Boete bij onveilige ict? “Het zou vreemd zijn om onze sector, die is opgegroeid met veiligheid en ict, te dwingen om extra kosten te maken”

Justitie wil ingrijpen bij bedrijven die digitale beveiliging niet op orde hebben. Minister Grapperhaus wil bedrijven kunnen aanpakken met boetes, of desnoods door zelf in te grijpen. “Ik vrees dat een grootschalige crisis mensen wakker maakt.”

Liesbeth Holterman is Adviseur Cybersecurity Centrum Maakindustrie. Zij ziet dat cyberveiligheid steeds meer een issue wordt binnen de maakindustrie. Hoe meer digitalisering plaats heeft, hoe groter de kans op een cybersecurity incident. En ook de impact groeit. Er komen steeds meer voorbeelden bekend van productieomgevingen die stil komen te liggen door een ransomware-aanval.

“De woorden van Grapperhaus zijn zeker terecht: organisaties zijn zich onvoldoende bewust van de verantwoordelijkheden die ze hebben op dit gebied. Juist ook omdat iedereen met elkaar is verbonden (digitaal) is meer besef en eigen verantwoordelijkheid nodig. Immers een aanval op een boekhoudprogramma in Oekraïne heeft er toe geleid dat Maersk de haven van Rotterdam plat legde: digitale verbondenheid kan verstrekkende gevolgen hebben. Overigens weet ik niet of ik het wel eens ben met de oplossing: namelijk wet- en regelgeving. Ik denk dat er verschillende voorbeelden te noemen zijn waarin wet – en regelgeving averechts werkt.”

Sterker: is een hard beleid nuttig? “Ik vrees dat een grootschalige crisis mensen wakker maakt. Zie het voorbeeld van de haven van Rotterdam: als er geen analoge alternatieven waren geweest, die er gelukkig nog wel waren, was de voedseltoevoer, de olietoevoer et cetera stil komen te liggen met verstrekkende gevolgen voor de hele maatschappij. Dan was er ook veel meer discussie ontstaan over verantwoordelijkheden.”

Samenspel

“De maakindustrie is al jaren bezig met de digitalisering van de automatisering”, zegt Ramon Dooijewaard. De directeur van FPT-Vimag, de brancheorganisatie van van productietechnologie en -automatisering, geeft aan dat zijn sector cybersecurity zeer serieus neemt. “Sinds vijf jaar geleden de Industrie 4.0-revolutie is begonnen, staat het vizier van de maakindustrie ook op cybersecurity. De digitale gevaren waren toen al bekend.”

Cybersecurity voor de technologische industrie is een samenspel van mens, organisatie en techniek. “De meeste van onze leden hebben al belangrijke stappen op het gebied van digitale weerbaarheid gezet”, vervolgt Dooijewaard. “Natuurlijk blijven er nog aandachtspunten. Zo is er vooral de vraag over outsourcing van databeheer of zelfs de hele ict-infrastructuur onderbrengen bij één betrouwbare partij. Ik denk daarom dat de opmerkingen van de minister niet op onze branche slaan. Het zou vreemd zijn om onze sector, die is opgegroeid met veiligheid en ict, te dwingen om extra kosten te maken. De leden van FPT-Vimag laten de minister graag zien wat er in onze sector al op het gebied van cybersecurity wordt ontwikkeld en geïmplementeerd”.

Tips volgens Holterman:

• Goede netwerksegmentering aanbrengen (“kamertjes maken tussen je IT en OT omgeving bijvoorbeeld);

• Weten waar je kwetsbaar bent. Wat heb je goed geregeld (op gebied van mens, techniek en organisatie) en wat kan er beter. Doe bijvoorbeeld een risicoscan waar je bedrijf doorgelicht wordt op deze aspecten;

• Weet wat er over je netwerk(verkeer) gaat en neem maatregelen om verdacht netwerkverkeer te isoleren;

• Zorg dat je toegang op afstand (remote access) op een veilige manier regelt. Te vaak zijn de toegangen op afstand niet met een wachtwoord afgeschermd of met een (standaard) fabriekswachtwoord;

• Belangrijkste is echter om ervaringen te delen met elkaar en van elkaar te leren