Home Innovatie & Strategie Afdwingen securitymaatregen noodzakelijk voor nucleaire industrie

Afdwingen securitymaatregen noodzakelijk voor nucleaire industrie

94

Als er één industrie in het teken staat van veiligheid is dat wel de nucleaire industrie. Iedereen is doordrongen van de risico’s die nucleaire technologie met zich meebrengt. Enkele rampen met kerncentrales hebben dat risicobesef nog verder versterkt. De kernindustrie is dan ook van oudsher omgeven door een woud aan regels, inspecties en veiligheidsmaatregelen. Maar zodra het over cybersecurity gaat, blijft dat veiligheidsbesef ver achter. Om dat te veranderen kunnen door de overheid afgedwongen maatregelen daarbij helpen – zoals onder meer Canada laat zien.

‘Dat gebeurt ons niet’

Het is een illusie om te denken dat cybercriminelen, cyberspionnen en cyberterroristen de nucleaire industrie links zouden laten liggen. De onafhankelijke Britse denktank ‘Chatham House’ zegt er het in een rapport van eind 2015 dit over:

Het komt niet vaak voor dat ruchtbaarheid wordt gegeven aan een incident bij nucleaire installaties. Dat maakt het lastig om de ernst van het probleem te achterhalen en daardoor kunnen werknemers in deze sector denken dat er weinig incidenten zijn. Daar komt bij dat de beperkte informatie-uitwisseling en samenwerking met andere sectoren betekent dat de nucleaire industrie weinig leert van sectoren die op dit terrein (cybersecurity) voorop lopen. Een gebrek aan gestandaardiseerde wet- en regelgeving en beperkte communicatie met cybersecurity-bedrijven zijn ook reden tot zorg. Dit wijst er op dat de risico-inschatting in deze industrie wellicht niet adequaat is, met als consequentie dat er vaak te weinig wordt uitgegeven aan cybersecurity.

‘Dat gebeurt ons toch niet’ is het overheersende idee. Daar komt nog een issue bij. Nucleaire installaties zijn vaak semioverheidsinstellingen en opereren daardoor in een politieke omgeving. Cybersecurity kost geld, dus moet de overheid maar over de brug komen, zo is het idee. De combinatie van de gedachte ‘dat gebeurt ons niet’ en het afschuiven van verantwoordelijkheid voor cybersecurity is funest. Falende cybersecurity kan net zo goed als falende fysieke veiligheid tot een ramp leiden!

Statelijke actoren

De druk op kritieke infrastructuren, waar nucleaire installaties absoluut toe behoren, neemt toe. We zien steeds meer aanvallen die op deze infrastructuren zijn gericht. Een deel van die aanvallen wordt hoogstwaarschijnlijk gesteund door buitenlandse mogendheden. Een voorbeeld is de spionagegroep Mofang die politiek gemotiveerde aanvallen uitvoert op kritieke infrastructuurorganisaties in Myanmar. Uit onderzoek van Fox-IT blijkt dat Mofang vanuit China opereert en betrokkenheid van de Chinese overheid is zeer waarschijnlijk. Met eenvoudige middelen en social engineering wist Mofang met succes bij deze organisaties binnen te dringen. Maar ook de Nederlandse inlichtingendiensten waarschuwen herhaaldelijk voor aanvallen die gesteund worden door ‘statelijke actoren’. In het onderzoek van Chatham House wordt dan ook gewaarschuwd dat de aanvalsdreiging voor nucleaire installaties groter wordt.

Stok achter de deur voor industrie

Er is een stok achter de deur nodig om deze industrie tot actie aan te zetten. In de VS en Canada is er wet- en regelgeving die nucleaire bedrijven verplicht securitymaatregelen te nemen. Ook in het Midden-Oosten gaan landen tot wetgeving over. In Europa daarentegen blijft het vooralsnog bij adviezen en aanbevelingen. Dat kunnen overigens zeer waardevolle aanbevelingen zijn. Enkele voorbeelden uit het Chatham rapport:

  • Maak gebruik van authenticatie en encryptie (bijv.Fox SkyTale);
  • Implementeer een intrusion detection system, zoals netwerkmonitoring (bijv. Cyber Threat Management);
  • Stimuleer de verdere implementatie van veilige optische datadiodes (bijv. Fox DataDiode).

Deze datadiodes zorgen voor een absolute scheiding van het nucleaire controle network van de buitenwereld, terwijl het toch mogelijk blijft operationele gegevens uit dat control network te verkrijgen.

Ook de CSA (Canadian Standards Association) Group doet aanbevelingen. Een cybersecurity-aanpak voor Canadese nucleaire installaties moet gekoppeld zijn aan een security trainingsprogramma en een incident response programma. Bij het opstellen van die programma’s is het raadzaam een cybersecurityexpert in te schakelen. Ook in Canada wordt de implementatie van datadiodes aanbevolen.

Communicatiekloof

Als belangrijke reden voor de achterblijvende security in de nucleaire sector noemt Chatham de moeizame communicatie tussen werknemers van nucleaire installaties, (experts op het gebied van operationele technologie – OT) en cybersecurity experts, die een IT-achtergrond hebben. De experts op het gebied van operationele technologie zijn vaak niet op de hoogte van cybersecurityprocedures en dat staat de security danig in de weg.

Het verplicht volgen van standaarden en aanbevelingen, zoals die van Chatham House en de CSA, zullen het cultuurverschil tussen OT en IT niet wegnemen, maar wel de nucleaire installaties aanzienlijk weerbaarder maken tegen cybercriminelen, cyberspionnen en cyberterroristen.

Peter Geijtenbeek, International Sales Director bij Fox-IT

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in