Beveiligingsmaatregelen voor personeel, toegangsbeleid en assetbeheer
Om de cybersecurity van je organisatie te versterken, is het belangrijk om drie kerngebieden in de gaten te houden: personeel, toegangsbeleid en assetbeheer. Deze aspecten vormen samen de fundamenten van een sterke cyberverdediging en zorgen ervoor dat je organisatie goed is voorbereid tegen mogelijke cyberaanvallen. Het naleven van deze vereisten is niet alleen essentieel voor een robuuste beveiliging, maar ook verplicht volgens de NIS2-richtlijn, in Nederland bekend als de Cyberbeveiligingswet. Door aandacht te besteden aan de bewustwording van medewerkers, het beheren van toegang tot systemen en het zorgvuldig beheren van hardware en software, kun je de algehele veiligheid van je netwerk en gegevens aanzienlijk verbeteren.
Medewerkers zijn nog altijd de zwakste schakel
Binnen elk bedrijf is het personeel de eerste verdedigingslinie tegen cyberaanvallen. Medewerkers moeten daarom goed getraind zijn om cyberdreigingen te herkennen en goed te kunnen reageren. Dit betekent dat je regelmatig trainingen en bewustwordingscampagnes moet organiseren, zodat je team weet hoe te handelen bij verdachte e-mails of beveiligingsincidenten.
Helaas besteden veel organisaties nog altijd te weinig aandacht aan het trainen van medewerkers, terwijl het juist belangrijk is: de meeste cyberincidenten vinden plaats door fouten (bewust of onbewust) van medewerkers. Als een werknemer bijvoorbeeld een phishing-e-mail ontvangt die lijkt te komen van de bekende leverancier die het onderhoud doet van kritieke OT-apparatuur, moet de werknemer weten hoe hij deze e-mail kan herkennen en melden. Ook is het belangrijk om duidelijke procedures te hebben voor het beheren van toegang van medewerkers tot systemen wanneer zij in dienst komen, van functie veranderen, of de organisatie verlaten. Screen nieuwe medewerkers grondig om ervoor te zorgen dat je betrouwbare mensen aanneemt.
Toegangsbeleid
Een goed toegangsbeleid is cruciaal voor het beschermen van je systemen en gegevens. Stel je voor dat je een nieuw machinebesturingssysteem hebt dat van buiten de organisatie toegankelijk is voor onderhoud. Je moet bepalen wie toegang heeft tot dit systeem en welke rechten ze hebben. Het is raadzaam om het “least privilege” principe toe te voegen. Dit houdt in dat medewerkers alleen toegang krijgen tot de informatie en systemen die ze echt nodig hebben voor hun werk.
Een voorbeeld uit de praktijk is een medewerker die verantwoordelijk is voor het dagelijks monitoren van een industriële robot. Deze medewerker hoeft geen toegang te hebben tot de gegevens van de productieplanning of kwaliteitscontrole om zijn werkzaamheden uit te voeren. Als deze medewerker toch dergelijke rechten zou krijgen, kan het zijn dat er onbedoeld wijzigingen worden aangebracht in de productieprocessen of dat kritieke informatie verloren gaat. Zorg er dus voor dat je procedures hebt voor het toekennen, wijzigen en intrekken van toegang en houd een overzicht bij van alle toegangsrechten. Dit kan eenvoudig in bijvoorbeeld Excel opgesteld worden. Aanvullend helpt logging om te controleren wie toegang heeft tot welke systemen en wanneer deze toegang is verleend.
Assetbeheer
In elke organisatie moet je alle hardware, software en gegevens goed beheren – dit geldt ook voor bedrijven in de maakindustrie. Een manier om dit te doen, is door een gedetailleerde inventaris van alle operationele technologie (OT)-apparatuur te maken, zoals machines, sensoren, PLC’s (Programmable Logic Controllers) en softwareprogramma’s die worden gebruikt in de productieprocessen. Dit helpt om kwetsbaarheden te identificeren en te beheren.
Als een machine of een sensor verouderd is, zorg dan voor veilige verwijdering om te voorkomen dat gevoelige productiegegevens in verkeerde handen vallen. Classificeer je assets op basis van vertrouwelijkheid: wat is openbaar, intern of vertrouwelijk? Dit zorgt ervoor dat je de juiste beveiligingsmaatregelen kunt nemen. Bepaal ook wie verantwoordelijk is voor het gebruik, de opslag, het onderhoud en de veilige verwijdering van deze OT-assets. Dit sluit goed aan bij de eerder besproken onderwerpen over toegang en controle.
Regelmatig evalueren en updaten
Het regelmatig evalueren en bijwerken van beveiligingsmaatregelen is essentieel. In de maakindustrie wordt veel geïnvesteerd in automatisering en nieuwe technologieën, waardoor nieuwe apparaten en werkwijzen worden geïntroduceerd. Een voorbeeld hiervan is het vervangen van een verouderde industriële machine, zoals een oude PLC die een productieproces aanstuurt, door een efficiëntere versie die gekoppeld is aan het interne netwerk. Hoewel voor het oude systeem duidelijke procedures waren opgesteld voor toegang en beveiliging, vereist de nieuwe netwerkverbinding een herziening van deze maatregelen.
Het uitvoeren van periodieke tests en interne audits is daarom noodzakelijk om te controleren of de beveiligingsmaatregelen nog effectief zijn. Verwerk de bevindingen van deze evaluaties in je beleidsdocumenten om de cybersecurity continu te verbeteren. Dit helpt je productiebedrijf beschermd te blijven tegen cyberdreigingen en de veiligheid van zowel OT- als informatiesystemen te waarborgen.
