Cybercriminelen richten zich steeds vaker op systemen voor operationele technologie (ot) in onder meer het openbaar vervoer, energienetwerken en fabrieken. Toch duurt het gemiddeld tweehonderd dagen voordat hackers in een ot-omgeving worden ontdekt. Een blinde vlek die onze veiligheid en welvaart bedreigt, waarschuwt Dirk de Bilde.
Anderhalf jaar geleden wisten cybercriminelen binnen te dringen in de computersystemen van een waterzuiveringsinstallatie in Florida. Zij kregen op afstand controle over de chemische samenstelling van het water. Door kordaat ingrijpen van een waakzame medewerker werd een dodelijke ramp voorkomen. Maar de situatie werd wereldwijd nieuws toen duidelijk werd dat de digitale achterdeur van de centrale wagenwijd openstond, onder meer door nooit veranderde standaard wachtwoorden.
Inwoners kwamen met de schrik vrij. Maar het incident in Florida staat helaas niet op zichzelf. Veel organisaties en bedrijven hebben hun cyberveiligheid nog steeds niet op orde. Dit jaar is het aantal cyberaanvallen in Nederland met 55 procent toegenomen ten opzichte van 2021. Op internationaal niveau is het beeld nog verontrustender: elke elf seconden wordt een bedrijf slachtoffer van ransomware.
Scheefgroei
Groeiende digitale verbondenheid biedt onze economie en samenleving uiteraard grote voordelen: meer gebruikersgemak, reductie van onderhoudskosten, minder menselijke fouten, comfortabeler vertoeven in kantoren en een stijging van onze productiviteit. Maar tegelijkertijd nemen ook de gevaren toe. Want cyberveiligheid draait niet meer alleen om it. Ook software en apparatuur voor het aansturen en monitoren van objecten, gebouwen, machines en installaties hangt steeds vaker aan het internet. Deze ot-systemen zijn terug te vinden in kantooromgevingen en fabrieken, maar ook in elektriciteitsnetten, tunnels, het openbaar vervoer, bruggen, waterkeringen, betaalnetwerken, medicijnfabrieken, waternetwerken en klimaatsystemen.
Het ongestoord functioneren van onze samenleving is van deze systemen afhankelijk. Want door hun onderlinge verbondenheid kan een enkel beveiligingsprobleem een hele toeleverings- of bedrijfsketen kortdurend of zelfs voor langere tijd verstoren en voor grote (financiële) schade zorgen. Tijdens de coronacrisis hebben we helaas al kunnen ervaren wat er gebeurt als cruciale toeleverketens ontwricht raken. En de gevolgen van een ontwrichting van de energielevering zien we terug in de huidige gasprijzen.
Scheefgroei
Zeer verontrustend is dat de aandacht voor ot-veiligheid vaak nog tekortschiet. Volgens Gartner en Agentschap Telecom zit zestig procent van alle bedrijven nog in de awareness fase op het gebied van ot-veiligheid. Een groot risico voor wie bedenkt dat het gemiddeld tweehonderd dagen duurt voordat getroffen partijen signaleren dat er is ingebroken in hun systemen.
Als gevolg hiervan dreigt een gevaarlijke scheefgroei tussen een snel veranderend dreigingsbeeld en de digitale weerbaarheid van bedrijven en organisaties, waarbij met name de razendsnelle opkomst van ransomware voor hoofdbrekens zorgt. Het kabinet erkent dit ook in de nieuwe Nationale Cybersecuritystrategie die begin oktober werd gepubliceerd. Maar om de eerder benoemde scheefgroei effectief aan te pakken is het cruciaal dat ot geen onderbelicht thema of een blinde vlek blijft.
Kans
De naderende nationale implementatie van de nieuwe Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen, de NIS2, biedt een uitgelezen mogelijkheid om in te grijpen en ot in het hart van het risicobeleid van elke organisatie te brengen.
Ot moet een belangrijke plek krijgen in de nationale verankering van deze richtlijn, in ieder geval met een afgebakende definitie. Zo kan de verantwoordelijkheid voor it en ot helder worden belegd en kunnen ook de verschillen worden gemarkeerd. Want in tegenstelling tot it – dat zich focust op betrouwbaarheid en integriteit van data – ligt de nadruk bij ot juist op het garanderen van de continuïteit en de beschikbaarheid van processen. Een it-systeem kan praktisch op elk gewenst of gepland moment worden gescand, geüpdatet en/of gerepareerd om beter tegen virussen te worden beschermd. Dit geldt meestal niet voor ot-systemen, want je kunt een brug, energienetwerk of afvalverwerkingscentrale niet zomaar (voor een langere periode) stil leggen.
De digitale veiligheid van een waterzuiveringsinstallatie mag in ieder geval nooit afhangen van een waakzame medewerker. Want in deze geopolitiek zeer woelige wereld is het glashelder dat naïviteit duur worden betaald.
(Auteur Dirk de Bilde is ceo van Siemens Nederland.)
Een niet onbekend euvel bij ingewijden want hoewel de voordeur goed bewaakt wordt met biometrische toegang blijken allerlei services op de achtergrond een beveiliging te hebben uit het stenen tijdperk. En ja, dat betreft ook de OT waar oplossingen uit de vorige eeuw nog altijd operationeel zijn hoewel er wat moderne dingen tegenaan geplakt zijn voor remote toegang. En nee, een IT systeem kan niet zomaar worden stilgelegd om even de noodzakelijke patches aan te brengen hoewel je wel wat kunt doen met redundantie.
Voor wat betreft ‘Penny wise and pound foolish’ een leuke als je een miljoenen kostend systeem afhankelijk maakt van een embedded OS van driekwartjes. Want helemaal leuk wordt het als we kijken naar lifecycles van de losse onderdelen in keten.