Wie heeft er allemaal toegang tot uw netwerk? |

Wie heeft er allemaal toegang tot uw netwerk?

Wie heeft er allemaal toegang tot uw netwerk?

Weten wie toegang heeft tot uw systemen is één, dit vervolgens beveiligen en monitoren is twee. Immers, er zijn veel derde partijen die mogelijk toegang hebben: van overheden en joint ventures tot leveranciers en subcontractors. Ieder met een eigen, al dan niet goed beveiligde toegang tot uw netwerk.

1000

Contact

Director

KPMG Nederland

Contact

Gerelateerde content

Fabrieken zijn slimmer geworden en derde partijen en leveranciers hebben daar geen onbelangrijke rol in gespeeld. Doordat apparatuur tegenwoordig goed met elkaar kan communiceren – ook met apparatuur van andere partijen – hebben grote fabrieken van alles op dit gebied staan. Wegens gebrek aan expertise binnen de fabriek wordt deze complexe apparatuur echter vrijwel uitsluitend onderhouden door deze derde partijen zelf. 

Maar onderhoud is duur, ook voor de derde partij. Er moet gespecialiseerd personeel afreizen, vaak vanuit een ander land en naar afgelegen locaties. Zelfs wanneer het probleem qua omvang mee blijkt te vallen, vallen de kosten al snel tegen. Dit probleem is gaandeweg ondervangen door fysieke apparatuur van topkwaliteit te maken (Long Term Support Base) die weinig onderhoud vereist. En er is een digitale oplossing gekomen.

De voor- en nadelen van ‘remote access’

Fabrieken zijn steeds vaker verbonden met centrale servers. Veel derde partijen hebben hierdoor de mogelijkheid om onderhoud op afstand te doen door middel van ‘remote access’, hetgeen eigenlijk altijd goedkoper – en in noodgevallen altijd sneller – dan een fysieke oplossing is.

Er kleven echter ook nadelen aan hulp op afstand. Hoe vaker er onderhoud gepleegd wordt, hoe makkelijker het wordt om wijzigingen of patches op afstand door te voeren. En waar apparatuur niet beveiligd verbonden is, kunnen aanvallers een weg naar binnen vinden.

Monitoren, kan dat eigenlijk wel?

Al deze derde partijen monitoren is natuurlijk een grote uitdaging. Het zijn er nu eenmaal heel veel, met ieder een unieke toegang tot uw netwerk. Daarnaast is het bijna onmogelijk om alle medewerkers van derde partijen in de gaten te houden in uw fabriek. U kunt er hoogstens ‘op vertrouwen’ dat de screening op orde is en dat de derde partij deze daadwerkelijk uitvoert. Is dat genoeg? Vaak wel, maar soms niet. Wat dat betreft moet je als bedrijf ook geluk hebben, zoals dit voorbeeld uit de praktijk laat zien:

"Ik voerde een securitytest uit bij een boorplatform in aanbouw. Het aantal mensen dat aanwezig is op zo’n bouwplaats is immens. Ik zag grote rekken en containers met computerapparatuur klaar om geïnstalleerd te worden. Meestal staat dit wel een paar weken op locatie voordat het wordt geplaatst, en is dit in principe makkelijk toegankelijk voor iedereen die daar fysiek aanwezig is. Of deze apparatuur in de tussentijdgeïnfecteerd is of gemodificeerd, daar heb je eigenlijk helemaal geen zicht op.” – Martijn, Industrial cybersecurity professional.

De oplossing van KPMG ligt in het maken van de juiste afspraken

Allereerst moet u ervoor zorgen dat uw contractmanagement op orde is. Laat goed vastleggen waarvoor u en waarvoor derde partijen verantwoordelijk zijn op het gebied van cybersecurity. In deze overeenkomst kunt u bijvoorbeeld eisen, gedragscodes en technische vereisten opnemen. Voor uw eigen personeel natuurlijk, maar ook voor het personeel en de processen van de leverancier. En dat laatste kan een uitdaging zijn.

Ook het feit dat operational technology (OT) steeds meer elementen van IT bevat kunt u benutten. Digitaal hebt u meer zicht op wie er wat aan het doen is. U kunt via een extra laag van beveiliging monitoren wie er inloggen en wat ze vervolgens doen, zoals in het standaard ‘permit to work’-systeem. U voorkomt hiermee geen problemen, maar u kunt ze op deze manier wel herleiden. Doet u dit goed, dan kan dit een helder overzicht creëren. KPMG kan u daarbij helpen. Ervaar zelf hoe het gesteld is met uw cybersecurity in onze Cyber Crisis Simulation Game.
 

Toets uw cybersecurity met KPMG’s Cyber Crisis Simulation Game

Wilt u met uw bedrijf langskomen voor een simulatiegame? De KPMG Cyber Crisis Simulation Game biedt deelnemers strategische, operationele en tactische inzichten in het aanpakken van cyberincidenten in OT-omgevingen – intelligence driven. Tijdens het spel wordt u uitgedaagd om goed geïnformeerd en grondig te zijn ten aanzien van uw beslissingen inzake cyberincidenten. Vraag naar de mogelijkheden bij Ronald Heil.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig