Industriesector steeds vaker slachtoffer van ransomware
De industriële sector is ontzettend gebaat bij verdergaande digitalisering. Data moet eenvoudig gedeeld kunnen worden om slimme beslissingen te kunnen nemen. En processen moeten geautomatiseerd worden om efficiencyvoordelen te behalen. In dit digitale geweld is het essentieel om nergens een achterdeur (of voordeur) open te laten staan voor ransomware-aanvallen. Industriële innovaties moeten dan ook hand in hand gaan met passende securitymaatregelen.
Digitalisering en datagedreven werken
De prominente plaats voor digitalisering is een logische ontwikkeling in de industriesector. Digitalisering is het vertrekpunt als je wilt profiteren van technologieën als robotisering en Artificial Intelligence. Je ziet ook dat datagedreven werken zijn intrede doet; beslissingen nemen op ervaring of op basis van onderbuikgevoelens maakt plaats voor datagedreven werken. Dit wordt mede mogelijk gemaakt door het feit dat steeds meer objecten in de productieomgeving worden uitgerust met sensoren, die waardevolle data opleveren. Zo kan bijvoorbeeld onderhoud efficiënt worden ingepland en kan downtime worden voorkomen. Ook de rest van de logistieke keten, zoals het transport van de goederen en de inkoop van grondstoffen, is gebaat bij betrouwbare data. Maar met de oprukkende digitalisering en het toenemend aantal devices worden corporate IT en Industriële Controle Systemen (ICS) omgevingen steeds meer met elkaar verweven. Hierdoor neemt niet alleen de kwetsbaarheid van de technologische infrastructuur toe maar ook de kosten om de schade van een cyberaanval te herstellen.
Ransomware
Investeringen in innovatie en digitalisering kunnen dan ook niet los gezien worden van toenemende kwetsbaarheden in het kader van cybersecurity. Ieder device en iedere machine die bijvoorbeeld met een sensor, chip of een wifi-ontvanger wordt uitgerust, kan een doelwit zijn. Dat betekent ook dat ieder device moet worden voorzien van de nieuwste updates en patches. De netwerkverbindingen zullen eveneens goed gemonitord en beveiligd moeten worden. De industriesector blijft namelijk een belangrijk doelwit voor cyberaanvallers.
Analisten van Verizon, die jaarlijks vele tienduizenden incidenten en datalekken onderzoeken, zien dat industriële bedrijven vooral bestookt worden via system intrusion. Dat wil zeggen dat een veelvoud van aanvalstechnieken wordt gebruikt om de kern van een onderneming te raken. Dat kan zijn via de kantooromgeving, maar ook via de operationele systemen zoals het machinepark met camera’s, robots en productielijnen. Steeds vaker worden onder andere IoT-devices en PLC’s (programmable logic controllers) aangevallen om via die weg bij een organisatie binnen te komen. Binnen de industriesector zijn dat vooral de Industrial Control Systems (ICS), die de complete productie aansturen. Een simpele zoekslag op een website als Shodan laat zien dat er diverse ICS-systemen direct aan het internet hangen. Indien een dergelijk systeem is uit te buiten, kan het vervolgens een koud kunstje zijn om het netwerk verder binnen te dringen en bijvoorbeeld een ransomware-aanval uit te voeren.
Vandaag de dag is er specifieke malware voor ICS-systemen, zoals Industroyer en Industroyer2. Als je bedenkt dat het versleutelen van een ICS betekent dat de complete productie kan worden stilgelegd, dan is het denkbaar dat je als onderneming de eisen inwilligt als er om losgeld wordt gevraagd om systemen te ontsleutelen. Factoren die in zo’n geval meespelen zijn bijvoorbeeld: heb ik recente backups, zijn die betrouwbaar en zijn die werkbaar terug te zetten? Welke tijdsperiode kan ik overbruggen zonder failliet te gaan? In een aantal gevallen zal er geen andere mogelijkheid zijn dan de eisen in te willigen en de criminelen te moeten betalen om door te kunnen met de productie.
Breng kwetsbaarheden in kaart
Kijken we naar de achtergrond van de cybercriminelen, dan zien we dat het vooral criminele groepen en statelijke actoren betreft die uit zijn op de kroonjuwelen van een onderneming: businessplannen, R&D-informatie, intellectual property of persoonsgegevens. Nu je weet uit welke hoek het gevaar komt en welke methoden cyberaanvallers gebruiken, is het een logische stap om een aantal basismaatregelen te nemen om je voor te bereiden op een mogelijk cyberincident. De eerste stap is je belangrijkste assets in kaart te brengen. Welke informatie is key voor het primaire proces, welke systemen heb je daarvoor nodig en welke machines mogen echt niet stilvallen? Kijk vervolgens welke maatregelen je al hebt genomen om cybercriminelen buiten de deur te houden en welke je nodig hebt om de digitale weerbaarheid te optimaliseren. Zo kan je een soort van heatmap creëren, waaruit blijkt waar je je inspanningen op moet richten.
De oproep voor de industriesector is duidelijk: breng je kwetsbaarheden in kaart en handel ernaar. Denk bijvoorbeeld aan het inrichten of afnemen van een (managed) SOC (Security Operation Center), waarmee je de 24/7 kunt monitoren en reageren op incidenten. In industriële omgevingen is de keuze voor een Network Detection en Response oplossing wellicht meer voor de hand liggend dan een Endpoint Detection en Response oplossing, omdat op de apparaten/machines zelf niet ingegrepen kan of mag worden. Als aanvulling is het van belang om alle vormen van toegang tot de (industriële) infrastructuur op meerdere manieren te beveiligen. Een voorbeeld hiervan is multi-factor authenticatie, wat misschien triviaal klinkt, maar niet in alle gevallen juist wordt geïmplementeerd.
Security in de keten
Specifiek voor de industriesector is het van belang om ook aandacht te besteden aan de inspanningen van ketenpartners in het kader van cybersecurity. Nieuwe wetgeving , zoals de Europese securityrichtlijn NIS 2, zal in de loop van 2023 in Nederlandse wetgeving verankerd worden. Niet alleen gaat deze richtlijn voor veel meer bedrijven gelden, maar er wordt ook nadrukkelijk gesteld dat je geacht wordt de securitymaatregelen van ketenpartners te monitoren. Dit is geen overbodige luxe, nu wereldwijd het aantal supply chain aanvallen snel toeneemt. Dit zou voor industriële ondernemingen een aandachtspunt moeten zijn.
Groot voordeel van de industriesector is dat zij goed georganiseerd is en cyber intelligence en dreigingsanalyses met elkaar en met de overheid deelt. Dit is een goed begin van een sluitende verdediging. Dit neemt echter niet weg dat elke organisatie nu al zelf stappen kan ondernemen om de cybersecurity te verbeteren en de kans om slachtoffer te worden van ransomware (en andere vormen van digitale aanvallen) te verkleinen.
