• Security policy
De organisatie is in het bezit van een security policy en deze is ook toegepast op de ICS/SCADA systemen. Dit houdt in dat er een set van regels zijn die definieert hoe de organisatie plant zich te beveiligen met betrekking tot informatietechnologie. Deze set van regels is in principe nooit afgemaakt en wordt continu geüpdatet. Een goede security policy draagt bij aan het treffen van de juiste beveiligingsmaatregelen tegen potentiële risico’s.
Preventief • Toegepast in voorgaande projecten
• Periodiek is er een IT-audit, waarbij de ICS/SCADA netwerken en omgeving ook binnen de scope van de audit vallen.
Adaptief • Niet toegepast in projecten
• Wel voorgesteld
• Verbeterpunt
• Cyber security/informatiebeveiliging is van toepassing op de complete soft- en hardware life-cycle van ICS/SCADA systemen. Beveiligingseisen moeten van toepassing zijn op gebieden als ontwikkeling, onderhoud, beheer, inkoop en vervanging etc. Het is noodzakelijk om afspraken te maken met externe partijen.
Preventief • Toegepast in voorgaande projecten
• Security awereness
Periodiek dient er een security awereness (bewustzijnwording) programma uitgevoerd te worden. Vooral ook gericht naar de medewerkers uit het ICS/ SCADA domein. De mens is een uitermate belangrijk aspect in de informatiebeveiliging. Met niet genoeg bewustwording is het mogelijk dat elke (technische) maatregel faalt. Toets dus daarom op tijden terugkerend het awereness niveau bij medewerkers.
Preventief • Niet toegepast in projecten
• Wel voorgesteld
• Verbeterpunt
• Incident -response plan
Er dient een incident response-plan of cyber recovery plan te zijn ontwikkeld, om te kunnen reageren op beveiligingsincidenten. In dit plan wordt duidelijk gemaakt hoe er wordt gereageerd, hoe de gevolgen worden gemitigeerd en hoe de dienstverlening wordt hervat. Zo een cyber recovery procedure instrueert medewerkers welke stappen of procedures ze moeten volgen als het ICS/SCADA netwerk of een component daarvan wordt geconfronteerd.
Repressief, correctief • Niet toegepast in projecten
• wel voorgesteld
• Back-ups
Periodiek moeten er passende back-ups worden genomen en bewaard in overeenstemming met een back-up beleid.
Correctief • Goed toegepast in voorgaande projecten
Tabel 7.Organisatorische en operationele maatregelen.
Logische en technische maatregelen
• Hardening
Door hardening van ISC/SCADA systemen kunnen kwetsbaarheden betrekkelijk snel verminderd worden. Veel systemen zijn tegenwoordig uitgebreider uitgevoerd voor eenvoudige procesbesturing. De systemen worden onnodig kwetsbaar door bijvoorbeeld achterstallige updates of open poorten.
Preventief • Matig toegepast in voorgaande projecten
• Verbeterpunt
• Poortbewaking
Poorten dienen gemonitord te worden of deze wel of niet ingeschakeld horen te zijn. Daarbij kunnen er op verschillende manieren getoond worden of dit het geval is. Er zijn twee manieren van monitoren. Link Down Monitoring en Link Up Monitoring. Zie paragraaf 5.3.3 voor de gehele uitleg.
Detectief • Goed toegepast in voorgaande projecten
• MAC-filter
MAC-filters kunnen worden gebruikt voor Access Control. Met behulp van Access Control voor individuele poorten, kunnen de poorten ontoegankelijk zijn voor onbekende hosts (MAC-addres). Als Access Control is ingeschakeld op een poort, worden de binnenkomende packets van onbekende hosts meteen weggegooid. Ongeautoriseerde gebruikers worden hiermee uitgesteld.
Detectief • Niet toegepast in projecten
• Wel voorgesteld
• Verbeterpunt
• Firewall
Er kunnen verschillende typen firewalls gebruikt worden voor meerlaagsbeveiliging. Bijvoorbeeld Proxy Gateway Firewalls die specifiek een bepaalde netwerkcomponent beschermt. De PGF is minder snel dan een firewall die alleen op netwerkniveau filters, maar zeer adequaat om de ICS-zones te beschermen.
Detectief, repressief • Goed toegepast in voorgaande projecten
• Redundantie
Het netwerk is in de huidige situatie in een ring topologie aangesloten. De ring topologie vereist het minst aantal glasvezelverbindingen om het netwerk redundant uit te voeren.
De voorkeur gaat uit naar een ster-vormig netwerk ontwerp, vanwege het deterministische karakter en optimale benutting van beschikbare bandbreedte. Een voorwaarde voor het realiseren van het ster-vormig netwerk ontwerp is de beschikbaarheid van voldoende glasvezels om elke switch dubbel aan te sluiten.
Preventief • Goed toegepast in voorgaande projecten
• Antivirussoftware op eindsystemen Preventief • Niet toegepast in projecten
• Verbeterpunt
Logische en technische maatregelen (vervolg 1)
• Optimalisatie van toegang op afstand
Als remote access noodzakelijk is voor bepaalde systemen dan moet deze verbinding zeer goed beveiligd zijn. Denk hierbij aan verschillende firewalls. Daarnaast hoort er een VPN te zijn geconfigureerd en dient het netwerk gemonitord te worden.
Preventief • Goed toegepast in voorgaande projecten
• Penetratietesten (pentesten)
Periodiek dienen er pentesten te worden uitgevoerd op de ICS/SCADA systemen om de zwakke plekken te detecteren en identificeren en vervolgens direct te verbeteren. Op deze manier kunnen aanvallen en incidenten van buitenaf worden voorkomen.
Detectief, adaptief • Niet toegepast in projecten
• wel voorgesteld
• uitgevoerd op testsystemen
• Zones (VLAN’s)
In de netwerkarchitectuur is het tegenwoordig handig en correct om verschillende zones te definiëren. De zone met het ICS/SCADA systeem dient ontkoppeld/gescheiden te zijn van andere bedrijfsnetwerkzones. Het is gepast om minimaal vier zones te creëren me elk zijn eigen dataverkeer. Eventueel moet het ICS/SCADA systeem ontkoppeld worden als niet noodzakelijke verbinding met het bedrijfsnetwerk of internet:
Zone met externe netwerkconnectiviteit.
Zone met het operationele gedeelte van het ICS/SCADA systeem.
Zone met het bedrijfsnetwerk/kantoornetwerk.
Zone voor het beheer van ICS/SCADA systemen.
Preventief • Goed toegepast in projecten
• Monitoren van de ICS/SCADA omgeving
Blijvende monitoring van de de netwerkinfrastructuur door netwerk managementtools wordt telkens een recente beeld van de veiligheid getoond. Door het monitoren worden onbekende kwetsbaarheden inzichtelijk. Vervolgens is het mogelijk aan te passen en te verbeteren.
Een Security Incident en Event Management (SIEM) oplossing is een mogelijkheid om te helpen en te structureren van de monitoring van de gebruikte beveiligingsoplossingen (firewalls, IDS, en dergelijke). De technologie van een SIEM oplossing biedt real-time inzicht in (beveiligings)waarschuwingen van netwerkcomponenten.
Detectief
• Goed toegepast in projecten
• Standaard wachtwoorden vervangen
De standaard inloggegevens en wachtwoorden moeten worden verwijderd. Er moet een wachtwoordenbeleid worden uitgedacht en uitgevoerd.
Preventief • Redelijk toegepast in projecten
2016-1-15-1452855819