Waternet blijft onder verscherpt toezicht staan vanwege slechte cybersecurity – Computer – Nieuws

Dat wilt zeggen dat niemand er een punt van maakt dat je u Safety kringen niet op de laatste update houd want die zijn toch air gapped waarbij men bij een security audit echt wel begrijpt dat er Safety-Security conflict optreed. Tenzij het Safety verhaal niet air-gapped is maar dan heb je ook meteen een Safety probleem.

Als je over turbines begint te spreken, dat is een ander probleem, niemand wilt turbines leveren zonder sturing (wegens complexiteit van programmatie). Je bent dus verplicht een turbine als een 3th party unit aan te schaffen. Voor de gewone IT’ers, je krijgt een black box en je hebt er zelf niets aan te zeggen.

Dat is een probleem natuurlijk want vervolgens wilt die leverancier wel remote acces op zijn 3th party unit, de black box moet dus aan het netwerk en aan het internet want die leverancier wilt niet continu bij al zijn klanten ter plaatse komen. Kan je al gaan invullen dat die leverancier ook geen zin heeft om veel aan security te doen. Gezien je daar ook in een branche zit die in het verleden niet veel aantrok over security (het was toch allemaal serieel verbonden & air gapped), als leverancier A morgen wel een deftig security zet op zijn 3th party units, dan verkoopt leverancier A niets meer omdat hij zichzelf zonet uit de markt heeft geprijst.

Dan kan je zeggen, geen 3th party units/black boxes maar dan kan je zeker bij turbines al vergeten dat iemand je nog een turbine verkoopt. Dus dan is het maar klassiek, firewall, firewall en nog eens firewall met een VPN en wat deep packet inspection (dat is momenteel best case scenario bij 3th party)

Als je er wel iets aan te zeggen hebt dan moet je u vandaag de vraag stellen, ik koop morgen sturingsysteem X, hoe lang is X ondersteund en wat is het plan als X uit ondersteuning gaat. Maar ook bij een 3th party unit mag de sector wel eens op tafel beginnen kloppen, je koopt een machine van 50 miljoen die 50 jaar moet meegaan. Je weet toch als je dat koopt dat je die sturing gaat moeten updaten, dat die ook 50 jaar moet meegaan en dat daar links of rechts toch ook 50 jaar support op moet zijn? Dat plan moet er toch al zijn nog voor je uberhaupt iets koopt?

Maar ik weet het, de sector is nog niet gewoon van met dat soort vragen om te gaan. Bijvoorbeeld een conversatie met Siemens (nu niet bepaald een kleine speler),
“hoe lang geef je feature updates en hoe lang geef je security updates op product X? “
“Euh, we geven 15 jaar ondersteuning, wat bedoel je met feature updates? “
Herformuleer vraag naar: “Ga je op die serie Profinet security ondersteunen als het eindelijk uitkomt en hoe lang breng je updates uit voor security bugs”
“euh, Profinet Security, euh, ja, dat weten we nog niet of we dat gaan ondersteunen. Voor updates, euh, moet ik navragen maar 15 jaar ondersteuning omvat wel veel meer dan updates mijnheer”
Waarop ik antwoord, “De dag dat jij stopt met security updates is dezelfde dag dat jou product bij mij end-of-life gaat en vervangen moet worden, welke support jij daarna wel of niet nog levert heb ik niets aan”

Als de verkopers van Siemens nog niet deftig kunnen antwoorden op dat soort vragen moet ik concluderen dat ik 1 van de weinige ben in de branche die hun dat soort vragen stel.

Om terug te keren op een water maatschappij, ik ken de Nederlandse situatie niet maar wel de Belgische. Hun probleem is dat ze met gigantisch veel kleine installaties zitten verspreid over het land ipv het klassieke hier is 1 grote fabriek op 1 locatie verhaal.

Maar men wil wel al die kleine PLC’s centraal opvolgen alsook heb je geen techniekers onsite. Dan wil je bijvoorbeeld dat technieker van de regio een sms krijgt als PLC alarm X genereert. En dan wil je ook dat diezelfde technieker remote die PLC kan bekijken.

Als je in een dergelijke omgeving zit met productie managers die niets van IT en/of security kennen waarbij het allemaal zo goedkoop mogelijk moest zijn dan hangen al die kleine PLC’s gewoon rechtstreeks aan een adsl/dial up verbinding zonder een WAN oplossing, zonder een VPN en als je pech hebt, zonder een firewall, als je geluk hebt, een simpele firewall die ze bij IT al lang in een museum hadden gezet.

Dan kan ik mij wel inbeelden dat managers audits beginnen achterhouden, die vertellen hun namelijk dat de managers niet capabel zijn en dat het probleem veel resources gaat vragen om op te lossen dus die proberen hun eigen vel te redden. Iedereen die er ooit iets van zegt zal snel buiten gewerkt zijn in het verleden. Dat men dan de onderneming onder “verscherpt toezicht” plaatst is een logisch gevolg want je krijgt die toxische management laag er niet op 1-2-3 uit.

[Reactie gewijzigd door sprankel op 7 juni 2022 23:41]