Cybersecurity normenkader en -standaarden kort toegelicht
Voor overheidsorganisaties is de Baseline Informatieveiligheid Overheid (BIO) het kader om invulling te geven aan informatiebeveiliging. De BIO is informatie gedreven en niet eenvoudig toepasbaar op de systemen in ons vakgebied. Onze ervaring is dat de IEC 62443 wel geschikt is om de digitale beveiliging van de industriële automatisering vorm te geven. De IEC 62443 geeft een praktische invulling aan de verschillende aspecten van digitale beveiliging en is een waardevolle aanvulling op de BIO.
De BIO is vrij algemeen en primair bedoeld voor gegevensbescherming
Digitale veiligheid is als thema niet meer weg te denken uit onze moderne maatschappij. Vrijwel iedere dag staan er wel berichten over in de krant en vaak betreft dit de digitale veiligheid bij overheden. Meestal gaat het daarbij om de bescherming van gevoelige gegevens, zoals de privacygevoelige gegevens van de burgers, die door de overheden worden bewerkt. Om te borgen dat overheden hier zorgvuldig mee omgaan en voldoende oog hebben voor de beveiliging van deze gegevens is sinds 2019 de Baseline Informatieveiligheid Overheid (BIO) van kracht.
De IEC 62443 is gericht op de cybersecurity van industriële automatisering
Maar de laatste tijd groeit het besef in de samenleving dat overheden ook automatisering inzetten die niet gericht is op de gegevensverwerking van persoonsgegevens. Waar we op doelen is de inzet van industriële automatisering om water te beheersen en te zuiveren, bruggen- en sluizen te bedienen, verkeer te begeleiden en ga zo maar door. Ook deze systemen moeten digitaal veilig zijn. Hier komt de IEC 62443 in beeld. De IEC 62443 is een collectie van standaarden specifiek gericht op de cybersecurity van industriële automatisering.
De BIO is breed toepasbaar en formuleert enkel beheersdoelstellingen. De concretisering en de diepgang van de te nemen maatregelen zijn niet toegesneden op specifieke systemen, zeker niet op industriële automatiseringssystemen. De IEC 62443 is veel concreter en geeft daarmee (overheids)organisaties goede handvaten om de beheersing van risico’s te kunnen invullen voor industriële automatiseringssystemen.
Daarnaast zien we dat de BIO een sterke focus heeft op het beschermen van de vertrouwelijke informatie. Een logische gedachte bij gebruik van veel persoonsgegevens en de verwerking daarvan. Vanuit het perspectief van de industriële automatisering waarin fysieke processen de hoofdrol spelen, ligt juist meer de nadruk op de beschikbaarheid en de integriteit van de informatie.
De gevolgen van een cybersecurity-incident in de industriële automatiseringssystemen van de overheden kan leiden tot het stilvallen van het verkeer, het moeten lozen van ongezuiverd afvalwater of het niet meer veilig kunnen bedienen van een brug. En juist op dit vlak, de interactie van industriële automatisering met de fysieke werkelijkheid en de gevolgen daarvan, biedt IEC 62443 meer houvast.
De BIO en de IEC 62443 zijn een waardevolle combinatie
Bij provincies en gemeenten hebben wij deze combinatie van de BIO met de IEC 62443 succesvol ingezet om een BIO compliant ISMS in te richten voor de IA assets. Ook bij waterschappen zien we steeds vaker dat de IEC 62443 als basis wordt gebruikt om de specifieke facetten van informatiebeveiliging voor de IA in te vullen. En Rijkswaterstaat heeft aangekondigd binnenkort een update uit te brengen van de Cybersecurity Implementatie Richtlijn voor objecten waarin deze combinatie van BIO en IEC 62443 wordt toegepast.