Kwetsbaarheden in industriële controlesystemen (ICS) nemen toe

industrial control

Wat is het & hoe kan je je ertegen beschermen?

Leestijd: 2 minuten

Alert blijven. Altijd en overal. Dat dat zo belangrijk blijft, mag blijken uit het feit dat kwetsbaarheden in ICS (Industrial control system) fors toenemen. Volgens het ‘ICS Risk & Vulnerability Report’ van Claroty zijn in de eerste helft van 2021 de kwetsbaarheden met 41% toegenomen in vergelijking met de periode ervoor. Concreet gaat het dan om 637 kwetsbaarheden, in vergelijking met 449 kwetsbaarheden in de zes maanden daarvoor. 70 procent van deze kwetsbaarheden werd geclassificeerd als hoog of kritisch. Ze zijn verspreid over twintig fabrikanten, waarvan Siemens er 146 achter zijn naam schrijft.

Wat zijn die industriële controlesystemen nu precies, waarom is het zo’n risico dat ze kwetsbaarheden bevatten en wat kan je ertegen doen? We leggen het uit in deze blogpost.

De tekst gaat verder onder de afbeelding.

industrial control

Wat zijn industriële controlesystemen (ICS)?

‘ICS’ of ‘industriële controlesystemen’ is een verzamelnaam voor verschillende ecosystemen die gebruikt worden om industriële processen aan te sturen en te controleren. Dit kan bestaan uit een paar systemen, of uit een complex netwerk. En het is niet zo ver van je bed als je in de eerste instantie misschien zou denken: industriële controlesystemen worden gebruikt in zowat iedere industriële omgeving. Deze systemen helpen operatoren met het beheer van hun industriële processen.

Hieraan gerelateerd is de term ‘OT’ of ‘operationele technologie‘. Operationele technologie omvat zowel de hardware- als de softwaresystemen. De laatste jaren raken IT-systemen meer en meer geïntegreerd in deze operationele technologie. Dat veel van de hardware en software van bedrijven nu ook aan het IT-netwerk worden gekoppeld brengt voor bedrijven tal van voordelen met zich mee, maar helaas ook heel wat risico’s.

Welk risico vormen de kwetsbaarheden in ICS?

Door deze kwetsbaarheden kunnen verschillende stappen van het productieproces worden verstoord. Deze stappen worden ingedeeld met behulp van het Purdue Model:

De tekst gaat verder onder de afbeelding.

zscaler purdue model for ics security
  • Level 4/5 – Enterprise: dit is het IT-netwerk zoals we het kennen, bestaande uit servers en workstations.
  • DMZ: dit bevat beveiligingssystemen, zoals firewalls en proxynetwerken. Of: de brug tussen het IT-netwerk en de operationele kant.
  • Level 3 – Operation & Control: van hieruit wordt het productieproces beheerd en gemonitord.
  • Level 2 – Controlesystemen: Hiertoe behoren de verschillende controlesystemen, denk bijvoorbeeld aan SCADA (Supervisory Control And Data Acquisition) & HMI (Human Machine Interface).
  • Level 1 – Intelligent Devices: dit is het waarnemen en manipuleren van fysieke processen, bijvoorbeeld met behulp van een PLC (Programmable Logic Controller).
  • Level 0: dit is het fysieke proces, bijvoorbeeld een lopende band.

23% van de gedetecteerde kwetsbaarheden in 2021 hadden een impact op level 3, 15% had een impact op level 1 en 14% had een impact op level 2.

Hoe beveilig je jouw omgeving tegen deze kwetsbaarheden?

Een eerste stap in een goede bescherming is een goede endpoint-beveiliging of antivirus op workstations (pc’s) en servers die communiceren met een ICS. Het blijft natuurlijk ook belangrijk dat je toestellen steeds up-to-date blijven, aangezien er dagelijks kwetsbaarheden worden gepubliceerd door fabrikanten. En die kwetsbaarheden zijn eenvoudig op te lossen met een update van je toestel.

Daarnaast is het grote probleem dat alle systemen binnen een organisatie gebruik maken van één en hetzelfde netwerk, wat ook wel een flat network’ wordt genoemd. Dit kan je verhelpen door netwerksegmentatie toe te passen: je deelt het netwerk op in kleinere deeltjes, zodat niet zomaar alles of iedereen met een ICS kan communiceren.

Vergeet ook niet om de toegang tot industriële controlesystemen zowel fysiek als virtueel te beveiligen, en geef enkel personen toegang die ook écht die toegang nodig hebben.

Meer informatie of advies?

Onze security-experts staan steeds voor je klaar.

Hoe communiceer ik bij een intern project?

Slapende honden? Maak ze wakker!

Leestijd: 4 minuten

In mijn blogposts geef ik je meer inzicht in en tips & tricks over hoe je je medewerkers betrekt bij een verandering. En dat kan gaan over elke verandering: van een overstap naar SharePoint of Teams tot de wegenwerken die gepland staan in de straat van jouw bedrijf. Dit principe noemen we ‘Change Management’, en ik vertel je er meer over aan de hand van vragen die je je misschien al eens gesteld hebt én voorbeelden uit de praktijk. Je kan starten bij de kennismaking met Change Management en de eerste praktische blog over Change Management, of duik gerust meteen in de blog hieronder. Ik hoop er alvast voor te zorgen dat mijn passie jouw verandering een boost geeft.

Zoals altijd start ik met een vraag en deze keer is dat: communiceren tijdens een intern project, hoe doe ik dat nu?

3 tips voor geslaagde communicatie

TIP 1: Schud slapende honden zo snel mogelijk wakker!

Ik heb ondertussen al vaak herhaald dat communiceren prioriteit numero uno is tijdens een project. Maar hoe, en uiteraard ook wat, communiceer je?

Een project heeft nog te vaak een broertje dood aan communicatie. Want waarom zou je een verandering die op til is communiceren en je medewerkers ongerust maken, terwijl je zelf nog niet goed weet waar je naartoe wil?

De tekst gaat verder onder de afbeelding.

Ik neem je opnieuw mee naar een voorbeeld uit de praktijk. Tijdens een intakegesprek voor een nieuw project zei een manager me: “Communicatie? Nu al? Nee, dat gaan we niet doen, dat is slapende honden wakker maken!” Toch is het geen slecht idee: slapende honden worden best zo vroeg mogelijk wakker gemaakt wanneer je van start gaat met een nieuw project. De manager keek even vreemd op bij mijn reactie maar ik mocht toch verdere uitleg geven.

Als je wacht met vertellen waarmee je bezig bent tot een groot deel van je project beslist en gepland is, loop je de kans om met een morrend publiek achter te blijven (en geloof mij maar: die kans is groter dan je denkt). Vanaf je eerste meeting voor je nieuw project schiet de geruchtenmolen in gang en die is niet altijd positief, want je medewerkers weten niet wat hen te wachten staat. Gevolg: je project start al met een negatief gevoel en de kans dat de moraal van je medewerkers daalt is meer dan reëel.

“Bewijs me dat maar”, zei de manager. Challenge accepted! Samen met onze marketingafdeling gingen we aan de slag. Tijdens de brainstorm kwamen de zotste ideeën boven en uiteindelijk resulteerde dit in een passend communicatietraject voor onze klant, die de medewerkers op gepaste wijze informeerde over het project. Lees zeker verder om te ontdekken hoe die campagne eruit zag.

De tekst gaat verder onder de afbeelding.

TIP 2: Hoe pak je je communicatie nu aan?

Eerst is het belangrijk om goed te weten wie het doelpubliek is: aan wie moet je duidelijk maken welke verandering eraan komt en waarom?

Wees daarom altijd duidelijk en gebruik begrijpelijke taal. Het heeft geen zin om technische details te verkondigen als je eindgebruiker hieraan geen boodschap heeft. Pas dus je communicatie aan naargelang je publiek. Is je uitleg bedoeld voor IT, dan mag het wat technischer. Moet je je verhaal vertellen aan de eindgebruiker, zorg er dan voor dat het voor hen duidelijk is.

De eerste communicatie zorgt voor stabiliteit. Het is belangrijk dat iemand uit het managementteam – en in ons voorbeeld was dat de CEO – een duidelijke visie overbrengt. Waar is hij of zij trots op? En waar willen ze met deze verandering naartoe? Starten doen we dan ook met het opbouwen van heldere context. Waarom nu veranderen? Wat gebeurt er als we niet veranderen?

Het is belangrijk om een klaar en duidelijk inzicht op de uitdagingen en problemen te geven. Op deze manier wordt het voor je medewerker ook duidelijk waarom deze oplossing gekozen werd.

In ons verhaal lieten we de CEO dit vertellen in een filmpje. Dit filmpje werd met heel wat bombarie ingepland in de agenda’s van de medewerkers. Om uit te nodigen om ernaar te kijken, stuurden we via de post een pakketje op met daarin een hapje en een drankje. Het is belangrijk om inventief te zijn, ook tijdens coronatijden.

De tekst gaat verder onder de afbeelding.

Communiceren stopt uiteraard niet bij vertellen waarom je wil veranderen, dus zorgden we ook voor een duidelijke en constructieve communicatie op de SharePointpagina van de organisatie. Twee vliegen in één klap: de medewerkers leerden SharePoint kennen én we hadden een handige, centrale en overzichtelijke plek om alle nieuws rond de verandering mee te delen. In niet-coronatijden hadden we gebruik kunnen maken van affiches in bijvoorbeeld de toiletten om een nieuwe stap aan te kondigen. Maar dat had nu niet veel effect gehad.

Op deze SharePointpagina kan de medewerker zelf vragen stellen aan de champions of de ambassadeurs van het project. Na elke nieuwe stap organiseerden we een feedbackmoment. Zo’n eerste feedbackmoment kan een online quiz zijn, waarbij de winnaar ook effectief een prijs ontvangt! Een andere optie is een online Microsoft Form waarin je collega’s snel en handig hun mening kunnen geven.

TIP 3: What’s in it for me?

Communiceren doe je ook en vooral om je medewerkers duidelijk te maken welk voordeel deze verandering voor hen zal hebben. Dit doet de CEO uit ons voorbeeld al in zijn allereerste communicatie. Zo schept hij meteen duidelijkheid. De voordelen worden extra in de verf gezet en regelmatig herhaald.

Dankzij deze duidelijkheid vermijd je al een groot deel van eventuele weerstand tegen de verandering. Dit is ook zo in ons voorbeeld: het filmpje creëerde een buzz, een positieve sfeer rond de nakende verandering. De CEO werd zelfs gefeliciteerd met zijn acteertalent. Het is een fijne manier om op deze manier met je project van start te gaan, in plaats van met onzekerheid en geruchten, zoals het geval zou zijn wanneer je niet communiceert.

Dankzij deze grondige communicatie is dit project een groot succes geworden. De mooiste bijkomstigheid: mensen van verschillende afdelingen leerden elkaar kennen, want er werd ook écht over gesproken op de werkvloer.

Conclusie:

We praten allemaal graag over wat ons bezighoudt, en ook bij projecten is communicatie belangrijk. Zorg er daarom voor dat je medewerkers die mogelijkheid ook krijgen. De CEO in ons voorbeeld deed na het filmpje zelfs een rondje op de afdelingen om te luisteren naar de reacties op de aankondiging. Misschien waren die niet allemaal positief (en dat is ook helemaal niet nodig), maar je medewerker ontdekt op deze manier wél dat er ook naar hem/haar geluisterd wordt en jij kan die waardevolle feedback meenemen in je volgende communicatie en in het project.

De tekst gaat verder onder de afbeelding.

3 takeaways

  • Begin zo vroeg mogelijk met communiceren over het wat en waarom van het nieuwe project. Maak je communicatie persoonlijk en wees gerust creatief.
  • Zorg voor betrokkenheid door je boodschap af te stemmen op je doelpubliek en het gesprek te openen.
  • Zet de voordelen van de verandering (herhaaldelijk) in de verf.

Wil je graag meer bijleren over Change Management? Onze business consultants geven je een goeie basis én enkele praktijkvoorbeelden in onze gratis sessie op 19 oktober.

Christine in haar eigen woorden

Ik ben Christine Gielen, dit jaar een halve eeuw oud en 30 jaar geleden begonnen aan mijn professionele carrière. Ik heb heel wat verschillende watertjes doorzwommen en daardoor heel veel ervaring op mogen doen. Nu ben ik een radertje in de goed geoliede machine van Business Consultants binnen ConXioN.  

Als Business Consultant is het onze missie om klanten te helpen groeien met (een combinatie van) verschillende diensten, tools en oplossingen. Elk van ons heeft zijn eigen specialisatie en de mijne is Change Management. Wat dit precies inhoudt, ontdek je in mijn blogposts. 

Wil je graag dat ik in een volgende blogpost antwoord geef op jouw vraag over Change Management? Je vragen, suggesties en bemerkingen zijn van harte welkom!

Christiene Gielen Business Consultant ConXioN

Carrièreswitchen tijdens de coronacrisis

Dennis Verfaillie

De opstart van Business Consultant Dennis

Leestijd: 2 minuten

We hoeven het je waarschijnlijk niet te vertellen: het voorbije jaar was uitdagend voor werkgevers en werknemers. Maar ondanks alle onzekerheden bleef ConXioN in volle groei en vormde het met plezier een vangnet voor wie de sprong naar een nieuwe job in een nieuw bedrijf durfde te wagen. Zo hielpen we onder andere een nieuwe collega opstarten die op dat moment in quarantaine zat, en startten we het ‘goestingproject’ op om er zeker van te zijn dat alle collega’s op de juiste plaats zitten.

Onze nieuwe collega Dennis Verfaillie waagde die sprong en veranderde na 5 jaar van een job als System Engineer bij een andere grote IT-speler naar een job als Business Consultant bij ConXioN. Hoe heeft hij die omschakeling ervaren? We vragen het hem zelf! Lees zeker verder voor het interview met Dennis.

De tekst gaat verder onder de foto.

Dennis Verfaillie

Waarom koos Dennis voor ConXioN?

“In deze sector en dit klassement zijn er maar een aantal bedrijven. Met een achtergrond in Toegepaste Informatica hield ik ze dan ook wel een beetje in de gaten. Al vrij vroeg sprong ConXioN eruit tussen de andere bedrijven omdat alles in het werk gesteld werd om de sollicitatiegesprekken toch fysiek te laten doorgaan, en mij feeling te laten krijgen met de kantoren en het team. Bij andere bedrijven had ik soms wel een 5-tal remote gesprekken, maar via Teams kan je de persoon niet écht leren kennen. Ondanks dat ik bij andere bedrijven wel connecties had, gaf dit toch de doorslag om voor ConXioN te kiezen.“

“Daarnaast viel het mij op dat er bij ConXioN echt gefocust wordt op de persoon, niet louter op het CV, diploma of de jobervaring. Tijdens mijn eerste gesprek – met mijn huidige teamlead en een directe collega – voelde ik heel sterk dat er gekeken werd of er een klik was. Voor mij was dat een grote geruststelling: doordat ik al wat mensen fysiek had gezien, zou ik al wat collega’s kennen bij mijn start, en had ik het vertrouwen dat dit een firma en mensen waren waarmee ik verder wou gaan, die op dezelfde lijn zaten.”

Hase Seghers

Hoe ging de opstart?

“Heel goed. De eerste dag overliep HR Assistant Hera niet alleen de werking van het bedrijf, maar ook élk gezicht binnen ConXioN. Dat is niet evident, zeker omdat het ondertussen om meer dan 100 werknemers gaat.”

“Daarnaast heeft mijn team zich goed over mij ontfermd. Zo zat mijn teamlead Hase gedurende mijn eerste drie dagen met mij samen. Dat een drukbezette teamlead die tijd vrijmaakt, toont duidelijk hoe begaan ze is. Ik leerde ook mijn team snel kennen, doordat de collega’s meetings inplanden om uit te leggen wie ze zijn en wat ze doen.”

Waarom de overstap van System Engineer naar Business Consultant?

“Van System Engineer naar Business Consultant is een heel grote stap, maar ik heb altijd wel al interesse gehad in Microsoft 365. Bij andere bedrijven merkte ik echter vaak een kwestie van alles of niets: ofwel enkel de ontwikkeling, ofwel enkel het klantenwerk. Bij ConXioN is het een win-winsituatie: niet alleen liggen de applicaties mij, maar Business Consultants komen ook van het begin tot het einde van het project in contact met de klant. We luisteren naar het probleem in hun werking, denken na over de oplossing, voeren die uit én geven eventueel ook nog de opleidingen die nodig zijn om de toepassing efficiënt te gebruiken.”

Wij zijn blij dat gij in ons team zit, Dennis! 👊

Ook ConXioNeer worden?

Twijfel je zelf om de sprong te wagen? Wil je horen of een job bij ConXioN iets voor jou kan zijn? Knoop een vrijblijvend gesprek aan met onze HR Assistant Hera Vanneste!

Hoe A.I. overheden ondersteunt in hun dagelijkse werking

Een tijdje geleden hadden we het in onze blog nog over Artificiële Intelligentie (A.I.): wat is het, hoe werkt het en waar of hoe wordt het toegepast?

Er wordt nog vaak gezegd en geschreven dat Artificial Intelligence in premature fase zou zijn, een ‘gehypet vaag begrip’, zonder echte concrete toepassingen in de bedrijfswereld. Nochtans zit A.I. al meer verweven in onze dagelijkse wereld dan we vaak vermoeden. Software zoals Office 365 is er al stevig van doorspekt. Een ‘eerste’ dagelijkse toepassing ervan, maar nog door velen te weinig of niet gekend. Maar uiteraard biedt A.I. een pak meer.

Artificial Intelligence. : exit vaag begrip bij overheidsdiensten

Je zou het niet meteen verwachten, maar toch is deze technologie enkele overheidsdiensten niet ontgaan. Een erg mediabewuste burger is steeds op zoek naar informatie: hoe zit het nu precies met die woonbonus? Wat met mijn bouwvergunning? Tal van vragen waarbij je je moet informeren bij een of andere (lokale) overheidsinstantie. Op zich een complexe zoektocht om te weten tot wie je je best richt, en waar je de informatie kunt vinden.

Sinds 1994 kennen we in België de Wet Openbaarheid van Bestuur waarin overheidsdiensten voldoende en duidelijk moeten informeren over hun beleid, regelgeving en dienstverlening.

Deze wet berust op 2 principes: die van actieve openbaarheid van bestuur waar overheidsdiensten vanuit zichzelf moeten informeren en de passieve; informatie die wordt verstrekt op vraag van een burger.

A.I.-technologie als slimme assistent voor overheidsdiensten en burger

Ook voor die instanties is het vaak moeilijk snel hapklare informatie te kunnen bieden. Want ook na de uren wil de burger bediend worden. De combinatie van hoeveelheid aan data en tijdsgebrek zorgt voor een hogere (werk)druk. Hoe kan je als overheid én je taken én wettelijke verplichtingen binnen de Openbaarheid van Bestuur sneller en efficiënter uitvoeren? Ook op momenten waarop je niet op kantoor bent?

De slimme A.I. chatbot Citybot van Nalantis treedt hier op als slimme assistent van deze instanties. De software neemt volledig autonoom grote hoeveelheden documenten en data door d.m.v. NLP en NLU. De volledig zelfstandige intelligente e-desk helpt overheidsmedewerkers zo in hun dagelijkse interne werking én externe uitvoering binnen het kader van Openbaarheid van Bestuur.

De bot gaat zelfstandig op zoek naar het juiste antwoord bij een vraag van een individu. Binnen de beschikbare digitale bibliotheek, waarin alle documenten en data rond besluitvorming een plaats krijgen, legt de bot de nodige relaties, gaat hij context leren inzien en begrijpen. Wanneer iemand een vraag stelt, gaat hij op zoek naar alle relevante beschikbare data, zonder enige tussenkomst van een mens. Zo ontlast hij de overheidsmedewerker én wordt de burger vlot bediend.

Exit complexe zoektochten naar antwoorden in op zich al erg moeilijke materie. De burger krijgt exact waar hij naar op zoek is, ongeacht plaats of tijdstip.