MCS over databeveiliging: van goede intenties naar goede beveiliging

MCS over databeveiliging: van goede intenties naar goede beveiliging | Value Added IoT distributie | MCS

| Frank Olsthoorn

Vorige week organiseerde onze partner Mous Waterbeheer uit Balk een Technisch Inhoudelijke Vakdag met als thema cybersecurity. Speciaal georganiseerd voor hun klanten, met name beleidsmedewerkers en (riool)gemaal beheerders.

MCS was gevraagd om vanuit onze expertise een bijdrage te leveren over hoe je effectief de hele IoT-communicatieketen kan beveiligen.

Dus ging ik samen met Jan van Rossum weer eens ouderwets samen op pad richting het mooie Friesland.

Interessant programma op iconische locatie

De locatie voor deze dag had Mous meer dan goed geregeld: het iconische UNESCO Werelderfgoed Woudagemaal in Lemmer. Dit is het grootste nog functionerende stoomgemaal ter wereld en stamt uit 1920. Deze monumentale stoomreus wordt bij te hoge waterstanden nog altijd ingezet door Wetterskip Fryslân om te zorgen voor droge voeten in Friesland.

Het programma ging dus over beveiliging. Van je installaties en apparatuur (assets) in het veld tot aan de data die gebruikers zien op hun monitoringtools en dashboards. Kortom, de voor ons bekende gehele IoT-keten: van sensor tot dashboard.

Woudagemaal Lemmer Mous

Spoiler alert: beveiliging nog lang niet optimaal

Veel toehoorders hadden het idee dat security wel goed is ingeregeld. Of in ieder geval op een juiste manier werd uitgevraagd bij aanbestedingen of kleinere uitvragen voor nieuwbouw, renovatie en/of monitoring en onderhoud aan bijv. gemaalinstallaties.

Na twee presentaties werd al direct duidelijk dat er op het gebied van (data)beveiliging nog heel veel onduidelijk, onbekend en daardoor waarschijnlijk onbemind is. Volop ruimte voor verbetering hier dus!

Impact en praktische implementatie van NIS2

De aftrap was voor Het Waterschapshuis, een verbindende regieorganisatie voor de 21 waterschappen in Nederland. Zij delen onder meer hun kennis op het gebied van digitale innovaties en informatie- en datavoorzieningen.

Hun presentatie ging met name over de impact en de praktische implementatie van NIS2 cybersecurity richtlijn vanuit de overheid. Er werd in het bijzonder gekeken hoe de eisen in deze richtlijn van invloed zijn op alle partijen binnen de waterschappen die data beheren. Ook uiteindelijk voor toeleveranciers zoals MCS. Voor gemeenten als eindgebruikers binnen de waterwereld wordt deze eis verplicht gesteld.

Grote schok met duidelijke boodschap

Nu het kader qua regelgeving was geschetst, was het de beurt aan MCS. Na een korte bedrijfsintroductie van Frank ging Jan in op de verschillende beveiligingsaspecten en vragen die je jezelf als afnemer, gebruiker of system integrator zou moeten stellen. En dat waren er nog al wat!

Denk aan de verschillende handige instellingen en configuratiemogelijkheden in de gebruikte (mobiele) router die de gemaaldata naar de centrale monitoringsoftware brengt. Of de veilige afgeschermde of onveilige publieke toegankelijkheid tot je apparatuur in het veld.

MCS presentatie Mous databeveiliging in IoT

Veel routers nog steeds makkelijk publiek beschikbaar

Je moet er niet aan denken dat een onzichtbare, kwaadwillende hacker in het buitenland de besturing over onze waterkeringen zou kunnen krijgen. Jan liet met een demo zien dat veel bekende mobiele routers nog altijd voor iedereen makkelijk publiek beschikbaar zijn op het internet. Hij deed dit via de openbare website Shodan. Veel toehoorders in het publiek waren flink geschokt over de hoeveelheid openbare informatie die je hier zomaar in kan zien.

De juiste security policy en processen, alarmeringsinstellingen, afgeschermde (VPN/APN) verbindingen en device management tools voor het up-to-date houden van je apparatuur. Het zijn allemaal zaken die binnen de hele IoT-keten van essentieel belang zijn voor een optimale beveiliging van je toepassingen.

Na de rondleiding door het imposante stoomgemaal en de lunchpauze werd het programma vervolgd. Zo waren er nog presentaties over dataverwerking en datavisualisatie mogelijkheden, keten- en contractmanagement en aanbesteden in het kader van beveiliging. Jan en ik waren toen alweer op de terugweg, veilig de drukte vooruit.

Meer weten over veilige mobiele communicatie

Mous kijkt net als wij terug op een zeer geslaagde en leerzame dag voor alle aanwezigen. Heb je zelf ook vragen over security of ondervind je uitdagingen op dit vlak?

Wij helpen je graag op het gebied van veilige en betrouwbare stabiele mobiele IoT communicatie. Neem contact met mij op om de mogelijkheden te bespreken.