Procesveiligheid en cyber security staan niet los van elkaar

Expertartikelen | 555 keer bekeken
Procesveiligheid en cyber security staan niet los van elkaar

Hoewel er voor het bewaken van de procesveiligheid uitgebreide regels en voorschriften zijn, is dit voor de cyber security niet het geval. Er zijn wel richtlijnen, maar die zijn niet wettelijk verplicht. Hoewel dit op zeer korte termijn zal gaan veranderen, is het toch zeer verstandig om uw cyber security onder de loep te nemen.

Volgens Ir. Jalal Bouhdada van Applied Risk is er bijzonder veel onduidelijkheid rondom dit thema. “Allereerst zie je heel vaak dat procesveiligheid wordt losgekoppeld van cyber security. Je hebt dus een groep mensen die zich bezighoudt met die procesveiligheid en een andere groep die met cyber security is belast. Ik denk dat het verstandig is om die twee zaken samen te beschouwen, want uiteindelijk draait procesveiligheid óók om cyber security.”

Indutten
“De SIL is een heel mooie methode om de robuustheid van je hardware aan te tonen,” meent Bouhdada “maar het zegt niks over cyber security. Daar hebben we de ISA 99 standaard voor, maar het gekke is: die is niet wettelijk verplicht.”

Feitelijk komt het dus op het volgende neer: er is wetgeving met betrekking tot welke helm er op welke plant gedragen mag worden, welke klep een SIL3 classificatie moet hebben, maar geen enkele wettelijk verplichte standaard die zegt welke cyber security maatregelen moeten zijn genomen. Zelfs niet bij een kerncentrale. “Klopt”, zegt Bouhdada. “En gelukkig zijn heel veel bedrijven zo slim om wél maatregelen te nemen, ook al is het niet verplicht. Bovendien verwacht ik dat er vanaf volgend jaar strenge Europese regelgeving zal worden aangenomen. Na Stuxnet zagen we even een opleving, maar al vrij snel daarna leken mensen weer in te dutten. Er gebeurt eigenlijk niet genoeg ergs om voldoende bewustzijn te hebben met betrekking tot dit probleem.”

People, process, technology
Er is één groep bedrijven waar het bewustzijn voor cyber security inmiddels maximaal is. “De verzekeraars”, weet Bouhdada. “Deze partijen willen geen enkele aansprakelijkheid die uit cyberaanvallen voortvloeit accepteren. Dat zegt denk ik wel iets over het beveiligingsniveau in de industrie.”

Maar het probleem is complex. “Enerzijds is het een gegeven dat cyber security geld kost. En in een industrie die onder druk staat is elke nieuwe kostenpost ongewenst. Daarnaast wordt de omgeving steeds complexer. Vrijwel alle componenten praten met met elkaar via een netwerk en processen moeten op afstand worden uitgelezen en kunnen worden aangestuurd. En dat ook nog eens het liefst via mobiele devices, want die hebben we immers toch al in onze jaszak zitten. Het Internet of Things klinkt natuurlijk mooi, maar het is ook een probleem als we het over cyber security hebben.”

Het moge duidelijk zijn dat het probleem vrij serieus is, maar gelukkig is er ook een oplossing. Bouhdada: “We onderscheiden daarbij drie elementen: people, process en technology. Als we het over mensen hebben, betekent dat concreet dat je onderaan de keten begint om bewustzijn te creëren. Als we het over het proces hebben, moet je denken aan duidelijke instructies met betrekking tot dat proces. Het element technologie is ook belangrijk: zo zie je nu heel vaak een integratie van het safety netwerk en het control netwerk, maar die zou je veel beter strikt van elkaar kunnen scheiden. Wat je ook zeker gescheiden moet houden is het kantoornetwerk en het procesnetwerk.

Joeri van der Kloet

Aanmelden nieuwsbrief

Op de hoogte blijven van het laatste nieuws, producten en aanbiedingen? Schrijf je in voor de nieuwsbrief

Deel dit artikel

Reacties (0)

Reageren