‘Je bént al gehackt’

Of je bent er nog niet achter dat je bent gehackt. Voor industriële bedrijven die afhankelijk zijn van automatisering, robotisering en data voor hun primaire proces moet het idee al een ramp zijn. Hoe voorkomt KPN ICT Consulting zulke nachtmerries?

Onbeveiligde netwerken

Een chemisch bedrijf maakt grondstoffen voor eindproducten bij verschillende klanten. De kwaliteit van deze grondstoffen – waarbij elke afnemer andere eisen stelt – mag niet van vastgestelde normen afwijken. Monitoring gebeurt door een combinatie van PLC’s, meetapparatuur, het control system en de controlekamer. Zo wordt bij elke stap in het productieproces exact gemeten wat de output is. Safety krijgt binnen het bedrijf zeer veel aandacht, maar hoe zit het met security? Als de consultants van KPN ICT Consulting het systeem onder de loep nemen, komen ze direct een aantal zaken tegen. Zo lopen de data over onbeveiligde verbindingen en draait de kantoorautomatisering op hetzelfde fysieke netwerk als het productiesysteem. Daarmee maken ze het potentiële hackers wel héél erg makkelijk – een worm in een mail naar een HR-medewerker kan al genoeg zijn. Het securityteam, een mix van mensen met uiteenlopende, technische en niet-technische achtergronden, brengt alle risico’s in kaart. De managers hebben misschien een paar nachten wakker gelegen van de conclusies, maar ze gaan aan de slag. Met het beschermen van de verbindingen, het segmenteren van het netwerk en gefaseerd met de overige aanbevelingen. Zelfs nog vóórdat het eindrapport er is – een kwetsbaarheid in één van de netwerkcomponenten wordt meteen gepatcht.

Phishing-campagnes

“De allerbeste manier om een systeem veilig te maken, is de stekker eruit trekken”, zegt Marcel van Leent, Lead Consultant Security. Dat is doorgaans geen optie, dus hoe dan wel? Hoe pakt KPN ICT Consulting zoiets aan? “Security is een businessvraag en omdat elk bedrijf anders is, gaan wij nooit uit van een standaard risicoprofiel. Wel hanteren we een standaard aanpak. Die begint met te definiëren wat de ‘kroonjuwelen’ van een bedrijf zijn. Van intellectueel eigendom tot klantgegevens, wat slaat de bodem onder een bedrijf vandaan als er iets mee gebeurt? We brengen de risico’s voor deze assets in kaart. Vervolgens kijken we naar drie soorten maatregelen. Governance, bepaal de afspraken en regels. Techniek, implementeer preventieve én detectieve oplossingen. Segmenteren, lagen aanbrengen, zelflerende systemen; maak er een hindernisbaan van en monitor alles. En last but not least, de socio-technische kant: zorg voor bewustzijn en alertheid. Ik heb ooit een keer een firewall gezien met de instelling ‘accept all’. Dan kun je dus net zo goed geen firewall hebben, al weet ik niet of ze gewoon vergeten waren om de boel dicht te zetten of dat er sprake was van gemakzucht. Al dan niet samen met KPN Security Services pakken we ook dat aspect aan. We geven bewustzijnstrainingen en doen onderzoek in organisaties, bijvoorbeeld met gefingeerde phishing-campagnes. We leren medewerkers om alert te zijn op de geniepige manieren waarop kwaadwillenden te werk gaan. Security is echt een combinatie van techniek en gedrag, waarbij je nooit kunt zeggen dat je het onder controle hebt, maar altijd scherp moet blijven.”

Marcel is nog regelmatig bij de chemieproducent te vinden. “Het is een fascinerend bedrijf waar ik graag een goede relatie mee onderhoud en tijdens bezoeken nemen we meteen de nieuwste ontwikkelingen door. Ik vind het mooi om te zien dat mijn werk zulke concrete resultaten heeft.”