Afstudeerscriptie - Beveiliging operationele technologie
Afstudeerscriptie - Beveiliging operationele technologie
Samenvatting
PCI Nederland levert een groot aantal IT-diensten aan verschillende klanten. Een deel van deze klanten zijn grote productiebedrijven die gebruikmaken van operationele technologie (OT) voor de aansturing en controle van industriële processen. PCI heeft als doelstelling om haar klanten een zo compleet mogelijk aanbod te bieden in IT-diensten en de IT volledig uit handen te nemen.
Binnen PCI zijn geen oplossingen beschikbaar voor de beveiliging van OT. Om de klanten met OT toch van dienst te kunnen zijn wil PCI graag een aantal standaardoplossingen en best practices kunnen implementeren bij klanten. In dit onderzoek wordt een antwoord gezocht op de hoofdvraag: “Hoe kan PCI Nederland operationele technologie beter beveiligen bij haar klanten?”. Om het antwoord op deze hoofdvraag goed te onderbouwen worden zeven deelvragen behandeld.
In het literatuuronderzoek is antwoord gegeven op deelvraag één: “Wat is OT en waar bestaat OT uit?”. Uit het literatuuronderzoek blijkt dat OT bestaat uit hardware en software welke gebruikt wordt voor het aansturen van fysieke industriële processen en apparatuur. (Gartner, 2022) OT bestaat uit een verzameling van PLCs, DCSs, HMIs en SCADA-oplossingen voor het bedienen van industriële systemen. (AT-Automation, 2022) Deze onderdelen zijn in het literatuuronderzoek verder uitgelegd.
In een behoefteanalyse is gekeken naar deelvraag twee: “Wat voor soort OT zouden klanten van PCI beveiligd willen hebben?”. Uit de behoefteanalyse is gebleken dat klanten van PCI voornamelijk gebruik maken van operationele technologie voor industriële toepassingen. Deze operationele technologie bestaat uit HMIs op traditionele computers voor het aansturen van PLCs welke vervolgens industriële processen aansturen. Deze processen worden met SCADA-oplossingen gemonitord zodat verstoringen vroegtijdig opgemerkt worden. De onderzochte technologie maakt vaak verbinding met bedrijfsservers en is extern te beheren door leveranciers.
De derde deelvraag: “Welke eisen stelt PCI aan een security dienst?”, is behandeld in een behoefte en contextanalyse. Uit de contextanalyse is gebleken dat PCI zichzelf ziet als een Managed Service Provider (MSP) die diensten levert aan zeer verschillende klanten. Klanten van PCI zijn van verschillende omvang en er wordt met verschillende leveranciers gewerkt. Uit de behoefteanalyse blijkt dan ook dat PCI graag ziet dat een dienst centraal te beheren is, door een IT-specialist te implementeren is, schaalbaar in te zetten is bij verschillende klanten en kan samenwerken met bestaande oplossingen van huidige leveranciers.
Deelvraag vier: “Welke dreigingen zijn er op het gebied van OT?” is beantwoord in het literatuuronderzoek. In veel gevallen vindt vanaf het IT-netwerk een aanval plaats op een traditionele computer in het OT-netwerk waarvandaan machines worden aangevallen, dit omdat deze netwerken vaak onderling verbonden zijn. Risico’s voor OT zijn er op het gebied van bedrijfsspionage, het stil leggen van een productielijn of het toebrengen van schade aan mensen of de omgeving.
Deelvraag vijf zoekt naar best practices op het gebied van OT-security. Deze zijn samen te vatten in 16 ontwerpprincipes. Het is verstandig om het ontwerp te baseren op deze ontwerpprincipes.
In het functioneel- en technisch ontwerp is ter beantwoording van deelvraag zes gezocht naar verschillende oplossingen welke door PCI in een OT-security dienst kunnen worden aangeboden. Uit dit ontwerp valt te concluderen dat de dienst moet bestaan uit: Palo Alto IoT security ten behoeve van asset discovery, vulnerability scanning en het detecteren van verdacht netwerkverkeer, netwerksegmentatie op basis van productielijn doormiddel van VLAN en firewall security zones en toegang voor leveranciers via een VPN-verbinding en het jump host principe.
In een advi