Securitymanagement.nl

Hét platform voor de security professional

Beveiliging

Fysieke beveiliging en cyber security: twee kanten van dezelfde medaille

In de afgelopen decennia hebben fysieke beveiliging en cyber security zich als relatief gescheiden domeinen ontwikkeld. Deze scheiding is echter aan het vervagen door de steeds snellere digitalisering van onze wereld. Het wordt steeds duidelijker dat organisaties hun fysieke beveiliging en cyber security niet langer als losstaande activiteiten kunnen beschouwen. Het zijn eerder twee kanten van dezelfde medaille die organisaties zo nauw mogelijk met elkaar moeten verbinden.

Door Frank van Olphen

In het verleden waren fysieke beveiliging en IT-systemen strikt gescheiden. Bedrijfsnetwerken voor kantoorautomatisering (IT) functioneerden volledig gescheiden van operationele technologie (OT), zoals productieprocessen en andere industriële systemen. IT-afdelingen richtten zich voornamelijk op het beheer van kantoorapplicaties, servers, netwerken en e-mailsystemen, terwijl OT zich concentreerde op het draaiende houden van alle fysieke processen. Fysieke beveiligingssystemen (denk aan alarmsystemen, camerasystemen en toegangscontrolesystemen) waren grotendeels autonoom en hadden geen directe verbinding met IT-netwerken. Daarbij speelden en spelen er in productieomgevingen heel specifieke issues. Een voorbeeld is de inzet van een uiteenlopende mix van besturingstechnologie. Zeventig jaar oude machines bijvoorbeeld zijn nu voorzien van de nieuwste communicatieapparatuur, terwijl er nieuwere machines draaien die helemaal geen netwerkconnectiviteitsmogelijkheden hebben.

Eilandinformatie

Daarnaast is er bij veel bedrijven sprake van eilandinformatie. Omdat IT en OT in veel gevallen verschillende werelden zijn, is het voor een bedrijf lastig om echt inzicht te krijgen in de prestaties van machines en processen op de werkvloer. OT verzamelt een berg aan data, maar het is nu de IT die daar informatie uit moet halen. Hier komt nog bij dat er niet alleen in de IT-wereld sprake is van toenemende complexiteit, maar ook in de OT-wereld. Veel productiebedrijven gebruiken verschillende systemen met vaak eigen protocollen, die doorgaans door verschillende leveranciers worden geleverd.

> LEES OOK: Safety en security in balans bij ING

Veel productiebedrijven gebruiken verschillende systemen met vaak eigen protocollen, die doorgaans door verschillende leveranciers worden geleverd.

Fysieke beveiliging en digitalisering

In de afgelopen decennia is er sprake van een duidelijke digitaliseringstrend binnen fysieke beveiligingssystemen. Deze ontwikkeling heeft organisaties veel voordelen opgeleverd. Denk aan verbeterde bewaking, efficiëntere processen en eenvoudiger beheer op afstand. Systemen zoals slimme camera’s en sensoren zijn in real-time te monitoren en aan te sturen via geavanceerde dashboards. Dit heeft echter ook geleid tot nieuwe kwetsbaarheden. Omdat deze systemen zijn aangesloten op het bedrijfsnetwerk, zijn ze potentieel blootgesteld aan dezelfde digitale bedreigingen als IT-systemen.

Het gevaar voor fysieke beveiligingssystemen ligt er juist in dat ze niet altijd ontworpen zijn met cyber security in het achterhoofd. Dit kan ze kwetsbaar maken waardoor ze een aantrekkelijk doelwit voor cyberaanvallen zijn. Tegelijkertijd is er in de markt altijd erkenning geweest voor het feit dat fysieke beveiliging (van oudsher) de eerste beveiligingsschil van een organisatie is. Het zo sterk mogelijk maken van die schil is, ook vanuit cybersecurityperspectief, terecht erkend.

> LEES OOK: Samenwerking safety & security: weg met de eilanden

Verplichtingen rond het GACS

We zien dit nu onder meer terug in de verplichtingen rond het GACS, het verplichte systeem voor utiliteitsgebouwen met een gezamenlijk nominaal vermogen van 290 kW of meer. Het GACS gaat in vanaf 1 januari 2026 en komt voort uit de tweede herziening van de Europese richtlijn Energieprestatie van Gebouwen (EPBD III). Het doel is om de energie-efficiëntie van gebouwen te verbeteren. Het GACS moet aan specifieke eisen voldoen met betrekking tot monitoring, registratie, analyse, instelbaarheid, benchmarking en terugkoppeling. Ook moet GACS zorgen voor naadloze communicatie en interoperabiliteit met andere systemen in het gebouw. Goed ingezette systemen kunnen de aansturing van ruimteverwarming, ruimtekoeling, ventilatie en verlichting verbeteren, wat leidt tot een efficiënter energiegebruik en beter comfort. Maar deze systemen zullen ook bestand moeten zijn tegen cyberaanvallen van buitenaf.

Risico’s van verouderde OT-systemen

Een extra gevaar voor operationele technologieën is de instandhouding van verouderde technologie. Dit is vooral zichtbaar in industriële omgevingen, waar nog regelmatig verouderde besturingssystemen zoals Windows NT of XP draaien. Volgens de analisten van StatCounter draaiden in maart van dit jaar nog zo’n 5,5 miljoen pc’s op Windows XP. Deze systemen hebben al jaren geen ondersteuning meer en zijn zo een gemakkelijk doelwit voor hackers. Daarbij zijn het niet alleen de hackerscollectieven die aanvallen uitvoeren om bedrijven af te persen, maar ook zeker specifieke landen (lees: dreiging vanuit het buitenland en/of risico van mensen uit het buitenland die hier werkzaam zijn) die via deze weg proberen de infrastructuur van een land te destabiliseren of om interne onrust te zaaien.

> LEES OOK: 30 procent meer cyberaanvallen op kritieke infrastructuur

Fysieke gevolgen van cyberaanval

Cybercriminelen maken dankbaar gebruik van alle kwetsbaarheden. Recent onderzoek van beveiligingsbedrijf Fortinet toont aan dat een kwart van de cyberaanvallen momenteel gericht is op OT-systemen. Dit benadrukt het belang van een geïntegreerde aanpak van fysieke beveiliging en cyber security. Bedrijven moeten zich realiseren dat een aanval op een OT-systeem niet alleen de digitale kant van hun operatie kan verlammen, maar ook ernstige fysieke gevolgen kan hebben, zoals stilgelegde productielijnen of gevaarlijke situaties in industriële omgevingen. Denk aan de hack-aanval op Oekraïense energiecentrales in 2015 waardoor miljoenen mensen zonder stroom kwamen te zitten of de aanval in 2012 op het Saoedische staatsoliebedrijf Aramco toen duizenden pc’s werden besmet en onbruikbaar werden.

Cybercriminelen maken dankbaar gebruik van alle kwetsbaarheden.

Impact van nieuwe regelgeving

Een belangrijke stimulans voor de samensmelting van fysieke beveiliging en cyber security is de toenemende focus van overheden en internationale organisaties op regelgeving die beide domeinen beslaat. Een voorbeeld hiervan is de aankomende Cyber Resilience Act (CRA) van de Europese Unie, die als doel heeft om hard- en software binnen de EU te voorzien van een conformiteitsbeoordeling (vergelijkbaar met het CE-keurmerk). Dit om te waarborgen dat de producten voldoen aan de hoogste beveiligingsnormen.

Deze regelgeving vereist dat zowel fysieke als digitale systemen aan strenge beveiligingseisen voldoen, met als doel de risico’s van cyberaanvallen te verminderen. Fabrikanten, importeurs en distributeurs van producten moeten ervoor zorgen dat alle apparatuur die in Europa wordt verkocht, voldoet aan deze nieuwe normen. Voor bedrijven betekent dit dat ze bij de aankoop van beveiligings- en IT-systemen goed moeten controleren of deze producten voldoen aan de eisen die expliciet of impliciet voortvloeien uit de CRA . Dit zal leiden tot betere beveiligde systemen, maar kan ook beperkingen opleggen aan de beschikbare keuze in technologieën. Het zal er om gaan hier de juiste balans te vinden.

> LEES OOK: Hoe gaat Europese wetgeving de cyberdreiging tegen?

Geïntegreerde beveiliging heeft de toekomst

De samensmelting van fysieke beveiliging en cyber security is in de eerste plaats een technische kwestie. Die is relatief eenvoudig aan te pakken door een goede selectie te doen van de juiste technologie. Die is inmiddels breed beschikbaar in de markt. Veel lastiger is het om de nodige veranderingen door te voeren in de organisatie. Van oudsher is de IT-afdeling verantwoordelijk voor de beveiliging van alle digitale systemen, terwijl de facility manager zich richt op de fysieke beveiliging. Dit leidt vaak tot een situatie waarin beide afdelingen los van elkaar werken. Er is geen totaalbeeld van alle beveiligingsuitdagingen van de organisatie. Dit verhoogt het risico op beveiligingslekken, aangezien cybercriminelen vaak gebruik maken van zwakke plekken in beide domeinen.

Om deze uitdaging aan te pakken, pleiten steeds meer experts voor een sterk geïntegreerde benadering van beveiliging. Daarbij ligt er een belangrijke rol voor de Chief Information Security Officer (CISO) die idealiter verantwoordelijk is voor zowel fysieke als digitale beveiliging. Deze functionaris zou een centrale rol moeten spelen in de besluitvorming binnen de directie en als schakel fungeren tussen de verschillende afdelingen. De CISO moet niet alleen toezicht houden op IT-beveiliging, maar ook op de beveiliging van fysieke assets en OT-systemen.

Aandacht voor bewustzijnstrainingen

Daarnaast moet er binnen organisaties meer aandacht komen voor bewustzijnstrainingen voor medewerkers. Veel beveiligingsincidenten, zowel fysiek als digitaal, ontstaan door menselijke fouten. Het IT Trendonderzoek 2024 van Supply Value liet zien dat maar liefst 90 procent van de security-incidenten bij organisaties het resultaat is van menselijke fouten, waarmee het belang van een hoog security-bewustzijn onder medewerkers maar weer eens benadrukt is. Door medewerkers te trainen in het herkennen van potentiële dreigingen en het correct handelen bij een beveiligingsincident, kunnen bedrijven hun weerbaarheid tegen aanvallen aanzienlijk verhogen.

Investeren in up-to-date beveiligingssystemen

Een andere belangrijke stap naar een geïntegreerde beveiligingsstrategie is het investeren in up-to-date beveiligingssystemen en het waarborgen van een goed beheer van bestaande systemen. Dit betekent dat organisaties regelmatig hun fysieke en digitale infrastructuur moeten evalueren en ervoor moeten zorgen dat verouderde systemen worden vervangen of bijgewerkt. Het gebruik van de juiste asset management tools is hierbij essentieel. Met deze tools breng je in kaart welke systemen en apparaten er allemaal op het netwerk zijn aangesloten, welke softwareversies worden gebruikt en waar de grootste kwetsbaarheden liggen. Dit biedt een beter inzicht in wat er precies moet worden beschermd en hoe je kwetsbaarheden kunt vermijden.

De toenemende verwevenheid van fysieke beveiliging en cyber security maakt een geïntegreerde benadering van beveiliging noodzakelijk. Door de digitalisering van zowel beveiligingssystemen als operationele technologieën ontstaat een situatie waarin kwetsbaarheden in één domein ook direct gevolgen kunnen hebben voor het andere. Organisaties moeten hun securitystrategieën dan ook herzien en investeren in zowel technologische oplossingen als organisatorische veranderingen om in te kunnen spelen op deze nieuwe uitdagingen. Een gecoördineerde aanpak zal in de toekomst steeds belangrijker worden om zowel fysieke als digitale assets effectief te beschermen.

Auteur Frank van Olphen is bestuurslid binnen het algemeen bestuur van de Federatie Veilig Nederland en directeur Cyber Security for Control Systems (CS2), onderdeel van Croonwolter&dros.

 

Volg Security Management op LinkedIn


;

Gerelateerde berichten

Deze website is ontwikkeld voor Internet Explorer 9 of hoger, werk uw browser a.u.b. bij naar een recentere versie.
Cookies
Om u beter van dienst te kunnen zijn, maakt Securitymanagement gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
Instellingen