Cybersecurity: Mythes &realiteiten

Is cybersecurity de olifant in de kamer als het gaat om de digitale reis van een nutsbedrijf? We komen erachter in de QTalks-aflevering van deze maand over Cybersecurity: Myths &Realities.

Met de implementatie van digitale oplossingen beschikken nutsbedrijven over meer gedetailleerde gegevens en inzichten dan ooit tevoren. Maar tegen welke prijs? Watersystemen zijn potentieel minder veilig met nieuwe technologieën, zoals digitale netwerken, operaties op afstand, realtime sensoren en analyse van gegevensacquisitie.

Samen met milieujournalist Tom Freyberg:

• Roger Caslow, Chief Information Security Officer bij Hampton Roads Sanitation Districts (HRSD)
• Paula González Domínguez, Digitale Transformatie bij Acciona
• Eric Ervin, Global Cybersecurity Director voor Utilities (Power &Water) and Manufacturing bij 1898 & Co., (onderdeel van Burns and Donald)

Tom begon met het benadrukken van de vooruitgang die is geboekt in de richting van de digitalisering van water en hoe er nu meer gedetailleerde inzichten en gegevens kunnen worden getrokken. Hij zei ook dat met de adoptie van nieuwe technologieën zoals digitale netwerken, operaties op afstand, realtime sensoren en data-acquisitie-analyse nieuwe vragen over de beveiliging van waternetwerken komen.

Hij stelde ook de vraag of cybersecurity de olifant in de kamer is als het gaat om de digitale reis van water.

Roger trapte de discussie af door te praten over de uitdaging van het aanpassen van cybersecurity in het licht van de digitalisering van water, evenals de interoperabiliteitsuitdagingen met betrekking tot de veelheid aan sensoren van verschillende organisaties. Paula noemde het “samenvoegen van twee verschillende werelden” en benadrukte hoe uitdagend het kan zijn om traditionele industriële industrieën en nieuwe technologieën samen te brengen.

Eric ging verder met te bespreken hoe de toename van apparaten verspreid over grote geografische gebieden het potentiële “aanvalsoppervlak” vanuit het oogpunt van cyberbeveiliging heeft verbreed. Hij noemde echter ook het potentieel om beveiliging te ontwerpen in de SCADA-vervangingsinitiatieven die over de hele linie plaatsvinden.

Tom vroeg de experts vervolgens hoe zij geloven dat cyberweerbaarheid binnen teams kan worden gecreëerd en hoe de vaardigheden en ervaring die nodig zijn om cyberweerbaarheid te behouden, kunnen worden bevorderd.

Roger sprak over hoe, in zijn ervaring, cyberweerbaarheid van binnenuit moet worden getraind en dat iedereen – van ingenieurs tot HR en financiën – de noodzaak ervan moet begrijpen. Hij zei dat er naast een bewustzijn van klantgegevens ook een bewustzijn van denial of service-bedreigingen moet zijn.

Paula bracht naar voren dat met de digitalisering van water het potentieel voor meerdere soorten beveiligingsaanvallen en bedreigingen komt, wat betekent dat een bredere reeks vaardigheden nodig is om hieraan te voldoen. Ze noemde ook hoe de cultuur rond beveiliging anders kan zijn voor personeel dat in fabrieken werkt, omdat ze vanaf het begin geen beveiligingsproblemen en protocollen in hun werk hebben ingebakken. Dit benadrukt nog eens hoe belangrijk het is om ervoor te zorgen dat al het personeel wordt opgeleid in cyberbeveiligingskwesties.

Eric ging vervolgens verder met te vermelden hoe de meeste kritieke infrastructuurbedrijven veiligheid hebben ingebouwd in hun kernmissieverklaringen en hun IT-afdeling kunnen aanboren om te beginnen met initiële cyberbeveiligingstraining. Hij wees ook op de intrinsieke uitdagingen van de snelle uitbreiding van digitalisering in operationele omgevingen en hoe dit van invloed kan zijn op de bescherming van activa.

Ter afsluiting van de sessie vroeg Tom de experts om na te denken over eventuele succesvolle veranderingen die ze onlangs hebben doorgevoerd.

Roger legde uit hoe hij werd ingeschakeld om het cyberbeveiligingsprogramma bij Hampton Roads Sanitation Districts (HRSD) op te bouwen en reflecteerde op hoe ze het werken met SCADA- en DCS-partners hebben gehomogeniseerd om alles in één profiel te passen. Door precies te weten met wie ze werken en wat ervoor heeft gezorgd dat ze solide relaties hebben kunnen opbouwen. Roger zei ook hoe het selecteren van een beveiligingspartner die het beste werkt voor de specifieke organisatie, in plaats van een die het beste werkt voor alle anderen, helpt om een betere cultuur te laten passen.

In een reactie op het delen van kennis tussen afdelingen en divisies benadrukte Paula het belang van proactief zijn in het licht van cybersecurity-uitdagingen. Ze zei dat organisaties niet moeten wachten om lessen te leren – vooral in de waterindustrie, vanwege de echte impact op echte mensen – maar ernaar moeten streven om te anticiperen en te leren hoe ze het beste fouten kunnen voorkomen.

In het verlengde hiervan noemde ze ook hoe cybersecurity geen trickle-down oefening zou moeten zijn, maar een organisatiebrede prioriteit waarbij de relevante kennis, tools en educatie aan leden van alle teams worden verstrekt.

Ten slotte, met betrekking tot het evoluerende regelgevingslandschap, hamerde Eric erop hoe belangrijk het is voor hele organisaties om de verschuiving in cybersecurity te begrijpen, en vooral rond de verwachting dat iedereen een rol te spelen heeft. Hij benadrukte ook hoe cruciaal het is voor organisaties om ervoor te zorgen dat cybersecurity deel uitmaakt van het weefsel van organisaties.

Bezoek het YouTube-kanaal van Qatium om deze aflevering en eerdere afleveringen te bekijken.