“In aansturingskasten die op straat staan zitten industriële (PLC) besturingen. Die hebben een wachtwoord, en dat moet ook, want je wil niet dat die kasten gehackt worden. Het probleem is dat de gebruikte wachtwoorden vaak niet heel sterk zijn, en bovendien zitten in veel aansturingskasten hetzelfde wachtwoord”, vertelt Gerben Bijhold, principal consultant bij ICT TriOpSys.
In dit artikel belichten we hoe een secret management systeem de beveiliging van slimme infrastructuur verbetert. We spreken met Gerben Bijhold, die als principal consultant bij ICT TriOpSys verantwoordelijk was voor de ontwikkeling en implementatie van dit systeem. We kijken naar de aanleiding, bespreken de voordelen, en onderzoeken zowel de technische als organisatorische uitdagingen. Daarnaast presenteren we enkele use cases die laten zien hoe dit systeem waardevol kan zijn voor overheden en organisaties die veel apparaten in het veld beheren.
De uitdaging van infrastructurele beveiliging
Tegenwoordig wordt er veel apparatuur ingezet in de openbare ruimte om een breed scala aan gegevens te verzamelen én om infrastructuur aan te sturen. Het doel hiervan is om steden slimmer in te richten en essentiële omgevingsfactoren beter te kunnen monitoren en beheren. Zo kunnen bijvoorbeeld waterstanden nauwkeurig bijgehouden worden, verkeersregelinstallaties registreren niet alleen verkeersstromen en wachttijden, maar sturen ook verkeerslichten aan. Diverse sensoren meten luchtkwaliteit en geluidsniveaus, terwijl aansturingssystemen bijvoorbeeld waterpompen en sluizen bedienen. Camera’s leggen beelden vast voor verkeersmonitoring, en andere systemen verzamelen gegevens over parkeerbezetting en regelen het energieverbruik van openbare verlichting. Al deze data en aansturingsmogelijkheden vormen samen de basis voor een slimme, data-gedreven infrastructuur die steeds belangrijker wordt voor effectief stedelijk beheer.
In de Baseline Informatiebeveiliging Overheid (BIO) staat dat wachtwoorden regelmatig gewijzigd moeten worden en aan bepaalde complexiteitseisen moeten voldoen. Voor apparatuur in de openbare ruimte blijkt dit echter vaak een uitdaging. Het is makkelijk voor te stellen: in één stad kunnen wel honderden apparaten op straat staan, elk met hun eigen wachtwoord. Het naleven van de BIO-wetgeving zonder gespecialiseerde oplossing zou betekenen dat iemand handmatig al die wachtwoorden moet aanpassen en bijhouden. “Dat is bijna een dagtaak”, legt Gerben uit. Niet alleen is dit proces tijdrovend, maar het is ook zeer foutgevoelig. Zonder centraal systeem is het lastig om alle wachtwoorden op één plek bij te houden en veilig te bewaren. Met honderden apparaten in het veld wordt dat al snel onbeheersbaar.
Het secret management systeem
Om de problemen met wachtwoordbeheer op te lossen, heeft ICT TriOpSys een secret management systeem ontwikkeld dat het proces van wachtwoordbeheer automatiseert en veel efficiënter maakt. Het systeem bevat een beveiligde wachtwoordkluis die wachtwoorden kan genereren volgens specifieke profielen. Afhankelijk van de software die draait kan een andere lengte van het wachtwoord gekozen worden, en met of zonder specifieke tekens. Door de centrale opslag in de kluis zijn wachtwoorden niet langer verspreid over verschillende applicaties, wat een aanzienlijke verbetering van de beveiliging betekent.
Een andere belangrijke functie van het systeem is het veilig verlenen van toegang tot de kluis voor applicaties die de wachtwoorden nodig hebben, wat het beveiligingsrisico aanzienlijk vermindert. Bovendien zorgt ICT TriOpSys ervoor dat systeembeheerders zelf het systeem kunnen onderhouden en uitbreiden, wat de zelfredzaamheid vergroot.
De beveiliging staat voorop bij dit systeem. Doordat wachtwoorden niet meer in de applicaties zelf geconfigureerd hoeven te worden, worden deze niet verspreid maar staan ze centraal opgeslagen in een goed beveiligde kluis. Dit vermindert het risico op ongeautoriseerde toegang aanzienlijk.
Het systeem maakt het eenvoudig om te voldoen aan de BIO-richtlijnen voor wachtwoordbeleid. In de BIO staan richtlijnen waarin de vervangingsfrequentie wordt bepaald door de lengte en complexiteit van het wachtwoord. Met automatische generatie kunnen sterke wachtwoorden worden gecreëerd die voldoen aan deze richtlijnen, zonder dat dit extra werk oplevert voor de beheerders. Door deze efficiënte aanpak is het voor organisaties gemakkelijker om aan de vereiste beveiligingsnormen te voldoen.
Optimale betrouwbaarheid door robuust ontwerp
Bij het ontwerp van het secret management systeem is maximale betrouwbaarheid een topprioriteit. De continuïteit van de dienstverlening is gewaarborgd dankzij een slim redundantiesysteem met zes gesynchroniseerde kluizen, die verspreid staan op verschillende hardware en locaties. Dit zorgt ervoor dat de infrastructuur zonder onderbreking blijft functioneren, zelfs wanneer een individuele server uitvalt.
Om de robuustheid voortdurend te verbeteren, worden regelmatig zogeheten ‘chaos monkey tests’ uitgevoerd. Hierbij wordt bewust de stekker uit een server getrokken om te verifiëren dat alle systemen blijven functioneren zoals verwacht. Deze proactieve aanpak zorgt ervoor dat het systeem onder alle omstandigheden betrouwbaar blijft.
Voor organisaties die overwegen een secret management systeem te implementeren, is er een doordacht implementatietraject ontwikkeld. ICT TriOpSys kiest voor een geleidelijke implementatie zodat het team kan meegroeien met de nieuwe oplossing.
“We werken samen met de organisatie om te zorgen dat het systeem goed beheerd kan worden,” legt Gerben uit. “Dit betekent dat servicedesk-medewerkers leren hoe ze dashboards kunnen monitoren en dat systeembeheerders de technische aspecten onder de knie krijgen. Bij een grote gemeente hebben we bijvoorbeeld gezien dat een servicedesk en systeembeheerafdeling van voldoende omvang zorgt voor een stabiele operatie. Kleinere organisaties kunnen gebruik maken van extra ondersteuning waar nodig.”
Wijdverspreide toepassingen
Het systeem is waardevol voor diverse apparatuur in de openbare ruimte. De toepassingen zijn veelzijdig en omvatten onder andere openbare verlichting, verkeersregelinstallaties, radarsystemen voor verkeersmetingen, klimaatsensoren, waterpeilmeters, toegangssystemen voor publieke gebouwen, camera’s voor verkeersmonitoring, parkeerbeheersystemen en energiemeters voor openbare voorzieningen.
Het secret management systeem is relevant voor alle apparatuur die in het veld staat en waarvoor een hoog beveiligingsniveau essentieel is. Dit maakt het systeem waardevol voor diverse instanties, van gemeenten tot waterschappen en beveiligingsbedrijven die vele apparaten in de buitenruimte of in publieke gebouwen beheren.
Toekomstwaarde
Het secret management systeem biedt grote waarde voor alle typen apparatuur in de infrastructuur. De centrale beveiligde wachtwoordkluis vormt het hart van het systeem. Hierin worden alle credentials veilig beheerd, waarbij ook oudere apparaten die minder frequente wachtwoordwisselingen ondersteunen toch conform de BIO-richtlijnen kunnen worden beveiligd. Applicaties krijgen via een beveiligde methode toegang tot deze credentials, waardoor de algehele veiligheid van de infrastructuur significant verbeterd.
Met de toenemende digitalisering van onze infrastructuur wordt de waarde van het secret management systeem alleen maar groter. Het systeem is ontworpen om duizenden, zelfs miljoenen apparaten te beheren. De centrale wachtwoordkluis vormt hierbij de kern van de oplossing, terwijl de mogelijkheid om wachtwoorden automatisch te wijzigen een belangrijke aanvullende functionaliteit biedt die het systeem van ICT TriOpSys onderscheidt in de markt.
Meer weten over hoe secret management uw infrastructuur kan beveiligen? Neem contact op.
