HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT CYBERSECURITY

Hoe beoordeelt u OT en IT cybersecurity op een geïntegreerde manier? Certificeringsspecialist Adelina-Elena Voicu presenteert haar onderzoek.

... > OT Site Assessment > Het overbruggen van de kloof tussen OT en IT cybersecurity

HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT

OT-systemen waren vroeger geïsoleerd van netwerken waarop IT-systemen draaiden. IT en OT cybersecurity werden behandeld als afzonderlijke kwesties. Maar de twee worden steeds meer geïntegreerd. Bij het beoordelen van de beveiliging van deze systemen betekent deze integratie nieuwe uitdagingen. Adelina-Elena Voicu, certificeringsspecialist bij Secura, heeft deze uitdagingen uitvoerig onderzocht. Ze beantwoordt drie vragen over haar onderzoek.

WAAROM HEBBEN WE EEN GECOMBINEERDE AANPAK VAN IT EN OT BEVEILIGING NODIG?

'De meeste organisaties hebben tegenwoordig zowel IT- als OT-infrastructuur. Voor OT-systemen is de te volgen norm IEC 62443-2-1. Deze norm is geïnspireerd door de norm voor IT-systemen: ISO 27001. Dit betekent dat deze twee normen vergelijkbare controls bevatten. Maar de ene is specifiek gemaakt voor IT en de andere specifiek voor OT.'

VERSCHILLEN EN OVERLAP

'Als we een Assessment uitvoeren op basis van OT-controls, kunnen we relevante IT-controls missen. Tegelijkertijd kunnen we niet zomaar IT-controls gebruiken en deze uitbreiden naar OT-omgevingen, omdat dit tot conflicten kan leiden.'

'Dus wat ik heb onderzocht is: hoe kunnen we een geïntegreerde IT/OT cybersecurity-aanpak creëren op basis van deze twee vergelijkbare normen? Om dit te doen heb ik de verschillen en overlappende delen van de twee normen, ISO 27001 en de implementatierichtlijnen in ISO 27002, in kaart gebracht.'

Adelina-Elena Voicu

Certification specialist

Secura

Als er een noodsituatie is in een fabriek en een operator moet toegang krijgen tot het bedieningsscherm, kan een wachtwoordvereiste een veiligheidsrisico worden.

WELKE CONFLICTEN KUNNEN ER ONTSTAAN ALS U EEN IT-CONTROL TOEPAST IN EEN OT-OMGEVING?

'Laten we het hebben over veilige authenticatie. Het is simpel om te vereisen dat u en ik een wachtwoord gebruiken voor onze laptops. Maar wat als we deze vereiste uitbreiden naar een bedieningsscherm in een fabriek? Als er een noodgeval is en een operator snel toegang moet krijgen tot dat scherm, kan een wachtwoordvereiste de reactiesnelheid vertragen. In zo'n geval wordt het wachtwoord, een IT-beveiligingscontrol, een veiligheidsrisico. Beveiliging is belangrijk, maar veiligheid heeft altijd prioriteit.'

HOE KUNT U DIT ONDERZOEK PRAKTISCH TOEPASSEN?

'We zijn nog bezig met het uitwerken van de praktische implicaties. Maar stelt u zich voor dat u een Assessment wilt uitvoeren om de volwassenheid van uw beveiligingsaanpak te meten. Voor zo'n Assessment zou u bijvoorbeeld controls uit IEC 62443 kunnen toepassen voor uw OT-omgeving, of ISO 27001 voor een IT-omgeving.'

'En als uw bedrijf nu beide omgevingen heeft? Een volledig Assessment voor beide zou tijdrovend en kostbaar zijn. Als we echter de overlappende delen tussen de twee normen kunnen identificeren, kunnen we één Assessment gebruiken om zowel IT als OT af te dekken. Tijdens het Assessment hoeven we bepaalde vragen dan slechts eenmaal te stellen. Dit bespaart zowel tijd als geld.'

Lees meer over dit onderzoek naar het evalueren van de beveiliging van IT/OT-omgevingen in deze twee Whitepapers.

Whitepapers

Gecombineerde aanpak van IT en OT

Het in kaart brengen van de kloven en overlappingen tussen ISO 27001 en IEC 62443

Download

Implementatie conflicten

Hoe implementatieconflicten te vermijden tussen ISO 27001 en IEC 62443

Download

About the author

Adelina-Elena Voicu works as a junior certification specialist at Secura within the Product Manufacturers market group. She completed a master’s degree in the Information Security and Technology field at the Eindhoven University of Technology. Since graduating she has been working at Secura on projects related to products certification, with a special focus on connected vehicles and industrial products.

Gerelateerde Diensten

Security Maturity Assessment

Wat is het huidige Maturity Level van uw organisatie en wat kunt u doen om dit te verbeteren?

OT Risk Assessment

Beoordeel uw Operational Technology-omgeving om risico's te identificeren, tegenmaatregelen te prioriteren en uw activa te beschermen tegen toenemende cyberdreigingen.

Threat Modeling

Ontdek potentiële cyberdreigingen voor uw systeem of applicatie met de Threat Modeling service van Secura, zodat u proactief effectieve beveiligingsmaatregelen kunt implementeren.

NEEM Contact OP

Wilt u meer informatie over het gecombineerd beoordelen van uw IT- en OT-omgevingen? Vul het contactformulier in en wij nemen binnen één werkdag contact met u op.

Waarschuwing

Gelieve het e-mail adres correct in te voeren

Waarschuwing

Gelieve alle links en e-mailadressen uit de invoervelden te verwijderen (behalve het e-mailadresveld).

info@secura.com
+31 (0) 88 888 31 00

Voornaam

Achternaam

Bedrijf / Organisatie

Telefoonnummer

E-mailadres

Bericht

Ik geef toestemming om mijn gegevens te verwerken zoals beschreven in de Privacy Policy.

Waarom kiezen voor Secura | Bureau Veritas

Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.

Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.