‘Cybersecurity is zowel een technische als organisatorische uitdaging’

  1. 2 sep 2016
  2. 0 reacties

europese-unie

De afgelopen jaren heeft de Europese Commissie een aantal maatregelen ingesteld om cyberincidenten tegen te gaan. De eerste richtlijn op dat gebied die in heel Europa is ingevoerd is de Network Information Security-richtlijn (NIS). Deze richtlijn, die in augustus in werking treedt en binnen twee jaar doorgevoerd dient te zijn, regelt de Europese standaards om cyberincidenten te voorkomen en om de informatie-uitwisseling erover te verbeteren.

“De NIS-richtlijn is een belangrijke stap”, zegt Bert Zoetbrood, CEO van DEKRA in Nederland en tevens wereldwijd verantwoordelijk voor de service unit Product Testing & Certification, “maar door de opkomst van het Internet of Things en de enorme groei van het dataverkeer zullen overheden en bedrijven veel meer maatregelen moeten nemen om veilig te kunnen blijven opereren. Cybersecurity is een bijzonder complex probleem, waarvoor technische en procesmatige test- en certificeringsprogramma’s noodzakelijk zijn.”

Duidelijke richtlijnen en standaarden

"Overheden eisen steeds vaker van organisaties, dat ze ‘cybersecure’ zijn, zeker in marktsegmenten waar cyberincidenten ingrijpende gevolgen voor de openbare orde en veiligheid kunnen hebben. Om de cybersecurity te toetsen zijn duidelijke richtlijnen en standaarden nodig, en de aard van cybersecurity is aan veel veranderingen onderhevig. Op dit moment zijn er naast de nieuwe richtlijn een algemene managementrichtlijn voor informatieveiligheid (ISO 27001) en technische standaards voor de integratie van industriële systemen met communicatienetwerken (IEC 62443). Echter, de ontwikkelingen gaan momenteel in een duizelingwekkend tempo. Hackers zijn per definitie altijd een stap verder dan de overheid en het bedrijfsleven, terwijl ook de hoeveelheid data en het dataverkeer naar verwachting de komende tien jaar vertienvoudigt; en niet alleen via internet. Er staat ons nog een enorme transitie te wachten door de opkomst van het Internet of Things, waarbij de besturing van apparaten, voertuigen, machines en installaties rechtstreeks via de cloud gaat. Dan wordt cybersecurity letterlijk van levensbelang.”

“Het gaat bij cybersecurity trouwens niet alleen om bescherming tegen cybercriminaliteit. De huidige discussie over cybersecurity wordt gedreven door incidenten, waarbij een bewuste inbreuk op systemen tot schade en ernstige ongelukken kan leiden. Maar cybersecurity omvat veel meer”, verduidelijkt Zoetbrood. “Door de enorme hoeveelheden netwerken en dataverkeer kunnen mensen ook onbedoeld in andere systemen binnendringen of er kunnen interferenties tussen verschillende systemen en netwerken ontstaan met vervelende gevolgen. Bovendien moet je ook kijken naar de zogenaamde "functional safety" van systemen en apparaten. Zijn sensoren, componenten en softwaresystemen op zich veilig genoeg en gaan ze niet anders reageren in netwerken en omgevingen waar veel ander dataverkeer is? Voor cybersecurity moet je naar drie niveaus kijken: individuele componenten, complete systemen en processen. Daarom gaat cybersecurity ook veel verder dan het traditionele werkveld van de ICT-afdeling. Die zorgt er alleen voor dat hackers buiten de systemen gehouden worden en dat de data veilig opgeslagen zijn.”

Traceerbaarheid en forensics

Tenslotte wijst DEKRA nog op het belang van traceerbaarheid en forensics; zeker als steeds meer apparaten en machines vanuit de cloud bestuurd worden. Het gaat niet alleen om preventie, maar ook om het reconstrueren van incidenten om herhaling te voorkomen en de veiligheid verder te optimaliseren. “Nu worden er alleen simpele logfiles aangemaakt, maar straks wil je voor elk belangrijk device of systeem een soort black box, zodat je weet wie het systeem is binnengedrongen en wat er precies gebeurd is. In het ideale geval geeft zo’n black box in bijvoorbeeld een zelfsturende auto meteen een waarschuwing als iemand anders de besturing beïnvloedt.”

DEKRA is positief over de 450 miljoen euro, die de EU in het kader van het programma Horizon 2020 wil investeren in de ontwikkeling van technologie voor cybersecurity. Met haar focus op veiligheid ziet DEKRA het als een van haar taken om samen met overheid en bedrijfsleven te werken aan actuele normen, standaards en testprogramma’s voor cybersecurity. “Omdat cybersecurity zo’n complex probleem is, moeten onafhankelijke test- en certificeringsbedrijven verstand hebben van risk assessment, procestechnologie, explosiepreventie en vele andere zaken, zodat er een link gelegd kan worden tussen cybersecurity en veiligheid.”