IACS
Trends in Security
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
As protection of the public is a governments social responsibility, it should assist vital infrastructure companies in securing IACS
Cyberattacks to Industrial Automation Control Systems (IACS) in vital infrastructure could lead to large incidents and consequences. Therefore, the government should keep an eye on organisations in the vital sector. Involved sectors believe it is important to show to the public that they are secured and safe out of their social responsibility.
More source info
Tot op het moment van het schrijven van dit rapport zijn er bij de organisaties in de vitale
sectoren (energie-, gas-, water-, distributie- en waterkeringen etc. ) binnen Nederland en
West-Europa geen grote IACS (Industrial Automation Control Systems) problemen geweest
als gevolg van een cyber aanval. Buiten de vitale sectoren en buiten West-Europa zijn er wel
diverse voorbeelden bekend van uitval van IACS-systemen en de daaraan gekoppelde
productiemiddelen.
Een cyber aanval op IACS-systemen kan leiden tot incidenten met grote impact. Daarom is
het noodzakelijk dat de overheid toeziet op de (IACS) veiligheid binnen de vitale sectoren.
De overheid heeft behalve een controlerende taak, ook een informatie verschaffende taak,
ook als het gaat over het risico van aanvallen door statelijke actoren.
Voor de selectie van de sectoren die deel uitmaken van de vitale infrastructuur in scope van
dit onderzoek is in overleg met de opdrachtgever (Cyber Security Raad) gebruik gemaakt
van de indeling die de NCTV heeft opgesteld1. Aangezien de focus van het voorliggend
onderzoek is gericht op IACS-systemen zijn de sectoren waarbij IACS-systemen een
bovengemiddeld belang heeft ook meegenomen.
Uit het voorliggend onderzoek blijkt dat de vitale sectoren de mogelijke IACS (legacy)
gerelateerde problemen in kaart hebben gebracht en maatregelen hebben genomen om
eventuele risico’s zoveel als mogelijk te mitigeren. Dit betekent niet dat er niets meer hoeft te
gebeuren: Nog niet alle organisaties binnen de vitale sectoren zijn klaar met het uitvoeren
van geplande verbeterinitiatieven. Binnen de organisaties in de vitale sectoren zijn de
strategische lijnen uitgezet en geven CISO’s (of equivalent daarvan) aan dat er voldoende
budget beschikbaar wordt gesteld om risico’s te mitigeren. Uit het onderzoek blijkt ook dat
het (internationaal) oefenen en voorbereiden op aanvallen belangrijk blijft.
Ondanks dat er nog geen IACS-incidenten zijn geweest met grote impact, betekent dit niet
dat er geen knelpunten zijn of dat nieuwe maatregelen niet nuttig of nodig zijn. De
belangrijkste knelpunten en verbetermogelijkheden zoals deze naar voren zijn gekomen in
het voorliggend onderzoek betreffen:
- Het verbeteren van de samenwerking binnen elk van de sectoren: Dit kan door
het gezamenlijk (evt. met of zonder de toezichthouder) opstellen van een sectorspecifiek
IACS beveiligingsraamwerk, het stimuleren en faciliteren van ISAC’s
(Information Sharing and Analysis Centres) en het gezamenlijk oefenen van sectorspecifieke
IACS aanvalscenario’s, zowel nationaal alsook internationaal.
- Het verbeteren van informatie-uitwisseling: Als een (beperkt) aantal
beveiligingsmedewerker(s) binnen de bedrijven in de vitale sectoren over voldoende
security clearance beschikt, is het eenvoudiger (voor bv. de AIVD) om vertrouwelijke
informatie over dreigingen te delen.
- Het toepassen van standaardcontractclausules: Niet alle huidige IACS contracten
(binnen de vitale sectoren) bevatten voldoende mogelijkheden om de leverancier (en
de onderaannemers) te verplichten om langere tijd te zorgen voor veilige IACSsystemen.
- Het mogelijk maken van uitzonderingen bij aanbestedingen: Het is nu niet
mogelijk om enkel en alleen op basis van een advies minister van Justitie en
Veiligheid een partij uit te sluiten voor een aanbesteding. Onderzoek of dit kan
worden opgelost door een uitzonderingsbepaling te maken voor de vitale sectoren.
Ondanks dat de vitale sectoren in Nederland al heel veel goed doen (landelijke langdurige
uitval van gas, elektra of water is nog niet voorgekomen) is het zeker mogelijk om te leren
van andere landen en sectoren. De geïnterviewde organisaties geven aan dat zij het
belangrijk vinden om ook richting de maatschappij aan te tonen dat ze veilig zijn. Ook een
extra steun vanuit de overheid om scenario’s te testen (sector-specifiek) zou door alle
organisaties als nuttig ervaren worden. Organisaties die met grens-overstijgende netwerken
te maken hebben (elektriciteit, gas en water) geven tevens aan het nuttig te vinden steun te
hebben bij het opzetten van internationale scenario’s en tests.
Aanvallen door statelijke actoren met een vrijwel onbeperkt budget zijn niet of zeer moeilijk
tegen te houden. Hierbij kan het nuttig zijn als de toezichthouder aangeeft dat tot niveau 4
(terroristen) er preventieve of reactieve maatregelen moeten zijn, maar dat bij niveau 5
(statelijke actoren) voor een aantal sectoren het voldoende is te focussen op snel herstel.
Uiteraard is dit niet het geval als een verstoring direct al grote consequenties heeft (falende
veiligheidssystemen bij een kerncentrale), maar (heel incidenteel) een korte verstoring van
elektriciteit zou geaccepteerd kunnen worden als de maatregelen ter voorkoming hiervan te
duur worden.
Source:
Report
Onderzoek Cybersecurity voor Industrial Automation en Control Systems (IACS)
Cyber Security
Date published
30 April 2020
