Door de opmars van Industrie 4.0 is er veel te doen over kwetsbaarheden in beveiliging en verantwoordelijkheden die horen bij dit domein. Bedrijven digitaliseren de processen, sluiten meer apparaten aan op hun netwerken en bewaken systemen via diverse type sensoren. Dit leidt tot een nieuwe realiteit als we kijken naar de beveiliging van operational technology (ot), waar we een aanzienlijke uitbreiding zien in de wijze waarop bedrijven worden aangevallen.
De toename van het aantal apparaten en de omvang van het aantal aanvallen is een uitdaging voor een groot aantal bedrijven in de productiesector, gezondheidszorg, financiële sector en energie- en nutssector. Met name bedrijven die verantwoordelijk zijn voor het faciliteren van kritieke infrastructuur moeten zich bewust zijn van de uitdagingen.
Wal en schip
In verschillende opzichten hebben de ontwikkelingen met betrekking tot het beveiligen van ot-omgevingen veel bedrijven ingehaald. Ik merk dat het bedrijven ontbreekt aan kennis en ervaring om zich tegen dit soort nieuwe aanvallen te wapenen. Bovendien is het niet altijd duidelijk waar de verantwoordelijkheid voor de bescherming van kritieke infrastructuur eigenlijk ligt met het risico dat men tussen wal en schip valt. Er zijn verschillende partijen betrokken: ten eerste zijn er de fabrikanten van industrial control systems (ics) en systemen voor het beheer van productie-installaties. Daarnaast zijn er de nutsbedrijven, productiebedrijven en andere type organisaties die in hun dagelijkse werkzaamheden ics-oplossingen gebruiken en tot slot zijn er de overheidsinstanties die zich bezighouden met cybersecurity.
In het verleden was het niet noodzakelijk om industriële systemen en machines digitaal te beveiligen omdat ze niet met internet of met elkaar verbonden waren. Maar de realiteit is anders. It en ot smelten steeds verder samen tot een digitale infrastructuur van miljarden met internet verbonden apparaten – een aantal dat exponentieel groeit – , die samen grote delen van de kritieke infrastructuur van de samenleving vormen. Als bedrijven geen zicht hebben op alle apparaten en hun potentiële kwetsbaarheden, kunnen hackers rechtstreeks toegang krijgen tot de kritieke infrastructuur waarvan wij allemaal afhankelijk zijn.
Voorrang geven
Helaas zien we vaak dat sommige bedrijven, bijvoorbeeld in de productiesector, voorrang geven aan operationele activiteiten boven ot-beveiliging. Dit kan komen doordat zij de noodzaak van beveiligingsoplossingen in de dagelijkse praktijk moeilijk inzien, omdat de systemen historisch gezien niet kwetsbaar zijn in vergelijking met de traditionele it-infrastructuur. Of misschien omdat zij erop vertrouwen dat ics-fabrikanten op alle gebieden van hun oplossingen al rekening hebben gehouden met de beveiliging.
Dit is echter verre van het geval. Ics-leveranciers richten zich immers hoofdzakelijk op de functionaliteit van de systemen en houden niet noodzakelijk rekening met het aspect veiligheid. Tegelijkertijd zien we dat vindingrijke groepen cybercriminelen zich richten op de ot-omgevingen van bedrijven om de kritieke infrastructuur van landen te treffen en zo grote delen van de samenleving lam te leggen. De combinatie van de toename van het aantal ot-omgevingen, het ervaringsniveau van bedrijven op het gebied van cybersecurity en het vermogen van cybercriminelen om geavanceerde aanvallen uit te voeren, vereist daarom duidelijkheid over wie verantwoordelijk is voor ot-beveiliging.
Alarmbedrijf
De verantwoordelijkheid ligt bij de bedrijven die de ot-omgevingen in beheer hebben, dagelijks gebruiken en onderhouden. De overheid kan richtlijnen geven voor alle sectoren, maar helaas worden die adviezen niet altijd opgevolgd. Een alarmbedrijf kan een huis niet beveiligen als de eigenaren vergeten het alarm in te schakelen of als in het huis voortdurend de ramen openstaan. Met andere woorden: organisaties moeten daadwerkelijk invulling geven aan deze adviezen om beveiliging te realiseren.
De bedrijven die kritieke infrastructuur bouwen en exploiteren moeten ten eerste verantwoordelijkheid voor ot-beveiliging nemen. Ten tweede moeten zij in de toekomst beter inzicht krijgen in de totale zichtbaarheid van al hun ot-apparaten die op het netwerk zijn aangesloten en moeten ze de belangrijkste kwetsbaarheden in elk apparaat identificeren. Alleen op die manier kunnen we een veerkrachtigere samenleving en veilige ot-omgevingen realiseren – want ik ben ervan overtuigd dat we de komende jaren nog veel geavanceerdere aanvallen zullen zien.
(Auteur Mirko Bülles is director technical account management EMEA & APAC bij Armis.)