Samen Digitaal Veilig is een initiatief van MKB-Nederland en VNO-NCW

Veilig samenwerken
in de keten

Interview KPMG: ‘Integreer veiligheid vanaf het allereerste begin in je bedrijfsvoering’

Ronald Heil KPMG

De wereld van Operationele Technologie (OT) verandert in hoog tempo en raakt steeds meer verweven met IT. Strengere richtlijnen, zoals NIS2, dwingen zelfs kleinere bedrijven hun OT-omgevingen beter te beschermen. Cybersecurity-redacteur Jan Meijroos praat met Ronald Heil van KPMG over hoe organisaties zich wapenen tegen deze nieuwe uitdagingen.

Ronald Heil, partner bij KPMG Cyber & TechLaw, is sinds 2009 betrokken bij (wereldwijde) operationele technologieprojecten. Zijn werk begon in de olie- en gasindustrie, later uitgebreid naar energie, kritieke infrastructuren en vervolgens naar de maak- en voedselindustrie. Tegenwoordig bestrijkt zijn werk bijna alle sectoren waar operationele technologie (OT) een rol speelt. In tegenstelling tot informatietechnologie (IT), dat zich richt op digitale systemen, stuurt OT fysieke processen aan. Ronald en zijn team helpen klanten om inzicht te krijgen in hun omgeving en bedreigingen, en zorgen ervoor dat zij hun systemen kunnen beschermen, aanvallen kunnen detecteren en adequaat reageren om veilig te blijven.

Met de invoering van de NIS2 richtlijn (Network and Information Security Directive 2) gelden strengere eisen en een breder toepassingsgebied dan onder de oorspronkelijke NIS richtlijn. Voor bedrijven, inclusief kleine en middelgrote ondernemingen (mkb) in de kritieke infrastructuur en toeleveringsketens, betekent dit dat zij hogere beveiligingsstandaarden moeten hanteren en hun digitale en operationele technologieën (OT) beter moeten beschermen tegen cyberdreigingen. De NIS2 richtlijn heeft zo een directe impact op hoe organisaties hun OT-omgevingen beheren en beveiligen.

Hoe kijk jij naar de veranderingen in de OT-wereld?
Ronald: ‘De wereld van OT verandert snel. Vroeger stond OT, zoals productieomgevingen en infrastructuur, los van IT-systemen. Nu zijn er steeds meer verbindingen tussen OT en IT en speelt OT een kritiekere rol in ons dagelijks leven. Daarnaast zorgen geopolitieke spanningen ervoor dat de OT-systemen in de kritieke infrastructuur meer gevaar lopen. Met de komst van strenge regelgeving zoals de NIS2 richtlijn, moet de hele toeleveringsketen, waaronder ook kleinere bedrijven– zo’n slordige 90.000 – gaan nadenken over de veiligheid van hun OT-systemen, wat eerder geen prioriteit had en dus vaak bewust of onbewust werd vergeten.’

Kun je in een paar zinnen uitleggen wat het verschil is tussen IT en OT?
Ronald: ‘IT gaat over digitale systemen, in de simpelste vorm dingen als e-mails en kantoorsoftware. OT daarentegen regelt fysieke processen, zoals de temperatuur van ovens, liften of bijvoorbeeld de snelheid van transportbanden. IT richt zich op data en informatie, terwijl OT fysieke acties uitvoert die directe impact hebben op onze fysieke maatschappij.’

Hoe zit het met oude systemen (legacy) in OT-omgevingen?
Ronald: ‘OT-systemen zijn vaak ontworpen om tientallen jaren mee te gaan, in tegenstelling tot IT-systemen die elke paar jaar (kunnen) worden vervangen. Veel bedrijven hebben verouderde OT-systemen die nog prima werken, maar die niet altijd goed beveiligd zijn of niet meer worden ondersteund door de leverancier. Door de koppeling van IT en OT (IT-OT convergence) ontstaan nieuwe risico’s, omdat niet alle verbindingen in kaart zijn gebracht of beveiligd. Vooral voor mkb’ers zijn de kosten en complexiteit van het beveiligen van de oudere omgevingen een grote uitdaging, terwijl ze juist ook willen (of moeten) meegaan met de digitalisering.’

Wat zijn de uitdagingen voor OT-beveiliging voor deze mkb-bedrijven?
Ronald: ‘Grote bedrijven, zoals in de olie- en gasindustrie, zijn in principe al jarenlang bezig met OT-beveiliging. Voor kleinere en middelgrote bedrijven, zoals bijvoorbeeld een garage of een kleine fabriek met een paar machines, zijn de NIS2-eisen nieuw en ingewikkeld. Denk aan het patchen van systemen of het begrijpen van beveiligingsrichtlijnen. Vaak zijn deze ondernemingen afhankelijk van leveranciers voor hun IT- en OT-voorzieningen, maar die bieden niet altijd betaalbare oplossingen. Nieuwe apparatuur aanschaffen is vaak te duur en voor veel mkb’ers simpelweg niet haalbaar.’

En daar komen de uitdagingen rondom legacy-systemen en beveiliging nog bovenop?
Ronald: ‘Klopt; Legacy OT-systemen hadden vroeger niet eens een antivirus. Pas sinds enkele jaren is er betere cyberbeveiliging beschikbaar in OT, maar de vooruitgang is traag. In IT draaien systemen al jaren op meer geavanceerde oplossingen, maar bij OT is dat lastiger door de strenge eisen dat OT-systemen, zoals die van bruggen, altijd correct en veilig moeten blijven functioneren. Grote bedrijven kunnen leveranciers dwingen om betere cyberbeveiliging te bieden, maar mkb’ers moeten vaak roeien met de riemen die ze hebben.’

Er zijn mensen die zeggen dat IT- en OT-systemen gescheiden moeten blijven om cyberincidenten te voorkomen. Kan dat nog wel in de huidige tijd?

Ronald: ‘IT-OT-convergence was een paar jaar geleden een hype waarbij men de kracht van IT (en data) naar OT wilde brengen, en vice versa. IT-mensen zijn agile, snel en volgen de technologie. OT is langzaam, maar gedegen en altijd veilig en beschikbaar. Beiden kunnen van elkaar leren. En als je ze bij elkaar brengt, krijg je snellere, flexibelere omgevingen.’

‘Maar door regelgeving zoals de NIS2 richtlijn zie je nu dat we eigenlijk weer terug moeten naar een duidelijkere scheiding tussen IT en OT. De beste manier om de NIS2 richtlijn goed toe te passen, is een zorgvuldig ontworpen scheiding aanbrengen tussen beide werelden. Sommige klanten noemen het zelfs “One Technology”, omdat het voor hen niet meer uitmaakt of het nu IT of OT is. Het gaat om de productie en de technologie als geheel. Maar de regelgeving dwingt ons om weer onderscheid te maken tussen IT en OT, wat een paradox oplevert.’

Hoe navigeert KPMG door deze paradox?
Ronald: ‘We starten door terug te gaan naar de feitelijke basis met de vraag: wat wil je eigenlijk bereiken? Niet alles hoeft altijd volledig geïntegreerd te worden. Daar waar koppelingen wel noodzakelijk zijn, beveiligen we deze door “conduits en zones” aanpak van IEC-62443 (de normering voor de OT-omgevingen). Soms, vaak bij kritieke infrastructuur, kan dit ook betekenen dat er gebruik moeten worden gemaakt van “bewezen” eenrichtingsverkeer met bijvoorbeeld data diodes: OT mag naar IT sturen, maar niet andersom.’

Hoe zorgt KPMG voor cyberbeveiliging in de hele toeleveringsketen?
Ronald: ‘Bij KPMG ondersteunen we bedrijven bij het navigeren door de complexiteit van hun leveranciers- en afnemersketens. Volgens de NIS2 eisen moeten organisaties niet alleen hun eigen cyberveiligheid waarborgen, maar ook die van hun toeleveranciers, inclusief kleinere partijen. Veel klanten onderschatten de risico’s (of zijn geheel niet op de hoogte) van de keten en hun rol daarin. Wij helpen hen om deze afhankelijkheden te identificeren en een volledig beeld te krijgen van alle schakels in hun keten. Mooi voorbeeld is dat bedrijven aan de slag gaan met zonnepanelen op hun distributiecentra maar daarmee ook (vaak onbewust) een ketenverbinding krijgen met de energieketen.’

Samen Digitaal Veilig heeft het NIS2 Quality Mark in licentie. Hoe kijk jij daar tegenaan?

Ronald: ‘Het goede van het NIS2 Quality Mark is, dat het is opgezet voor kleine mkb’ers waarvoor andere certificeringen zoals ISO vaak veel te zwaar zijn. Dit keurmerk geeft hen de mogelijkheid om aan de keten te laten zien dat ze in ieder geval bezig zijn met hun cyberbeveiliging. Ze laten bijvoorbeeld zien dat ze hun back-ups op orde hebben, hun updates draaien en een continuïteitsbeheerplan hebben. Het doel is dat ze op deze manier kunnen blijven samenwerken en bijdragen aan de beveiliging van de gehele keten. Wat natuurlijk belangrijk is.’

Hoe kijk jij tegen het getrapte model van cyberbeveiliging aan van het NIS2 Quality Mark, specifiek in relatie tot OT-security?

Ronald: ‘Vanuit technisch perspectief zou je eigenlijk alles zo goed als mogelijk willen beveiligen. Maar je kunt niet alles doen, zeker niet als kleinere leverancier. Je moet daarom de risico’s prioriteren en beveiligingsmaatregelen nemen waar het meest nodig is. Voor kleinere bedrijven is het niet proportioneel om aan alle zware eisen te voldoen, zowel qua tijd, geld, als energie. Daarom geeft een lichtere standaard en de drie niveaus (10 – basic, 20 – substantial en 30 – high – red.) zoals bij het NIS2 Quality Mark een realistischere aanpak voor mkb-bedrijven. De basic en substantial niveaus bieden een minimale set van controles waarmee deze bedrijven een flinke stap kunnen zetten.’

‘Het mooie is dat er ook een groeipad in zit. Bedrijven kunnen vanaf het basic niveau doorgroeien naar substantial en high, wat hen competitief voordeel kan opleveren. Het laat zien dat ze serieus bezig zijn met cyberbeveiliging en dat ze op weg zijn naar een hoger niveau van volwassenheid. Toch moeten we ons wel realiseren dat dit soort initiatieven de wereld maar een beetje veiliger maakt. Het is een goed begin, maar de (fysieke) maatschappij heeft eigenlijk een onderhoudsachterstand van 10 tot 20 jaar op het gebied van cyberbeveiliging en daarmee weerbaarheid in de brede zin.’

Wat is de impact van onderhoudsachterstand op de toeleveringsketen?
Ronald: ‘Onderhoudsachterstand kan de toeleveringsketen ernstig verzwakken doordat het de infrastructuur minder veerkrachtig maakt tegen dreigingen en verstoringen. De keten is al kwetsbaar door complexe afhankelijkheden en geopolitieke risico’s, zoals conflicten met Rusland, Noord-Korea of China. Een niet-robuuste infrastructuur verhoogt het risico op storingen en maakt de keten minder weerbaar tegen cyberaanvallen of fysieke dreigingen. Hoewel initiatieven zoals het NIS2 Quality Mark belangrijke stappen in de goede richting zijn, vormen ze slechts het begin. Het daadwerkelijk versterken van de infrastructuur en het wegwerken van de onderhoudsachterstand vergen een gezamenlijke en proactieve inspanning van alle schakels in de keten. Ook een verdere publieke en private samenwerking.’

Vind jij dan dat alle bedrijven uiteindelijk naar het hoogste beveiligingsniveau zouden moeten gaan?

Ronald: ‘Ja, ik ben ervan overtuigd dat alle bedrijven uiteindelijk moeten streven naar het hoogste beveiligingsniveau, ongeacht hun grootte. Zelfs (of juist) de kleinste schakels in de toeleveringsketen kunnen aanzienlijke risico’s vormen voor de hele keten. Start-ups en scale-ups focussen vaak op snelle groei, waardoor cyberbeveiliging soms naar de achtergrond verdwijnt. Ons advies is om veiligheid vanaf het allereerste begin te integreren in de bedrijfsvoering. Door beveiliging als fundament te nemen, kunnen bedrijven toekomstige problemen voorkomen en zonder legacy-issues doorgroeien. Dit zorgt niet alleen voor een stevigere positie in de markt, maar versterkt ook het vertrouwen van klanten en partners.’

Is er een concreet voorbeeld van een bedrijf dat dit goed heeft aangepakt?

Ronald: ‘Ja, bijvoorbeeld in de financiële wereld waar nieuwe FinTechs opkomen die vanaf het begin compliance en cybersecurity zeer efficiënt en effectief meenemen. Daarmee zijn ze snelle, adaptieve en kosteneffectieve concurrenten van bestaande financiële instellingen. Er zijn ook voorbeelden waar FinTechs in hele korte tijd hun Europese banklicentie verkregen, omdat ze vanaf de start aan alle vereisten voldeden. Dit laat zien dat als je cyberbeveiliging en compliancy vanaf het begin serieus neemt, je later veel sneller kunt groeien.’

Bestaan er specifieke normen voor cyberbeveiliging in OT?

Ronald: ‘Ja, bijvoorbeeld IEC 62443 is een belangrijke internationale norm voor OT-security. Het werkt met zones en paden, waarmee je omgevingen in blokken verdeelt – bijvoorbeeld IT, productie, en magazijnen – en cyberbeveiliging per blok kunt inrichten (afgestemd naar het risicoprofiel). Zo kun je gericht beveiligingsmaatregelen toepassen en voldoe je aan de NIS2 richtlijn.’

‘Een voordeel van zonering volgens IEC 62443 is dat het melden van cybersecurity incidenten kan vereenvoudigen. Als er bijvoorbeeld een incident plaatsvindt in een koffieautomaat die in een aparte zone zit (met alle andere voor productie niet relevante systemen), hoef je dit niet te rapporteren als een productiestoring. Zit alles echter in één netwerk – wat we een “platte pannenkoek” noemen – dan moet je bij een inbreuk ervan uitgaan dat het hele netwerk geraakt is en dus hiervan zo snel mogelijk de NIS2 keten op de hoogte brengen. Een slimme indeling van het netwerk kan dus risico’s beperken.’

Zijn er nog andere OT-standaarden naast IEC 62443?
Ronald: ‘Ja, er zijn inderdaad vanzelfsprekend andere OT-standaarden naast IEC 62443. In de Verenigde Staten is er bijvoorbeeld het Cybersecurity Capability Maturity Model (C2M2), dat vooral eerst in de energiesector werd toegepast maar meer en meer internationaal en cross sector toegepast. Het laat weinig tot geen uitzonderingen toe, wat het strenger (en duidelijker) maakt dan sommige andere normen/frameworks. Natuurlijk ook nog het oudere Purdue-model, een referentie-architectuur dat helpt bij het segmenteren van industriële controle- en automatiseringssystemen. Ook zijn er de (oudere) standaarden ISA 95 en de voormalige ISA 99. ISA 99 is uiteindelijk geïntegreerd in IEC 62443 zou je kunnen zeggen, maar ISA 95 blijft nog steeds relevant voor het definiëren van duidelijke lijnen/interfaces tussen bedrijfs- en productieprocessen.’

‘Door IEC 62443 te implementeren, kunnen bedrijven hun “platte pannenkoek””-netwerken—waarbij alle systemen in één groot, verbonden netwerk zitten—transformeren naar goed gesegmenteerde netwerken met bijbehorende veiligheidsniveaus. Ik vergelijk dit graag met “poffertjes”: kleine, afgebakende netwerksegmenten die niet direct met elkaar verbonden zijn t.o.v. één grote pannenkoek. Dit verhoogt de beveiliging aanzienlijk, omdat een eventuele aanval zich niet eenvoudig door het hele netwerk kan verspreiden en je kunt de beveiligingsmaatregelen echt koppelen aan het risiconiveau per zone.’

Wat zijn de belangrijkste stappen die kleine en middelgrote bedrijven kunnen nemen om hun OT-omgeving beter te beveiligen?

Ronald: ‘Kleine en middelgrote bedrijven kunnen hun OT-omgeving beter beveiligen door met een aantal belangrijke stappen te beginnen. Ten eerste is inzicht essentieel: begrijp je eigen rol en de afhankelijkheden binnen de toeleveringsketen, vooral als je onderdeel bent van een NIS2 scope (inclusief kritieke infrastructuren). Bepaal of je de gehele organisatie wilt laten voldoen aan de compliance-eisen of dat je je richt op specifieke onderdelen. Als je kiest voor gedeeltelijke compliance, zorg dan voor duidelijke netwerksegmentatie om nog steeds aan de vereisten te kunnen voldoen en om risico’s te minimaliseren.’

‘Daarnaast zijn basisbeveiligingsmaatregelen cruciaal. Deze zijn vaak niet ingewikkeld maar worden soms over het hoofd gezien. Denk aan regelmatig onderhoud, updates en het monitoren van systemen. Het is ook belangrijk om governance en bewustzijn binnen de organisatie op orde te hebben, zodat je effectief kunt reageren op incidenten die de productie kunnen verstoren. En een geoefend mens telt voor twee.’

‘Ten slotte is transparantie over beveiligingsincidenten van groot belang. Door openheid te geven over kwetsbaarheden en deze te rapporteren, kunnen bedrijven van elkaar leren en gezamenlijk de beveiliging in de hele keten versterken. Dit draagt niet alleen bij aan een veiligere omgeving, maar verbetert ook onze concurrentiepositie ten opzichte van andere regio’s buiten de EU. Samen kunnen we bouwen aan een weerbaardere en veiligere industrie.’

Wat hebben NIS2 en DORA met elkaar te maken?
Legian: ‘Je draait je voordeur ook automatisch op slot. Cybersecurity moet net zo vanzelfsprekend zijn’
Interview Secura: ‘Wetgeving zoals NIS2 maakt duidelijk dat stilstand geen optie is’
‘Beursgenoteerde bedrijven proberen hacks vaak stil te houden. Maar ik wil dat het taboe doorbroken wordt’
Ontvangers subsidie Versterking Cyberweerbaarheid 2024 bekend