Deze zogenoemde OT-technologie staat bekend om zijn betrouwbaarheid en veiligheid. Vandaag de dag doet steeds meer IT technologie in dit domein zijn intrede met als doel optimaliseringen door te voeren. Maar kan dat zo maar? Worden hierdoor geen kwetsbaarheden geïntroduceerd die voorheen niet bestonden? Zo is er een recent voorbeeld waarbij een storing in de kantoorautomatisering (IT) doorwerkte in de procesautomatisering (OT), waardoor delen van de assets niet meer goed op afstand bediend konden worden. Om dergelijke ongewenste situaties te voorkomen hebben TwynstraGudde en ICT Netherlands een instrument ontwikkeld om kwetsbaarheden en risico’s op te sporen voor alle organisaties in het waterdomein.
Traditioneel zijn Operationele Technologie (procesautomatisering) en Informatie Technologie (kantoorautomatisering) organisatorisch en technisch gescheiden werelden. Door de introductie van IT technologieën in de procesautomatisering is deze scheiding vervaagd. Maar de bijbehorende werkwijzen en toepassingen verschillen significant van elkaar, waardoor kwetsbaarheden kunnen ontstaan die niet altijd even goed onderkend worden. Dit is een samenspel van mens, techniek en proces. En daarin zit ook vaak de oplossing.
We hebben in ons instrument een gestructureerde aanpak met een concreet stappenplan. In 12 weken helpen wij je te ontdekken waar de kwetsbaarheden in je organisatie precies zitten. We geven je concrete adviezen, die je direct kunt toepassen om deze kwetsbaarheden te verminderen. Met onze onafhankelijke blik en kennis van de inhoud, doorgronden we automatiseringsprocessen voor organisaties in het waterdomein. Dit doen we samen met onze partner TwynstraGudde.
Kwetsbaarheid- en risicoanalyse
Met de kwetsbaarheid- en risicoanalyse maken we in drie pijlers kwetsbaarheden en risico’s inzichtelijk: OT architectuur, IT/OT verwevenheid en cybersecurity. Iedere pijler analyseren we op het gebied van mens, techniek en proces. Zo ontstaan focusgebieden, waarin mogelijke kwetsbaarheden en risico’s kunnen ontstaan. De focusgebieden analyseren we met behulp van beschikbare documentatie en interviews met de relevante personen uit de organisatie. In de analyse nemen we relevante normen en standaarden mee, zoals WILMA, DAMO, IEC-62443 en de BIO.
Spiegelsessies
Onze eerste bevindingen en duidingen delen we in één of meerdere spiegelsessies. Het doel van deze sessies is om in het onderlinge gesprek de geconstateerde kwetsbaarheden en risico’s te onderkennen, aan te scherpen en aan te vullen. En de impact van de kwetsbaarheden en risico’s, de mogelijke oorzaken en maatregelen te inventariseren en te delen. Samen onderzoeken we ook welke maatregelen genomen kunnen worden en wat prioriteit heeft.
Direct toepasbaar
De kwetsbaarheid- en risicoanalyse leidt tot bevindingen en een advies, die we bundelen in een rapport. We brengen in beeld waar de kwetsbaarheden en risico's precies zitten en geven heldere adviezen, die direct toepasbaar zijn. Zo helpen we organisaties in het waterdomein om kwetsbaarheden en risico’s in procesautomatisering op te sporen en te verhelpen.
Ben je benieuwd naar onze aanpak? En wil je in gesprek met een van onze adviseurs om te sparren over de mogelijke kwetsbaarheden en risico’s in de OT van jouw organisatie? Neem contact op met Eric van der Laan, of lees onze ervaring met waterschap Rivierenland, waar we de kwetsbaarheid van de procesautomatisering onderzochten, onder andere in het licht van de outsourcing van de kantoorautomatisering.