image

Milieudienst: cybersecurity niet op orde bij bedrijven met gevaarlijke stoffen

donderdag 23 september 2021, 15:55 door Redactie, 6 reacties

Bedrijven die met gevaarlijke stoffen werken hebben hun cybersecurity niet altijd op orde en moeten hier meer aandacht aan geven, zo stelt DCMR Milieudienst Rijnmond op basis van onderzoek onder 39 bedrijven in Zeeland en Zuid-Holland. De PvdA heeft demissionair minister Grapperhaus van Justitie en Veiligheid om opheldering gevraagd.

Uit het onderzoek blijkt dat zo'n veertig procent van de organisaties een volwassenheidsniveau van twee of lager scoort. "Dit betekent dat standaarden, procedures, hulpmiddelen en methoden nog niet volledig zijn geïmplementeerd en/of beschreven binnen de desbetreffende organisatie. Ook ontbreekt er consistentie in de toepassing en/of de documentatie en vindt er nog niet in alle gevallen procesverbetering plaats. Een lagere volwassenheidsscore betekent dus over het algemeen dat organisaties minder 'in control' zijn over hun cybersecurity aanpak", aldus de onderzoekers.

Driekwart van de onderzochte bedrijven is volgens de onderzoekers niet in staat om cybersecurityrisico's te mitigeren. Daarnaast heeft een derde de operationele technologie (OT)-omgevingen niet geïsoleerd of weten dit niet, ook al is dit een belangrijke beveiligingsmaatregel. Een kwart van de respondenten geeft daarnaast aan geen encryptie toe te passen. Een zelfde percentage beschikt niet over oplossingen om kwetsbaarheden in hun omgeving te detecteren.

DCMR Milieudienst Rijnmond stelt dat het onderzoek aantoont dat bedrijven niet altijd weten hoe ze met cybersecurity moeten omgaan. "Bedrijven moeten worden geholpen om digitaal weerbaar te worden. Dat begint al met het in kaart brengen van de eventuele risico’s voor de veiligheid van de werknemers en omgeving van cyberaanvallen." De organisatie laat wel weten dat met het onderzoek niet is aangetoond dat er acuut gevaar is voor het ontstaan van zware ongevallen.

Kamervragen

PvdA-Kamerlid Kathmann wil nu opheldering van Grapperhaus. "Hoe kan het dat bij een groot deel van de bedrijven er onvoldoende aandacht is voor cybersecurity?", vraagt ze aan de minister. "Bent u het met ermee eens dat bedrijven die werken met gevaarlijke stoffen juist extra goed beveiligd moeten zijn op het digitale vlak?"

Grapperhaus moet daarnaast duidelijk maken wat hij doet om de cybersecurity van deze bedrijven te vergroten. "Doet u voldoende om de cybersecurity van deze bedrijven te verbeteren? Zo ja, hoe verklaart u de bevindingen in dit onderzoek dan? Zo nee, wat gaat u meer doen om de cybersecurity van deze bedrijven te verbeteren?", besluit Kathmann haar vragen. De minister heeft drie weken om ze te beantwoorden (pdf).

Reacties (6)
23-09-2021, 16:26 door Anoniem
Gebruiken deze bedrijven ook consumenten software voor hun ICT?
24-09-2021, 08:13 door Anoniem
Door Anoniem: Gebruiken deze bedrijven ook consumenten software voor hun ICT?

Deze bedrijven gebruiken industriële software voor hun processen en zoals al is aangetoond, die is vaak zwaar verouderd ("het werkt toch") en bevat dan soms gigantische lekken.
24-09-2021, 08:40 door Anoniem
Door Anoniem: Gebruiken deze bedrijven ook consumenten software voor hun ICT?

Ja, ik denk Windows paint. Moet dit nu onder elke post gezet worden?
24-09-2021, 12:12 door Anoniem
U moet eens weten wat er zoal verouderd gebruikt wordt. Je mond valt letterlijk open van verbazing.
24-09-2021, 15:22 door Anoniem
Tsja, het moet ook allemaal met elkaar kunnen communiceren he. Dus de inderdaad vaak verouderde OT toch maar koppelen aan de het kantoornetwerk (zonder even op wat security details te letten, want het is toch allemaal intern verkeer), zodat een mooi excel bestand kan worden gemaakt met productie getalletjes . Deze medewerker gaat in de pauze even de prive mail lezen en ziet dat hij of zij een mooie prijs gewonnen heeft (je weet wel..."to good to be true")
24-09-2021, 16:23 door Anoniem
Door Redactie: Bedrijven die met gevaarlijke stoffen werken hebben hun cybersecurity niet altijd op orde en moeten hier meer aandacht aan geven, zo stelt DCMR Milieudienst Rijnmond op basis van onderzoek onder 39 bedrijven in Zeeland en Zuid-Holland.

Het rapport ‘Eindrapportage cybervolwassenheidsonderzoek’ [PDF], uitgevoerd door Fox-IT in opdracht van de DCMR en de twee betrokken provincies, is hier in te zien en te downloaden:

https://www.dcmr.nl/actueel/nieuws/meer-aandacht-nodig-voor-digitale-weerbaarheid-risicovolle-bedrijven


Dit onderzoek is uitgevoerd in het kader van het 'Besluit risico’s zware ongevallen 2015' (voor zogeheten Brzo-bedrijven).


De score van de 'cybervolwassenheid' wordt gemeten op een schaal van 0 tot 5 punten, waarbij een nul staat voor 'Niet bestaand' en een vijf voor 'Geoptimaliseerd'. Een score van twee staat voor een cybersecurity implementatieniveau van:

2. Herhalend maar intuïtief

De maatregel wordt over het algemeen consistent geïmplementeerd; maar kan afhankelijk zijn van de kennis en toewijding van een kleine groep personeel. De basis beleidsstukken en documentatie in context van de (voorbeeld: werkinstructies) maatregel zijn er, wat zorgt voor een bepaalde mate van consistentie. Auditing en compliancy mechanismes zijn [echter] gelimiteerd, wat betekent dat wanneer er wordt afgeweken van gedocumenteerde normen dit niet altijd worden gedetecteerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.