Wie heeft er allemaal toegang tot uw netwerk? |
close
Share with your friends

Wie heeft er allemaal toegang tot uw netwerk?

Wie heeft er allemaal toegang tot uw netwerk?

Weten wie toegang heeft tot uw systemen is één – dat vervolgens beveiligen en monitoren is een tweede. Want er zijn veel derde partijen die mogelijk toegang hebben: van overheden en joint ventures tot leveranciers en subcontractors. Ieder met een eigen, al dan niet goed beveiligde toegang tot uw netwerk.

Contact

Partner Cyber Security

KPMG Nederland

Contact

Gerelateerde content

cyber-challenge.png

De rol van derde partijen

Fabrieken zijn slimmer geworden en derde partijen en leveranciers hebben daar geen onbelangrijke rol in gespeeld. Doordat apparatuur tegenwoordig goed met elkaar kan communiceren – ook met apparatuur van andere partijen – hebben grote fabrieken van alles staan. En wegens gebrek aan expertise binnen de fabriek wordt deze complexe apparatuur bijna allemaal onderhouden door deze derde partijen zelf.

Maar onderhoud is duur, ook voor de derde partij. Er moet gespecialiseerd personeel afreizen – vaak vanuit een ander land en naar afgelegen locaties. Zelfs wanneer het probleem qua omvang mee blijkt te vallen, vallen de kosten dan al snel tegen. Dit probleem is gaandeweg ondervangen door fysieke apparatuur van topkwaliteit te maken (Long Term Support Base) dat weinig onderhoud vereist. En er is een digitale oplossing gekomen.

De voor- en nadelen van ‘remote access’

Fabrieken raken steeds meer verbonden met centrale servers. Veel derde partijen zien hiermee de mogelijkheid om onderhoud op afstand te doen door middel van ‘remote access’. Hetgeen eigenlijk altijd goedkoper – en in noodgevallen altijd sneller – dan een fysieke oplossing is.

Maar er kleven ook nadelen aan hulp op afstand. Hoe vaker er onderhoud gepleegd wordt, hoe makkelijker het wordt om wijzigingen of patches op afstand door te voeren. En waar apparatuur mogelijk niet beveiligd verbonden is, kan dit aanvallers van een weg naar binnen voorzien.
 

Monitoren, kan dat eigenlijk wel?

Al deze derde partijen monitoren is natuurlijk een grote uitdaging. Het zijn er nu eenmaal heel veel, met ieder hun eigen toegang tot uw netwerk. Daarnaast is het bijna onmogelijk om alle medewerkers van derde partijen in de gaten te houden in uw fabriek. U kunt er hoogstens ‘op vertrouwen’ dat de screening op orde is en dat de derde partij dit ook doet. Is dat genoeg? Vaak wel, maar soms niet. Wat dat betreft moet je als bedrijf maar geluk hebben, zoals dit voorbeeld uit de praktijk laat zien:

“Ik voerde een securitytest uit bij een boorplatform in aanbouw. Het aantal mensen dat aanwezig is op zo’n bouwplaats is immens. Ik zag grote rekken en containers met computerapparatuur klaar om geïnstalleerd te worden. Meestal staat dit wel een paar weken op locatie voordat het wordt geplaatst, en is dit in principe makkelijk toegankelijk voor iedereen die daar fysiek aanwezig is. Of deze apparatuur in de tussentijd geïnfecteerd is of gemodificeerd, daar heb je eigenlijk helemaal geen zicht op.”

 

–Martijn, Industrial cybersecurity professional.

De oplossing van KPMG ligt in het maken van de juiste afspraken

Ten eerste moeten we zorgen dat uw contractmanagement op orde is. Laat goed vastleggen waar u en waar derde partijen voor verantwoordelijk zijn op het gebied van cybersecurity. Hier kunt u bijvoorbeeld eisen, gedragscodes en technische vereisten in opnemen. Voor uw eigen personeel natuurlijk, maar ook voor het personeel en de processen van de leverancier. En dat laatste kan een uitdaging zijn.

Ook het feit dat OT steeds meer elementen van IT bevat kunnen we benutten. Digitaal heeft u meer zicht op wie er wat aan het doen is. U kunt via een extra laag van beveiliging monitoren wie er inloggen en wat ze daar doen, zoals in het standaard ‘permit to work’-systeem. U voorkomt hiermee geen problemen, maar kan ze altijd herleiden. Doet u dit goed, dan kan dit een helder overzicht creëren. KPMG kan u daarbij helpen. Ervaar zelf hoe het gesteld is met uw cybersecurity in onze Cyber Crisis Simulation Game.

Toets uw cybersecurity met KPMG’s Cyber Crisis Simulation Game

Wilt u met uw bedrijf langskomen voor een simulatie game? De KPMG Cyber game biedt deelnemers strategische, operationele en tactische inzichten in het aanpakken van cyberincidenten in OT-omgevingen – intelligence driven. Tijdens het spel wordt u uitgedaagd om goed geïnformeerd en grondig te zijn in uw beslissing. Vraag naar de mogelijkheden bij Ronald Heil.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig