2.5 Maatregelen bescherming tegen kwetsbaarheden
2.5.1 Anti-malware[bewerken]
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| AM1 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelenset “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Procedures en Organisatie | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| AP1 | Er dienen geborgde procedures en voorzieningen te zijn voor detectie van en preventie tegen malware | X | X | X | X | |||
| AP2 | Bij anti-virusupdates die vanaf internet worden gedownload, wordt gecontroleerd dat met de juiste internetsite contact is gelegd en/of wordt het gebruik van digitale handtekeningen geverifieerd met gebruik van een betrouwbare certificate authority | X | X | |||||
| AP3 | Er dient een recoveryplan te zijn, waarin zijn opgenomen: alle nodige voorzieningen voor back-up en herstel, kopieën van gegevens en programmatuur, evenals benodigde herstelmaatregelen na een incident zoals b.v. een besmetting met malware | X | X | X | X | |||
| AP4 | Wanneer dagelijkse malware scanning niet mogelijk is dienen zowel intern ontworpen, als ingekochte systemen en applicaties ten minste jaarlijks te worden gescand op malware, alsook op fouten in code en generieke beveiligingskwetsbaarheden | X | X | |||||
| AP5 | Er wordt aantoonbaar zorg voor gedragen (en op toegezien) dat gegevensdragers, beheer- en onderhoudsapparatuur gecontroleerd zijn op en vrij zijn van malware voordat deze worden gekoppeld aan ICS/SCADA of overige ICT-systemen en lokale objectdatanetwerken | X | X | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| AT1 | Antimalware voorzieningen moeten worden ingezet, waarbij aantoonbaar kan worden gemaakt dat de antimalware software correct is geïnstalleerd en geconfigureerd. De juiste werking dient hierbij te kunnen worden aangetoond | X | X | X | X | |||
| AT2 | Antimalware voorzieningen moeten worden ingezet voor de in- en uitgangen tot de systeemzones. Zoals removable media, firewalls, unidirectional gateways, web servers, proxy servers en remote-access servers | X | X | |||||
| AT3 | Updates van de signatures, anti-malwaresoftware en bijbehorende herstelsoftware dienen dagelijks plaats te vinden | X | X | X | X | |||
| AT4 | De anti-malware voorzieningen mogen geen invloed hebben op de werking en functionaliteit van in gebruik zijnde ICS/SCADA en ICT-systemen | X | X | X | X |
2.5.2 Hardening[bewerken]
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| HM1 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelenset “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Procedures en Organisatie | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| HP1 | Er dient een geborgde procedure te zijn voor het hardenen van ICS/SCADA en overige ondersteunde ICT-systemen en datanetwerkelementen | X | X | X | X | |||
| HP2 | Hardware, software en netwerkapparatuur dienen veilig geconfigureerd te worden waarbij gebruik wordt gemaakt van “good practice security baselines” | X | X | X | X | |||
| HP3 | Het dient aantoonbaar te zijn welke hardening-methoden zijn gebruikt en hoe deze zijn toegepast. Hierbij wordt een vooraf opgesteld protocol gevolgd en is er een registratie van de uitgevoerde hardening-activiteiten | X | X | X | X | |||
| HP4 | Het inschakelen van uitgezette services en/of protocollen mag alleen door geautoriseerd personeel worden uitgevoerd en dient te worden gedocumenteerd | X | X | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| HT1 | Indien mogelijk dienen ICS/SCADA-systemen zodanig te worden (her)geconfigureerd dat auto-run van USB-tokens, USB harde schijven, mounted network shares of andere removable media niet is toegestaan. Ook dient het gebruik van mobiele code beperkt te worden, waarbij het uitvoeren van mobiele code niet is toegestaan, tenzij: a. de afkomst van de mobiele code op voldoende wijze is geauthentiseerd en geautoriseerd; b. het versturen van mobiele code naar/van de ICS/SCADA systemen is geblokkeerd | X | X | |||||
| HT2 | Indien mogelijk dienen ICS/SCADA-systemen zodanig (her)geconfigureerd te worden dat auto-run van USB-tokens, USB harde schijven, mounted network shares of andere removable media niet wordt toegestaan. Ook dient het gebruik van mobiele code beperkt te worden, waarbij het uitvoeren van mobiele code niet is toegestaan, tenzij: a. de afkomst van de mobiele code op voldoende wijze is geauthentiseerd en geautoriseerd; b. het versturen van mobiele code naar/van de ICS/SCADA systemen is geblokkeerd; c. het gebruik van mobiele code wordt gemonitord; d. voor gebruik een integriteitscheck op de mobiele code wordt uitgevoerd | X | X | |||||
| HT3 | Bij maatwerkoplossingen dient nagestreefd te worden dat gedeeld geheugen (b.v. RAM) wordt gewist voordat het gedeeld geheugen wordt vrijgegeven voor andere gebruikers of sessies | X | X | |||||
| HT4 | Minimale hardening maatregelen zijn: a. niet noodzakelijke datanetwerkservices uit te zetten; b. het verwijderen (patchen) van bekende kwetsbaarheden; c. alle poorten die niet nodig zijn te deactiveren/blokkeren; d. alle default “access points” te verwijderen; e. de default accounts uit te schakelen conform het wachtwoord beleid. Indien uitschakelen niet mogelijk is dient het wachtwoord te worden aangepast; f. indien beschikbaar gebruik te maken van de security opties van leveranciers. | X | X | X | X | |||
| HT5 | Het aanzetten van uitgeschakelde services en/of protocollen moet mogelijk blijven | X | X | X | X |
2.5.3 Patching[bewerken]
- Mens
| Mens | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| PM1 | Voor bewustwording, gedragsregels en training van bedienaars, beheerders en overig ondersteunend personeel wordt verwezen naar paragraaf 2.7 de maatregelenset “bewustwording en training” van de Cybersecurity Implementatierichtlijn Objecten | X | X | X | X |
- Procedures en Organisatie
| Procedures en Organisatie | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| PP1 | Alle externe ICT-systemen die gekoppeld worden aan de interne ICT- en IA-systemen dienen voorzien te zijn van alle recente beveiligingsupdates en patches | X | X | X | X | |||
| PP2 | Patches worden alleen van betrouwbare bron afgenomen en voorafgaand aan installatie gecontroleerd op authenticiteit en herkomst | X | X | X | X | |||
| PP3 | Indien patches niet kunnen worden uitgevoerd, dient de afweging hiertoe schriftelijk te worden vastgelegd voorzien van een risicoafweging, inclusief een mitigatievoorstel | X | X | X | X | |||
| PP4 | Er is een geborgde procedure waarmee tijdig gereageerd kan worden op technische kwetsbaarheden van de in gebruik zijnde ICS/SCADA en ondersteunende ICT-systemen en netwerken | X | X | X | X | |||
| PP5 | Er is een geborgde procedure voor patching waarin taken, bevoegdheden en verantwoordelijkheden van de betrokken functionarissen zijn beschreven inclusief de van toepassing zijnde doorlooptijden en procuratiehouders | X | X | X | X | |||
| PP6 | Indien zowel de kans op misbruik als de verwachte schade hoog zijn (volgens de NCSC-classificatie voor kwetsbaarheidswaarschuwingen), wordt de betreffende patch ingepland voor implementatie. In de tussentijd worden op basis van een expliciete risicoafweging tijdelijke mitigerende maatregelen getroffen | X | X | X | X |
- Techniek
| Techniek | WN | WN | WN | WN | Aanwezig | Gebruikt | Gestuurd | |
|---|---|---|---|---|---|---|---|---|
| No. | Vereiste | 1 | 2 | 3 | 4 | |||
| PT1 | Het uitvoeren van securityfuncties (b.v. netwerkscans, antimalware, patching) mag de beschikbare systeemresources niet zodanig beperken dat de normale softwareprocessen op de ICS/SCADA systemen hiervan zichtbaar structureel hinder ondervinden | X | X | X | X |