Er komen nieuwe richtlijnen voor bedrijven op het gebied van cybersecurity. De EU heeft al haar lidstaten opgedragen om de nieuwe Network and Information Systems-richtlijn (NIS2) uiterlijk in oktober 2024 om te zetten in nationale wetgeving. Maar minister Dilan Yeşilgöz heeft de Tweede Kamer gemeld dat hier meer tijd voor nodig is. Dit uitstel betekent niet dat bedrijven geen verplichting hebben tot het nemen van extra beveiligingsmaatregelen.
Door Menno Jelgersma / Foto’s Siemens
Onderdeel van de maatregelen is het verbeteren van de beveiliging van gebouwinstallaties, waaronder de uitbreiding van het bestaande standaard datacommunicatieprotocol BACnet naar BACnet Secure Connect.
Ton Mes, Product & Solution Security Officer bij Siemens Smart Infrastructure, en Almir Muharemovic, productmanager bij Siemens, lichten de ontwikkelingen toe.
Huidige richtlijn
Op dit moment geldt de NIS-richtlijn (Network and Information Systems-richtlijn). Deze richtlijn is in 2016 geïntroduceerd om de cybersecurity in de EU te verbeteren. Daarnaast dient de richtlijn vooral ook om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging. De richtlijn is in Nederland bekend als de NIB1-richtlijn (Netwerk- en Informatie Beveiliging) die in 2018 heeft geleid tot de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet is van toepassing op vitale bedrijven en instellingen die actief zijn in de energie-, de financiële en vervoerssector.
> LEES OOK: Met Europese NIS2-richtlijn gaan strenge verplichtingen gelden voor cybersecurity
Ruimer toepassingsgebied
Mes: “De nieuwe NIS2-richtlijn is ontworpen om de cyber- en informatiebeveiliging in Europa naar een niveau te brengen dat aansluit bij de huidige uitdagingen op het gebied van cybersecurity.” De NIS2 heeft een ruimer toepassingsgebied. “Naast bedrijven en instellingen in de vitale sector zijn er nu meer sectoren en entiteiten in de nieuwe richtlijn opgenomen, waaronder: overheidsdiensten, middelgrote en grote bedrijven. Organisaties die gezien worden als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij of de economie”, aldus Muharemovic.
Strengere eisen
Er worden in de nieuwe richtlijn strengere en aanvullende eisen gesteld aan cybersecurity, waaronder op het gebied van cyberrisicobeheer, controle en toezicht en bedrijfscontinuïteit. In januari 2023 is de nieuwe richtlijn NIS2 in werking getreden en de EU heeft alle lidstaten opgedragen om de richtlijn uiterlijk 17 oktober 2024 om te zetten naar nationale wetgeving.
Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz heeft op 31 januari de Tweede Kamer echter gemeld dat de implementatie van de NIS2-richtlijn in nationale wetgeving meer tijd vraagt. De verwachting is nu dat de consultatie medio 2024 plaatsvindt en dat de wetsvoorstellen in het najaar van 2024 aan de Tweede Kamer worden aangeboden.
> LEES OOK: Waarom securityrichtlijn NIS2 bij ieder bedrijf hoog op de agenda moet staan
Beveiliging van gebouwautomatiseringssystemen verhogen
Voor de gebouwautomatisering is bij uitbreiding of renovatie van het bestaande gebouwautomatiseringssysteem met BACnet-protocol, een belangrijke stap om de beveiliging van gebouwautomatiseringssystemen te verhogen.
BACnet is een standaard datacommunicatieprotocol voor gebouwautomatisering en staat voor Building Automation and Control Network. Dit datacommunicatieprotocol dateert al uit 1987, dus lang voordat gebouwbeheerders zich zorgen maakten over cyberbeveiliging. BACnet is ontwikkeld om apparatuur van verschillende leveranciers met elkaar te laten communiceren binnen een gebouwautomatiseringssysteem.
Op dit moment is BACnet met een marktaandeel van 60 procent in commerciële gebouwen het belangrijkste protocol voor gebouwautomatisering. De toegenomen aansluiting van gebouwen op digitale diensten en het streven naar slimme gebouwtoepassingen heeft geleid tot het in elkaar schuiven van operationele technologie (OT) en IT-netwerken. Een direct gevolg hiervan is een grotere kwetsbaarheid van gebouwautomatiseringssystemen.
Operationele techniek
Mes: “IT heeft betrekking op alles rondom automatisering binnen, met name, kantoren en alles wat er nodig is voor de bedrijfsvoering. De wereld van OT verwijst naar de operationele techniek. Dat is een heel breed begrip. Het heeft betrekking op de complete procesbesturing in organisaties.” IT is volgens hem verweven met OT. “Alle controllers in een fabriek moeten gemanaged worden en dat gebeurt over het algemeen met behulp van IT-systemen waarbij gebruik wordt gemaakt van software op een IT-platform.”
IT verweven met OT
Als voorbeeld noemt Mes een gebouw met een branden klimaatinstallatie en een toegangscontrolesysteem. “Om dat geheel te bedienen heb je een gebouwbeheersysteem in de vorm van een softwarepakket nodig. En dat pakket draait uiteraard op een IT-platform.” Met het verder in elkaar schuiven van OT en IT, en de digitalisering van OT kunnen bedrijven steeds meer data verzamelen over bedrijfsprocessen en daarmee gebouwen steeds slimmer maken, zoals de verlichting en verwarming in ruimtes aanpassen aan de aanwezigheid van mensen.
De kwetsbaarheid waar Mes en Muharemovic naar verwijzen, heeft betrekking op bedrijfsbeheersystemen waar OT en IT overlappen. Muharemovic: “Maar de kwetsbaarheid geldt ook voor de bedrijven waar dat nog niet het geval is, waar de installaties geïsoleerd zijn opgesteld en die ook gebruikmaken van IP-netwerken.”
Kwetsbaarheden
Met het huidige BACnet als protocol, dat door de meeste grote leveranciers van gebouwautomatisering wordt toegepast, kunnen apparaten eenvoudig worden toegevoegd aan elk internetprotocol (IP). De kwetsbaarheid zit hem erin dat wanneer deze apparaten hetzelfde netwerk delen met de onderneming, ze daarmee het hele bedrijfssysteem kunnen openstellen voor data-mining, manipulatie of ongeautoriseerde herconfiguratie.
Een hacker gaat specifiek op zoek naar zwakke plekken
Mes: “Ook als instellingen niet via het internet te bereiken zijn, kan een hacker bijvoorbeeld niet-gerichte phishingmails inzetten om in een systeem binnen te dringen, of via een USB-stick virussen uploaden. Bij gerichte aanvallen zal een hacker specifiek op zoek gaan naar zwakke plekken. Lukt dat niet via internet, dan zullen ze via fysieke toegang een opening zien te vinden. Vaak lukt dat wel bij OT als iemand zich toegang verschaft tot een technische ruimte en daar een ‘kastje’ ergens weet tussen te klikken.”
Snoep in de wachtkamer
Als voorbeeld geeft Mes een verkoopautomaat voor koek en snoep in de wachtkamer van een ziekenhuis, waar iemand de netwerkverbinding van losmaakt en er een kastje tussen zet. “Dit stelt iemand in staat om met een laptop op schoot toegang tot het netwerk te krijgen”, aldus Muharemovic.
“Ik weet bijvoorbeeld ook van een geval waarin een hacker via een thermostaat in het netwerk van een casino wist te komen en daarmee gegevens heeft weten te ontsluiten.”
Mes: “Dit betekent dus dat of een installatie nu wel of niet ontsloten is, de gebouwsysteembeheerders maatregelen moeten nemen om de bedreigingen het hoofd te bieden.”
Digitalisering vraagt om meer veiligheid
De nieuwste ontwikkeling om het datacommunicatieprotocol te beveiligen is BACnet Secure Connect ofwel BACnet/ SC. Muharemovic: “Je kunt met een simpele browser, die van internet is te downloaden, op een netwerk binnenkomen. BACnet kent geen beveiliging, dus als je eenmaal binnen bent, kun je hele installaties uitzetten. Of het nu gaat om bestaande geïsoleerde systemen of geïntegreerde IT- en OT-systemen, de digitalisering vraagt om meer veiligheid.”
De noodzaak voor een nieuw protocol is duidelijk. “Het ontbreekt bij BACnet aan encryptie, authenticatie en het is niet IT-vriendelijk.” In tegenstelling tot BACnet/SC dat een veilig mechanisme biedt waarmee een apparaat kan worden geverifieerd en geautoriseerd in het netwerk, legt Muharemovic uit.
> LEES OOK: NIS2-Quickscan helpt organisaties bij voorbereiding op nieuwe cyberwet
Beveiliging op apparaatniveau
De nieuwe standaardisatie biedt een uitstekende verdediging tegen aanvallen en maakt gebruik van dezelfde technologie die de beveiliging van online bankieren en financiële transacties mogelijk maakt. Daarbij bestaat de mogelijkheid om met BACnet/SC beveiliging op apparaatniveau te bieden. Dit waarborgt een beveiligde communicatie tussen apparaten bij de bedrijven en instellingen zelf, maar ook naar de cloud.
De ontwikkeling naar BACnet/SC is volgens Mes een beweging die vanuit de industrie is ontstaan. Siemens is een van de bedrijven die nauw betrokken is bij de ontwikkeling van BACnet/SC. “We zijn ons er allemaal zeer van bewust dat het beveiligingsniveau met de hulp van een standaardisatie-instituut naar een hoger niveau moet worden gebracht. Op het gebied van engineering-workflows voor BACnet/SC-implementatie zijn we nauw betrokken bij de verdere ontwikkeling en implementatie van BACnet/SC.”
Techniek, proces en mens
Cybersecurity is een samenspel van techniek, proces en mens, legt Mes uit. “Bij techniek kun je denken aan BACnet/SC. Maar ook de processen en de betrokkenheid van mensen moeten hierin worden meegenomen. Denk bijvoorbeeld aan het gebruik van complexe wachtwoorden. Wanneer die eens in het half jaar moeten worden vervangen, is het de techniek die dat mogelijk moet maken, de processen in de organisatie moeten erop zijn ingericht en de mensen moeten het uiteindelijk doen.”
BACnet/SC maakt gebruik van certificaten waarmee de apparaten zich identificeren. Communicatie tussen de apparaten is alleen mogelijk als certificaten bekend en geldig zijn. Hiermee kan worden voorkomen dat een hacker kan inbreken met ‘vreemde’ apparaten zonder deze certificaten. Mes: “Dat vereist een proces waarbij een certificate authority (CA) altijd op de hoogte is van bestaande certificaten en zo nodig nieuwe certificaten aanmaakt en uitgeeft om up-to-date te blijven.”
Eigen organisatie
De betrokkenheid van Siemens bij het nieuwe protocol is groot en Siemens is vol aan de gang om BACnet/SC in al hun gebouwautomatiseringsproducten, diensten en applicaties in te voeren. “Overal waar BACnet draait in onze nieuwe controllers wordt BACnet/SC doorgevoerd”, aldus Muharemovic. “We zijn heel druk bezig om bestaande infrastructuren van onze klanten naar het hogere niveau van BACnet/SC te tillen.”
Mes: “We staan hierin uiteraard niet alleen. Onze concullega’s zijn op soortgelijke wijze bezig met de omschakeling naar BACnet/SC.” Mes legt uit dat een en ander natuurlijk ook voortvloeit uit de wet- en regelgeving die met NIS2 vanuit de EU met een grote uitbreiding wat betreft sectoren en beveiligingseisen op alle lidstaten afkomt. Een aanpassing aan de nieuwe richtlijn NIS2 kan ingrijpend zijn voor een organisatie.
Doorlopen van crisismanagementproces
“Organisaties moeten hun security-beleid met de nodige procesprocedures aanpassen. Ze moeten dat ook aantoonbaar maken tijdens een audit die door de overheid wordt aangestuurd. Maar ook moet er een crisismanagementproces zijn doorlopen en je moet je toeleveringsketen op orde hebben met afspraken over updates en patches.”
Muharemovic: “Je moet je er bewust van zijn. Als je nieuwe producten implementeert, moet je een keuze maken voor de apparaten die BACnet/SC ondersteunen. Ook moet je je bewust zijn van de workflows: hoe implementeer je BACnet/SC in je gebouw? Dit vereist gedegen overleg met adviseurs, IT-specialisten en installateurs. Bij een nieuw bestek voor gebouwautomatisering moet BACnet/SC daar deel van uitmaken als eis voor beveiliging van de gebouwbeheersystemen.” Mes: “Als je een installatie op een campus hebt met BACnet, dan moet je een plan gaan opstellen om langzaam maar zeker over te schakelen naar BACnet/SC.” BACnet en BACnet/SC kunnen overigens prima naast elkaar functioneren.
Uitstel van NIS2 betekent geen afstel
Betekent het uitstel van NIS2 in de wetgeving ook een uitstel van verplichting tot het nemen van maatregelen? Mes: “Een mogelijke vertraging bij de invoering van de NIS2 in Nederland verandert de noodzaak om maatregelen te nemen niet. De wet komt er. Vertraging geeft de bedrijven meer tijd om zich voor te bereiden.”
Muharemovic: “Bedrijven zullen misschien een respijtperiode krijgen. Maar ga er vooral wel mee aan de slag. Het is niet alleen ‘het moeten’ vanuit de wet maar vooral ook het waarborgen van de veiligheid van je primaire processen en bedrijfsvoering. Je moet er toch niet aan denken dat in je ziekenhuis het klimaatsysteem wordt gehackt waardoor je geen operaties meer kunt uitvoeren.”
OT-security is niet meer optioneel
De levensduur van OT is gemiddeld tien tot vijftien jaar. Als er recent investeringen zijn gedaan, verwacht Mes niet dat een gebouwbeheerder zijn OT-onderdelen snel zal vervangen voor ze zijn afgeschreven. Dan zal nagedacht moeten worden over andere beveiligingsmaatregelen. “Dus ik ga ervan uit dat de doorlooptijden aanzienlijk zullen zijn. Tegelijkertijd kun je niet digitaliseren als je je security niet op orde hebt. Als organisatie moet je dus gewoon aan de bak. OT-security is niet meer optioneel”, besluit Mes.
Volg Security Management op LinkedIn