Secior: 3D-security voor datacenters

Bij cybersecurity ligt de aandacht op ICT-systemen en netwerken. Maar datacenters zijn veel meer dan dat. Om te functioneren heb je te maken met koeling, stroom en fysieke beveiliging. Ook deze onderdelen worden steeds kwetsbaarder voor aanvallen, en in de praktijk zijn er al faciliteiten op deze manier onder vuur genomen. Een direct gevaar voor de kritieke infrastructuur in Nederland. De nieuwe Nederlandse partij Secior richt zich specifiek op deze uitdaging.

Om te kunnen functioneren, zijn datacenters erg afhankelijk van hun OT- en IoT-systemen. Koeling, stroomdistributie, IoT-sensoren, toegangscontrole en brandblussystemen maken allemaal deel uit van het ‘slimme gebouw’ dat een modern datacenter is. Het is apart dat over de security van deze systemen weinig wordt gesproken. “Je moet security echt vanuit drie dimensies bekijken”, zegt Fred Streefland, CEO van Secior. “De Operationele Technologie (OT), Internet of Things (IoT) en de IT. De huidige Security Operations Centers, SOCs, in de cybersecurityindustrie hebben zich altijd heel erg op dat laatste gericht, maar met aanvallen op of via OT en IoT systemen kun je een heel datacenter lamleggen.” Tijdens de Oekraïneoorlog zijn dergelijke aanvallen op datacenters al waargenomen. “Er is zelfs malware ontplooit die specifiek de OT-systemen aanvalt”, noemt Fred. “Daarnaast hebben wij in Oekraïne aanvallen op OT-systemen gezien, welke gecoördineerd plaatsvonden met traditionele IT-aanvallen, waarschijnlijk om de kans van slagen te vergroten.”

Urgent

Dat inzicht is op zichzelf niet nieuw. Cyberveiligheid - bescherming van kritieke ‘De fysieke toegangscontrole in datacenters is meestal goed zichtbaar. Maar het complete aanvalsoppervlak, vooral het OT- en IoT-gedeelte, wordt vaak onderschat’ nutsfaciliteiten tegen door vijandige overheden aangestuurde hackers - houdt zich al jaren met dit soort vraagstukken bezig. Vooral in landen die aan Rusland grenzen is het geruime tijd actueel. Er zijn, naast de oorlog in Oekraïne, nog meer redenen waarom de aandacht op security van deze domeinen moet worden verbreed. “We hebben ook te maken met de nieuwe Europese NIS2-richtlijnen”, zegt Fred.

Ervaring en inzicht

“In de nieuwe versie van het EU NIS2-document, welke de EU-landen dit jaar nog bekrachtigen, is bepaald dat datacenters kritieke infrastructuur zijn. Dat betekent dat datacenters aan bepaalde cyberveiligheidseisen moeten voldoen, boetes kunnen krijgen als de security niet op orde is, en zelfs bestuurders hoofdelijk aansprakelijk kunnen worden gesteld.” Een derde reden is dat verzekeringsmaatschappijen terughoudender worden bij het verzekeren van grote cyberaanvallen door statelijke actoren. “Het Britse Lloyds stopt daar al mee vanaf 2023”, noemt hij.

Secior is opgericht door brancheveteranen om aan deze securitybehoefte te voldoen. Naast Fred, die sinds afgelopen juli de rol van CEO vervult, maakt Sander Nieuwmeijer ook deel uit van het managementteam. Beiden hebben door de jaren heen een schat aan kennis opgedaan. “Het was Sander die twee jaar geleden opmerkte hoe een datacenter engineer de koeling van zijn datacenter regelde met zijn smartphone”, zegt Fred. “Dat riep vragen bij hem op.” Het idee achter Secior is om de digitale weerbaarheid van datacenters te vergroten. Dat begint met het inzichtelijk maken van de gehele OT, IoT en IT-infrastructuur van een datacenter. “We brengen alles in kaart, inclusief de risico’s, en gaan vervolgens in op hoe de risico’s het kunnen worden gemitigeerd”, legt Fred uit. “Heel vaak weten organisaties niet hoe groot hun werkelijke aanvalsoppervlak is. Veel van de OT-systemen zijn ontworpen om een functie uit te voeren, zonder dat security een overweging was. Nu er vaak een DCIM, DataCenter Infrastructure Management, dashboard aan is toegevoegd, staan ze echter indirect in verbinding met het internet.” In veel gevallen weten datacenters helemaal niet wat ze in huis hebben. “Om een idee te geven: tijdens een scan in een groot datacenter kwamen wij zelfs meer dan 100.000 IoT-sensoren tegen, aanzienlijk meer dan de datacentereigenaar vermoedde.” De fysieke toegangscontrole in datacenters is meestal goed zichtbaar. Maar het complete aanvalsoppervlak, vooral het OT- en IoT-gedeelte, wordt vaak onderschat.

Onafhankelijk

De scan die Secior uitvoert is niet afhankelijk van één leverancier of partij. “We gebruiken een Secior INSITE-platform, waarbinnen verschillende ‘scan tools’ passen. Het is echt best-of-breed.” Mede door alle legacy systemen, de hoeveelheid systemen en de onderlinge complexiteit van de systemen in een datacenter, is het helaas onmogelijk om echt alle systemen dicht te timmeren, zo waarschuwt Fred. “Maar je moet wel weten welke risico’s er bestaan, want alleen dan kun je ervoor zorgen dat je een goed verhaal hebt als er een cyberincident plaatsvindt en je er alles aan hebt gedaan om dit te voorkomen.”

Go-to-partij

Uiteindelijk, zo zegt Fred, is het de ambitie dat Secior een rol op zich neemt die bijvoorbeeld Fox-IT in de bankenwereld vervult: de go-to partij voor security-monitoring, audits, certificeringen en eventueel incident response. Hij is een warm voorstander van verplichte jaarlijkse assessments. “Wat wij voor datacenters doen, zou je in de toekomst ook voor ziekenhuizen en nutsbedrijven kunnen uitvoeren”, zegt Fred. “Maar vergis je niet: datacenters zijn kritieke infrastructuur,en niet alleen op ‘papier’. Want als een datacenter uit de lucht gaat, dan berokkent dat extreem veel schade. Zonder datacenters geen internet”

https://www.secior.com