Bereik NIS2 -compliance in OT-omgevingen
Cyberbeveiligingsprofessionals hebben te maken met een unieke uitdaging bij het beveiligen van operationele technologie (OT). Dit omdat het niet alleen gaat om het beschermen van de data in die OT-omgevingen, maar ook om het behoud van de integriteit van de productie.
Door digitalisering zijn OT- en IT-omgevingen steeds meer met elkaar verbonden, waardoor een robuust beveiligingsframework nodig is. De beveiligingsmaatregelen binnen een dergelijk framework zijn essentieel om de voorheen geïsoleerde fabrieken en productiefaciliteiten te beschermen tegen cyberdreigingen die voorheen vooral een bedreiging vormden voor de IT-omgeving.
Hier komt de NIS2-richtlijn om de hoek kijken. Deze richtlijn heeft als doel om het algehele cyberbeveiligingsniveau van organisaties binnen de EU te verbeteren. NIS2 vereist een strikt beveiligingsframework voor kritieke infrastructuur en verplicht IT-leiders om vóór de deadline van 17 oktober (voor Nederland is deze deadline al verplaatst) effectieve beveiligingsmaatregelen te implementeren.
Dus hoe kunnen organisaties hun OT-omgevingen effectief beschermen tegen continu evoluerende dreigingen en NIS2-compliance behalen? En welke rol spelen zero trust en netwerksegmentatie in het aanpakken van deze uitdagingen?
Uitdagingen in moderne OT-beveiliging
Traditioneel gezien opereren OT-omgevingen los van IT en worden ze apart beheerd door productieteams of OT-beveilgingsspecialisten. Maar apparaten en machines worden nu steeds vaker direct in het netwerk geïntegreerd zonder dat daar een beveiligingsstrategie voor is. Het probleem is dat deze beveiligingsmaatregelen achteraf moeten worden aangebracht op machines met een levensduur van 30 tot 40 jaar. Daarnaast is het vaak een uitdaging om veranderingen te implementeren omdat machines continu moeten blijven draaien. Om de continuïteit van de productie te garanderen, voeren organisaties niet altijd de nodige modernisaties door.
Organisaties kunnen dit probleem echter niet langer negeren. Het samenbrengen van IT- en OT-omgevingen introduceert namelijk nieuwe risicofactoren: malware die IT-omgevingen infiltreert via het internet kan zich nu ook verspreiden naar productieomgevingen. Dit kan leiden tot catastrofale uitval van machines en downtime. Dit scenario onderstreept de noodzaak voor een innovatieve beveiligingsaanpak die de unieke karakteristieken van OT-omgevingen kan ondersteunen en IT-omgevingen kan beschermen.
Een third-party-probleem
Een ander aanzienlijk risico in OT-omgevingen is dat derde partijen toegang nodig hebben tot de omgeving om het te kunnen onderhouden. Organisaties zijn logischerwijs terughoudend om deze partijen ook toegang te bieden tot hun IT-netwerken vanwege de inherente beveiligingsrisico’s. De uitdaging ligt in het bieden van veilige, gelimiteerde toegang tot specifiek operationeel relevante software of systemen voor onderhoudswerk op afstand. Dit vraagt om geavanceerde segmentatiestrategieën om potentiële beveiligingsrisico’s te verkleinen.
Omarm zero trust en netwerksegmentatie
Volgens Zscaler’s Ransomware Report blijven aanvallen op productiefaciliteiten toenemen. Om IT en OT samen te voegen, hebben organisaties een radicaal andere strategie voor risicobeperking nodig. Het zero trust-model, op basis van het least privilege-principe, biedt een veelbelovende aanpak voor het verbeteren van de beveiliging in deze complexe omgevingen. Door granulaire toegangscontroles op applicatieniveau te implementeren en productiesystemen en machineparken te segmenteren, kunnen organisaties hun aanvalsoppervlak en het risico op laterale bewegingen minimaliseren.
Tot nu toe zijn traditionele segmentatiemodellen ontoereikend geweest voor productiefaciliteiten vanwege de uitgebreide implementatie en mogelijke downtime die hiermee gepaard gaan. Er zijn echter nieuwe aanpakken van segmentatie in opkomst die oost-west-dataverkeer kunnen beveiligen in fabrieken of campus-omgevingen zonder de productie te onderbreken.
Zo heeft Airgap Networks bijvoorbeeld een agentless segmentatie-aanpak ontwikkeld op basis van een intelligente DHCP (Dynamic Host Configuration Protocol) proxy-architectuur. Deze innovatieve oplossing kan ieder apparaat dynamisch isoleren op basis van identiteit en context, en het bedrijfsrisico voor organisaties met kritieke infrastructuren verkleinen. Door machine learning (ML) te gebruiken en ieder apparaat te verplaatsen naar zijn eigen subnet, kunnen organisaties het dataverkeer analyseren om te bepalen welke apparaten met elkaar moeten communiceren. Hierdoor wordt granulaire netwerksegmentatie mogelijk, wat het risico op laterale bewegingen door malware in het netwerk flink verlaagt.
Ook kan het toegangsbeleid automatisch worden beheerd door trafficanalyses te gebruiken om profielen te creëren die precies aangeven welke apparaten met elkaar mogen communiceren. Deze automatisering vereenvoudigt het beheer en verkleint de last van IT-teams enorm. Door Airgap Networks in het Zero Trust Exchange-beveiligingsplatform te integreren, creëren organisaties een synergie tussen zero trust en granulaire netwerksegmentatie die zowel IT- als OT-omgevingen omvat.
De implicaties van de NIS2 -richtlijn
De NIS2-richtlijn stelt specifieke eisen aan OT-beveiliging. Organisaties - zeker kritieke nationale infrastructuren, zoals water of energie - moeten strenge beveiligingsmaatregelen implementeren om de veerkracht van hun systemen te garanderen. De belangrijkste eisen zijn:
Risicobeheer: Organisaties moeten uitgebreide risicobeoordelingen uitvoeren en de juiste maatregelen nemen om risico’s te verkleinen. Dit omvat het voorkomen van laterale bewegingen van malware door het aanvalsoppervlak van OT-omgevingen te verkleinen.
Incidentbeheer: Organisaties moeten beveiligingsincidenten snel kunnen detecteren, rapporteren en hierop reageren. Hiervoor hebben ze de juiste systemen nodig om alle datastromen effectief te monitoren.
Beveiligingsmaatregelen: Organisaties moeten technische en organisatorische maatregelen nemen om de beveiliging van hun netwerken en informatiesystemen te garanderen. Het zero trust-model met least privilege-toegang kan hieraan bijdragen.
Op weg naar een veerkrachtig OT-landschap
Als we naar de toekomst kijken, is het duidelijk dat het beveiligen van OT-omgevingen een fundamenteel andere aanpak vereist dan traditionele IT-beveiligingsstrategieën kunnen bieden. Door innovatieve segmentatietechnologieën te combineren met een zero trust-architectuur, kunnen organisaties de veerkracht van hun OT-omgevingen aanzienlijk verbeteren. Deze aanpak helpt niet alleen om te voldoen aan de strenge eisen van de NIS2-richtlijn, maar biedt ook robuuste bescherming tegen de toenemende verfijning van cyberdreigingen.
Het is niet alleen een wettelijke eis om deze nieuwe beveiligingsframeworks te omarmen, maar ook een strategische noodzaak. Het kan een uitdaging zijn om écht veerkrachtige OT-omgevingen te creëren, maar de juiste tools en mindset helpen organisaties door dit complexe landschap te navigeren en maken hen sterker en veiliger.