HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT CYBERSECURITY

Hoe beoordeelt u OT en IT cybersecurity op een geïntegreerde manier? Certificeringsspecialist Adelina-Elena Voicu presenteert haar onderzoek.

... > OT Site Assessment > Het overbruggen van de kloof tussen OT en IT cybersecurity

HET OVERBRUGGEN VAN DE KLOOF TUSSEN OT EN IT

OT-systemen waren vroeger geïsoleerd van netwerken waarop IT-systemen draaiden. IT en OT cybersecurity werden behandeld als afzonderlijke kwesties. Maar de twee worden steeds meer geïntegreerd. Bij het beoordelen van de beveiliging van deze systemen betekent deze integratie nieuwe uitdagingen. Adelina-Elena Voicu, certificeringsspecialist bij Bureau Veritas Cybersecurity, heeft deze uitdagingen uitvoerig onderzocht. Ze beantwoordt drie vragen over haar onderzoek.

WAAROM HEBBEN WE EEN GECOMBINEERDE AANPAK VAN IT EN OT BEVEILIGING NODIG?

'De meeste organisaties hebben tegenwoordig zowel IT- als OT-infrastructuur. Voor OT-systemen is de te volgen norm IEC 62443-2-1. Deze norm is geïnspireerd door de norm voor IT-systemen: ISO 27001. Dit betekent dat deze twee normen vergelijkbare controls bevatten. Maar de ene is specifiek gemaakt voor IT en de andere specifiek voor OT.'

VERSCHILLEN EN OVERLAP

'Als we een Assessment uitvoeren op basis van OT-controls, kunnen we relevante IT-controls missen. Tegelijkertijd kunnen we niet zomaar IT-controls gebruiken en deze uitbreiden naar OT-omgevingen, omdat dit tot conflicten kan leiden.'

'Dus wat ik heb onderzocht is: hoe kunnen we een geïntegreerde IT/OT cybersecurity-aanpak creëren op basis van deze twee vergelijkbare normen? Om dit te doen heb ik de verschillen en overlappende delen van de twee normen, ISO 27001 en de implementatierichtlijnen in ISO 27002, in kaart gebracht.'

Adelina small

Adelina-Elena Voicu

Certification specialist

Secura

Als er een noodsituatie is in een fabriek en een operator moet toegang krijgen tot het bedieningsscherm, kan een wachtwoordvereiste een veiligheidsrisico worden.

WELKE CONFLICTEN KUNNEN ER ONTSTAAN ALS U EEN IT-CONTROL TOEPAST IN EEN OT-OMGEVING?

'Laten we het hebben over veilige authenticatie. Het is simpel om te vereisen dat u en ik een wachtwoord gebruiken voor onze laptops. Maar wat als we deze vereiste uitbreiden naar een bedieningsscherm in een fabriek? Als er een noodgeval is en een operator snel toegang moet krijgen tot dat scherm, kan een wachtwoordvereiste de reactiesnelheid vertragen. In zo'n geval wordt het wachtwoord, een IT-beveiligingscontrol, een veiligheidsrisico. Beveiliging is belangrijk, maar veiligheid heeft altijd prioriteit.'

HOE KUNT U DIT ONDERZOEK PRAKTISCH TOEPASSEN?

'We zijn nog bezig met het uitwerken van de praktische implicaties. Maar stelt u zich voor dat u een Assessment wilt uitvoeren om de volwassenheid van uw beveiligingsaanpak te meten. Voor zo'n Assessment zou u bijvoorbeeld controls uit IEC 62443 kunnen toepassen voor uw OT-omgeving, of ISO 27001 voor een IT-omgeving.'

'En als uw bedrijf nu beide omgevingen heeft? Een volledig Assessment voor beide zou tijdrovend en kostbaar zijn. Als we echter de overlappende delen tussen de twee normen kunnen identificeren, kunnen we één Assessment gebruiken om zowel IT als OT af te dekken. Tijdens het Assessment hoeven we bepaalde vragen dan slechts eenmaal te stellen. Dit bespaart zowel tijd als geld.'

Lees meer over dit onderzoek naar het evalueren van de beveiliging van IT/OT-omgevingen in deze twee Whitepapers.

Whitepapers

USP

Gecombineerde aanpak van IT en OT

Het in kaart brengen van de kloven en overlappingen tussen ISO 27001 en IEC 62443

Download
USP

Implementatie conflicten

Hoe implementatieconflicten te vermijden tussen ISO 27001 en IEC 62443

Download
Highlight-image

About the author

Adelina-Elena Voicu works as a junior certification specialist at Bureau Veritas Cybersecurity within the Product Manufacturers market group. She completed a master’s degree in the Information Security and Technology field at the Eindhoven University of Technology. Since graduating she has been working at Bureau Veritas Cybersecurity on projects related to products certification, with a special focus on connected vehicles and industrial products.

Gerelateerde Diensten

Related image

Security Maturity Assessment

Wat is het huidige Maturity Level van uw organisatie en wat kunt u doen om dit te verbeteren?

 Related image

OT Risk Assessment

Beoordeel uw Operational Technology-omgeving om risico's te identificeren, tegenmaatregelen te prioriteren en uw activa te beschermen tegen toenemende cyberdreigingen.

 Related image

Threat Modeling

Ontdek potentiële cyberdreigingen voor uw systeem of applicatie met de Threat Modeling service van Bureau Veritas Cybersecurity, zodat u proactief effectieve beveiligingsmaatregelen kunt implementeren.

NEEM Contact OP

Wilt u meer informatie over het gecombineerd beoordelen van uw IT- en OT-omgevingen? Vul het contactformulier in en wij nemen binnen één werkdag contact met u op.

USP

Waarom kiezen voor Bureau Veritas Cybersecurity

Bureau Veritas Cybersecurity is uw specialist op het gebied van digitale veiligheid. Wij ondersteunen organisaties bij het in kaart brengen van risico’s, het verbeteren van hun verdediging en het naleven van wet- en regelgeving. Onze dienstverlening bestrijkt mens, proces en technologie: van awareness-trainingen en social engineering tot advies, compliance en technische beveiligingstests.

We werken in IT-, OT- en IoT-omgevingen en ondersteunen zowel digitale systemen als verbonden producten. Met ruim 300 cybersecurity-specialisten wereldwijd combineren we diepgaande technische kennis met internationale slagkracht. Bureau Veritas Cybersecurity is onderdeel van Bureau Veritas Group, wereldwijd actief in testen, inspectie en certificering.