💼 Management Samenvatting
Netwerksegmentatie voor Industrial Control Systems (ICS) vormt een kritieke beveiligingsmaatregel voor organisaties die industriële processen beheren via Azure cloudinfrastructuur. Deze beveiligingsmaatregel is essentieel voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van operationele technologie (OT) systemen die kritieke infrastructuren zoals energiecentrales, waterbehandelingsfaciliteiten, productielijnen en transportnetwerken aansturen.
Aanbeveling
IMPLEMENTEER ICS-NETWERKSEGMENTATIE
Risico zonder
Critical
Risk Score
10/10
Implementatie
180u (tech: 120u)
Van toepassing op:
✓ Azure
Zonder adequate netwerksegmentatie voor ICS-systemen ontstaan er catastrofale beveiligingsrisico's die kunnen leiden tot verstoorde industriële processen, productieonderbrekingen, milieuschade en zelfs gevaar voor menselijke veiligheid. In een niet-gesegmenteerd ICS-netwerk kunnen cyberaanvallen die gericht zijn op IT-systemen zich verspreiden naar kritieke OT-systemen, waardoor aanvallers directe controle kunnen krijgen over industriële processen. Dit kan resulteren in het onbedoeld stoppen van productielijnen, het manipuleren van procesparameters waardoor productkwaliteit wordt aangetast, of zelfs het veroorzaken van fysieke schade aan apparatuur en installaties. Voor Nederlandse organisaties die kritieke infrastructuren beheren, zoals energiebedrijven, waterbeheerders en transportoperators, is het ontbreken van ICS-netwerksegmentatie bovendien een directe schending van de NIS2-richtlijn en de Baseline Informatiebeveiliging Overheid (BIO) normen. Het niet voldoen aan deze vereisten kan leiden tot aanzienlijke boetes, verplichte verbeteracties en in extreme gevallen tot het stopzetten van dienstverlening. De gevolgen van een succesvolle aanval op ICS-systemen kunnen maatschappijbreed zijn, waarbij hele regio's zonder stroom of water kunnen komen te zitten, of waarbij transportnetwerken kunnen worden verstoord met grote economische en sociale gevolgen.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Network, Az.IotHub
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Network, Az.IotHub
Implementatie
ICS-netwerksegmentatie in Azure betekent het implementeren van een strikt gescheiden netwerkarchitectuur die operationele technologie (OT) systemen volledig isoleert van informatietechnologie (IT) systemen, waarbij verschillende zones worden gecreëerd volgens het Purdue-model of vergelijkbare industriële referentie-architecturen. Dit omvat de implementatie van meerdere virtuele netwerken die strikt gescheiden zijn voor verschillende ICS-niveaus: Level 0 (veldapparatuur zoals sensoren en actuatoren), Level 1 (programmeerbare logische controllers of PLC's), Level 2 (supervisory control and data acquisition of SCADA systemen), Level 3 (manufacturing execution systems of MES), en Level 4 (enterprise IT-systemen). Binnen elk niveau worden verder subnetten aangemaakt voor specifieke functies zoals procescontrole, historische data-opslag, engineering-workstations en operator-interfaces, waarbij netwerkbeveiligingsgroepen (NSGs) en Azure Firewall functioneren als strikte scheidingswanden die alleen specifiek geautoriseerd verkeer tussen zones toestaan volgens het principe van minimale privileges. Deze segmentatie zorgt ervoor dat zelfs wanneer een aanvaller toegang krijgt tot IT-systemen op Level 4, zij niet automatisch toegang krijgen tot kritieke OT-systemen op lagere niveaus, waardoor de fysieke processen beschermd blijven tegen cyberaanvallen.
Vereisten
ICS-netwerksegmentatie vormt een van de meest complexe en kritieke beveiligingsmaatregelen die organisaties kunnen implementeren, en vereist een uitgebreide voorbereiding die verder gaat dan standaard IT-netwerksegmentatie. Deze beveiligingsmaatregel is geen eenvoudige technische configuratie, maar een strategische architecturale beslissing die diepgaand inzicht vereist in industriële procesarchitectuur, OT-protocollen, gegevensclassificatie, beveiligingsvereisten en compliance-vereisten voor kritieke infrastructuren. Voordat organisaties kunnen beginnen met het segmenteren van hun ICS-netwerken, moeten zij een grondige analyse uitvoeren van hun huidige industriële infrastructuur, de communicatiepatronen tussen verschillende ICS-componenten, de gevoeligheid en kritiekheid van elk proces, en de specifieke beveiligings- en compliance-vereisten die van toepassing zijn. Deze analyse moet niet alleen technische aspecten omvatten, maar ook operationele, organisatorische, financiële en compliance-gerelateerde overwegingen. Organisaties moeten begrijpen welke industriële processen zij beheren, hoe deze processen met elkaar communiceren via verschillende OT-protocollen zoals Modbus, DNP3, OPC-UA of EtherNet/IP, welke gegevens zij verwerken en hoe gevoelig deze gegevens zijn, welke specifieke beveiligings- en compliance-vereisten van toepassing zijn zoals NIS2, BIO of sector-specifieke normen, en wat de impact zou zijn van een beveiligingsincident op elk procesniveau. Zonder deze grondige voorbereiding is het onmogelijk om een effectieve ICS-netwerksegmentatie te ontwerpen die zowel beveiliging als operationele continuïteit waarborgt. De primaire technische vereiste voor ICS-netwerksegmentatie is de beschikbaarheid en beheersbaarheid van virtuele netwerken (VNets) in Azure die specifiek zijn geconfigureerd voor industriële workloads. Een VNet vormt een geïsoleerde netwerkomgeving waarin cloudresources kunnen worden geplaatst en geconfigureerd, maar voor ICS-toepassingen moeten deze netwerken worden geoptimaliseerd voor lage latentie, hoge beschikbaarheid en deterministische communicatie die vereist is voor real-time procescontrole. Voor effectieve ICS-segmentatie moeten organisaties niet alleen beschikken over de technische mogelijkheid om meerdere VNets aan te maken, maar ook over de organisatorische capaciteit om deze te beheren en te onderhouden volgens industriële standaarden. Elk VNet vertegenwoordigt een specifiek ICS-niveau volgens het Purdue-model, waarbij Level 4 (Enterprise IT) strikt gescheiden wordt van Level 3 (MES), Level 2 (SCADA), Level 1 (PLC's) en Level 0 (veldapparatuur). Deze scheiding voorkomt dat incidenten in IT-systemen kunnen overslaan naar kritieke OT-systemen die fysieke processen aansturen. Het is belangrijk om te begrijpen dat het aanmaken van VNets niet voldoende is; organisaties moeten ook beschikken over de kennis en tools om deze netwerken effectief te beheren, te monitoren en te onderhouden met specifieke aandacht voor OT-vereisten zoals deterministische communicatie, lage jitter en hoge beschikbaarheid. Dit omvat het begrijpen van VNet-peering tussen ICS-zones, routeeringsconfiguraties die rekening houden met OT-protocollen, DNS-instellingen die compatibel zijn met industriële naming-conventies, en de integratie met andere Azure-services zoals Azure IoT Hub, Azure Digital Twins of Azure Time Series Insights die specifiek zijn ontworpen voor industriële toepassingen. Naast de beschikbaarheid van VNets zijn netwerkbeveiligingsgroepen (NSGs) en Azure Firewall absoluut essentieel voor het daadwerkelijk implementeren van ICS-netwerksegmentatie, maar deze moeten worden geconfigureerd met specifieke aandacht voor OT-protocollen en industriële communicatiepatronen. NSGs fungeren als virtuele firewalls die verkeer tussen netwerksegmenten kunnen filteren en controleren op basis van gedefinieerde beveiligingsregels, maar voor ICS-toepassingen moeten deze regels rekening houden met specifieke OT-protocollen zoals Modbus TCP (poort 502), DNP3 (poort 20000), OPC-UA (poort 4840), EtherNet/IP (poort 2222) en andere industriële protocollen die niet standaard zijn in IT-omgevingen. Zonder NSGs zou ICS-segmentatie slechts een logische scheiding zijn zonder daadwerkelijke beveiligingscontrole, waardoor aanvallers nog steeds vrijelijk tussen ICS-zones kunnen bewegen en toegang kunnen krijgen tot kritieke procescontrolesystemen. Organisaties moeten daarom beschikken over expertise in het ontwerpen en configureren van NSG-regels die zowel beveiliging als operationele continuïteit waarborgen, waarbij zij rekening houden met de specifieke vereisten van industriële processen zoals real-time communicatie, deterministische timing en hoge beschikbaarheid. Het is cruciaal om te begrijpen dat NSG-regels moeten worden ontworpen volgens het principe van minimale privileges, waarbij alleen het absoluut noodzakelijke verkeer wordt toegestaan tussen ICS-zones, maar dat deze regels ook moeten rekening houden met de operationele vereisten van industriële processen die kunnen worden verstoord door te restrictieve firewallregels. Verkeerd geconfigureerde NSG-regels kunnen ofwel de beveiliging ondermijnen door te permissief te zijn en ongeautoriseerd verkeer tussen zones toe te staan, ofwel de operationele continuïteit belemmeren door te restrictief te zijn en legitieme procescommunicatie te blokkeren waardoor productieprocessen kunnen falen. Een goed doordacht en gedocumenteerd ICS-netwerkontwerp vormt de derde kritieke vereiste voor succesvolle ICS-netwerksegmentatie, en dit ontwerp moet gebaseerd zijn op erkende industriële referentie-architecturen zoals het Purdue-model, ISA/IEC 62443 of NIST SP 800-82. Organisaties moeten een architectuur ontwikkelen die rekening houdt met de verschillende niveaus van ICS-systemen, de gevoeligheid en kritiekheid van elk proces, de communicatiepatronen tussen systemen via verschillende OT-protocollen, en de specifieke beveiligingsvereisten die van toepassing zijn voor kritieke infrastructuren. Dit ontwerp moet uitgebreid documenteren welke subnetten nodig zijn voor elk ICS-niveau, hoe deze subnetten met elkaar mogen communiceren volgens het principe van minimale privileges maar met aandacht voor operationele vereisten, welke specifieke beveiligingsregels van toepassing zijn voor elk segment, en hoe de segmentatie aansluit bij industriële standaarden en best practices. Het ICS-netwerkontwerp dient ook rekening te houden met toekomstige groei, schaalbaarheid en wijzigingen in industriële processen, zodat segmentatie flexibel kan worden aangepast zonder de gehele architectuur te moeten herzien of zonder productieprocessen te verstoren. Dit vereist vaak samenwerking tussen netwerkarchitecten, ICS-beveiligingsfunctionarissen, procesingenieurs en applicatie-eigenaren die diepgaand begrip hebben van zowel IT-beveiliging als OT-operationele vereisten. Het ontwerp moet niet alleen technische specificaties bevatten, maar ook duidelijke documentatie over de rationale achter elke beslissing, de beveiligingsdoelstellingen die worden nagestreefd, de operationele vereisten die moeten worden gewaarborgd, en de procedures voor het beheren en onderhouden van de segmentatie zonder productieprocessen te verstoren. Een goed ICS-netwerkontwerp is een levend document dat regelmatig wordt bijgewerkt wanneer de organisatie groeit, wanneer nieuwe industriële processen worden toegevoegd, of wanneer wijzigingen worden doorgevoerd in bestaande processen. Het ontwerp moet ook rekening houden met verschillende scenario's, zoals failover-situaties waarbij ICS-componenten moeten kunnen communiceren met back-up systemen zonder de segmentatie te verzwakken, of disaster recovery-scenario's waarbij segmentatie tijdelijk moet worden aangepast om hersteloperaties mogelijk te maken zonder de beveiliging te ondermijnen. Voor Nederlandse organisaties die kritieke infrastructuren beheren komen hierbij aanvullende nalevingsvereisten kijken die het implementatieproces complexer maken. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving via de Wet beveiliging netwerk- en informatiesystemen, stelt specifieke en bindende eisen aan netwerkbeveiliging voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Deze eisen omvatten onder meer netwerksegmentatie als een technische maatregel om de beschikbaarheid, integriteit en vertrouwelijkheid van netwerken en informatiesystemen te waarborgen, en organisaties moeten tijdens toezicht-inspecties door de Autoriteit Consument en Markt (ACM) kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun ICS-netwerken te beveiligen. De Baseline Informatiebeveiliging Overheid (BIO) stelt bovendien specifieke eisen aan netwerksegmentatie in norm 13.01, en organisaties moeten kunnen aantonen dat hun ICS-netwerkarchitectuur niet alleen technisch correct is, maar ook volledig voldoet aan deze normen. Dit betekent dat het ICS-netwerkontwerp uitgebreid moet worden gedocumenteerd op een wijze die geschikt is voor audits en compliance-controles, waarbij elke beslissing moet worden onderbouwd en gerechtvaardigd met aandacht voor zowel beveiliging als operationele continuïteit. Organisaties moeten procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de ICS-netwerkconfiguratie, en moeten kunnen aantonen dat segmentatie actief wordt beheerd en gemonitord zonder de operationele continuïteit te verstoren. Het niet voldoen aan NIS2-vereisten of BIO-normen kan leiden tot aanzienlijke boetes (tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor NIS2), formele bevindingen tijdens audits, verplichte verbeteracties, en in extreme gevallen tot het stopzetten van dienstverlening. Daarom is het van cruciaal belang dat Nederlandse organisaties die kritieke infrastructuren beheren hun ICS-netwerksegmentatie niet alleen technisch correct implementeren, maar ook kunnen aantonen dat zij voldoen aan alle relevante normen en regelgeving. NIS2-toezicht-inspecties en BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat hun ICS-netwerksegmentatie is gebaseerd op een risico-analyse, dat de architectuur regelmatig wordt geëvalueerd op effectiviteit, dat er procedures zijn voor het beheren en onderhouden van segmentatie zonder productieprocessen te verstoren, en dat er regelmatig testen worden uitgevoerd om te verifiëren dat segmentatie effectief werkt zonder de operationele continuïteit te belemmeren.
Monitoring
Gebruik PowerShell-script ics-network-segmentation.ps1 (functie Invoke-Monitoring) – Controleren.
Het monitoren van ICS-netwerksegmentatie vormt een continu en kritiek proces dat regelmatige controle, evaluatie en bijsturing vereist om ervoor te zorgen dat de beveiligingsarchitectuur effectief blijft functioneren in een dynamische industriële omgeving zonder de operationele continuïteit te verstoren. Organisaties moeten periodiek en systematisch de ICS-netwerktopologie beoordelen om te verifiëren dat segmentatie niet alleen correct is geïmplementeerd, maar ook blijft functioneren zoals bedoeld ondanks voortdurende wijzigingen in de cloudomgeving en in industriële processen. Dit omvat het uitgebreid controleren van de configuratie van virtuele netwerken, subnetten en netwerkbeveiligingsgroepen om ervoor te zorgen dat beveiligingsregels correct zijn toegepast, dat er geen onbedoelde communicatie tussen ICS-zones mogelijk is, en dat nieuwe industriële resources automatisch in de juiste segmenten worden geplaatst conform de gedefinieerde ICS-netwerkarchitectuur. Monitoring is geen eenmalige activiteit, maar een continu proces dat moet worden geïntegreerd in de dagelijkse operaties van de organisatie met specifieke aandacht voor de impact op industriële processen. Zonder effectieve monitoring kan ICS-netwerksegmentatie geleidelijk worden verzwakt door wijzigingen, configuratiefouten of nieuwe implementaties, waardoor de beveiliging wordt ondermijnd zonder dat dit wordt opgemerkt, maar monitoring moet ook rekening houden met de operationele vereisten van industriële processen die kunnen worden verstoord door te agressieve monitoring of door monitoringtools die te veel netwerkresources consumeren. Het is daarom essentieel dat organisaties beschikken over geautomatiseerde monitoringtools en procedures die proactief afwijkingen kunnen identificeren en waarschuwingen kunnen genereren wanneer segmentatie niet meer voldoet aan de gedefinieerde beveiligingsvereisten, maar die ook rekening houden met de specifieke vereisten van industriële processen zoals real-time communicatie, deterministische timing en hoge beschikbaarheid. Een effectief en compleet ICS-monitoringproces begint met het grondig in kaart brengen en documenteren van de huidige ICS-netwerkarchitectuur, waarbij specifieke aandacht wordt besteed aan de verschillende ICS-niveaus volgens het Purdue-model en de communicatiepatronen tussen deze niveaus. Dit betekent dat organisaties moeten beschikken over actuele, gedetailleerde netwerkdiagrammen die duidelijk en volledig tonen welke virtuele netwerken en subnetten bestaan voor elk ICS-niveau, hoe deze met elkaar verbonden zijn via peering of gateways, welke netwerkbeveiligingsgroep-regels van toepassing zijn op elk segment met specifieke aandacht voor OT-protocollen, en welke industriële resources zich in elk segment bevinden. Deze documentatie moet niet alleen regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd in de ICS-netwerkconfiguratie, maar moet ook worden gebruikt als referentie voor nieuwe teamleden, als basis voor compliance-rapportages, en als hulpmiddel voor procesingenieurs die moeten begrijpen hoe netwerksegmentatie de operationele processen beïnvloedt. Het ontbreken van actuele documentatie vormt een veelvoorkomende oorzaak van beveiligingsproblemen in ICS-omgevingen, omdat teams dan niet meer weten welke segmentatieregels van toepassing zijn en per ongeluk wijzigingen kunnen doorvoeren die de beveiliging ondermijnen of die productieprocessen kunnen verstoren. Documentatie moet niet alleen technische details bevatten, maar ook de rationale achter elke beslissing, de beveiligingsdoelstellingen die worden nagestreefd, de operationele vereisten die moeten worden gewaarborgd, en de procedures voor het beheren en onderhouden van de segmentatie zonder productieprocessen te verstoren. Goede documentatie maakt het mogelijk om snel te identificeren wanneer segmentatie niet meer voldoet aan de oorspronkelijke ontwerpdoelstellingen en om nieuwe teamleden effectief te trainen in de ICS-netwerkarchitectuur, maar het helpt ook procesingenieurs om te begrijpen hoe netwerksegmentatie de operationele processen beïnvloedt en hoe wijzigingen kunnen worden doorgevoerd zonder productieprocessen te verstoren. Technische monitoring vormt de kern van een effectief ICS-segmentatiebeheerproces en kan worden uitgevoerd met behulp van gespecialiseerde tools zoals Azure Network Watcher, Azure Policy, Azure IoT Hub monitoring, en andere monitoringtools die diepgaand inzicht geven in ICS-netwerkverkeer, configuratie en compliance-status met specifieke aandacht voor OT-protocollen en industriële communicatiepatronen. Deze tools kunnen helpen bij het proactief identificeren van afwijkingen in de ICS-netwerkconfiguratie, zoals netwerkbeveiligingsgroep-regels die per ongeluk te permissief zijn ingesteld tijdens probleemoplossingsoperaties waardoor ongeautoriseerd verkeer tussen ICS-zones mogelijk wordt, subnetten die onbedoeld met elkaar kunnen communiceren door verkeerde peering-configuraties waardoor de scheiding tussen IT en OT wordt ondermijnd, of industriële resources die in de verkeerde segmenten zijn geplaatst waardoor gevoelige procesdata onbeschermd raakt of waardoor productieprocessen kunnen worden verstoord. Automatische controles en beleidsregels kunnen worden geconfigureerd om onmiddellijk waarschuwingen te genereren wanneer ICS-segmentatieregels worden gewijzigd, wanneer er ongebruikelijk verkeer tussen ICS-zones wordt gedetecteerd dat mogelijk wijst op een beveiligingsincident of op een configuratiefout die productieprocessen kan verstoren, of wanneer nieuwe industriële resources worden aangemaakt zonder de juiste netwerkbeveiligingsgroep-toewijzingen waardoor zij buiten de beoogde beveiligingscontroles vallen. Het is belangrijk om te begrijpen dat technische monitoring voor ICS-netwerken niet alleen reactief moet zijn, maar ook proactief, waarbij organisaties regelmatig ICS-netwerkverkeer analyseren om te identificeren of er ongebruikelijke patronen zijn die kunnen wijzen op beveiligingsproblemen, configuratiefouten of operationele problemen. Dit vereist niet alleen de juiste tools, maar ook expertise in het interpreteren van monitoringdata voor industriële omgevingen, het identificeren van afwijkingen die mogelijk wijzen op beveiligingsrisico's of operationele problemen, en het begrijpen van de specifieke vereisten van OT-protocollen en industriële communicatiepatronen. Azure Network Watcher biedt bijvoorbeeld functionaliteiten zoals Network Topology, die een visuele weergave geeft van de ICS-netwerkarchitectuur, en Connection Monitor, die de connectiviteit tussen industriële resources kan testen en monitoren zonder productieprocessen te verstoren. Azure Policy kan worden gebruikt om automatisch te controleren of industriële resources voldoen aan gedefinieerde ICS-netwerksegmentatievereisten, en kan automatisch waarschuwingen genereren of zelfs voorkomen dat resources worden aangemaakt die niet voldoen aan de vereisten, maar deze policies moeten rekening houden met de operationele vereisten van industriële processen. Voor Nederlandse organisaties die kritieke infrastructuren beheren is monitoring extra belangrijk en complex omdat zij moeten kunnen aantonen dat hun ICS-netwerksegmentatie niet alleen voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO) en de NIS2-richtlijn, maar ook aan andere relevante normen zoals ISO 27001 en sector-specifieke normen zoals IEC 62443 voor industriële cybersecurity. Dit betekent dat monitoringresultaten uitgebreid moeten worden gedocumenteerd en bewaard voor audit-doeleinden volgens de vereiste bewaartermijnen, dat afwijkingen moeten worden geïdentificeerd, geclassificeerd op basis van risico en impact op zowel beveiliging als operationele continuïteit, en gecorrigeerd binnen acceptabele termijnen die zijn vastgelegd in beveiligingsbeleid maar die ook rekening houden met de impact op productieprocessen. Organisaties moeten ook kunnen aantonen dat zij procedures hebben voor het escaleren van kritieke afwijkingen naar management en beveiligingsfunctionarissen, en dat zij regelmatig management-rapportages genereren over de status van ICS-netwerksegmentatie inclusief compliance-naleving, geïdentificeerde risico's en de impact op operationele continuïteit. Deze rapportages moeten niet alleen technische details bevatten zoals aantallen virtuele netwerken, subnetten en netwerkbeveiligingsgroep-regels, maar ook de compliance-status ten opzichte van relevante normen, eventuele risico's die zijn geïdentificeerd tijdens monitoring, acties die zijn ondernomen of gepland om deze risico's te mitigeren, en de impact van segmentatie op operationele processen. Voor Nederlandse organisaties die kritieke infrastructuren beheren is het van cruciaal belang dat monitoring niet alleen technisch correct is, maar ook volledig voldoet aan alle relevante normen en regelgeving, en dat organisaties kunnen aantonen dat monitoring plaatsvindt zonder de operationele continuïteit te verstoren. Dit vereist vaak extra documentatie, extra procedures en extra rapportages die niet nodig zijn voor commerciële organisaties, maar wel verplicht zijn voor organisaties die kritieke infrastructuren beheren. NIS2-toezicht-inspecties en BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij regelmatig monitoring uitvoeren van hun ICS-netwerksegmentatie, dat zij procedures hebben voor het identificeren en corrigeren van afwijkingen zonder productieprocessen te verstoren, en dat zij management-rapportages genereren over de status van ICS-netwerksegmentatie inclusief compliance-naleving en geïdentificeerde risico's.
Compliance en Auditing
ICS-netwerksegmentatie vormt een fundamentele en verplichte beveiligingsmaatregel die wordt vereist door meerdere internationale en nationale compliance-frameworks, normen en wetgeving, met specifieke aandacht voor kritieke infrastructuren. Voor Nederlandse organisaties die kritieke infrastructuren beheren, zoals energiebedrijven, waterbeheerders en transportoperators, is het van cruciaal strategisch belang om te kunnen aantonen dat ICS-netwerksegmentatie niet alleen correct is geïmplementeerd, maar ook actief wordt onderhouden, gemonitord en geëvalueerd, omdat dit een verplicht onderdeel vormt van verschillende normen en wetgeving waar niet-naleving kan leiden tot aanzienlijke consequenties zoals boetes, verplichte verbeteracties en in extreme gevallen tot het stopzetten van dienstverlening. Compliance met deze normen is niet alleen een technische uitdaging, maar vereist ook een goed begrip van de specifieke eisen van elk framework en de manier waarop deze eisen kunnen worden aangetoond tijdens audits en toezicht-inspecties, waarbij rekening moet worden gehouden met zowel beveiliging als operationele continuïteit. Organisaties moeten niet alleen kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van ICS-netwerksegmentatie zonder productieprocessen te verstoren, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt zonder de operationele continuïteit te belemmeren. De NIS2-richtlijn, die is geïmplementeerd in Nederlandse wetgeving via de Wet beveiliging netwerk- en informatiesystemen, bevat in artikel 21 specifieke en bindende eisen aan netwerkbeveiliging voor essentiële en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur. Deze eisen omvatten onder meer netwerksegmentatie als een technische maatregel om de beschikbaarheid, integriteit en vertrouwelijkheid van netwerken en informatiesystemen te waarborgen, en organisaties moeten tijdens toezicht-inspecties door de Autoriteit Consument en Markt (ACM) kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun ICS-netwerken te beveiligen, waarbij specifieke aandacht wordt besteed aan de scheiding tussen IT en OT systemen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen moeten tijdens toezicht-inspecties kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun ICS-netwerken te beveiligen, waaronder uitgebreide netwerksegmentatie die rekening houdt met de specifieke vereisten van industriële processen. Het niet voldoen aan NIS2-vereisten kan leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, verplichte verbeteracties en in extreme gevallen tot het stopzetten van dienstverlening. NIS2-toezicht-inspecties zullen specifiek evalueren of organisaties kunnen aantonen dat zij passende en effectieve maatregelen hebben genomen om hun ICS-netwerken te beveiligen, dat zij procedures hebben voor het beheren en monitoren van ICS-netwerksegmentatie zonder productieprocessen te verstoren, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is zonder de operationele continuïteit te belemmeren. Organisaties moeten ook kunnen aantonen dat zij uitgebreide documentatie hebben van hun ICS-netwerkarchitectuur, dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de ICS-netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld zonder productieprocessen te verstoren. De Baseline Informatiebeveiliging Overheid (BIO), het verplichte informatiebeveiligingsframework voor alle Nederlandse overheidsorganisaties, bevat in norm 13.01 zeer specifieke en bindende eisen aan netwerksegmentatie die ook van toepassing zijn op ICS-netwerken. Deze norm vereist niet alleen dat organisaties hun netwerken segmenteren om de impact van beveiligingsincidenten te beperken en om te voorkomen dat aanvallers zich lateraal door het netwerk kunnen bewegen, maar stelt ook eisen aan de documentatie, het beheer en de monitoring van segmentatie met aandacht voor zowel beveiliging als operationele continuïteit. Nederlandse overheidsorganisaties die kritieke infrastructuren beheren moeten tijdens BIO-audits kunnen aantonen dat hun ICS-netwerkarchitectuur volledig voldoet aan deze eisen, dat segmentatie actief wordt beheerd volgens gedocumenteerde procedures die rekening houden met operationele vereisten, en dat regelmatige evaluaties plaatsvinden om te verifiëren dat segmentatie effectief blijft zonder productieprocessen te verstoren. Het niet voldoen aan BIO-normen kan leiden tot formele bevindingen, verplichte verbeteracties en in extreme gevallen tot het stopzetten van dienstverlening. BIO-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij hun ICS-netwerken hebben gesegmenteerd om de impact van beveiligingsincidenten te beperken, dat zij procedures hebben voor het beheren en monitoren van ICS-netwerksegmentatie zonder productieprocessen te verstoren, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is zonder de operationele continuïteit te belemmeren. Organisaties moeten ook kunnen aantonen dat zij uitgebreide documentatie hebben van hun ICS-netwerkarchitectuur, dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de ICS-netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld zonder productieprocessen te verstoren. ISO 27001:2022, de internationale standaard voor informatiebeveiligingsmanagement, bevat in controle A.8.20 (Networks security) uitgebreide vereisten voor netwerkbeveiliging die netwerksegmentatie als een kernmaatregel omvatten, en deze vereisten zijn ook van toepassing op ICS-netwerken. Organisaties die gecertificeerd zijn of willen worden volgens ISO 27001 moeten tijdens certificatie-audits kunnen aantonen dat hun ICS-netwerken zijn beveiligd tegen ongeautoriseerde toegang, dat verkeer tussen verschillende delen van het netwerk wordt gecontroleerd en gefilterd met aandacht voor OT-protocollen, en dat er adequate logging en monitoring plaatsvindt zonder productieprocessen te verstoren. Dit vereist uitgebreide documentatie van de ICS-netwerkarchitectuur, bewijs dat beveiligingsmaatregelen effectief zijn door middel van testresultaten en monitoring-data, en procedures voor het beheren en onderhouden van ICS-netwerksegmentatie zonder operationele continuïteit te verstoren. ISO 27001-auditors zullen ook evalueren of ICS-segmentatie is gebaseerd op een risico-analyse en of de maatregelen proportioneel zijn ten opzichte van de geïdentificeerde risico's, waarbij rekening wordt gehouden met zowel beveiliging als operationele vereisten. ISO 27001-certificering vereist dat organisaties kunnen aantonen dat zij een Information Security Management System (ISMS) hebben geïmplementeerd dat ICS-netwerksegmentatie omvat als onderdeel van hun beveiligingsmaatregelen, maar dit ISMS moet ook rekening houden met de operationele vereisten van industriële processen. Dit betekent dat organisaties niet alleen moeten kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van ICS-netwerksegmentatie zonder productieprocessen te verstoren, en dat zij regelmatig risico-analyses uitvoeren om te identificeren of aanpassingen nodig zijn die rekening houden met zowel beveiliging als operationele continuïteit. IEC 62443, de internationale standaard voor industriële cybersecurity, bevat uitgebreide vereisten voor netwerksegmentatie in industriële omgevingen die specifiek zijn ontworpen voor ICS-netwerken. Deze standaard definieert verschillende security zones en conduits die moeten worden geïmplementeerd om industriële systemen te beschermen, en organisaties die deze standaard volgen moeten tijdens certificatie-audits kunnen aantonen dat hun ICS-netwerksegmentatie voldoet aan de specifieke eisen van deze standaard. IEC 62443-audits zullen specifiek evalueren of organisaties kunnen aantonen dat zij hun ICS-netwerken hebben gesegmenteerd volgens de gedefinieerde security zones, dat zij procedures hebben voor het beheren en monitoren van segmentatie zonder productieprocessen te verstoren, en dat zij regelmatig evalueren of segmentatie nog steeds effectief is zonder de operationele continuïteit te belemmeren. Organisaties moeten ook kunnen aantonen dat zij uitgebreide documentatie hebben van hun ICS-netwerkarchitectuur die aansluit bij IEC 62443-vereisten, dat zij procedures hebben voor het beoordelen en goedkeuren van wijzigingen aan de ICS-netwerkconfiguratie, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie werkt zoals bedoeld zonder productieprocessen te verstoren. Voor audit-doeleinden, ongeacht welk framework van toepassing is, moeten organisaties beschikken over uitgebreide en actuele documentatie die duidelijk aantoont hoe ICS-netwerksegmentatie is geïmplementeerd volgens een gedocumenteerd ontwerp dat gebaseerd is op erkende industriële referentie-architecturen, welke specifieke beveiligingsregels van toepassing zijn op elk ICS-segment en waarom, en hoe segmentatie wordt gemonitord, geëvalueerd en onderhouden als een continu proces zonder productieprocessen te verstoren. Deze documentatie moet regelmatig worden bijgewerkt wanneer wijzigingen worden doorgevoerd en moet toegankelijk zijn voor auditors, compliance-officers en toezichthouders, maar moet ook bruikbaar zijn voor procesingenieurs die moeten begrijpen hoe netwerksegmentatie de operationele processen beïnvloedt. Organisaties moeten ook kunnen aantonen dat zij robuuste procedures hebben voor het beoordelen, goedkeuren, testen en documenteren van wijzigingen aan de ICS-netwerkconfiguratie, zodat segmentatie niet per ongeluk wordt verzwakt door latere wijzigingen en zodat productieprocessen niet worden verstoord door onzorgvuldige configuratiewijzigingen. Audit-evidence moet ook aantonen dat ICS-segmentatie effectief is door middel van testresultaten, monitoring-data en incident-analyses, maar moet ook aantonen dat segmentatie de operationele continuïteit niet belemmerd. Voor alle compliance-frameworks is het van cruciaal belang dat organisaties niet alleen kunnen aantonen dat zij technisch voldoen aan de eisen, maar ook dat zij procedures hebben voor het beheren, monitoren en evalueren van ICS-netwerksegmentatie zonder productieprocessen te verstoren, en dat zij regelmatig testen uitvoeren om te verifiëren dat segmentatie effectief werkt zonder de operationele continuïteit te belemmeren.
Remediatie
Gebruik PowerShell-script ics-network-segmentation.ps1 (functie Invoke-Remediation) – Herstellen.
Wanneer ICS-netwerksegmentatie niet correct is geïmplementeerd, wanneer er afwijkingen worden geconstateerd tijdens monitoring, of wanneer beveiligingsincidenten aantonen dat segmentatie niet effectief functioneert, is het van cruciaal en urgent belang om snel en gestructureerd te handelen om de beveiligingsrisico's te beperken en te voorkomen dat aanvallers kunnen profiteren van de zwakke plekken, maar remediatie moet ook rekening houden met de impact op productieprocessen en operationele continuïteit. Remediatie van ICS-netwerksegmentatieproblemen vereist een gestructureerde, gedocumenteerde aanpak die begint met het grondig identificeren en classificeren van de specifieke problemen, gevolgd door een risicogebaseerde prioritering die rekening houdt met zowel beveiliging als operationele impact, en eindigt met uitgebreide verificatie dat de oplossing correct werkt en de beveiliging daadwerkelijk verbetert zonder productieprocessen te verstoren. Het remediatieproces moet niet alleen technisch correct zijn, maar moet ook rekening houden met de impact op industriële processen, operators, productielijnen en andere kritieke systemen, en moet worden uitgevoerd op een manier die minimale verstoring veroorzaakt terwijl de beveiliging wordt verbeterd. Organisaties moeten beschikken over goed gedefinieerde procedures voor remediatie die duidelijk specificeren wie verantwoordelijk is voor welke activiteiten, welke goedkeuringen nodig zijn voordat wijzigingen worden doorgevoerd (inclusief goedkeuring van procesingenieurs en productiemanagers), en hoe wijzigingen worden getest en geverifieerd voordat zij in productie worden geïmplementeerd zonder productieprocessen te verstoren. Het remediatieproces begint altijd met een grondige en systematische analyse van de huidige ICS-netwerkconfiguratie om alle segmentatieproblemen te identificeren, waarbij specifieke aandacht wordt besteed aan de impact op industriële processen. Dit omvat het uitgebreid scannen en analyseren van alle virtuele netwerken en subnetten om te identificeren welke niet correct zijn gesegmenteerd volgens het gedocumenteerde ICS-netwerkontwerp, het grondig controleren van alle netwerkbeveiligingsgroep-regels om te identificeren welke te permissief zijn ingesteld of niet voldoen aan het principe van minimale privileges maar die mogelijk wel nodig zijn voor operationele continuïteit, en het detecteren van onbedoelde of ongeautoriseerde communicatie tussen ICS-netwerksegmenten die niet zou moeten plaatsvinden maar die mogelijk wel nodig is voor bepaalde industriële processen. Organisaties moeten beschikken over geavanceerde tools, scripts en mogelijk geautomatiseerde controles die deze analyse kunnen uitvoeren op regelmatige basis, zodat problemen proactief kunnen worden geïdentificeerd voordat zij kunnen worden uitgebuit door aanvallers, maar deze tools moeten ook rekening houden met de specifieke vereisten van OT-protocollen en industriële communicatiepatronen. Deze analyse moet ook evalueren of de huidige ICS-segmentatie nog steeds voldoet aan de beveiligingsvereisten, of er nieuwe risico's zijn ontstaan door wijzigingen in de industriële procesarchitectuur, of de segmentatie moet worden aangepast aan nieuwe compliance-vereisten zoals wijzigingen in de NIS2-richtlijn of nieuwe eisen vanuit BIO, en wat de impact is van eventuele wijzigingen op productieprocessen. De analyse moet niet alleen technisch zijn, maar moet ook evalueren wat de impact is van de geïdentificeerde problemen op de beveiliging en op de operationele continuïteit, welke risico's er zijn verbonden aan het niet oplossen van deze problemen, welke resources nodig zijn om de problemen op te lossen, en hoe remediatie kan worden uitgevoerd zonder productieprocessen te verstoren. Deze informatie is essentieel voor het bepalen van de prioritering en voor het ontwikkelen van effectieve remediatieplannen die niet alleen de problemen oplossen, maar ook voorkomen dat vergelijkbare problemen in de toekomst optreden en die rekening houden met de operationele vereisten van industriële processen. Eenmaal geïdentificeerd en gedocumenteerd, moeten alle ICS-segmentatieproblemen worden geclassificeerd en opgelost volgens een strikte prioritering op basis van risico, impact op zowel beveiliging als operationele continuïteit, en exploitatie-waarschijnlijkheid. Kritieke en hoog-risicoproblemen, zoals het volledig ontbreken van segmentatie tussen IT en OT systemen waardoor cyberaanvallen op IT-systemen direct kunnen overslaan naar kritieke procescontrolesystemen, het ontbreken van netwerkbeveiligingsgroep-regels tussen ICS-zones met verschillende gevoeligheidsniveaus waardoor gevoelige procesdata onbeschermd is, of het bestaan van directe communicatiepaden tussen internet-facing systemen en kritieke OT-systemen waardoor aanvallers direct toegang kunnen krijgen tot procescontrolesystemen, moeten onmiddellijk en met hoge prioriteit worden aangepakt, mogelijk zelfs buiten normale werkuren als het risico hoog genoeg is, maar alleen na zorgvuldige evaluatie van de impact op productieprocessen en na goedkeuring van procesingenieurs en productiemanagers. Minder kritieke maar nog steeds belangrijke problemen, zoals suboptimale netwerkbeveiligingsgroep-regels die te restrictief zijn en legitieme procescommunicatie belemmeren waardoor productieprocessen kunnen falen, of industriële resources die in bijna-correcte maar niet optimale segmenten zijn geplaatst waardoor de ICS-netwerkarchitectuur niet volledig aansluit bij het gedocumenteerde ontwerp maar waardoor productieprocessen nog wel functioneren, kunnen worden gepland voor geplande onderhoudsvensters om verstoring van productieprocessen en operators te minimaliseren. Voor elk probleem moet een remediatieplan worden ontwikkeld dat de stappen, rollback-procedures en verificatie-criteria specificeert, maar dat ook specificeert hoe de impact op productieprocessen wordt geminimaliseerd en hoe operators worden geïnformeerd over eventuele tijdelijke verstoringen. Het remediatieplan moet ook specificeren wie verantwoordelijk is voor de uitvoering (inclusief procesingenieurs en productiemanagers), welke goedkeuringen nodig zijn, welke tests moeten worden uitgevoerd voordat wijzigingen in productie worden geïmplementeerd (inclusief tests in niet-productieomgevingen die de industriële processen simuleren), en hoe de impact op productieprocessen en operators wordt geminimaliseerd. Prioritering moet niet alleen gebaseerd zijn op technische risico's, maar moet ook rekening houden met de impact op productieprocessen, de beschikbaarheid van resources, de complexiteit van de remediatie, en de timing die het minst verstorend is voor productieprocessen. De daadwerkelijke technische remediatie omvat het zorgvuldig aanmaken of wijzigen van virtuele netwerken en subnetten volgens het goedgekeurde ICS-netwerkontwerp, het configureren en testen van netwerkbeveiligingsgroep-regels om ervoor te zorgen dat zij zowel beveiliging als operationele continuïteit waarborgen met aandacht voor OT-protocollen, en het verplaatsen van industriële resources naar de juiste ICS-netwerksegmenten zonder service-onderbrekingen die productieprocessen of operators kunnen beïnvloeden. Dit proces moet zeer zorgvuldig en gefaseerd worden uitgevoerd om te voorkomen dat bestaande industriële services worden verstoord of dat productieprocessen worden beïnvloed door tijdelijke netwerkonderbrekingen, en moet worden uitgevoerd in nauwe samenwerking met procesingenieurs en productiemanagers die volledig begrijpen hoe de wijzigingen de industriële processen beïnvloeden. Organisaties moeten beschikken over uitgebreide rollback-plannen en procedures voor het geval dat wijzigingen onverwachte problemen veroorzaken zoals netwerkconnectiviteitsproblemen die productieprocessen verstoren of applicatiefouten die operators belemmeren in hun werk, en moeten wijzigingen eerst testen in niet-productieomgevingen wanneer mogelijk om te verifiëren dat de configuratie correct werkt voordat deze in productie wordt geïmplementeerd. Communicatie met betrokken teams, procesingenieurs, productiemanagers en operators is essentieel om verstoringen te minimaliseren en om begrip te creëren voor de noodzaak van de wijzigingen, vooral wanneer wijzigingen gepland zijn tijdens productie-uren. Technische remediatie moet worden uitgevoerd door ervaren netwerk- en ICS-beveiligingsprofessionals die volledig begrijpen hoe de wijzigingen de ICS-netwerkarchitectuur en de industriële processen beïnvloeden en die kunnen identificeren en oplossen wanneer er onverwachte problemen optreden die productieprocessen kunnen verstoren. Organisaties moeten ook beschikken over monitoringtools die kunnen worden gebruikt om te verifiëren dat wijzigingen correct zijn doorgevoerd en dat er geen onbedoelde gevolgen zijn voor de ICS-netwerkconnectiviteit, beveiliging of productieprocessen. Na implementatie van alle remediatiemaatregelen moet uitgebreid worden geverifieerd en getest dat de ICS-segmentatie correct werkt en de beveiliging daadwerkelijk verbetert zonder de operationele continuïteit te belemmeren. Dit omvat het grondig testen van ICS-netwerkconnectiviteit tussen alle segmenten om te bevestigen dat alleen toegestaan verkeer volgens de gedefinieerde regels kan passeren en dat ongeautoriseerd verkeer daadwerkelijk wordt geblokkeerd, het controleren van alle netwerkbeveiligingsgroep-regels om te verifiëren dat deze correct zijn geconfigureerd en werken zoals bedoeld zonder legitieme procescommunicatie te blokkeren, en het uitvoeren van penetratietests om te valideren dat aanvallers niet langer tussen ICS-segmenten kunnen bewegen en dat laterale beweging daadwerkelijk is geblokkeerd, maar deze tests moeten worden uitgevoerd zonder productieprocessen te verstoren. Monitoringtools moeten worden gebruikt om te bevestigen dat er geen onbedoeld of ongeautoriseerd verkeer tussen ICS-segmenten plaatsvindt, dat alle verkeer correct wordt gelogd voor audit-doeleinden zodat events kunnen worden gecorrelleerd tijdens beveiligingsincidenten, en dat productieprocessen normaal blijven functioneren zonder verstoringen die kunnen worden toegeschreven aan de remediatie. Deze verificatie moet worden gedocumenteerd als bewijs dat de remediatie effectief is en dat de beveiliging daadwerkelijk is verbeterd ten opzichte van de situatie voor de remediatie, maar ook als bewijs dat de operationele continuïteit niet is belemmerd. Verificatie moet niet alleen technisch zijn, maar moet ook evalueren of de remediatie de beveiliging daadwerkelijk heeft verbeterd, of er nieuwe risico's zijn ontstaan door de wijzigingen, of de remediatie heeft geleid tot verbeteringen in de compliance-status, en of productieprocessen normaal blijven functioneren zonder verstoringen. Organisaties moeten ook evalueren of de remediatie heeft geleid tot verbeteringen in de algehele beveiligingspositie, of er lessen kunnen worden getrokken uit het remediatieproces die kunnen worden gebruikt om toekomstige problemen te voorkomen, en of de remediatie heeft geleid tot verbeteringen in de samenwerking tussen IT-beveiligingsteams en OT-operationele teams. Voor Nederlandse organisaties die kritieke infrastructuren beheren is het van extra groot belang dat alle remediatie-activiteiten uitgebreid worden gedocumenteerd voor compliance-doeleinden en audit-readiness, maar deze documentatie moet ook aantonen dat remediatie heeft plaatsgevonden zonder de operationele continuïteit te verstoren. Dit betekent dat organisaties moeten kunnen aantonen welke problemen zijn geïdentificeerd tijdens monitoring of incidenten, welke risico-analyse is uitgevoerd om de prioritering te bepalen (inclusief evaluatie van de impact op productieprocessen), welke specifieke maatregelen zijn genomen om deze problemen op te lossen, waarom deze maatregelen zijn gekozen boven alternatieven, en dat de oplossing effectief is gebleken door middel van testresultaten en monitoring-data die aantonen dat de beveiliging is verbeterd zonder de operationele continuïteit te belemmeren. Deze documentatie is essentieel voor NIS2-toezicht-inspecties, BIO-audits, ISO 27001-certificering, en IEC 62443-certificering, en kan helpen bij het voorkomen van vergelijkbare problemen in de toekomst door lessen te trekken uit eerdere incidenten en door te zorgen dat kennis wordt behouden binnen de organisatie zodat hetzelfde probleem niet opnieuw optreedt. De documentatie moet ook aantonen dat remediatie plaatsvindt binnen acceptabele termijnen zoals gedefinieerd in beveiligingsbeleid, maar dat deze termijnen rekening houden met de impact op productieprocessen, en moet bijdragen aan het verbeteren van de algehele beveiligingspositie van de organisatie op de lange termijn zonder de operationele continuïteit te belemmeren. Voor Nederlandse organisaties die kritieke infrastructuren beheren is het van cruciaal belang dat remediatie-activiteiten niet alleen technisch correct zijn, maar ook volledig voldoen aan alle relevante normen en regelgeving, dat organisaties kunnen aantonen dat zij procedures hebben voor het identificeren, prioriteren en oplossen van ICS-netwerksegmentatieproblemen zonder productieprocessen te verstoren, en dat remediatie heeft plaatsgevonden in nauwe samenwerking tussen IT-beveiligingsteams en OT-operationele teams.
Compliance & Frameworks
- CIS M365: Control 6.4 (L1) - Netwerksegmentatie voor kritieke systemen
- BIO: 13.01 - Netwerksegmentatie voor kritieke infrastructuren
- ISO 27001:2022: A.8.20 - Netwerkbeveiliging voor industriële systemen
- NIS2: Artikel - Netwerkbeveiliging voor essentiële en belangrijke entiteiten
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
ICS Network Segmentation
.DESCRIPTION
Controleert of netwerksegmentatie voor Industrial Control Systems (ICS)
is geïmplementeerd volgens het Purdue-model met strikte scheiding tussen
IT (Level 4) en OT (Levels 0-3) systemen.
.NOTES
Filename: ics-network-segmentation.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
CIS Control: 6.4
Framework: NIS2 Art.21, BIO 13.01, IEC 62443
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Network, Az.IotHub
[CmdletBinding()]
param([Parameter()][switch]$Monitoring)
$ErrorActionPreference = 'Stop'
$PolicyName = "ICS Network Segmentation"
# OT Protocol poorten voor ICS-systemen
$OTProtocols = @{
"ModbusTCP" = 502
"DNP3" = 20000
"OPC-UA" = 4840
"EtherNetIP" = 2222
"IEC61850" = 102
"Profinet" = 34962
"BACnet" = 47808
}
function Connect-RequiredServices {
if (-not (Get-AzContext)) {
Connect-AzAccount | Out-Null
}
}
function Test-ICSSegmentation {
<#
.SYNOPSIS
Test ICS-netwerksegmentatie volgens Purdue-model
#>
$result = @{
TotalVNets = 0
ICSVNets = 0
ITVNets = 0
TotalSubnets = 0
NSGsConfigured = 0
OTProtocolsDetected = @()
Compliance = $false
Findings = @()
}
try {
$vnets = Get-AzVirtualNetwork -ErrorAction SilentlyContinue
$result.TotalVNets = $vnets.Count
foreach ($vnet in $vnets) {
$vnetName = $vnet.Name.ToLower()
$vnetTags = if ($vnet.Tags) { $vnet.Tags } else { @{} }
# Detecteer ICS/OT VNets op basis van naam of tags
$isICS = $false
if ($vnetName -match "ics|ot|scada|plc|industrial|level[0-3]|purdue") {
$isICS = $true
$result.ICSVNets++
}
elseif ($vnetTags.ContainsKey("ICS") -or $vnetTags.ContainsKey("OT") -or
$vnetTags.ContainsKey("PurdueLevel")) {
$isICS = $true
$result.ICSVNets++
}
else {
$result.ITVNets++
}
# Tel subnetten
$result.TotalSubnets += $vnet.Subnets.Count
# Controleer NSG-configuratie per subnet
foreach ($subnet in $vnet.Subnets) {
if ($subnet.NetworkSecurityGroup) {
$result.NSGsConfigured++
# Controleer op OT-protocol poorten in NSG-regels
$nsg = Get-AzNetworkSecurityGroup -ResourceGroupName $vnet.ResourceGroupName `
-Name ($subnet.NetworkSecurityGroup.Id -split '/')[-1] -ErrorAction SilentlyContinue
if ($nsg) {
foreach ($rule in $nsg.SecurityRules) {
foreach ($protocol in $OTProtocols.GetEnumerator()) {
if ($rule.DestinationPortRange -eq $protocol.Value -or
($rule.DestinationPortRanges -and $rule.DestinationPortRanges -contains $protocol.Value)) {
if ($result.OTProtocolsDetected -notcontains $protocol.Name) {
$result.OTProtocolsDetected += $protocol.Name
}
}
}
}
}
}
else {
if ($isICS) {
$result.Findings += "ICS subnet '$($subnet.Name)' in VNet '$($vnet.Name)' heeft geen NSG geconfigureerd"
}
}
}
}
# Bepaal compliance: minimaal 2 VNets (IT en OT gescheiden) en NSG's geconfigureerd
if ($result.TotalVNets -ge 2 -and $result.ICSVNets -gt 0 -and
$result.NSGsConfigured -gt 0) {
$result.Compliance = $true
}
elseif ($result.TotalVNets -lt 2) {
$result.Findings += "Onvoldoende VNets voor ICS-segmentatie (minimaal 2 vereist: IT en OT)"
}
elseif ($result.ICSVNets -eq 0) {
$result.Findings += "Geen ICS/OT VNets gedetecteerd - controleer naming of tags"
}
elseif ($result.NSGsConfigured -eq 0) {
$result.Findings += "Geen NSG's geconfigureerd voor ICS-segmentatie"
}
return $result
}
catch {
Write-Warning "Fout bij testen van ICS-segmentatie: $_"
return $result
}
}
try {
Connect-RequiredServices
if ($Monitoring) {
$r = Test-ICSSegmentation
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Totaal Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
Write-Host " - ICS/OT VNets: $($r.ICSVNets)" -ForegroundColor $(if ($r.ICSVNets -gt 0) { 'Green' } else { 'Yellow' })
Write-Host " - IT VNets: $($r.ITVNets)" -ForegroundColor White
Write-Host "Totaal Subnetten: $($r.TotalSubnets)" -ForegroundColor White
Write-Host "NSG's Geconfigureerd: $($r.NSGsConfigured)" -ForegroundColor $(if ($r.NSGsConfigured -gt 0) { 'Green' } else { 'Yellow' })
if ($r.OTProtocolsDetected.Count -gt 0) {
Write-Host "`nOT-Protocollen Gedetecteerd:" -ForegroundColor Cyan
foreach ($protocol in $r.OTProtocolsDetected) {
Write-Host " - $protocol (Poort $($OTProtocols[$protocol]))" -ForegroundColor Green
}
}
Write-Host "`nCompliance Status: " -NoNewline
if ($r.Compliance) {
Write-Host "COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "NON-COMPLIANT" -ForegroundColor Red
if ($r.Findings.Count -gt 0) {
Write-Host "`nBevindingen:" -ForegroundColor Yellow
foreach ($finding in $r.Findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
}
}
Write-Host "`nAanbevelingen:" -ForegroundColor Cyan
if ($r.ICSVNets -eq 0) {
Write-Host " - Implementeer gescheiden VNets voor ICS/OT systemen" -ForegroundColor Yellow
Write-Host " - Gebruik naming-conventies (bijv. 'ics-*' of 'ot-*') of tags" -ForegroundColor Yellow
}
if ($r.NSGsConfigured -lt $r.TotalSubnets) {
Write-Host " - Configureer NSG's voor alle ICS-subnetten" -ForegroundColor Yellow
}
if ($r.OTProtocolsDetected.Count -eq 0 -and $r.ICSVNets -gt 0) {
Write-Host " - Overweeg NSG-regels voor OT-protocollen (Modbus, DNP3, OPC-UA)" -ForegroundColor Yellow
}
Write-Host " - Implementeer strikte scheiding tussen IT (Level 4) en OT (Levels 0-3)" -ForegroundColor Yellow
Write-Host " - Volg het Purdue-model voor ICS-netwerkarchitectuur" -ForegroundColor Yellow
}
else {
$r = Test-ICSSegmentation
Write-Host "`nICS Network Segmentation Status:" -ForegroundColor Cyan
Write-Host " VNets: $($r.TotalVNets) (ICS: $($r.ICSVNets), IT: $($r.ITVNets))"
Write-Host " Subnetten: $($r.TotalSubnets)"
Write-Host " NSG's: $($r.NSGsConfigured)"
Write-Host " Compliance: $(if ($r.Compliance) { 'COMPLIANT' } else { 'NON-COMPLIANT' })"
}
}
catch {
Write-Error $_;
exit 1
}
# ================================================================================
# Standaard Invoke-* Functions (Auto-generated)
# ================================================================================
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
$Monitoring = $true
try {
Connect-RequiredServices
$r = Test-ICSSegmentation
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Totaal Virtual Networks: $($r.TotalVNets)" -ForegroundColor White
Write-Host " - ICS/OT VNets: $($r.ICSVNets)" -ForegroundColor $(if ($r.ICSVNets -gt 0) { 'Green' } else { 'Yellow' })
Write-Host " - IT VNets: $($r.ITVNets)" -ForegroundColor White
Write-Host "Totaal Subnetten: $($r.TotalSubnets)" -ForegroundColor White
Write-Host "NSG's Geconfigureerd: $($r.NSGsConfigured)" -ForegroundColor $(if ($r.NSGsConfigured -gt 0) { 'Green' } else { 'Yellow' })
if ($r.OTProtocolsDetected.Count -gt 0) {
Write-Host "`nOT-Protocollen Gedetecteerd:" -ForegroundColor Cyan
foreach ($protocol in $r.OTProtocolsDetected) {
Write-Host " - $protocol (Poort $($OTProtocols[$protocol]))" -ForegroundColor Green
}
}
Write-Host "`nCompliance Status: " -NoNewline
if ($r.Compliance) {
Write-Host "COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "NON-COMPLIANT" -ForegroundColor Red
if ($r.Findings.Count -gt 0) {
Write-Host "`nBevindingen:" -ForegroundColor Yellow
foreach ($finding in $r.Findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
}
}
Write-Host "`nAanbevelingen:" -ForegroundColor Cyan
if ($r.ICSVNets -eq 0) {
Write-Host " - Implementeer gescheiden VNets voor ICS/OT systemen" -ForegroundColor Yellow
Write-Host " - Gebruik naming-conventies (bijv. 'ics-*' of 'ot-*') of tags" -ForegroundColor Yellow
}
if ($r.NSGsConfigured -lt $r.TotalSubnets) {
Write-Host " - Configureer NSG's voor alle ICS-subnetten" -ForegroundColor Yellow
}
if ($r.OTProtocolsDetected.Count -eq 0 -and $r.ICSVNets -gt 0) {
Write-Host " - Overweeg NSG-regels voor OT-protocollen (Modbus, DNP3, OPC-UA)" -ForegroundColor Yellow
}
Write-Host " - Implementeer strikte scheiding tussen IT (Level 4) en OT (Levels 0-3)" -ForegroundColor Yellow
Write-Host " - Volg het Purdue-model voor ICS-netwerkarchitectuur" -ForegroundColor Yellow
}
catch {
Write-Error $_;
exit 1
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
.DESCRIPTION
Dit is een monitoring-only control. Remediatie vereist handmatige configuratie
van ICS-netwerkarchitectuur volgens Purdue-model.
#>
[CmdletBinding()]
param()
Write-Host "[INFO] ICS-netwerksegmentatie vereist handmatige configuratie" -ForegroundColor Yellow
Write-Host "[INFO] Volg het Purdue-model voor ICS-netwerkarchitectuur:" -ForegroundColor Cyan
Write-Host " - Level 4: Enterprise IT (gescheiden VNet)" -ForegroundColor White
Write-Host " - Level 3: MES/ERP (gescheiden VNet)" -ForegroundColor White
Write-Host " - Level 2: SCADA/HMI (gescheiden VNet)" -ForegroundColor White
Write-Host " - Level 1: PLC's (gescheiden VNet)" -ForegroundColor White
Write-Host " - Level 0: Veldapparatuur (gescheiden VNet)" -ForegroundColor White
Write-Host "[INFO] Configureer NSG's voor alle subnetten met OT-protocol regels" -ForegroundColor Cyan
Write-Host "[INFO] Running monitoring check..." -ForegroundColor Cyan
Invoke-Monitoring
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder ICS-netwerksegmentatie kunnen cyberaanvallen op IT-systemen direct overslaan naar kritieke OT-systemen die fysieke processen aansturen, wat kan leiden tot verstoorde productieprocessen, productieonderbrekingen, milieuschade en zelfs gevaar voor menselijke veiligheid. Voor organisaties die kritieke infrastructuren beheren is dit een directe schending van NIS2 en BIO normen, wat kan leiden tot aanzienlijke boetes en verplichte verbeteracties. Het risico is KRITIEK - bescherming van industriële processen is essentieel.
Management Samenvatting
ICS-netwerksegmentatie: Strikte scheiding tussen IT (Level 4) en OT (Levels 0-3) volgens Purdue-model, gescheiden virtuele netwerken per ICS-niveau, netwerkbeveiligingsgroepen met aandacht voor OT-protocollen (Modbus, DNP3, OPC-UA), Azure Firewall voor zone-scheiding, monitoring zonder productieprocessen te verstoren. Activatie: ICS-netwerkontwerp → Implementatie subnetten → Configureer NSG's met OT-protocollen. Kosten: Azure Firewall €900+/maand, extra monitoring tools. Verplicht NIS2 Art.21, BIO 13.01, IEC 62443. Implementatie: 120-180 uur. KRITIEK voor organisaties die kritieke infrastructuren beheren.
- Implementatietijd: 180 uur
- FTE required: 0.5 FTE