De gemiddelde herstelkosten voor twee sectoren met kritieke infrastructuur, namelijk energie en water, zijn binnen een jaar tijd verviervoudigd tot 3 miljoen dollar. ‘Openbare nutsbedrijven zijn niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar.’
Dat blijkt allemaal uit het recente ‘The State of Ransomware in Critical Infrastructure 2024’ van beveiliger Sophos. De data voor dat rapport zijn afkomstig van 275 respondenten die onder de energie- en watersectoren van de 16 kritieke sectoren van het cisa vallen, de cybersecurity and infrastructure security agency. Met die 3 miljoen dollar (2,7 miljoen euro) hebben de nutssectoren water en energie een gemiddeld bedrag voor schadeherstel dat zo’n die vier keer hoger is dan het gemiddelde van alle sectoren samen.
De energie- en watersectoren rapporteerden ook het op een na hoogste percentage ransomware-aanvallen van alle sectoren. Bijna de helft van die aanvallen op deze twee sectoren met kritieke infrastructuur begon met een misbruikte kwetsbaarheid.
‘Helaas zijn openbare nutsbedrijven niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar voor aanvallen op veel fronten, zoals de eis van hoge beschikbaarheid en veiligheid, en een engineering mindset gericht op fysieke beveiliging’, aldus Chester Wisniewski, global field cto bij Sophos. ‘Er is een overwicht aan oudere technologieën die zijn geconfigureerd voor beheer op afstand, zonder moderne beveiligingscontroles zoals versleuteling en multifactorauthenticatie.’
2,5 miljoen
Sophos noemt ook andere oorzaken. ‘Net als ziekenhuizen en scholen werken deze nutsbedrijven vaak met een minimale personeelsbezetting’, stelt hij. ‘En ook zonder het it-personeel dat nodig is om op de hoogte te blijven van patches, de nieuwste beveiligingskwetsbaarheden en de monitoring voor vroege opsporing en respons.’
Ook op ander domein stegen de kosten bij deze organisaties. Want naast de toenemende herstelkosten nam het gemiddelde losgeld voor organisaties in de nutssectoren van water en energie toe naar meer dan 2,5 miljoen dollar in 2024. Dat is een half miljoen dollar meer dan gemiddeld.
Een overwicht aan oudere technologieën die zijn geconfigureerd voor beheer op afstand zonder moderne beveiligingscontroles lijkt me iets te zeggen over het fenomeen van IoT in de edge. Kortom, hoe zit het met NextG-IoT en EU-IoT plannen voor de Cloud-Edge-IoT strategie welke de basis vormt voor een verdere digitalisering van de maatschappij. Never waste a good crisis zorgen groeiende personeelstekorten nu eenmaal voor nog meer automatisering met nog meer aanvalspunten die kwetsbaar worden zonder beheer. Want strategie van de verschroeide aarde met een fenomeen als ransomware is maar één van de vele risico’s als we kijken naar succes met Stuxnet.