OT Site Assessment

> Operationele Technologie > OT Site Assessment

OT Site Assessment

Industriële controlesystemen worden steeds meer internet verbonden en daarmee ook kwetsbaarder voor cyberaanvallen. De gevolgen hiervan hebben een negatieve invloed op de continuïteit en veiligheid van organisaties. Het adresseren van deze risico’s is belangrijk voor organisaties die hun industriële netwerken willen beschermen.

Ontdek meer over de OT Site Assessment:

  1. De risico's van cyberaanvallen op ICS- en SCADA-systemen
  2. Wat is een OT Site Assessment?
  3. De resultaten van een OT Site Assessment
  4. Inzichten verstrekt door Secura

Risico's van aanvallen op ICS- en SCADA-systemen

Cyberaanvallen op ICS en SCADA-systemen kunnen de veiligheid, beschikbaarheid en betrouwbaarheid van systemen, operaties en productieketens beïnvloeden. Dit kan leiden tot catastrofale gevolgen. Organisaties die hier kwetsbaar voor zijn vinden we in tal van industrieën, waaronder, maar niet beperkt tot, energie, water, nucleair, productie, infrastructuur, transport (spoorwegen, havens en luchthavens) en olie en gas.

De impact van deze aanvallen is groot: reputatieschade, het vertrouwen van aandeelhouders, systeemuitval, productieverlies, letsel of zelfs verlies van mensenlevens. Organisaties moeten daarom nagaan of ze de juiste mensen hebben om ICS-beveiliging te beheren en te onderhouden. Hoewel IT en OT in de loop der jaren steeds meer convergeren en integreren, blijft er een kloof in begrip en praktijk tussen OT en IT-beveiliging bestaan. Deze kritieke vaardigheidskloof draagt bij aan beveiligingsproblemen, die vaak worden overzien, maar die op de juiste manier moeten worden geïdentificeerd en aangepakt. Secura biedt organisaties de mogelijkheid om de controle over hun OT-beveiliging te houden of terug te krijgen.

Highlight-image

Wat is een OT Site Assessment?

Secura heeft een bewezen methodologie voor OT Site Assessments ontwikkeld die de internationaal erkende normen en best practices, zoals IEC 62443, NIST SP 800-82 en ALARP volgt. Deze zijn specifiek afgestemd op industriële controle- en automatiseringssystemen. Het OT Site Assessment is specifiek ontworpen om technische risico's op siteniveau te identificeren, in tegenstelling tot risico's op organisatieniveau. Het gebruikt een bottum-up benadering die sitebezoeken, beoordelingen van systeemarchitectuur en interviews met materiedeskundigen omvat. Optioneel kan het onderzoek uitgebreid worden met penetratie testen of passieve netwerkanalyse om het beschermingsniveau tussen het IT en OT-netwerk te verifiëren.

Het OT Site Assessment omvat de volgende IEC 62443-gebieden en behandelt de volgende onderwerpen binnen elk aspect:

  • FR 1 - Identificatie- en authenticatiecontrole
  • FR 2 - Controle gebruiken
  • FR 3 – Systeemintegriteit
  • FR 4 - Vertrouwelijkheid van gegevens
  • FR 5 - Beperkte gegevensstroom
  • FR 6 - Tijdige reactie op gebeurtenissen
  • FR 7 - Beschikbaarheid van middelen

De oplevering van een OT Site Assessment


Er wordt een gedetailleerd beoordelingsrapport van de OT-site geleverd inclusief alle geïdentificeerde risico's, elk met een een uitleg en aanbeveling. Alle bevindingen krijgen een kwalitatieve risicobeoordeling. Secura volgt een standaard risicobeoordelingssysteem dat kan worden aangepast op basis van uw organisatie. Niet alleen de risico's voor het ICS worden geïdentificeerd, maar ook de gebieden die moeten worden gehandhaafd, worden opgenomen in het rapport waarin dus ook de sterke punten op het gebied van beveiliging van de betreffende faciliteit worden aangegeven.

Cyber-fysieke aanvalsscenario's worden geschetst door een gedetailleerde beschrijving te geven van hoe een aanvaller zich mogelijk zou kunnen richten op de specifieke site. Cyber-fysieke aanvalsscenario's kunnen alle relevante vereisten van IEC62443 omvatten.

Het eindresultaat

De door Secura gepresenteerde resultaten geven u de volgende inzichten:

  • Zijn de geïmplementeerde OT-beveiligingsmaatregelen effectief?
  • Hoe zijn deze risico's toegewezen aan de relevante delen van de IEC 62443-vereisten?
  • Mogelijk verbeteringen, waar nodig en onze aanbevelingen.

DOWNLOAD FACT SHEET

USP

Download Fact Sheet OT Site Assessment

Beschrijving van het OT Site Assessment

Download

IEC 62443 functionele vereisten

IEC 62443
OT Site Assessment: Aandachtsgebieden

FR1

Inschatting van de omvang van insiderrisico's gericht op de impact die kan worden veroorzaakt op basis van bestaande authenticatie regels en mitigerende maatregelen

FR2

Onderzoek naar de externe blootstelling in de vorm van ongewenste extern toegankelijke domeinen, systemen en modemconnectiviteit, evenals fysieke beveiligingsproblemen van de site, die van invloed kunnen zijn op de beschikbaarheid en veiligheid van de OT-systemen.

FR3

Analyse van OT-netwerkverkeer om verschillende soorten connectiviteit op locatie te onderzoeken, zowel intern als extern ten opzichte van het IT/OT scheidingsvlak om eventuele beveiligingsproblemen te identificeren.

Het beoordelen van de inherente cyberweerbaarheid van uw organisatie, zowel op systeemarchitectuur als op configuratieniveau.

FR4

Het beoordelen van de mogelijkheden en risico's van gegevensexfiltratie, zoals het verkrijgen van intellectueel eigendom, bedrijfsgeheimen, of gevoelige technische informatie ter voorbereiding op mogelijke sabotage.

FR5

Het op een passieve manier verzamelen van netwerkverkeer op afgesproken punten in het OT-netwerk en met behulp van netwerktaps of monitorpoorten. Er wordt geen gebruik gemaakt van actieve scanning of andere methoden die invloed zouden kunnen hebben op het OT-systeem.

FR6

Het beoordelen van OT-netwerk- en systeembeveiliging is bedoeld om te zien of kwaadwillende entiteiten (ongezien) in uw OT-netwerk kunnen komen en wat ze mogelijk kunnen compromitteren (bijvoorbeeld het controleren van de firewallconfiguratie en mogelijkheden tot zijwaarts beweging in het OT-netwerk).

FR7

Het uitvoeren van een analyse van de asset inventarisatie, netwerk architectuurtekeningen om te contoleren of de juiste zichtbaarheid en beheerprocessen aanwezig zijn.

Geïnteresseerd in een OT Site Assessment in uw bedrijf?

Wilt u meer weten over een OT Site Assessment? Vul het onderstaande formulier in en we nemen binnen één werkdag contact met u op.

USP

Gerelateerde diensten

OT Cyber FAT/SAT

OT Cyber FATSAT

Verbeter de cybersecurity van uw Industriële Besturingssystemen met Secura's ICS Cyber FAT/SAT diensten. Wij bieden grondige controles tijdens de FAT en SAT fasen, wat zorgt voor effectieve beveiliging gedurende de gehele projectlevenscyclus.

Threat Modeling voor Industrial Control Systems

Secura Threat Modeling Service

Threat Modeling geeft een compleet beeld van de dreigingen en mogelijk aanvalspaden. Deze aanvalspaden kunnen vervolgens worden gebruikt om bijvoorbeeld efficiënte testscenario's te creëren, ontwerpaanpassingen te maken of om aanvullende mitigerende maatregelen te definiëren.

Industrial VAPT

VAPT Industrial

Cybersecurity testen in industriële omgevingen vereist een gespecialiseerde aanpak vanwege verschillende risico's en dreigingsmodellen binnen OT. Kwetsbaarheidsbeoordeling & Penetratietesten geven inzicht in de cyberweerbaarheid.

Threat Modeling Training

In company training course or open to public

Threat modeling kan zeer nuttig zijn om de veiligheid onder controle te houden, terwijl de flexibiliteit om te verbeteren en te veranderen behouden blijft. Tijdens deze training leer je hoe threat modeling werkt volgens de STRIDE methodiek om de beantwoording van deze vragen te ondersteunen.

OT Cybersecurity Fundamentals Training

OT Cybersecurity

Industrial Control Systems vormen de ruggengraat van het dagelijks leven en liggen aan de basis van alles, van kritieke infrastructuur tot gebouwautomatisering. Deze cursus is ontworpen om deelnemers inzicht te geven in het OT-beveiligingslandschap, zodat ze ICS kunnen beoordelen en verdedigen.

Waarom kiezen voor Secura | Bureau Veritas

Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.

Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.