Centraal in deze blog staat de paradox van de vooruitgang. Industriële procestechnologieën maken onze voortdurende drang naar vooruitgang mogelijk, maar daarmee gepaard gaat de blootstelling aan cyberdreiging met de bijbehorende risico’s en business-impact. Deze staan voor de keerzijde van vooruitgang. Een toelichting.
Digitale transformatie binnen de context van industriële processen leidt herhaaldelijk tot vragen bij klanten: lopen ook wij het risico een target te zijn voor cyberaanvallers en kan wat gebeurde bij X ook bij ons gebeuren?
De aanleiding tot het stellen van deze vragen is psychologisch te verklaren. In tijden van verhoogde cyberdreiging en crisis zoeken mensen naar bevestiging van wat zij reeds vermoeden of weten. Het antwoord op beide vragen is volmondig ja.
Verantwoordelijk
Industriële bedrijven zijn binnen onze economie verantwoordelijk voor het produceren en verwerken van materiële goederen. Kritieke infrastructuren staan in voor de vitale productie en transport van energie waaronder elektriciteit, olie en gas; de productie en distributie van drinkwater; het vervoer van mensen en goederen over de weg, het water en via de lucht; de digitale communicatie; het elektronisch betalingsverkeer; en de zorgverlening in ziekenhuizen.
Reeds sinds de jaren tachtig van de vorige eeuw zetten deze industrieën volop in op het doorgedreven automatiseren van hun productieprocessen. Flexibel, efficiënt en kwalitatief produceren van halffabricaten en eindproducten zijn meer dan ooit de standaard. Normatieve kaders en regelgevingen leiden tot het noodzakelijk creëren, toepassen, bijsturen en monitoren van meetbare criteria. Produceren volgens deze maatstaven heeft voor producenten een directe impact op hun bedrijfsresultaten, hun concurrentiële positie, de sociaaleconomische perceptie die anderen over hen hebben en op hun ecologische voetafdruk. Doorgedreven industriële procesautomatisering en digitale transformatie zijn absolute voorwaarden voor succes. Over welk nummer van digitale transformatie (2.0, 3.0, 4.0, …) het ook mag gaan, dit laten wij in deze blog even buiten beschouwing.
Digitale transformatie wordt gedreven door belangrijke innovaties waaronder artificiële intelligentie, business intelligence, de alom gaande beweging naar decentrale procesintelligentie en connectiviteit gericht op meer-met-alles verbinden. Paradoxaal genoeg introduceert digitale transformatie meer dan ooit onze grootschalig kwetsbaarheid voor cyberterrorisme.
De Europese ‘nis’-richtlijn, ofwel nis-directive (d
De Belgische wetgeving voorziet dat per sector, zie eerder opgesomd in deze blog, een sectorale overheid dient aangeduid te worden die bepaalt welke individuele organisaties dienen te voldoen aan de nis-wetgeving. Laten wij in wat volgt even inzoomen op de drinkwatersector en de gezondheidszorg.
Drinkwater en gezondheid
Voor de productie en distributie van drinkwater werd tot op vandaag nog geen wettelijke verplichting opgelegd. Paradoxaal is het wel zo dat bedrijven in deze sector wel degelijk maatschappelijke hoofdspelers zijn in het leveren van essentiële diensten. Dat wil zeggen de productie en distributie van levensnoodzakelijk drinkwater. De vraag die wij ons hier terecht mogen en kunnen stellen is ‘Behoren deze bedrijven dan niet tot kritische infrastructuren?’. Vanzelfsprekend wel! Voor de drinkwatersector is er tot op heden nog geen sectorale overheid aangesteld. Van zodra deze sectorale overheid bij Koninklijk besluit is vastgelegd kan deze de individuele drinkwatermaatschappijen aanduiden als essentiële dienstverleners.
Orange Cyberdefense is onder meer actief binnen Farys, één van de Vlaamse drinkwaterintercommunales. Om dit bedrijf te helpen voldoen aan de nis-wetgeving, heeft Orange Cyberdefense in eerste instantie in opdracht van Farys alle detailprocessen en assets in kaart gebracht. De volgende stap is het uitvoeren van een risicoanalyse. Dit vergt tijd, het gaat immers over zowel infrastructuur als applicaties, over processen en alle betrokkenen.
De mogelijkheid hebben om vanuit een holistisch perspectief deze risicoanalyse uit te voeren is een absolute succesfactor. Denk maar aan de verschillende stappen bij de kwaliteitscontrole van drinkwater: nemen van stalen, de frequentie waarmee stalen worden genomen, applicaties die hiervoor ingezet worden, ruwe data en het creëren van informatie, et cetera.
Vanuit deze risicoanalyse kunnen drinkwatermaatschappijen noodzakelijke maatregelen nemen en oplossingen uitrollen. Het biedt hen een zicht op zowel risico’s als op valkuilen en laat hen toe om aan risicomanagement te doen.
Binnen de gezondheidszorg kunnen wij ons een identieke vraag stellen: behoren ziekenhuizen dan niet tot kritische infrastructuren? Andermaal luidt het antwoord: vanzelfsprekend wel. De FOD Volksgezondheid, de sectorale overheid in dit geval, nam nog geen beslissing om ziekenhuizen als kritieke infrastructuur te benoemen. In tijden van Covid-19 is het nog duidelijker dan voorheen dat ziekenhuizen cruciaal zijn voor een natie en haar integrale bevolking. Paradoxaal zegt de Belgische wetgeving dat ziekenhuizen wel degelijk onder kritische infrastructuren vallen. Begrijpen wie begrijpen kan. Bekeken vanuit het perspectief van cybersecurity dienen wij ons hier allen ernstige vragen over te stellen.
Tot slot
Binnen de context van de nis-regelgeving en de cyberparaatheid van industriële bedrijven met een belangrijk deel ‘ot’, dient een absolute focus gelegd te worden op cybersecurity.
Een storing als gevolg van een cyberaanval kan immers zware gevolgen hebben op het functioneren van ons land, de organisaties en burgers die er deel van uitmaken. Dit is helemaal geen fictie. Kijk maar wat er vandaag in deze coronacrisis gebeurt: hackers vallen wereldwijd nutsbedrijven en zorginstellingen aan.
Meer dan ooit staan wij hierbij stil en dienen wij verantwoord de juiste cybersecuritybeslissingen te nemen. Zowel op technologisch vlak, procesmatig als gericht op de mens binnen de organisatie.
