Cyber tuesday: Thales Group over cybersecurity

Volgens René van Buuren, directeur Cybersecurity van Thales Nederland, zitten we midden in de digitale transformatie. “We gaan van een geïndustrialiseerde wereld naar een wereld waarin gebruik van data ‘key’ is. De grootschalige IT-applicaties bepalen straks hoe concurrerend bedrijven zijn en hoe veilig landen zijn.”

Wat zijn volgens Van Buuren de belangrijkste thema’s in deze transformatie?

  1. IT is niet het uitgangspunt bij industriële cybersecurity

“Wij kijken op een andere manier naar cybersecurity. We zijn geen traditioneel IT-bedrijf. Bij nieuwe klanten beginnen we aan de OT-kant. We willen eerst snappen hoe dat werkt. Omdat we zelf ook een hightech bedrijf zijn dat hardware maakt, weten we dat je eerst die kant moet begrijpen om er een goed systeem voor te kunnen maken.”

2. De grens tussen IT en OT is niet zwart-wit

“OT wordt vaak door management omgevingen aangestuurd die in het IT-domein zitten. OT-domeinen zijn vaak gekoppeld aan bijvoorbeeld remote access applicaties waarbij het OT dus communiceert met de buitenwereld. Wij hebben om die redenen een wat holistischer blik op de verhouding IT/OT. Wat wel echt anders is aan de OT-kant: enerzijds is de informatie die tussen OT-devices wordt uitgewisseld veel specialistischer, met beperkte protocollen en beperkte ranges van opdrachten. Anderzijds heb je de lifecycle kant van zo’n product. Je hoort om de haverklap dat er een brug is gehackt die nog op een systeem uit de jaren tachtig draaide. De uitdagingen in het OT-domein zitten hem dan ook in certificering van onderdelen in de OT, het zorgen van autorisatie van OT-componenten en systemen, maar nog belangrijker: hoe zorg je er voor dat die OT-componenten geüpdate worden en daarna nog of weer voldoen aan de veiligheidseisen.”

3. Niet ieder cybersecurity-bedrijf is hetzelfde

in de realiteit maakt het natuurlijk wel uit of jouw cybersecurity partner ervaring heeft met het beschermen van een kerncentrale, of een willekeurige webshop. Wij brengen veel kennis mee op het gebied van OT- en IT-systemen, procesafspraken en hoe dat in elkaar gevlochten is. De kern van je succes is niet een tooltje in de wereld helpen. Iedereen kan een stukje software kopen en dat vervolgens configureren, maar dat is niet wat je succes bepaalt. Wat wél bepalend is, is in hoeverre jij de technologie beheerst en die technologie kan inzetten in het domein van je klant.”

4. Regulering van cyberbedrijven werkt goed in het buitenland en wellicht ook ooit in Nederland

Als je kijkt naar Engeland, Frankrijk en Duitsland, zie je dat de procesindustrie daar sterker gereguleerd is dan hier. Dat betekent niet alleen dat van overheidswege is bepaald wat die bedrijven aan cybersecurity moeten doen, maar ook bij welke partijen ze dat mogen doen. En dan krijg je vanzelf een soort kwaliteitsimpuls met certificeringen. Er ontstaat dan een natuurlijke schifting tussen bedrijven die vooral geschikt zijn voor de niet-industriële klanten en bedrijven die wel aan de industrie en vitale infra kunnen leveren. Ik hoop eerlijk gezegd dat dat in Nederland ook gaat gebeuren. Wat mij betreft is de huidige regelgeving nog te beschrijvend. De sancties zijn op zich best stevig, maar daarna kom je al snel in een grijs gebied. Je hebt weliswaar een meldingsplicht, maar je kunt niet melden wat je niet weet. Bovendien zegt die wet niets over de manier waarop cybersecurity moet worden ingericht. Want wat nu als je naar eer en geweten je cybersecurity hebt laten aanpakken door een MKB-bedrijf dat eigenlijk helemaal niet geschikt is voor dat project. Wat doe je dan? In onze buurlanden heb je dat probleem niet, omdat de industrie alleen zaken kan doen met daarvoor gecertificeerde bedrijven.”

Lees het complete interview met René van Buuren in Process Control no 4, 2018