Het internet of things (iot) groeit uit tot een van de zwakste schakels in de infrastructuur. Nu steeds meer industriële apparaten met internet worden verbonden, nemen de veiligheidsrisico’s toe. Uit onderzoek van Barracuda blijkt dat het nog steeds bar slecht gesteld is met de veiligheid van iot-projecten. Bij bijna negen op de tien Benelux-organisaties is een iot-securityproject mislukt.
Organisaties worstelen met het beschermen van hun operationele technologie (ot) en krijgen daardoor te maken met incidenten rond de security. Liefst 97 procent van de ondervraagde Benelux-organisaties heeft de afgelopen twaalf maanden te maken gehad met zo’n soort incident. Vrijwel elk bedrijf wordt dus aangevallen.
Groot zijn de zorgen over de geopolitieke situatie die sinds de Russische aanval op Oekraïne is verslechterd. 87 procent van de Benelux-respondenten is redelijk tot zeer bezorgd over de impact die het huidige dreigingslandschap en de actuele geopolitieke ontwikkelingen zullen hebben op hun organisatie.
De gevolgen van security-incidenten op operaties zijn aanzienlijk: bij tien procent van de ondervraagde Benelux-organisaties die te maken hebben gehad met zo’n incident, duurde de impact langer dan een dag. Net geen kwart ondervond zelfs drie dagen of langer de nasleep hiervan.
Worstelen
Wereldwijd erkennen organisaties het belang van meer investeringen in de veiligheid van het industriële internet of things (iiot) en de veiligheid van operationele technologie (ot). Maar veel bedrijven worstelen met de implementatie, mede door gebrek aan kennis. Vooral het onderhouden van de basishygiëne voor de digitale omgeving blijkt nog een hele kluif.
Per sector zijn er behoorlijke verschillen in de implementatie van iiot/ot-security. De helft van de respondenten uit de olie- en gasindustrie heeft al projecten afgerond. In de verwerkende industrie is dit net iets minder dan een kwart en in de gezondheidszorg zeventien procent van de ondervraagde organisaties wereldwijd.
Er wordt nog weinig gebruikgemaakt van multifactorauthenticatie (mfa): slechts een op de vijf van de ondervraagde Benelux-organisaties beperkt de netwerktoegang en vereist mfa voor toegang van buitenaf tot ot-netwerken. Zelfs in kritieke industriesectoren is het gebruik van mfa laag: wereldwijd staat bijna de helft van kritieke industriesectoren zoals de energiesector nog altijd volledige toegang op afstand toe zonder mfa.
De juiste kennis en vaardigheden zijn essentieel: net iets minder dan de helft van de ondervraagde Benelux-organisaties geeft aan zelf in staat te zijn om securityupdates te installeren.
Het gebruik van zero-trust network access (ztna) is nog zeer laag: geen van de ondervraagde Benelux-organisaties heeft deze oplossing volledig geïmplementeerd. Een enkel bedrijf past ztna toe voor remote-desktop-toepassingen.
Dat de OT kwetsbaar is mag geen nieuws zijn als we kijken naar zoiets als updates, er is Europese wetgeving in de maak die hier wat aan moet doen hoewel ik vrees dat het een papieren tijger gaat worden. Wat betreft het ‘smart’ maken staat veiligheid niet hoog op de agenda als ik de uitslag van Shodan.io mag geloven, een scan op basis van IP-fingerprinting is trouwens te voorkomen want ik struikel nu over het feit dat er uiteindelijk afgesloten wordt met remote desktop oplossingen wat me meer iets voor de IT lijkt.
En mogelijk dat IoT apparaten multi-factor authenticatie ondersteunen maar de meesten werken met één beheeraccount en een wachtwoord welke vaak nog hetzelfde is als vanuit de doos, hacken door de handleiding te lezen kan een 8-jarige.