De security van SCADA: welke norm kies je?
Onlangs werden de resultaten gepresenteerd van een onderzoek van de Universiteit van Twente naar de security van Nederlandse SCADA- systemen. Uit het onderzoek bleek nog maar eens dat die security nog lang niet op orde is. Er werden honderden (onderdelen) van SCADA-systemen gevonden met een directe koppeling aan het internet. Vanuit een security oogpunt bezien een doodzonde. De vraag is: hoe lossen we de voortdurende kwetsbaarheid van deze systemen op?
In eerdere blogs van Koos van der Spek over dit onderwerp werd al aandacht besteed aan veel voorkomende kwetsbaarheden die bestaan voor SCADA- systemen en het belang van SCADA-cybersecurity. De overheid onderschrijft dit belang steeds vaker, omdat zij ook steeds beter de kwetsbaarheden in beeld krijgt. SCADA-systemen zijn dan ook regelmatig onderdeel van vitale infrastructuur, waardoor het belang voor een ongestoorde dienstverlening daarvan groot is voor de maatschappij.
Ondanks dat dit belang duidelijk wordt onderschreven door de overheid en andere betrokken organisaties, lukt het echter nog niet om centraal duidelijk te sturen op het gebied van SCADA-cybersecurity. Er wordt door het NCSC wel een handreiking gedaan als het gaat om minimale beveiligingseisen, maar verdere implementatie hulp kan zij ook niet bieden. Logisch, want de capaciteit bij de overheid is beperkt en er mag ook inzet van de organisaties met SCADA-systemen zelf verwacht worden.
De vraag die we dan ook vaak krijgen is welke norm of standaard het beste gebruikt kan worden voor een gestructureerde en efficiënte beveiliging van SCADA omgevingen.
Er zijn namelijk meerdere opties voor SCADA-cybersecurity. De meest gebruikte normen op dit moment zijn: de NIST 800-82, IEC62443 of de ISO27001 en 2. Vooral de eerste twee zijn normen die specifiek gericht zijn op SCADA-cybersecurity. De ISO27001 en 2 is vooral bekend vanuit de kantoorautomatisering. Voor al deze normen geldt: er zijn veel overeenkomsten en de verschillen zijn klein, dus: welke kies je?
De ISO27001 en 2 is de meest bekende norm die zoals gezegd voornamelijk in ICT voor kantooromgevingen wordt toegepast. We hebben echter ook al implementaties en zelfs ISO27001 certificeringen in SCADA-omgevingen gezien.
De NIST 800-82 is een van oorsprong Amerikaanse norm, die redelijk compact een aantal belangrijke onderwerpen voor SCADA-cybersecurity bespreekt en implementatieadvies en best practices geeft. Het verschil met gebruik in Europa en in Amerika is dat deze norm in Amerika verplicht voorgeschreven is voor dienstverleners van vitale infrastructuren. In Nederland wordt deze norm veel gebruikt vanwege de pragmatische insteek en best practices. De IEC62443 is specifiek ontwikkeld voor SCADA-cybersecurity. De ontwikkeling van deze norm is nog volop bezig, maar er zijn al een groot aantal delen verschenen. De IEC62443 bestaat dus uit meerdere delen en is daardoor wat omvangrijker dan de NIST 800-82 of de ISO27001 en 2. In opzet vertonen de laatste twee normen echter veel gelijkenissen met de ISO27001 en 2 serie. Niet zo vreemd als je aantekent dat de IEC62443 voor meer dan 80% voortborduurt op de ISO27001 en 2 en de NIST 800-82.
Uit onze jarenlange praktijkervaring met cybersecurity zowel in kantooromgevingen als in SCADA-omgevingen stellen wij dat het in principe niet uitmaakt welke norm je gebruikt. Welke norm je ook kiest, het is veel belangrijker om te kijken welke cybersecurity maatregelen jouw organisatie nodig heeft en op welke wijze je die toepast of implementeert. Als het gaat om bekende maatregelen zoals logische toegangsbeveiliging, malwarescanning, bewustwording, segmentering en hardening dan heeft elke norm hier wel een best practice voor. De kunst is om deze best practice te ‘vertalen’ naar een norm en implementatievorm die het beste bij jouw eigen organisatie past. Gekeken naar de praktijk is het dan ook veel waardevoller om een eigen normenkader te ontwikkelen, gebaseerd op (bijvoorbeeld) de hierboven besproken normenkaders en voorbeelden. Daarmee breng je de organisatie op een efficiëntere manier op het juiste beveiligingsniveau en wordt de organisatie niet belast met onnodige ballast van administratieve procedures of maatregelen. Een normenkader die op deze wijze tot stand komt kun je gebruiken als toetskader om de verschillende SCADA-omgevingen te checken en zonodig aanvullende maatregelen te nemen. Hiermee ontstaat een eenduidig en consistent beeld van de beveiliging van de organisatie.
Dus welke norm kun je het beste kiezen voor de security van je SCADA-omgeving? Kies in ieder geval de best passende maatregelen en weet dat in de praktijk blijkt dat een zelf ontwikkeld normenkader gebaseerd op best practices van de bestaande normen en de best passende implementatie vorm vaak het beste resultaat biedt.