Cybersecurity in de energiesector: wie is de zwakste schakel?

Nieuwsbericht |
Digitalisering
|
Security

In het energiesysteem van de toekomst speelt digitalisering een cruciale rol. Zonder digitalisering geen gedistribueerd, 'smart' en duurzaam energiesysteem. Maar door de veelheid van spelers en de toenemende complexiteit ontstaan nieuwe veiligheidsrisico’s. Hoe zorgen we voor een inherent veilig energiesysteem?

Dat en meer kwam ter sprake tijdens de tweede webinar van dit jaar van Topsector Energie Digitalisering. Onder leiding van Serge Santoo gingen experts met elkaar en de ruim 40 geïnteresseerde deelnemers in gesprek.

Het team van experts bestond uit:

  • Martin van Dijk – Group Lead Computer Security CWI;
  • Anjos Nijk – Directeur European Network for Cybersecurity;
  • Harm van den Brink – IT Architect Electric Vehicles ElaadNL;
  • Daan Keuper – Ethical Hacker Computest en winnaar Global Hack-competitie Pwn2Own ‘22;
  • Harold Veldkamp - programmadirecteur Topsector Energie Digitalisering.

De zwakste schakel: process security

"Het is goed om in ons energiesysteem de combinatie te maken tussen de digitale en de fysische laag. En daarom moet je die twee niveau’s bij elkaar brengen. Alleen informatiesecurity is niet genoeg", aldus Marten van Dijk, onderzoeksleider Computer Security bij Centrum voor Wiskunde en Informatica CWI. "Het draait om process security, waarmee je het systeem als een geheel beschouwt. Snappen we de motieven van aanvallers, wat zijn de cascaderende effecten op het energienet? Security by design is een veel gehoorde term, maar vraagt, naast fundamentele nieuwe keuzes ook om fundamentele investeringen. En om eerlijk te zijn, weet ik niet of de energiesector zich überhaupt voldoende richt op het security vraagstuk". 

Een veilige omgeving begint bij bewustzijn & kennis

En als we dat bewustzijn niet hebben en daar niet in investeren, dan heeft dat effect op ons vestigingsklimaat en behoud van het welvaart in Nederland. "Een veilige omgeving moeten we willen blijven verdedigen,” besluit Van Dijk.

In de woorden van programmadirecteur Digitalisering van de Topsector Energie Harold Veldkamp: de sleutel is ‘awareness, awareness, awareness’. Oftewel: bewustzijn. 
"Zolang de zwakste schakel niet door heeft dat deze zwak is, zal er niets veranderen. Dus de eerste stap in het verbeteren van de cybersecurity in de energiesector is het creëren van bewustzijn over het belang van kennis over de risico’s."

Anjos Nijk, directeur European Network for CyberSecurity, legt de nadruk op drie uitdagingen. Breng technologie onder controle, dicht het kennisgat in je organisatie en wees voorbereid. Nijk licht toe: "Security by design is in de praktijk nog geen gemeengoed, terwijl hier al sinds jaar en dag over gesproken en over nagedacht wordt. Hetzelfde geldt voor die kennis, kennis in de praktijk van de netbeheerders bijvoorbeeld. Het stimuleren van die kennisopbouw is cruciaal. En tot slot is cybersecurity iets waar de hele organisatie zich op moet voorbereiden. Dat betekent bijvoorbeeld dat het een lijnverantwoordelijkheid moet zijn, dus van de CEO. Dat zorgt er beter voor dat de middelen er ook komen om er organisatiebreed iets aan te doen."

Alles kan kapot, maar we weten wat eraan schort

Daan Keuper, hoofd security research bij Computest en ethical hacker, ziet nog wel wat verbeterpunten. "Wat ons opvalt, is dat veel industriële systemen echt nog in de kinderschoenen als het gaat om security. En dan heb ik het niet over zogenaamde legacy-systemen, maar gewoon de nieuwe systemen. In het IT-landschap zien we dat soort kwetsbaarheden niet, maar in de industrie en energiesector zijn dit relatief nieuwe lessen. In de industrie bouwen we als het ware een muur om de stad, liefst een hele hoge, om ervoor te zorgen dat de aanvallers niet binnenkomen. Maar de ophaalbrug is een ingang. En als steden steeds smarter worden, zijn er steeds meer ophaalbruggen. En dan is het niet meer realistisch om aanvallers buiten te houden."

Bekijk de sessie terug

Bekijk de voorgaande inspiratiesessies hier terug of meld je hier aan voor de inspiratie sessie over data governance in de energiesector op 30 juni van 15:30-17:00.

Werk mee aan het Breedgedragen Programma Cybersecurity

Inmiddels is Cybersecurity een van de speerpunten van de Topsector Energie Digitalisering. In de komende periode wordt er samen met de andere Topsectoren gewerkt aan een breed gedragen programma. Welke onderwerpen moeten we hier vanuit de energiesector aan bod laten komen? Wat zijn de meest urgente issues? Denk en vooral doe mee!  Meer informatie daarover op de website van www.topsectorenergie.nl/digitalisering of dcypher.nl.