Cybersecurity

Wilt u bijdragen aan dit groeiboek? Heeft u opmerkingen, aanvullingen of een vraag? Neem dan contact op met het COB per mail of telefoon: info@cob.nl / 085 – 4862 410. We horen graag van u!

Bijlage: IT vs. ICS

De ISO27000-standaard is vooral gericht op informatietechnologieomgevingen (IT), zoals kantoorautomatisering (SAP, Microsoft Office, e.d.). De bediening, besturing en bewaking van tunnels/bruggen/sluizen is gebaseerd op zogenoemde industrial automation and control systems (ICS), zoals een programmable logic controller (PLC) en supervisory control and data aquisition (SCADA). Hiervoor zijn de IEC62443-standaarden voorgeschreven.

Binnen IT is confidentiality (vertrouwelijkheid) het belangrijkst, gevolgd door integrity (integriteit) en availability (beschikbaarheid): wie heeft bijvoorbeeld toegang tot welke (vertrouwelijke) bedrijfsgegevens? Binnen ICS zijn confidentiality, integrity en availability echter meer volgend: een tunnel moet operationeel blijven om te voorkomen dat er een verkeersinfarct ontstaat, waarbij informatie breder beschikbaar is dan vanuit confidentiality gewenst is.

De IEC27000-standaard kan voor ICS-systemen op sommige fronten vaak meer kwaad dan goed doen als het gaat om beschikbaarheid van de systemen. Denk maar aan het foutief inloggen met een account. Dit account zal conform de IEC27000-standaard na een bepaald aantal pogingen vergrendeld worden om misbruik te voorkomen. Dit is bij een kritisch (bedien/beheer)werkstation van een ICS-systeem ondenkbaar. Verder komt in de IEC27000 het woord safety niet terug. Dit komt doordat een IT-systeem niet in staat is om een persoon te doden of verwonden. Bij een ICS-systeem ligt dit compleet anders.

Onderstaande tabel laat de verschillen tussen IT- en ICS-systemen zien (bron: Applied Control Solutions).

Attibuut (attribute)Prioriteit
ITICS
Vertrouwelijkheid (confidentiality/privacy)HoogLaag
Data-integriteit (message integrity)Laag – mediumZeer hoog
Systeembeschikbaarheid (system availability)Laag – mediumZeer hoog
Authenticatie (authentication)Medium – hoogHoog
Onweerlegbaarheid (non-repudiation)HoogLaag – medium
Veiligheid (safety)LaagZeer hoog
Tijdkritisch (time criticality)Vertraging getolereerdKritisch
Systeemuitval (system downtime)GetolereerdOnacceptabel
Veiligheidsvaardigheden/bewustzijn (skills/awareness)GoedSlecht
Systeemlevensduur (system lifecycle)3-5 jaar15-25 jaar
Interoperabiliteit (interoperability)Niet kritischKritisch
Rekenkracht en opslag (computing resources)(bijna) onbeperktBeperkt
Standaarden (standards)IEC27000IEC62443