Interview | Dean Parsons (Sans Institute)Industriële controlesystemen (ICS) vormen de ruggengraat van onze kritieke infrastructuur – van energiecentrales en olieplatforms tot aan waterzuiveringsinstallaties en ziekenhuizen. Toch ligt de beveiliging ervan vaak in handen van it-teams die de ins en outs van operationele technologie (ot) onvoldoende kennen. Dean Parsons, hoofdtrainer bij het Sans Institute en cybersecurityadviseur, stelt dat in een goede ics/ot-cyberbeveiligingsstrategie vijf controlemechanismes niet mogen ontbreken. ‘Ics beschermen levens.’Dean Parsons.Cybersecurity is allang niet meer alleen een it-aangelegenheid. In de wereld van industriële controlesystemen liggen de risico’s minstens zo hoog – en zijn de gevolgen vaak vele malen ernstiger. Dean Parsons, cybersecurityexpert en als trainer verbonden aan het Sans Institute, begon zijn carrière in de it, maar maakte al snel de overstap naar de wereld van de ot. ‘Ik dacht dat ik goed was in cybersecurity, tot ik met ics in aanraking kwam. Toen ontdekte ik dat zo’n zeventig procent van wat ik wist, niet toepasbaar was bij ot.’Waar it draait op bekende systemen als Windows en Linux, werken industriële controlesystemen met technologieën zoals plc’s, rtu’s, relais, meters; systemen die vaak geen besturingssysteem hebben en waar geen antivirus op is te installeren. ‘It’ers krijgen vaak de verantwoordelijkheid voor ics-beveiliging, maar missen de kennis van die niet-it-assets. Dat is een risico’, stelt Parsons.Vitale sectorParsons reist de wereld over om naast het geven van trainingen te adviseren over ics-security bij bedrijven uit de vitale sector, zoals ziekenhuizen, olieplatforms, waterzuiveringsinstallaties en elektriciteitscentrales. Overal krijgt hij dezelfde vraag: ‘Wat zijn de zaken die ik nú moet regelen?’ Zijn antwoord is steevast dezelfde set van vijf cruciale controlemechanismen die je in je ics/ot-cyberbeveiligingsstrategie moet inbouwen:Ics-specifiek incident-response-plan‘Je moet kunnen reageren op incidenten in systemen die geen Windows of Linux draaien. Dat vereist een ander plan dan wat je voor it hebt. Een onderdeel is naast het zorgen voor technische herstelmogelijkheden het ontwerpen en regelmatig uitvoeren van incident-respons-specifieke oefeningen.Verdedigbare netwerkarchitectuur‘Segmentatie is cruciaal. Bijna de helft van de ics-incidenten komt via het it-netwerk binnen. Je moet je ics-netwerk dus afschermen van it en internet.’Netwerkzichtbaarheid en monitoring‘Continue netwerkbeveiligingsbewaking van de ics-omgeving met protocolbewuste toolsets en analysemogelijkheden geeft je inzicht in je assets, kwetsbaarheden en incidenten én helpt bij technische probleemoplossing. Als je maar één ding kunt doen, doe dan dit.’Veilige toegang op afstand‘Toegang op afstand is onvermijdelijk, zeker met leveranciers en integrators. Als die niet goed beveiligd is, is het een van de grootste aanvalsvectoren. Daarom zijn identificatie en inventarisatie van alle remote access points en toegestane bestemmingsomgevingen essentieel en gebruik mfa waar mogelijk.’Risicogebaseerd kwetsbaarheidsbeheer‘In de it patch je meestal elke dertig dagen. In de ot werkt dat niet. Het dreigingsoppervlak is anders; je kunt bijvoorbeeld niet mailen in een ics-omgeving. Je moet daarom de specifieke kwetsbaarheden van apparaten en systemen inzichtelijk maken en daar passende voorzorgsmaatregelen bij nemen.’OpblazenHet verschil tussen it- en ot-beveiliging is niet alleen technisch, maar ook fundamenteel qua impact, vindt Parsons. ‘In it draait het om datalekken, bij ot kun je na een lek een transformator opblazen of een pijpleiding onder druk zetten. Je kunt mensenlevens in gevaar brengen.’ Ook speelt de geopolitieke component bij ot meer dan bij it. Bij it voert bij digitale aanvallen het financieel gewin, af te dwingen via ransomware, de boventoon, terwijl het bij ot vaak gaat om spionage of het toebrengen van schade. In oorlogssituaties zie je ook een mix van cyberdreigingen en fysieke aanvallen door statelijke actoren, op bijvoorbeeld energiecentrales, aldus de security-expert.Toch is de Canadees optimistisch: ‘Ics zijn makkelijker te verdedigen dan it-systemen, omdat er minder gebruikers zijn en minder variatie. Maar je moet wel die zeventig procent extra kennis opdoen. Dat kan via job shadowing, in dit geval het meekijken met engineers, of via hands-on trainingen.’ICS Summit en Cybersec NetherlandsDe ot-sector heeft niet zoals de it-sector aparte branche- of beroepsverenigingen, zoals Isaca. Wel worden er regelmatig evenementen georganiseerd, zoals de ICS Summit die dit jaar voor de twintigste keer plaatsvond. Sans Institute riep dit evenement in het leven om tegemoet te komen aan de groeiende behoefte aan onderwijs, training, kennisuitwisseling en gemeenschapszin op het gebied van ics/ot-cyberbeveiliging.Tijdens de aankomende Cybersec Netherlands, die op 10 en 11 september in de Jaarbeurs Utrecht plaatsgrijpt, staat ot centraal. De dreiging op industriële netwerken en kritieke infrastructuren neemt toe. Daarom krijgt ot dit jaar op de vakbeurs speciale aandacht met een eigen OT Dome en een OT Paviljoen en inhoudelijke betrokkenheid van partner The Hague Security Delta. Voor het programma, klik hier. Geen garantieEn hoe zit het met het gebruik van artificiële intelligentie (ai) in ot-omgevingen? Parsons ziet het zeker opkomen in ics, maar waarschuwt voor overschatting. ‘Ai is nuttig voor detectie en voorspellend onderhoud, bijvoorbeeld om te zien wanneer een transformator waarschijnlijk faalt. Maar ai is geen wondermiddel en mag geen beslissingen nemen of netwerkverkeer blokkeren. Daar zijn we nog niet.’Hij benadrukt dat ai vooralsnog geen prioriteit is. ‘Het staat niet in mijn top vijf, zelfs niet in mijn top tien. Eerst moeten de basiscontroles op orde zijn. Ai kan daarna een team versterken, maar het vervangt geen mensen.’ Zijn boodschap aan ceo’s is dan ook helder: ‘Bij ics gaat het om ot, het is wat het bedrijf draaiende houdt. It, personeelszaken, boekhouding… dat zijn afdelingen die het bedrijf ondersteunen. Maar de kern is ics. Als dat uitvalt, stopt alles. Dus investeer in mensen, in training, in de juiste technologie. En begin met die vijf controles.’Over de aanscherping van de compliance, zoals in Europa de invoering van de NIS2-wetgeving en bijbehorende Critical Entities Resilience-richtlijn is Parsons tevreden. ‘Overheden doen hun best. Dat helpt. Hou wel steeds voor ogen dat tegenstanders niets geven om beleid. Compliance is goed, maar geen garantie voor veiligheid.’Synthwave-cyberpunkDean Parsons is naast zijn cybersecuritywerk een verdienstelijke multimedia-componist/muzikant van synthwave-cyberpunk. Hij laat zich daarbij inspireren door het werkveld. Eerder dit jaar lanceerde hij onder de naam Arcade Knights het album Cyberhack, dat geluiden bevat van industriële besturingssystemen uit het veld alsook die van vintage-drummachines en -synthesizers uit de jaren tachtig. Dat is sowieso een decennium waar de Canadees een passie voor heeft qua pc’s en games (denk aan de Commodore 64), muziek, actiefilms en (sf)-comics.Het Cyberhack-album vertelt een futuristisch verhaal van ethische hackers die de strijd aanbinden met kwaadaardige ai. Het is een volledige multimedia-ervaring met behalve muziek een begeleidende video, graphic novel en Arcade Knights-merchandise. Eerder was Parsons verantwoordelijk voor het Arcade Knights-project Justice.‘Het is belangrijk om technologie te omarmen, maar laat het je leven niet beheersen’, zegt Parsons in een interview met muzieksite Upcoming 100. ‘Ik hou van technologie. Maar het is een tweesnijdend zwaard.’
computable
28-08-2025 17:00