Nederland moet digitaal veiliger. Daarom heeft Minister Grapperhaus van Justitie en Veiligheid op 15 februari jl. het voorstel voor de Cybersecuritywet ingediend. In het nieuwsbericht van de Rijksoverheid staat het volgende: ‘Deze wet vloeit voort uit de Netwerk- en Informatiebeveiligingsrichtlijn (NIB-richtlijn) van de Europese Unie en komt erop neer dat aanbieders van essentiële diensten, zoals drinkwaterbedrijven, banken en beheerders van gas- en elektriciteitsleidingen in de loop van 2018 verplicht te voldoen aan beveiligingseisen.’
Helder. Maar waarom moeten juist deze bedrijven ‘adequate maatregelen nemen tegen inbreuken van buitenaf op hun netwerk- en informatiebeveiliging?’
Fysieke impact op mensen
Er zitten wat haken en ogen aan de digitale beveiliging van essentiële diensten en de gevolgen hiervan. Essentiële diensten hebben namelijk betrekking op kritieke infrastructuren. Wanneer er bij een aanbieder van dergelijke diensten een hack plaatsvindt, dan heeft dat direct impact op voorzieningen, bedrijven én op personen. Een hack op zo’n dienstverlener heeft direct fysieke gevolgen voor mensen. En dat gaat een stap verder dan een hack waarbij alleen materiële schade ontstaat.
Dit is mogelijk omdat er een verschuiving heeft plaatsgevonden in het toepassen van automatisering, waardoor een cyberaanval tevens een fysieke impact kan hebben. ‘Vroeger’ was dit niet het geval. Als er een computer gehackt werd, dan lag het bedrijf plat. Wat nu aan de orde is, is dat niet alleen een computer of laptop gehackt kan worden, maar bijvoorbeeld ook een auto, met alle risico’s van dien. Hierdoor is er geen scheiding meer tussen materiele en fysieke schade.
Chaos
Dit geldt ook voor bedrijven die essentiële diensten verlenen. Stel je voor dat er een hack op een wegbeheerder plaatsvindt waarna alle verkeerslichten tegelijk op groen staan. Of dat er een energiecentrale wordt gehackt. Dat heeft enorme gevolgen voor ziekenhuizen die over moeten op noodstroom of op de bereikbaarheid van telefooncentrales over internet (als de stroom eraf is doet de telefoon het niet meer). Reden te meer voor nieuwe, relevante wetgeving.
Een andere reden voor nieuwe wetgeving is de werkwijze van deze essentiële diensten. De bedrijven die deze diensten verlenen werken met ICS- en SCADA-systemen. De beveiliging van ICS- en SCADA-systemen is gecompliceerder dan de beveiliging van een kantooromgeving. Om de kwetsbaarheden in een netwerk in kaart te brengen zodat het netwerk beveiligd kan worden, moeten de aanwezige systemen gescand worden. Maar ICS- en SCADA-netwerken zijn hier, door de manier waarop ze zijn ingericht, niet altijd tegen bestand. Nog een reden om extra aandacht aan de beveiliging van deze diensten te besteden. Bovendien werkt de overheid met verschillende onderaannemers die aan bepaalde eisen zullen moeten voldoen om de digitale veiligheid van essentiële diensten te waarborgen.
De nieuwe wetgeving is dus onderweg. Maar waarom wachten met beveiligen tot het te laat is? BrainCap Cyber Security is specialist in het beveiligen van ISC- en SCADA-netwerken. Onze Certified Ethical Hackers staan te popelen om met uw netwerk aan de slag te gaan.
