De OPC Foundation heeft de voltooiing aangekondigd van het document "Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products". Dit document, geaccrediteerd door wereldwijd elf beveiligingsinstanties, biedt richtlijnen voor het beveiligen van operationele technologie (OT) tegen moderne cyberbedreigingen.

Cyberbedreigingen richten zich steeds vaker op specifieke OT-producten in plaats van op specifieke organisaties. Om de industrie te helpen waakzaam te blijven en beste praktijken toe te passen, heeft de Cybersecurity and Infrastructure Security Agency (CISA), een divisie van het Amerikaanse Department of Homeland Security, in samenwerking met wereldwijde bijdragers, dit document gecreëerd. Het document beschrijft hoe verschillende OT-producten niet zijn ontworpen of ontwikkeld volgens de principes van "secure by design". Dit resulteert vaak in zwakheden op het gebied van authenticatie, softwarekwetsbaarheden, beperkte logging en onveilige standaardinstellingen en wachtwoorden.

Met de erkenning van elf internationaal erkende beveiligingsinstanties is dit document een leidraad voor de OT-gemeenschap en de leveranciers die deze industrie bedienen.

Michael Clark, Directeur van de OPC Foundation North America en een van de auteurs, zegt: "Dit document is maanden in de maak geweest en met de publicatie zien we duidelijke richtlijnen gericht op eigenaren en operators van OT. Door de principes en best practices die hierin worden beschreven te volgen, beveiligen OT-eigenaren en -operators effectief kritische infrastructuur, waardoor het moeilijker wordt voor bedreigende actoren om succesvol te zijn in hun verstorende gedrag."

Dr. Matthew Rogers, ICS-expert bij CISA, legt de motivatie achter dit document uit: "Het risico dat een bedreigende actor toegang krijgt tot het OT-netwerk neemt toe vanwege zakelijke drijfveren voor interconnectiviteit en de compromittering van randapparaten die segmentatie mogelijk maken. Deze secure by demand-richtlijn voor OT is het resultaat van samenwerking tussen asset-eigenaren, overheden, leveranciers van industriële automatisering en besturingssystemen, en brancheorganisaties zoals de OPC Foundation, die allemaal werken aan een flexibelere en veerkrachtigere implementatie met hun unieke inzichten en deskundigheid."

Randy Armstrong, voorzitter van de Security Working Group van de OPC Foundation, benadrukt: "Dit document beschrijft een checklist van mogelijkheden die aansluiten bij de visie van de OPC UA-standaard. Deze mogelijkheden geven asset-eigenaren specifieke eisen die ze aan hun leveranciers kunnen geven, waardoor eigenaren/operators hun fabrieken kunnen beveiligen tegen moderne cyberbedreigingen."

 

Altijd op de hoogte blijven?