De Cyber Security Raad (CSR) bepleit een versterkte cyberweerbaarheid van Industrial Automation & Control Systems (IACS) in de vitale infrastructuur. Organisaties moeten hier ondersteuning bij krijgen, zo meent de instantie. Er is nu te veel aandacht voor ICT-systemen en te weinig voor IACS.
De Nederlandse samenleving moet kunnen vertrouwen op de veiligheid en continuïteit van de vitale infrastructuur. IACS zijn meet- en regelsystemen die er bijvoorbeeld voor zorgen dat sluizen en bruggen functioneren, energie en gas worden gedistribueerd, drinkwater wordt gereinigd, nucleair materiaal wordt verwerkt, treinen op bestemming komen, containers worden vervoerd en liften functioneren.
IACS cruciaal voor veiligheid, continuiteit vitale infrastructuur
Daarmee zijn IACS cruciaal voor de veiligheid en continuïteit van de vitale infrastructuur in Nederland, meent Claudia de Andrade-de Wit. Zij is lid van de raad namens CIO Platform en CIO, director Digital & IT Port of Rotterdam en bestuurslid CIO Platform. "We moeten erop kunnen vertrouwen dat de cyberweerbaarheid van IACS op orde is. Er is voortdurend aandacht nodig om de IACS van de vitale processen op orde te houden of te brengen."
De conclusie van de raad is mede gebaseerd op onderzoek dat Gartner in opdracht van de raad heeft uitgevoerd en is de strekking van het Advies inzake digitale veiligheid van Industrial Automation & Control Systems (IACS) in de vitale infrastructuur van Nederland. De CSR heeft dit advies woensdag 29 april gepubliceerd en aangeboden aan de betrokken bewindspersonen en toezichthouders. Het advies bevat drie maatregelen die in onderlinge samenhang zorg moeten dragen voor meer inzicht, overzicht en robuustheid van de IACS en daarmee de digitale veiligheid van de samenleving.
Maatschappelijke ontwrichting op de loer
Het Cybersecuritybeeld Nederland 2019 toonde eerder al aan dat maatschappelijke en economisch ontwrichting op de loer ligt wegens permanente digitale dreigingen. Een verstoring van de vitale infrastructuur kan grote ontwrichtende gevolgen hebben voor de sterk digitaliserende samenleving. In een rapport afgelopen september concludeerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) dat Nederland hier onvoldoende op is voorbereid.
Zo blijkt uit onderzoek van de Algemene Rekenkamer dat de digitale weerbaarheid van waterkeringen op dit moment niet conform planning loopt, terwijl de overheid hierin een regie- en voorbeeldrol heeft. De toenemende connectiviteit van IACS in combinatie met verouderde systemen (legacy) maken de vitale infrastructuur kwetsbaar voor onopzettelijke uitval en voor kwaadwillende actoren.
Het is dan ook voorstelbaar dat er in de toekomst gecoördineerde, gelijktijdige aanvallen zullen plaatsvinden op de vitale infrastructuur. In Nederland waarschuwt de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) dat statelijke actoren proberen om zich toegang te verschaffen tot vitale processen.
Nauwelijks prioriteit IACS
Op dit moment gaat vooral aandacht uit naar ICT en hebben IACS nauwelijks prioriteit, terwijl de levensduur van IACS vele malen langer is en de systemen voornamelijk worden ingezet om de infrastructuur van Nederland te bedienen. Omdat IACS vaak indirect gekoppeld zijn aan het internet, kan een eventuele digitale aanval grote gevolgen hebben. Het uitbuiten van kwetsbaarheden in IACS kan zelfs tot grote economische schade en maatschappelijke ontwrichting leiden. De huidige corona-crisis onderstreept de urgentie van cybersecurity, aldus de CSR: vitale diensten moeten kunnen blijven functioneren.
Om alle maatregelen uit het advies goed door te kunnen voeren benadrukt CSR-raadslid Andrade-de Wit het belang om de samenwerking tussen alle betrokken partijen op het gebied van cybersecurity te verstevigen. "De raad ziet in zijn algemeenheid graag dat er meer regie op samenwerking gaat komen om onze cyberweerbaarheid te verhogen en wil dat het komende kabinet daarop gaat inzetten in combinatie met de invoering van een meerjarenprogrammering en dekkende financiering."
