“Tijdens de OneConference van het NCSC werd aan ruim duizend security professionals gevraagd hun hand op te steken als ze een actueel bedrijfscontinuïteitsplan hadden. Er gingen nog geen 25 handen omhoog. Dat is confronterend, maar wel heel herkenbaar,” aldus Marco Rijkschroeff, cybersecurity-adviseur bij de ICT Group.
Hoewel een informele handopsteking tijdens een conferentie geen wetenschappelijk onderzoek is, laat het wel zien dat er nog veel winst te behalen valt op het gebied van continuïteitsplanning. Digitalisering en automatisering nemen steeds verder toe, en dat maakt ook de noodzaak voor een gedegen bedrijfscontinuïteitsplan groter. Voor dit artikel spraken we met Marco Rijkschroeff over waarom zo’n plan vooral voor organisaties met OT-systemen een belangrijke investering is.
Het verschil tussen IT en OT continuïteit
“Een groot verschil tussen Informatie Technologie (IT) en Operationele Technologie (OT) is de focus die je hebt qua security,” legt Marco uit. “Voor IT, je kantoorautomatisering, is vertrouwelijkheid essentieel. Zo wil je niet dat je bedrijfsgeheimen en je unieke kennis uitlekken. Bij OT of industriële automatisering is dat anders. Daar is vertrouwelijkheid eigenlijk minder van belang, maar draait het vooral om beschikbaarheid.”
Hoewel het bij IT-systemen soms een optie is simpelweg de netwerkstekker eruit te trekken om de schade te beperken, vragen OT-systemen om andere oplossingen. “De meeste IT systemen kan je wel een paar uren missen. Bij een groot bedrijf als in de petrochemie of in de olieraffinaderij, kan een minuut stilstand tot enorme schade of zelfs tot ontploffingen leiden,” legt Marco uit. Organisaties waar het risico dusdanig hoog is, zullen een plan hebben voor continuïteit, maar het is voor alle organisaties belangrijk om hierover na te denken. Wat als stoplichten, productielijnen of de besturing van bruggen uitvallen?
Als bedrijven zeggen dat ze een business continuity plan hebben, bedoelen ze meestal alleen de IT-kant. Logisch ook, want standaarden als ISO27001 en ITIL vragen daar specifiek om. Maar tot de komst van nieuwe wetgeving zoals NIS2 en Cyberbeveiligingswet was er te weinig besef om de OT-systemen even grondig mee te nemen. Marco voegt toe: “Dat is zorgelijk, want juist die OT-systemen zijn cruciaal om na een incident weer te kunnen leveren, ook al is dat misschien met beperkingen. Klanten zitten echt niet te wachten tot je e-mail of facturatie weer werkt – die willen dat hun producten worden geleverd.”
Groeiende bewustwording nodig
“Toen ik begon in de IT, was er nog geen internet. Alles ging met diskettes en hoogstens één keer in de maand was een cyber incident in het nieuws. Toen het internet kwam werd dat één keer in de week. Dat groeide naar één keer per dag een paar jaar geleden. En op dit moment is er continu wel wat aan de hand,” reflecteert Marco op zijn dertigjarige ervaring in het veld.
Deze toename in cyberdreigingen onderstreept het belang van goede voorbereiding. Hoewel veel organisaties hier nog stappen in kunnen zetten, groeit het bewustzijn snel. Hou er rekening mee dat je bedrijf binnen drie jaar een cyberincident kan meemaken. Bekijk het recente Cybersecuritybeeld Nederland van het NCSC. In hoofdstuk 2 worden opmerkelijke beveiligingsincidenten en hun impact op het bedrijf, klanten en de keten helder uitgelegd in 11 pagina’s. Vraag je af: zou mij dit ook kunnen overkomen?
De Europese Unie erkent het belang van goede voorbereiding en stimuleert organisaties met de onlangs ingevoerde NIS2-richtlijn om een bedrijfscontinuïteitsplan op te stellen. “Directies en besturen worden hiermee niet alleen eindverantwoordelijk, maar ook betrokken bij het borgen van security,” benadrukt Marco. “Dit helpt om security hoger op de agenda te krijgen.”
Essentiële elementen van een continuïteitsplan
“Er zijn verschillende belangrijke aspecten van een goed continuïteitsplan,” legt Marco uit. “Ten eerste moet je weten wie de beslissing neemt om het plan in werking te zetten. Dat betekent ook dat als de hoogste directeur niet beschikbaar is, dan moet je ook weten wie anders even kan zeggen ‘nu gaan we beginnen met het uitvoeren van het plan’.”
Een andere cruciale succesfactor is de toegankelijkheid van het plan zelf. “Zorg dat het plan beschikbaar is, ook op het moment dat al jouw IT-systemen eruit liggen. Dat is toch wel een standaardfout die je wel eens ziet – dan doet je computer het niet meer, dan kan je het ook niet meer lezen,” adviseert Marco. Het plan moet passen binnen de normale werkwijze van het bedrijf en in een format dat voor iedereen begrijpelijk is.
Van plan naar praktijk
Het hebben van een plan op papier is een uitstekende eerste stap, oefen vervolgens of het ook werkt. Marco vergelijkt het met brandweeroefeningen: “Ieder bedrijf heeft verplicht een ontruimingsoefening ieder jaar. Door het oefenen zorg je ook dat je kleine denkfouten eruit haalt.” Deze oefeningen kunnen laagdrempelig beginnen. “Begin gewoon in een zaaltje waarbij je het alleen maar bespreekt. Van daaruit ga je het uitbreiden.”
Een waardevol aspect van bedrijfscontinuïteit in OT-omgevingen is het behouden van handmatige alternatieven. “Bij ‘langzame’ technologieën zoals bij geautomatiseerde supply chain, het bedienen van bruggen, sluizen, waterkeringen, daar moet je altijd kunnen overgaan op handbediening op het moment dat de automatisering niet werkt. Maar regel met je continuïteitsplan dan ook dat er medewerkers zijn die het kunnen bedienen. Dat is een uitgangspunt,” stelt Marco. Zeker met de groeiende afhankelijkheid van OT aan IT wordt het belangrijk om beschikbaarheid te borgen in de hele organisatie.
Hij illustreert dit met een praktijkvoorbeeld: “Er was drie jaar geleden een hack bij een leverancier van een grote supermarktketen, waardoor er geen kaas meer geleverd kon worden. Men wist niet naar welk filiaal welke kaas moest.” Dit incident zorgde ervoor dat één van de grote supermarktketens bij contractverlenging business continuity begon mee te nemen. Daarbij kijken ze nu ook inhoudelijk of óók de OT wordt vermeld. Is dat niet het geval, dan wordt het contract niet geaccepteerd.
Voorbereid op de toekomst
“Een business continuity plan is voor ieder bedrijf anders,” benadrukt Marco. “Er is een standaardformat dat gebruikt kan worden, maar wat ieder bedrijf moet doen is anders.” Het belangrijkste is volgens hem dat organisaties een start maken, want elk plan, hoe basic ook, is beter dan geen plan. Van daaruit kun je verder bouwen en verbeteren.
Verdiep uw kennis tijdens de IT/OT Security Roundtable
Experts van NCSC, Splunk en NS delen hun kennis tijdens een interactieve sessie over IT/OT-integratie in de (semi-)publieke sector.
- Locatie: Green Village, Nieuwegein
- Datum: donderdag 28 november
- Tijd: 12:00-16:00 uur
- Inclusief lunch