Vertrouwenshandvest:Siemens, NXP, Partners' Growing Alliance

Shiv Singh en Rohini Luthra, Ph.D. argumenteren zo veel in een boek met de titel "Savvy:Navigating Fake Companies, Fake Leaders and Fake News in the Post-Trust Era." “We ervaren een enorme ineenstorting van het vertrouwen in de instellingen die samenlevingen besturen. We zitten in een vertrouwenscrisis', schrijven ze.

Tegen deze achtergrond bevindt zich een wereld waarin cyberbeveiligingscrises alledaags zijn geworden. Het datalek in Equifax trof bijna 150 miljoen Amerikanen. De WannaCry-ransomware van 2017 saboteerde de Britse National Health Service. Ook vanaf 2017 heeft NotPetya honderden miljoenen dollars aan schade geleden bij een wereldwijde rederij. Alle 3 miljard gebruikers van Yahoo werden getroffen door een datalek in 2013. Voor sommige bedrijven kunnen de kosten van een cyberinbreuk enorm zijn. Volgens een schatting van McAfee uit 2018 ligt de financiële tol van cybercriminaliteit internationaal in de marge van $ 600 miljard per jaar.

Ondanks zo'n chaos blijft het grootste deel van de samenleving vertrouwen op de onderliggende infrastructuur die de moderne economie en het leven zoals wij dat kennen aandrijven. Maar wat gebeurt er bijvoorbeeld als cyberterroristen in de hitte van de zomer of tijdens een winterstorm dagenlang de stroom naar een metropool zouden kunnen afsluiten? Of wat als black hat-hackers een hele reeks ongevallen zouden veroorzaken door bijvoorbeeld autonome of semi-autonome voertuigen te exploiteren of de controle over industriële controlesystemen over te nemen? Hoewel het onmogelijk is om te voorspellen hoe toekomstige cyberaanvallen eruit zullen zien, leidt het vervagen van de scheidslijnen tussen digitaal en fysiek tot nieuwe aanvalsmogelijkheden.

Opkomende technologieën zoals het internet der dingen en brede kaders zoals digitale transformatie zorgen voor een groeiend aanvalsoppervlak waarop bedreigingsactoren zich kunnen richten. Uiteindelijk belooft digitale technologie elke industrie fundamenteel te veranderen, of het nu gaat om proces- en discrete productie, gezondheidszorg, kritieke infrastructuur of de niche van consumentenelektronica. "Opkomende technologieën, van edge en cloud tot connectiviteit, van machine learning tot slimme transducers, veroorzaken de digitale transformatie van de samenleving", zei Fari Assaderaghi, senior vice president, innovation and advanced technologies bij NXP in de paneldiscussie "From Demand to Design:How Digital Security is Transforming the Industrial World”, dat vorige maand werd gehouden bij NXP Connects Silicon Valley.

Er is een groeiende behoefte aan "een nieuwe benadering van digitale veiligheid en beveiliging", zoals Leo Simonovich, vice-president en global head voor industriële cyber- en digitale beveiliging bij Siemens in mei zei. In een wereld waar alles, van auto's tot industriële machines tot medische apparaten tot het elektriciteitsnet, is geautomatiseerd en genetwerkt, kunnen cyberaanvallen zowel onze veiligheid als onze gegevens in gevaar brengen. Het elektriciteitsnet, industriële faciliteiten en kritieke infrastructuur zijn allemaal kwetsbaar voor cybersabotage. Zo bleek uit een onderzoek van het Ponemon Institute uit 2017 naar de Amerikaanse olie- en gasindustrie dat meer dan tweederde van de respondenten in het voorgaande jaar ten minste één beveiligingsprobleem had.

En toch, ondanks de wijdverbreide aandacht die cybersecurity in de media krijgt, blijven veel organisaties grotendeels onbezorgd. "Voor veel spelers in de branche van vandaag is beveiliging een relatief nieuw iets om over na te denken", zegt Svend Buhl, directeur communicatie bij NXP. "En toch komt er een fundamentele verschuiving door het IoT, die het bewustzijn van mensen over beveiliging en hoe de industrie met beveiliging omgaat, heeft veranderd."

Een voorbeeld:in 2018 kondigden Siemens en acht partners, waaronder NXP, hun deelname aan aan een initiatief dat bekend staat als het Charter of Trust, dat een reeks gemeenschappelijke principes biedt die zijn ontworpen om cyberrisico's in het algemeen te verminderen. Verwijzend naar de vraag die aan het begin van dit artikel werd gesteld, is het Charter of Trust bedoeld om het vertrouwen te beschermen wanneer organisaties van alle niveaus digitale transformatie-initiatieven nastreven.

Sinds de ratificatie wordt het Handvest steeds verder uitgebreid. Mitsubishi Heavy Industries, dat nu 16 leden telt, heeft aangekondigd later dit jaar het eerste Aziatische lid te willen worden. Andere organisaties die het Handvest hebben ondertekend, zijn onder meer:​​Airbus, Allianz, Cisco, Daimler, Dell Technologies en IBM.

Een van de eerste aandachtsgebieden van het consortium is Principe 2:“Verantwoordelijkheid in de gehele digitale toeleveringsketen.”

“Alle leden hebben ermee ingestemd om daarop in te spelen. Het idee hier is natuurlijk dat als we ons allemaal op dat gebied concentreren, het helpt om het aanvalsoppervlak dat sommige dreigingsactoren kunnen gebruiken drastisch te verminderen”, zegt Kurt John, US Chief Information Security Officer bij Siemens. "In termen van het tweede principe heeft Siemens de 300 grootste leveranciers wereldwijd geïdentificeerd en we werken met hen samen om ervoor te zorgen dat ze standaard cyberbeveiliging implementeren."

In het geval van NXP betekent het standaard implementeren van cyberbeveiliging het benutten van zijn ervaring bij het beveiligen van e-paspoorten en bankapplicaties. "In onze bredere productportfolio hebben we de denkwijze die we gebruikten om paspoort- of bankapplicaties veilig te maken, overgenomen en overgebracht naar verschillende industrieën en branches", zei Buhl. “Bij het bouwen van chipoplossingsarchitecturen denken we eerst en vooral vanuit het perspectief van niet alleen functionaliteit of energie-efficiëntie, maar ook veiligheid.”

Een van de hoofddoelen van het Charter of Trust is om een ​​bedrijf als NXP te helpen zijn expertise op het gebied van hardwarebeveiliging te delen met andere leden van het consortium, en tegelijkertijd te leren van andere leden. De groeiende belangstelling voor edge computing maakt hardware belangrijker, zei Buhl, omdat "edge-apparaten zelf de eerste verdedigingslinie tegen cyberaanvallen worden. "Veel gegevens worden nu aan de rand opgeslagen, en dat maakt randapparaten waardevolle doelen voor aanvallers", legt hij uit.

Edge computing is een enkel facet van de focus van het Charter of Trust. Het idee achter het consortium is om leden niet alleen in staat te stellen best practices te delen, maar ook om een ​​gedeelde manier van praten over cybersecurity te identificeren. "We spreken dezelfde taal, we concentreren ons op dezelfde dingen", zei John. "We kunnen verhalen uitwisselen omdat onze inspanningen gezamenlijk in dezelfde richting gaan."

Uiteindelijk is een van de belangrijkste dimensies van het Charter of Trust de verbinding met de samenleving. "Deze 10 principes waarmee iedereen heeft ingestemd die dit Charter of Trust heeft ondertekend, geven ons alle leidende principes, zodat we allemaal weten dat de producten, diensten en oplossingen die we aan de samenleving leveren aan een bepaalde norm voldoen", zei John.