De tweede sectorsessie die we dit jaar organiseerden jaar vond plaats op 11 mei. Dit keer hadden we als thema Cyber & Industrie. Dit is het eerste deel van het verslag dat we van de sessie optekenden.
Aanwezig waren:
- Jan van Goolen, recent gepensioneerd manager met ruime ervaring in de automatisering bij Huntsman, een petrochemisch bedrijf in de Botlek
- Arie Verhoeven, directeur VMB Automation, Hendrik-Ido Ambacht, een organisatie die zich bezighoudt met ontwerp en realisatie van hard- en software voor de besturingstechniek
- Ricardo de Jongh, teamleider van het ICT Operations team bij Monta, een e-fulfilmentbedrijf in Gorinchem
- Eelco van Harten, innovatiemanager bij FocusOn, een joint venture tussen Krohne en Samson die is gespecialiseerd in het maken van procesinstrumentatie
- Jacob van der Vis, cyber- en securityexpert bij de Kamer van Koophandel
Namens CND namen Wico van Helden en Pieter Kroon deel aan het gesprek. Edwin van der Lee was als vanouds verantwoordelijk voor de techniek.
Simulatie van een hack-aanval
Ook dit keer trappen we af met een voorstelrondje zodat we van elkaar weten met wie we aan tafel zitten en starten we het gesprek aan de hand van een open vraag.
Zijn er deelnemers aan het gesprek die direct al iets willen delen van een tip of een ervaring waar anderen direct hun voordeel mee kunnen doen?
Ricardo geeft aan dat ze bij Monta recentelijk een simulatie hebben gedaan van een hack-aanval. Hiervoor hebben ze een script geformuleerd en zijn ze erin gegaan vanuit de gedachte “eens kijken hoe iedereen gaat reageren”. Zij vroegen zich af of je vooraf situaties kunt bedenken waardoor je tijd kunt winnen als de situatie zich onverhoopt een keer echt voordoet. Denk bijvoorbeeld aan de vraag: “Gaan we wel of niet betalen? Van welke factoren is dit afhankelijk?”
Het voordeel van zo’n simulatie is dat je heel veel kunt doen in korte tijd zonder dat je de sensatie -en wellicht ook paniek- hebt van een echte aanval. Maar je hebt wel de sensatie van de druk die ontstaat omdat je in korte tijd heel veel moet regelen. Het gevoel van urgentie laat zich dus wel simuleren.
Monta doet daarnaast maandelijks een interne phishing test om het bewustzijn te vergroten onder de werknemers en regelmatig usb-drops en reguliere pentests.
Voor de simulatie zijn ze uitgegaan van de scenario’s van de inmiddels bekende voorbeelden van de Universiteit van Maastricht en Maersk. Zo werd er gesimuleerd dat bepaalde servers of clusters niet meer benaderbaar zouden zijn. De eerste vraag die je je daarbij stelt is: “Hoe weten we dat het om een cyberaanval gaat?”
Leerpunten
Belangrijkste leerpunt uit de simulatie: “Je weet eigenlijk nooit hoe het precies loopt”. Het blijkt in de praktijk heel moeilijk om de processen te synchroniseren. De volgende keer dat er weer een simulatietest wordt gedaan zal dat meer in een soort spelvorm zijn waarbij een spelleider de regie kan nemen en de tijden en stappen in het proces kan synchroniseren en vragen centraal kan beantwoorden. Een beetje zoals dit in een rollenspel zoals Dungeons and Dragons gebeurt.
Ook het stroomlijnen van de verschillende communicatiestromen is als belangrijk leerpunt uit de test gekomen. Denk aan communicatie met intern management, maar ook “wanneer gaan we extern communiceren? En met wie? (De pers, de klanten enz.)
Hoe lang duurt het om een back-up terug te zetten?
Een vraag die tijdens de simulatie ook boven water kwam. Evenals de vraag, kunnen we wellicht zaken compartimenteren zodat de restoretijd (terugzettijd) wellicht kan worden ingekort?
Jan geeft aan dat er vanuit het bedrijf waarvoor hij werkzaam was heel sterk werd gewerkt vanuit scenario’s en draaiboeken. Wie wordt wanneer geïnformeerd en hoe verloopt de communicatie. Dit werd jaarlijks getest om te kijken of alle lijnen goed zijn. In een 24-7 organisatie telt letterlijk elke minuut. Alle namen, nummers enz. liggen vast in een draaiboek. Dit zou in een ISO-certificering geborgd moeten zijn. Als je een kleinere organisatie hebt dan is het verstandig om hierbij de hulp in te roepen van partijen die hierin gespecialiseerd zijn. Ricardo geeft aan dat Monta inderdaad bezig is met ISO 27001 (Informatiebeveiliging).
Ook al betaal je de hacker, dan nog steeds heb je een datalek.
Dus ook op het terrein van informatiebeveiliging valt binnen de meeste bedrijven nog veel winst te behalen. De hacker beschikt in veel gevallen immers over de data van jouw klanten. Je ontkomt er niet aan om meer zaken m.b.t. databeveiliging vast te leggen. Zoals gezegd, daar kan een ISO-certificering prima bij helpen. Monta heeft een tijdlang zelf een ethical hacker in dienst gehad waarvan ze heel veel hebben kunnen leren, zoals wat kun je van tevoren al doen om de risico’s zoveel mogelijk te beperken. Een ander leerpunt is, dat je ook zult moeten bedenken hoeveel tijd je kwijt bent voordat je bepaalde kritische apparatuur hebt vervangen. Wat leg je zelf op de plank, of welke afspraken maak je hierover met je leverancier?
Is er een cybersecurityverzekering afgesloten?
Een vraag die in eerdere sessies ook al diverse malen naar boven is gekomen. Bij Monta is dit wel het geval. Let op, er zijn hele specifieke voorwaarden waaronder een verzekeraar uitbetaalt. Stel, je hebt zelf besloten om een hacker te betalen voor de sleutel, dan is het nog niet vanzelfsprekend dat de verzekeraar als dit niet vooraf is overlegd- bereid is dit te vergoeden. Het blijft dus opletten!
Tot zover het eerste deel van het verslag van deze wederom bijzonder boeiende sessie.
Blijf de site https://www.cybernetwerk.nl in de gaten houden voor het vervolg.
Hier zijn uiteraard ook de verslagen van de andere sessies en de video-impressies terug te vinden.