4. 4
Werkpakket
01a PRIVILEGE ACCOUNT MANAGEMENT
Korte uitleg
PAM wordt gebruikt om beheer uit te voeren op systeem-
wachtwoorden. Bijna alle systemen kennen admin/root-
wachtwoorden die toegang geven tot de hoogste rechten
van het betreffende systeem welke nodig zijn voor het
beheren van deze systemen, maar een hoog risico
vormen vanuit security perspectief.
Met PAM wordt het te allen tijde traceerbaar wie welk
wachtwoord heeft gebruikt met hoge rechten en op welk
systeem. Geautoriseerd personeel wordt toegelaten tot de
portal waarin de systemen en accounts worden
weergegeven afhankelijk van de rechten voor deze
gebruiker.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X
5. 5
Werkpakket
01b REMOTE ACCESS
Korte uitleg
Met de scheiding van het OT-domein van de buitenwereld
is het niet mogelijk om de continuïteit op een gewenst
niveau te borgen van systemen en applicaties binnen
deze omgeving.
De toegangsportal geeft toegang tot systemen en
applicaties afhankelijk van de gebruikersrol. Hiermee
wordt een steppingstone/jumpserver gerealiseerd
waarmee intern personeel en derden toegang kunnen
krijgen tot het OT-domein. Bij derden zal er tevens een
tijdvenster, screenrecording en command filter toegepast
worden om in control te zijn op kritische functies en
systemen.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X
6. 6
Werkpakket
02 IDENTITY AND ACCESS MANAGEMENT
Korte uitleg
Aanwijzingen, sleutel en werk proces conform de BEI voor
het gehele domein. Een aanwijzing wordt aan een
werknemer verstrekt na een controle op vastgestelde eisen,
zoals opleiding, awareness, persoonlijkheidstest en VOG.
Toegang tot het OT-domein d.m.v. login-gegevens (OT
Active Directory) en/of OT-werkplek kan alleen indien de
werknemer in het bezit is van een juiste aanwijzing.
Aan de hand van de toegewezen groep wordt toegang
verschaft tot systemen (bijv. EMS/DMS, telecom en SA) en
locaties (bijv. NOC’s en Datacenters).
Werkzaamheden worden uitsluitend uitgevoerd met
werkvergunningen. Voor repeterende en niet complexe
werkzaamheden kan een “raamopdracht kalender”
toereikend zijn en voor complexe werkzaamheden dient
een werkplan met risico assessment gehanteerd te worden.
Dit werkplan zal goedgekeurd worden door een OIV (2 paar
ogen principe).
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X X X X
7. 7
Werkpakket
03 OT-MONITORING
Korte uitleg
Met het OT-monitoring systeem wordt inzicht gecreëerd in
de datastromen binnen het OT-domein. Het systeem
creëert zelf een baseline van alle apparaten en
communicatie patronen. Op basis van modellen en score
worden afwijkingen in alle soorten en varianten gemeld in
een event. Dit event krijgt direct een categorie en
gevoeligheid.
OT-monitoring is een waarschuwingssysteem waarmee
bijvoorbeeld detectie van nieuwe apparaten,
ongeautoriseerde gebruikers, netwerkscans en
ongebruikelijk gedrag van apparaten (bv. Malware)
zichtbaar wordt.
De momenteel 40 actieve sensoren (worden er binnen 1
jaar meer dan 100) verzenden data naar het SIEM.
Dit sensornetwerk is op moment van schrijven de grootste
in zijn soort.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X
8. 8
Werkpakket
04 OT-SECURITY OPERATING CENTER
Korte uitleg
Het OT-SOC bewaakt digitale systemen die deel uitmaken
van de vitale infrastructuur binnen het OT-domein. Om deze
taak uit te kunnen voeren zal het OT-SOC een brede
verscheidenheid aan systemen, processen en
kennisgebieden gebruiken en faciliteren.
Andere logbronnen zoals servers, netwerk devices en
applicaties verzenden relevante data naar het SIEM.
Het OT-SOC (momenteel 2 fte) heeft use-cases ingericht
die afgestemd zijn met de business. Eventuele positieve
hits op de use-cases zullen de afhandelingsprocedures in
werking stellen.
Het OT-SOC heeft gebruik gemaakt van het SOC-CMM
model om de volwassenheid en de ambitie te bepalen, de
volwassenheid van de use-cases wordt middels het
MagMa framework bewerkstelligd.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X X X X X
9. 9
Werkpakket
05 STN2020
Korte uitleg
STN2020 verzorgt in het viernieuwen van de vitale telecom
infrastructuur. In de uitrol worden een aantal belangrijke
security vereisten geïmplementeerd zoals, MPLS/zonering,
nieuwe industriële hardware, encryptie op verbindingen,
NMS en portsecurity.
Naast deze security onderwerpen worden tevens de
bestaande koperen telecomnetwerken vervangen door
glasnetwerken. Hiermee gaat de algehele prestatie met
grote stappen vooruit waardoor bijvoorbeeld bandbreedte
geen beperkende factor meer zal zijn voor het
implementeren van allerhande gewenste en vereiste
diensten.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X
10. 10
Werkpakket
06 SECURE PAC
Korte uitleg
Protection, Automation and Control (ofwel SA) zijn de
systemen in hoogspanningsstations en
middenspanningsruimten die ervoor zorgen dat autonome
functies voor de beveiligingen en continuïteit van de netten
gewaarborgd blijft.
De vernieuwde security eisen op deze systemen zorgen
voor een zonering binnen het netwerk van een dergelijk
systeem, waardoor de belangrijkste delen van dit systeem
afgeschermd worden voor kwetsbare objecten. Er zal
vanuit andere locaties voor beheer een engineering pc
worden ingericht om remote beheer te doen vanuit het OT
netwerk.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X X X X X
11. 11
Werkpakket
07 OT-WERKPLEK
Korte uitleg
Engineering computers zijn een van de meest risicovolle
objecten binnen een digitale industriële omgeving. Een
goed beheerde engineering computer is hiermee een zeer
belangrijk toegangsmiddel tot Stedin’s vitale infrastructuur.
De OT-werkplek is de implementatie van een secure
engineering waarmee de werkplek voldoet aan security
beleid van Stedin. De OT-werkplek kan gebruikt worden
om lokaal apparatuur te configureren, aan te sluiten op
vitale netwerken en om via “remote access” te
connecteren naar het OT-domein.
Apparatuur kan mogelijk door ouderdom niet omgaan met
moderne technologie. OT-werkplek voorziet in een veilige
en robuuste manier van communiceren binnen het OT-
domein.
12. 12
Werkpakket
08 VULNERABILITY MANAGEMENT
Korte uitleg
Binnen productie en OTA geïnstalleerde vulnerability
scanner om een controle uit te kunnen voeren op
hardening van hosts en de policies die uitgerold worden.
Deze scanner dient scans uit te voeren:
• Bij nieuw geplaatste hosts ter verificatie en rapportage.
• Bij werkstations om de machine-mens interface
periodiek te scannen op kwetsbaarheden.
• Aan het einde van een “Factory Acceptance Test” van
Station Automatisering ter verificatie en rapportage.
• Om risico’s in te kunnen schatten bij incidenten of naar
aanleiding van incidenten.
Risco 1 2 3 4 5 6 7
Cyber Kill Chain level X X