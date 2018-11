Eerder deze maand werd de Wet beveiliging netwerk- en informatiesystemen (Wbnis) van kracht. Dat is de Nederlandse versie van de NIB/NIS, een Europese richtlijn die gaat over de IT-security van aanbieders van essentiële diensten. Essentiële diensten en digitale dienstverleners die onder de wet vallen, zijn (private) bedrijven die iets leveren wat bij uitval ontwrichtende effecten zouden hebben op het land. Denk daarbij aan ziekenhuizen, internetbedrijven, banken, ISP's en andere organisaties die van belang zijn voor de maatschappij als geheel.

Nieuw: zorgplicht voor beveiliging

Computerworld sprak met Auke Huistra, partner bij ICS/SCADA-beveiligingsbedrijf Applied Risk over deze nieuwe regelgeving en wat dat betekent voor Nederland. Hij wijst erop dat het land al langer op de goede weg is. "In Nederland lopen al veel initiatieven", zegt Huistra. "Je hebt hier bijvoorbeeld al een meldplicht voor vitale infrastructuurbedrijven, maar nu komen daar extra's bij." Hij noemt de nieuwe zorgplicht die onderdeel is van de Wbnis. Bedrijven moeten nu behalve het melden van incidenten onder de oude regelgeving nu ook treffende maatregelen hebben genomen om een incident te voorkomen.

Voor verschillende sectoren heb je nu een paar vaste coördinerende organisaties die de nationale autoriteit vormen op dit gebied. Voor bijvoorbeeld de financiële sector is dat De Nederlandsche Bank en voor energie en digitale infrastructuur is dat het Agentschap Telecom. Het NCSC is volgens de Wbnis het CSIRT van Nederland en blijft een aanspreekpunt voor bijvoorbeeld de in de eerdere Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) vastgelegde verplichting dat bedrijven in de vitale sector een beveiligingsincident melden.

Een privaat bedrijf dat een 'essentiële dienst' aanbiedt, moet "aantonen dat er wordt gewerkt aan het opsporen en dichten van gaten, bijvoorbeeld door regelmatig een assessment uit te voeren. Er kan bijvoorbeeld een audit komen van Agentschap Telecom of een verplichting om een audit te laten uitvoeren door een externe partij", vertelt Huistra. In het verleden, en zelfs nu nog, wordt veel afgeschoven op derde partijen die diensten en producten aanleveren, omdat bedrijven nou eenmaal afhankelijk zijn van toeleveranciers. "Met de NIB is dat niet goed genoeg meer. Met een audit moet je maar laten zien dat je treffende maatregelen neemt", zegt Huistra.

Simpele dingen eerst

Zoals we vaak terugzien in grote incidenten - neem de high-profile datakapingen bij Sony, Yahoo en LinkedIn - zijn vaak de simpele dingen niet in orde en op dat laaghangende fruit richten aanvallers zich dan ook graag. We maken ons vaak druk over opvallende en spannende gaten als Heartbleed en Meltdown, maar de meeste grote hacks bij organisaties worden uitgevoerd door social engineering en exploits die al jaren rondwaren.

Beveiligers hameren er dan ook al jaren op dat organisaties beter kijken naar de kwetsbaarheden waar zij specifiek zich aan blootstellen, ook al heeft die een lage CVSS-score. Met een wetgeving als de Wbnis worden organisaties met kritieke infrastructuur er onder meer toe gedwongen om te praten met collega's uit de sector om kennis te delen: waar hebben zij last van en welk type aanval is een reëel risico voor de organisatie? Dat is al winst, maar ook het verplicht testen en zoeken naar maatregelen om aanvallen te pareren maakt het land veiliger.

Onbedoelde consequenties

Enkele jaren gelden vertelde beveiliger Chris Roberts op RSA over hoe hij in zijn eigen buurt een open smart home-console vond waarmee hij toegang kreeg tot het hele thuisnetwerk, waarbij remote toegang tot het bedrijfsnetwerk van de smart home-eigenaar opmerkte. Dat bedrijf was een energieleverancier en de toegang die Roberts verkreeg was tot een beheerconsole die officieel niet te benaderen zou moeten zijn vanaf het publieke internet. Dat zou niet mogelijk moeten zijn, maar verschillende beveiligers hebben de afgelopen dergelijke scenario's opgemerkt waarbij ICS/SCADA niet gesegmenteerd blijkt en zelfs te benaderen is van buiten.

"Het zijn inderdaad vaak de onbedoelde consequenties van dit soort acties die grote organisaties onbeveiligd maken. Als je de basis op orde hebt, voorkom je al veel." Wat dat betreft zegt Huistra: "Vaak zijn het de basiselementen in de implementatie die moeten worden verbeterd. Wat we het meest zien in gesprek met OT (operaties binnen industriële omgevingen) en IT is een gebrek aan netwerkscheiding. Zorg ervoor dat de impact van een aanval wordt beperkt door het beheer te scheiden van de rest."

"Ten tweede is er de aanwezige remote access. Wie komen er allemaal binnen en heb je daar visibility op? En ten derde moet er een goede incident response zijn. Daar draait het er voornamelijk om dat je goed opgeleide mensen hebt die kunnen reageren op een aanval." Wat de juiste mensen betreft is er een zekere schaarste in de sector, denkt Huistra. "Wat we vooral zoeken is de combinatie OT en IT. Denk aan mensen met een ingenieursachtergrond in combinatie met IT."

Wat er vooral verandert

"De wereld in het hart van industriële operaties is heel anders dan in IT: je kunt dingen niet zomaar even platleggen. Als je kijkt naar een chemische fabriek, heb je een heel andere aanvliegroute, omdat Change Management daar nog meer gaat over continuïteit en persoonlijke veiligheid. Omdat je met een vervangingscyclus van een jaar te maken hebt, kijk je eerder naar welke tijdelijke risico's je kunt accepteren en hoe je deze mitigeert", licht Huistra toe.

Bedrijven waren hier al mee bezig voordat de Wbnis kwam, legt de beveiligingsdeskundige uit. Wat de wetgeving die ertoe moet leiden dat de kritieke infrastructuur van Europa beter wordt beveiligd vooral bereikt, is dat deze diverse projecten en aanpakken worden geharmoniseerd, aldus Huistra. Omdat alle neuzen dezelfde kant opstaan, moet de beveiliging van deze bedrijven efficiënter worden uitgevoerd en is het makkelijker om dezelfde ideeën breder uit te rollen.