Cybersecurity bij gebouwentechniek
Cybercriminelen zoeken dagelijks naar kwetsbare onderdelen in IT-systemen en Internet of Things-oplossingen. Het Product & Solutions Security (PSS)-beleid van Siemens borgt van ontwerp- tot beheerfase IT-security. Siemens helpt ook mee het overall bewustzijn voor dit onderwerp te verhogen.
In 2018 ondertekenden Siemens en andere internationale bedrijven de Charter of Trust met als doel de IT-security binnen de industrie naar een hoger plan te tillen. Siemens rolt binnen haar eigen organisatie een PSS-programma uit. Ton Mes is PSS-officer voor Siemens Smart Infrastructure (SI) in Nederland.
Vanaf de ontwerpfase
“Bij de oplossingen die wij in de markt zetten, focussen we op het beveiligen van de persoonsgegevens en assets van onze klanten”, aldus Mes. “Niet alleen producten, maar ook de manier waarop ze tot stand komen, moeten veilig zijn. Zo worden de tools waarmee we software ontwikkelen getoetst op veiligheid en betrouwbaarheid. Dit geldt uiteraard ook voor externe ontwikkelaars met wie we samenwerken.” De technologische oplossingen van Siemens staan veelal nooit op zichzelf. “Ook producten van derden waarmee wij onze technologie omkleden, moeten veilig zijn. Dit borgen we in samenwerking met onze technologie- en solution partners”.
Tot de beheerfase
“Ons PSS-beleid trekken we door tot in de servicefase. In beheercontracten moeten goede afspraken worden gemaakt over security-updates van Siemens-producten, maar ook van de onderliggende netwerken en servers binnen de totaaloplossingen bij onze klanten.”
Mens belangrijk
De PSS-richtlijnen van Siemens richten zich op de driehoek tussen mens, technologie en procedures. IT-security is immers niet alleen een technologisch vraagstuk. “Mensen moeten ook weten hoe ze technologie op een veilige manier inzetten. De mensenkant valt niet te onderschatten. Je kunt nog zo goede beheersystemen neerzetten, maar wat heb je eraan als gebruikers slordig omspringen met wachtwoorden?”
Systeembeschikbaarheid
Een goede IT-security borgt onder meer de beschikbaarheid van gebouwinstallaties. Zonder draaiende klimaatsystemen kan er bijvoorbeeld in ziekenhuizen niet worden geopereerd. Een risicoanalyse om vast te stellen hoe kwetsbaar de omgeving van een klant is, maakt onderdeel uit van ieder offertetraject. Er wordt ook veel geïnvesteerd in kennis over security-risico’s.
“De andere kant ontwikkelt zich snel. Je kunt tegenwoordig via het darkweb allerlei hackingtools kopen. Dat is zelfs big business. Het risico dat systemen worden gehackt neemt toe. Niet voor niets zet de BV Nederland in op cybersecurity, onder andere via de Wet beveiliging netwerk- en informatiesystemen (Wbni). Dit geldt vooral voor de vitale infrastructuren, zoals onze elektriciteits- en drinkwatervoorziening en het betalingsverkeer.”
Ketenverantwoordelijkheid
Volgens Mes is menig bedrijf zich nog onvoldoende bewust van de noodzaak van een goede IT-security. “Er wordt nog vaak gedacht: ‘Mij overkomt dit niet.’ Dat is een zekere naïviteit. Via de Charter of Trust willen we samen met anderen over de hele lijn van leveranciers tot partners, klanten en concurrenten het bewustzijn aanscherpen. Waarbij we niet de illusie willen wekken dat men voor 100% beveiligd kan zijn. Waar het om gaat, is door risicoanalyse inzicht te krijgen in de kans dat een risico zich voordoet én de impact ervan. Zodat je geen overbodige, maar wel de noodzakelijke en juiste beveiligingskeuzes kunt maken.”
bron: https://gebouwentechniek.siemens.nl/algemeen-nieuws/cybersecurity/
