Siemens richt zich op zero trust, legacy hardware, supply chain uitdagingen om cybersecurity van interne systemen te waarborgen

Siemens is bezig geweest om bovenop kwetsbaarheden te zitten die in zijn producten zijn gevonden, maar belangrijker nog, om de veiligheid van zijn interne activiteiten te waarborgen. De productiereus die in verschillende branches actief is, waaronder industrie, slimme infrastructuur, gezondheidszorg en financiële diensten, beschermt zijn systemen door zich te richten op drie hoofdgebieden: zero trust, supply chain en legacy-systemen.

Siemens is in zijn 166 jaar exponentieel gegroeid door overnames en heeft meer dan 300.000 mensen in dienst. Overnames betekenen systeemintegraties en brengen vaak cyberbeveiligingsrisico’s met zich mee.

“We zijn een bedrijf van bedrijven”, vertelt Helen Negre, die onlangs de rol van chief cybersecurity officer voor Siemens US op zich heeft genomen, aan CSO. Dat betekent dat het moeilijk is om één enkele cyberbeveiligingsstrategie voor het hele bedrijf te creëren, legt ze uit.

Het is geen gemakkelijke tijd om een cybersecurity officer te zijn, en Siemens staat in het vizier van geavanceerde aanvallers omdat het zo sterk betrokken is bij de kritieke infrastructuur. “Als je een kritieke infrastructuur noemt, hebben wij er waarschijnlijk iets mee te maken”, vertelt Negre aan CSO. “En met het huidige politieke landschap en cyberlandschap zien we activiteit…we hebben miljarden gebeurtenissen per dag die we moeten beheren.”

Wat zero trust betekent voor Siemens

Siemens is niet de enige die zero trust bovenaan zijn cyberbeveiligingsagenda heeft staan. Volgens Forrester heeft 83% van de wereldwijde grote ondernemingen zich gecommitteerd aan de invoering van zero trust. Uit een onderzoek van Okta uit 2022 blijkt dat 55% van de organisaties al een zero trust-initiatief heeft, en 97% is van plan er in de komende 12 tot 18 maanden een te nemen.

Bij Siemens betekent zero trust microsegmentatie, perimeterbeveiliging, strikt identiteitsbeheer en strikte beleidshandhaving.

Siemens kiest voor een drieledige benadering van zero trust. De eerste fase is onderwijs, het opstellen van een routekaart, het identificeren van de toepassingen en middelen die moeten worden beveiligd, en het opstellen van een gedeelde definitie van hoe zero trust eruit ziet voor elke organisatie binnen het bedrijf.

“Een deel ervan is een culturele mentaliteit”, zegt Negre. “Dat houdt in dat mensen op elk niveau van de organisatie moeten begrijpen wat zero trust is, waarom het belangrijk is en hoe het risico’s vermindert, en dat er een routekaart moet komen met concrete mijlpalen voor elk van onze organisaties.”

Het doel was om samen met de afzonderlijke business lines een zero trust framework op te stellen. “Het is dus niet cyberbeveiliging die naar de organisatie komt en zegt: ‘Je moet dit doen en je hebt deze hoeveelheid tijd om het te doen.'”

Deze eerste fase van de overgang naar zero trust is nu voltooid, zegt ze. Siemens is nu bezig met de tweede fase en de derde.

Die tweede fase omvat het aanpakken van al het “laaghangende fruit” van de zero trust roadmap, waarbij de nadruk ligt op projecten die binnen zes tot twaalf maanden kunnen worden uitgevoerd.

Vervolgens zou de derde fase bestaan uit projecten op langere termijn. Sommige bedrijfsonderdelen van Siemens bevinden zich in sterk gereguleerde sectoren. “Het kan een meer langzame en weloverwogen transformatie vereisen,” zegt Negre. En dan zijn er de sites met oudere apparaten die aanzienlijke investeringen nodig hebben voordat ze volledig zijn overgeschakeld op zero trust.

De moeilijkheid om legacy hardware te beveiligen

In industriële en gezondheidszorgomgevingen komt het vaak voor dat oudere hardware niet is ontworpen om te functioneren in een verbonden wereld – en zeker niet om zero-trust principes te ondersteunen.

“In productieomgevingen is de levenscyclus van apparatuur vrij lang. Als je een brownfield-project hebt in een industrie die in 40 jaar niet veel veranderd is, is wat je erft, vooral bij overnames, misschien iets wat je vader of grootvader kon herkennen,” zegt Negre.

Ze zegt dat 1% tot 2% van Siemens’ fabrieken de meest moderne, up-to-date slimme fabrieken zijn die gebouwd zijn rond cyberbeveiligingsprincipes. Nog eens 1% tot 2% zijn relikwieën uit het verleden. De rest zit daar ergens tussenin.

Of het nu gaat om het werken met interne business units, of externe klanten, “we moeten ze ontmoeten waar ze zijn,” zegt Negre. “En soms is dat een oudere machine die al 30 jaar perfect werkt. Hoe kunnen we dan connectiviteit bieden, het veilig doen en dit omzetten in zero trust?”

Als het een productieomgeving is, kunnen de machines de hele tijd draaien en niet worden stilgelegd om gepatcht te worden. Daar komt nog bij dat sommige van deze machines op maat gemaakte software hebben, zegt ze, speciaal gebouwd voor die specifieke locatie. Een beveiligingsomhulsel rond deze apparatuur is slechts een noodoplossing. “We vertrouwen daar niet alleen op,” zegt ze.

Zelfs als het beveiligingsomhulsel connectiviteit en een firewall heeft, wordt dat alleen niet voldoende geacht om aan de interne normen van Siemens te voldoen. “Je zou moeten voldoen aan onze normen voor wachtwoorden en authenticatie, onze normen voor microsegmentatie.”

De beste optie is rippen en vervangen, wat Siemens op termijn doet. Maar uiteindelijk moet alles naar zero trust, zegt ze. “Als je deze machine niet wilt laten draaien zoals onze grootouders deden, dan moeten we connectiviteit hebben – maar we moeten het veilig toevoegen.”

Beveiliging van de toeleveringsketen

Het beveiligen van interne systemen en legacy-apparatuur is slechts de helft van de cyberbeveiligingsstrijd. De zero trust-strategie van Siemens strekt zich ook uit tot al zijn leveranciers. Volgens het 2022 cybersecurity industry report van Bulletproof vindt 40% van de cyberdreigingen nu indirect plaats via de toeleveringsketen. “We hebben wel te maken met leveranciers die niet klaar zijn voor zero trust”, zegt Negre. “Of het nu gaat om een applicatie die er nog niet is, of een SaaS-oplossing die er nog niet is.”

In feite heeft Siemens een geheel apart initiatief op het gebied van supply chain security, waarvan zero trust slechts een onderdeel is. “En veel daarvan gaat over het identificeren van welke leveranciers voldoen aan onze state-of-the-art cyberbeveiligingscriteria”, zegt ze.

Als ze niet aan de criteria voldoen zegt Negre dat ze alle leveranciers in categorieën indelen en eerlijke gesprekken voeren met hun interne bedrijven. “Deze specifieke leverancier is misschien te riskant voor de organisatie en misschien moeten we een alternatief zoeken.”

Er is niet één factor die een leverancier te riskant maakt, zegt ze. “We evalueren technologie holistisch, op basis van een aantal criteria, waaronder wereldwijde cyberbeveiligingsnormen, openbaar toegankelijke informatie over hun kwetsbaarheden en recente cyberincidenten,” zegt ze. Leveranciers worden ook gescoord op hun beveiligingshouding op gebieden als fysieke, endpoint- en cloudbeveiliging.

Het hebben van alternatieven is ook bijzonder nuttig als het gaat om kritieke infrastructuur en single-source leveranciers. “Dat is de laatste tijd op veel manieren een pijnpunt geworden. Er wordt aangedrongen op diversiteit in het landschap – niet alleen vanuit het oogpunt van cyberbeveiliging, maar ook vanuit het oogpunt van beschikbaarheid.”

Een ander belangrijk aspect van de beveiliging van de toeleveringsketen is de eis dat verkopers software stuklijsten leveren. Er zijn wettelijke vereisten voor SBOM’s in sommige van Siemens’ bedrijven. Bovendien heeft het bedrijf nauwe banden met Europa, en de komende Cyber Resilience Act (CRA) zal SBOM’s vereisen voor de meeste kritieke infrastructuur.

“En soms hebben we producten die hier zijn ontworpen en in Europa worden verkocht, of die daar zijn ontworpen en hier worden verkocht, dus we moeten ervoor zorgen dat we al onze afhankelijkheden zo goed mogelijk hebben gedefinieerd,” voegt Negre eraan toe.

Klaar voor nieuwe regelgeving en strategieën wereldwijd

De Europese CRA is slechts een van de veranderingen in de regelgeving die Siemens in de gaten houdt. In de Verenigde Staten zijn er verschillende nieuwe initiatieven op het gebied van cyberbeveiliging, waarvan de meest recente de nieuwe National Cybersecurity Strategy is.

In maart bracht de Transportation Security Administration ook een richtlijn uit die meer cyberbeveiliging in de luchtvaartindustrie vereist. “Het is een dynamische plek. We zoeken precies uit hoe het van toepassing is op onze wereld en pleiten zoveel mogelijk met onze partners om hopelijk praktische cyberbeveiligingswetgeving te hebben die niet alleen door grote organisaties zoals wijzelf kan worden geïmplementeerd, maar ook door organisaties onder de cyberarmoedegrens.” Die andere organisaties kunnen leveranciers van Siemens zijn, of externe klanten, zegt ze.

Siemens wil ook samenwerken met overheidsorganisaties en Information Sharing and Analysis Centers (ISAC), zegt ze, niet alleen in de VS, maar overal ter wereld. “De belangrijkste boodschap voor ons als organisatie is dat we relaties opbouwen. In elk land waar we aanwezig zijn, hebben we waarschijnlijk een relatie met de overheid op een manier die ons in staat stelt inlichtingen te delen en een idee te krijgen van wat de dreiging specifiek voor dat land is.”

Het bedrijf werkt voornamelijk via publiek-private groepen die inlichtingen delen, zoals de verschillende ISACs. “We werken ook samen met overheidsinstanties zoals CISA, NIST, de FBI en nog veel meer om expertise te delen, inzicht te krijgen en ervoor te zorgen dat we aan alle wettelijke vereisten voldoen”, zegt ze. Dit helpt ook om een veiliger cyberbeveiligingsecosysteem te creëren voor alle bedrijven.

Siemens cybersecurity team overweegt toekomstige bedreigingen

Er zijn ook grote technologische veranderingen op komst. Een daarvan is quantum computing, waarvan sommigen verwachten dat het de potentie heeft om alle huidige encryptie overbodig te maken. Het is een reële dreiging, zegt Negre, maar niet noodzakelijk een dreigende.

“Kwantumcomputing ligt al tien jaar aan de horizon – en ze hebben gezegd dat het nu elke dag kan gebeuren,” zegt ze. “De computers die daadwerkelijk in staat zijn om in deze ruimte te handelen zijn vrij beperkt. De algoritmen zijn nog niet gemaakt. Iedereen zou zich hierop moeten voorbereiden, maar het staat niet per se bovenaan je agenda.”

Een andere trend die er vandaag is, is die van de kunstmatige intelligentie. Siemens heeft zijn eigen AI-onderzoek en datawetenschappers. “Het helpt ons wel om efficiënter te werken”, zegt ze. “Als je het niet gebruikt in je cyberprogramma, moet je het misschien evalueren – misschien in automatisering of in remediëring. Wat kan er met behulp van AI worden gedaan dat een deel van deze handmatige inspanning kan vervangen, zodat jullie belangrijke experts vrij zijn om aan de grote dingen te werken?”

Met meer dan een miljard gebeurtenissen per dag heeft Siemens zijn eigen oplossingen moeten bouwen – maar werkt ook samen met externe leveranciers om hun oplossingen in zijn omgeving te integreren. “Sommige van onze bedrijven zijn vrij openbaar gegaan in de manier waarop ze AI gebruiken om tickets automatisch te herstellen en om sommige van onze cyberbeveiligingsinnovaties aan te sturen”, zegt ze. “We kijken naar alle versies van AI en zoeken uit wat de beste manier is om het in onze organisatie te gebruiken.”

Siemens gebruikt OpenAI’s ChatGPT momenteel niet intern vanwege zorgen over de veiligheid van de communicatie. “We hebben onze eigen versie die we medewerkers hebben aangemoedigd om te gebruiken,” zegt ze. “Het is een interne oplossing.”