Cybersecurity staat de laatste jaren hoog op de agenda, zeker bij bedrijven en organisaties. Op IT-vlak zijn de lekken meestal al gedicht, maar bij de OT-infrastructuur worden de risico’s nog te vaak onderschat. De continuïteit van de bedrijfsprocessen en de bescherming van persoonsgebonden informatie zijn nochtans cruciaal. Een cybersecurity audit kan de verbeterpunten blootleggen. De laatste 10 jaar is op het vlak van cybersecurity in gebouwen veel aandacht gegaan naar de pure IT-infrastructuur zoals computers en printers. De OT – operational technology – wordt echter nog te vaak stiefmoederlijk behandeld. Nochtans is het gebruik sterk gestegen van onder meer camera’s, toegangscontrole, branddetectie en gebouwenbeheersystemen voor koeling en verwarming die met het netwerk geconnecteerd zijn. Dat maakt de OT-infrastructuur kwetsbaar voor misbruik. Heel wat beheerders of gebruikers van een gebouw zijn zich niet bewust van de mogelijke risico’s van een gebrekkige bescherming op OT-vlak. Zo bevat de software voor de toegangscontrole persoonsgegevens waarvoor de GDPR geldt. Een slecht beveiligd camerasysteem laat hackers rondkijken in je gebouw. Het schendt niet alleen de privacy van wie er in rondloopt, maar kan ook leiden tot fysieke inbraak en diefstal. De koel- of verwarmingsinstallaties hacken, kan ervoor zorgen dat een productiebedrijf stilvalt. En dit zijn slechts enkele voorbeelden. Niet alleen op technisch maar ook op organisatorisch vlak wordt ingegrepen. Dit gebeurt volgens het principe van de Organisatorisch Fysieke Elektronische Meldings maatregelen (OFEM). Dat OFEM-principe kan zowel in de fysieke als in de virtuele wereld worden toegepast.
Ingenium voert samen met NVISO Belgium bij bedrijven en organisaties cybersecurity audits uit. We combineren daarbij de expertise van NVISO op IT-vlak met onze technische kennis van de OT-zijde. Een audit begint met een aantal workshops met de klant om het gebouw en de technieken beter te leren kennen. Daarbij wordt extra aandacht besteed aan de kritische installaties, waarvan het risico op uitval zal worden getest.
Er wordt onder meer in kaart gebracht:
Niet alleen in het gebouw zelf worden testen uitgevoerd. Met remote access testen kijken we of ook vanop afstand technische installaties kunnen worden overgenomen. Daarbij is het onder meer belangrijk om te weten:
De mogelijke pijnpunten die we tegenkomen in recente kantoorgebouwen bij een cybersecurity audit zijn:
De problemen situeren zich dus zowel op het vlak van hardware, software als netwerkopbouw. Veel van de opgenoemde beveiligingsrisico’s bevonden zich niet buiten maar ín het gebouw zelf. Na de audit keken we in overleg met de klant welke issues weggewerkt moeten worden, en welke als een aanvaardbaar risico kunnen worden beschouwd. Dit op basis van risico versus kost. Als de nodige aanpassingen zijn gedaan, volgt er een nieuwe test om te kijken of het gewenste resultaat ook effectief bereikt wordt.
De audit in dit voorbeeld toonde duidelijk aan dat er tal van risico’s aanwezig waren. Het groeiend aantal IP-toestellen in de OT-wereld zorgt ervoor dat er extra aandacht nodig is om de netwerken op een veilige manier op te bouwen.
Kan jouw bedrijf of organisatie ook een cybersecurity audit gebruiken? Onze expert Tim Opsomer geeft je graag meer uitleg: tim.opsomer@ingenium.be.
