Introductie
De energiesector heeft tegenwoordig vrijwel dagelijks te maken met cyberaanvallen, spionage en sabotage. Deze aanvallen worden steeds geavanceerder en bovendien zijn de aanvallen op deze sector in de afgelopen jaren sterk toegenomen. De actoren hebben als doel om bijvoorbeeld schade toe te brengen aan de energievoorziening om de maatschappij te ontwrichten. Om dit te bereiken zijn deze actoren heel doelgericht bezig om informatie in te winnen van een specifieke organisatie en de mogelijke zwakke plekken uit te buiten. Enduris is een potentieel doelwit voor een dergelijke gerichte aanval, mede ook omdat Enduris onderdeel uitmaakt van de vitale infrastructuur van Nederland.
Doelstelling OT Security project Enduris
Het doel van het project is het in kaart brengen van de beveiligingsrisico’s die ontstaan door het gebruik van ICT en de industriële procesbesturingssystemen (OT) t.b.v. de netbeheerder Enduris en het opstellen van beheersmaatregelen die deze risico’s inperken tot een aanvaardbaar minimum, dan wel in zijn geheel wegnemen.
“Via mijn netwerk ben ik in contact gekomen met Stef Liethoff, Cybersecurity specialist en eigenaar van SBL Cybersecurity. Stef is deskundig op het gebied van OT Security en de IEC62443 standaard en heeft een praktische no-nonsense aanpak. Ons doel was het weerbaarder maken van onze OT-omgeving, verantwoordelijk voor de elektriciteitsvoorziening met behulp van de IEC 62443 standaard. Omdat wij weinig kennis, ervaring en capaciteit op dit vlak in huis hebben, was het voor ons belangrijk hier externe expertise in te zetten om ons goed op weg te helpen”: aldus John Geers, CISO Enduris.
Resultaat
Het resultaat van het project is als volgt samen te vatten:
- Schematisch overzicht van het centrale en decentrale OT domein inclusief alle afhankelijkheden met de IT omgeving (SUC)
- High Level risicoanalyse opgesteld waarbij een mapping is gemaakt met de worstcase scenario’s en strategische risico’s voor Enduris
- Schematisch overzicht van de Zones en Conduits met hieraan gerelateerd een beschrijving van de componenten, de verkeerstromen, protocollen en in hoeverre deze componenten kritisch zijn voor het behalen van de strategische doelen
- Low level risicoanalyse met diepgaande dreigingsanalyse, kwetsbaarheidsanalyse op basis van de IEC62443 3.3 en de CIS controls, waar vastgelegd is wat het vereiste security level moet zijn en wat het huidig gerealiseerde security level is
- Bovenstaande analyses vormden op hun beurt weer de basis voor het opstellen van de roadmap voor het doorvoeren van de verbeteringen.
Uiteindelijk hebben de resultaten geleid tot een hoger volwassenheidsniveau en een positieve beoordeling vanuit diverse interne- en externe audits.
Reactie Enduris
Joeri van Seters (Asset Management Protection, Automation & Control Enduris): “Wij zijn zeer tevreden met de samenwerking en het resultaat van het project met SBL Cybersecurity. Het is ons opgevallen dat SBL Cybersecurity zeer betrokken is en dat heeft geleid tot kwalitatief goede eindproducten waarmee we onze OT Security sterk hebben kunnen verbeteren en dit niveau in de toekomst ook kunnen aanhouden”.