Geen NIS2 compliance zonder OT security
Sinds de invoering van de NIS2-wet, moeten verschillende bedrijven investeren in hun cyber security. Als ‘belangrijke entiteit’ ontsnapt de levensmiddelenindustrie de dans niet. Voor voedingsbedrijven met een productieomgeving is er zelfs nog een extra factor om rekening mee te houden: de Operationele Technologie-omgeving.
Het beveiligen van de OT-omgeving is overigens niet enkel een wettelijke verplichting, maar ook een essentiële schakel in jouw voedselveiligheid. De productieomgeving heeft direct invloed op de producten die consumenten nuttigen en vormt daardoor een kwetsbare schakel. Wat als cybercriminelen hier vrij spel zouden krijgen?
In samenwerking met Soteria Cybersecurity.
Sinds 18 oktober 2024 is de NIS2-wet van kracht. Ook bedrijven actief in de levensmiddelenindustrie moeten vanaf een bepaalde grootte (10 miljoen omzet of balanstotaal en/of meer dan 50 werknemers) de NIS2-wetgeving naleven.
! Voedingsbedrijven die aan deze wetgeving moeten voldoen, moeten zich ten laatste 18 maart 2025 registreren. Registreer jouw bedrijf nu op het Safeonweb platform.
Het OT-systeem: de zwakke schakel van jouw bedrijf?Stel je het volgende voor: als zuivelfabriek werd je het slachtoffer van een cyberaanval. Hackers kregen ongemerkt toegang tot het industriële controlesysteem. Omdat er geen actief threat-detectiesysteem aanwezig was, bleef de aanval lange tijd onopgemerkt. De aanvallers gebruikten een malware gelieerd met de Pipedream toolkit, specifiek ontworpen om operationele technologie te saboteren. Het doelwit? De PLC’s die de pasteurisatietemperatuur van melk regelen. De malware manipuleerde de temperatuursensoren, waardoor de pasteurisatie correct leek, maar in werkelijkheid net onder de vereiste temperatuur bleef. Hierdoor overleefden gevaarlijke bacteriën zoals listeria en salmonella het proces. Het probleem werd pas ontdekt toen meerdere consumenten ziek werden na het drinken van besmette melk. Een terugroepactie volgde, met tonnen vernietigde producten, torenhoge kosten en een zware reputatieschade voor jouw bedrijf. Daarnaast kreeg jouw bedrijf een grondige audit opgelegd door de voedselveiligheidsautoriteiten die ernstige tekortkomingen in de OT-beveiliging aan het licht bracht. |
De impact van NIS2 op de voedselveiligheid
Voedingsbedrijven kunnen zeer kwetsbaar zijn zonder een sterke OT-securitystrategie. De NIS2-wet legt daarom minimale vereisten op voor cyberhygiëne in maatschappijkritieke sectoren , waaronder de voedingsindustrie. Bedrijven die niet voldoen, riskeren niet alleen financiële verliezen en reputatieschade, maar ook sancties.
Om bedrijven te ondersteunen, lanceerde het CCB het Cyberfundamentals Framework (CyFun). Dit framework biedt voedingsbedrijven een duidelijke leidraad voor hun beveiligingsmaatregelen en omvat OT-securityprincipes zoals beschreven in ISA/IEC 62443. Ook in de technische controles spelen deze principes een cruciale rol. Voor voedingsbedrijven wordt het dus onmogelijk om aan de NIS2-regelgeving te voldoen zonder OT-beveiligingsprincipes toe te passen.
Veel productiebedrijven hebben geen formeel overzicht van de assets die zich op hun netwerk bevinden. De allereerste stap is dus voor veel bedrijven een asset discovery waarbij alle apparaten en systemen binnen de scope van de beveiligingsmaatregelen in kaart worden gebracht. Pas wanneer je als bedrijf weet wàt je moet beschermen, kan je jouw OT-security effectief versterken.
3 tips
Segmenteer netwerkenNetwerksegmentatie is een van de kernvereisten binnen CyFun, waarbij bedrijven wordt aangeraden een opdeling te maken volgens verschillende VLANS. In een OT-omgeving werken systemen zoals PLC’s (Programmable Logic Controllers) en SCADA (Supervisory Control and Data Acquisition) nauw samen met fysieke processen. Als deze systemen direct verbonden zijn met het IT-netwerk, vergroot dit het risico dat bijvoorbeeld malware zich snel kan verspreiden naar de meest kritieke omgeving: de productie. Wees wel voorzichtig voor je potentiële communicatielijnen toesnoert, zodat de operaties niet verstoord worden. Voor een effectief en praktisch gesegmenteerd netwerk is het cruciaal om de connectie tussen IT en OT eerst zorgvuldig in kaart te brengen volgens de regels van de kunst. |
Let op toegangsbeheer en authenticatie
In OT-systemen werken vaak verschillende mensen samen, waaronder ook technici van andere bedrijven. Zonder een sterk toegangsbeheer kunnen deze technici toegang krijgen tot alle interne systemen. Dit kan heel wat menselijke fouten en ongeoorloofde toegang met zich meebrengen, al dan niet in kader van een hacking.
De cyberveiligheid van de leverancier zelf heeft dus grote impact op jouw eigen security. Daarom is het in een OT-omgeving belangrijk om altijd goedkeuring te geven voordat iemand toegang krijgt. Dit helpt om verstoringen in de operaties te voorkomen. De principes van OT Secure Remote Access zijn hier van toepassing.
Breng kwetsbaarheden in kaartProductiebedrijven hebben vaak weinig zicht op de risico's in hun OT-omgeving, terwijl hier juist veel oude en kwetsbare systemen staan. Het is daarom belangrijk om deze kwetsbaarheden in kaart te brengen, te begrijpen hoe ermee om te gaan en bedreigingen tijdig te herkennen. OT-systemen werken meestal volgens vaste patronen. Veranderingen in het netwerkverkeer, zoals ongebruikelijke communicatie tussen systemen, kunnen een teken zijn van een cyberaanval. |
Hoe kunnen wij jou helpen?
Simuleer een cyberhacking met Food Security
Samen organiseren we een simulatie rond een cyberthema en werken we een scenario uit op maat van jouw bedrijf.
Wij testen jullie...
- First line
- Crisisteam: taakverdeling, organisatie, werkbaarheid
- Reflexen en evaluatie
- Interne en externe communicatie: boodschappen opstellen en informatie verspreiden
Ontdek onze simulatieoefening*
* Deze oefening kan ook aangepast worden aan verschillende scenario’s buiten het cyberthema, zoals productproblemen, rampen of ongevallen.
Organiseer een doorlichting van jullie OT-systemen met Soteria Cybersecurity
Test jullie IT en OT omgeving met een cybersecurity audit door onafhankelijke cybersecurity experts
Bovendien bieden zij ondersteuning bij:
- Een uitgeschreven stappenplan op maat van jouw bedrijf
- Implementatie stappenplan waar gewenst (volledig of ondersteuning bij specifiek technisch complex werk)
- Awareness traject voor medewerkers
- Deze doorlichtingen worden door de Vlaamse Overheid (VLAIO) gesubsidieerd. Als KMO heb je recht op 50% subsidies, als NIS 2-plichtige niet-KMO heb je recht op 35% subsidies
Meer informatie over de cyber audit.
Leerpunten
Actiegroep in aantocht? Zo behoud je de interne rust
Een vermoedelijke bezetting door een actiegroep zorgde recent voor opschudding bij een groot voedingsbedrijf. De lokale politie was getipt en waarschuwde het bedrijf voor de dre...
Jouw bedrijf in het oog van een mediastorm
Recent kwam een fataal incident waarbij een peuter stikte in een stukje voedsel volop in het nieuws. Hoe reageer je als bedrijf op zo’n gebeurtenis ?
Een consument vindt ongedierte in jouw product: wat nu?
Stel je voor: een consument opent nietsvermoedend een van jullie producten en verstijft plots. Aan de binnenkant van de verpakking kruipen kleine insecten. De oorzaak? Een besme...