Incidenten voorkomen is niet langer voldoende

4 oktober 2022 Robbert Hoeffnagel Unsplash

De industrie investeert fors in digitalisering. De vraag is echter wel of we in onze drang naar voren wel voldoende hebben nagedacht over cybersecurity. Een recent gepubliceerd onderzoek schetst op dat gebied helaas een wat minder rooskleurig beeld.

De industrie doet het goed met cloud-adoptie. In het rapport 'Manufacturing for the Digital Era’ (zie kader ‘Meer weten?’] van Wipro FullStride Cloud Services. staat bijvoorbeeld dat de manufacturing-industrie in Europa wat betreft cloud-adoptie voorop loopt ten opzichte van andere sectoren. Maar liefst 32 procent heeft volgens Wipro inmiddels de status van ‘cloud leader’ bereikt. 

Verder geeft het rapport aan dat cloud-gebaseerde technologieën de drijvende kracht zijn achter de snelle zakelijke transformatie in de Europese industrie. Fabrikanten gebruiken cloud met name om hun productieprocessen te moderniseren en zo klaar te zijn voor de toekomst. Managers zijn daarbij van mening dat cloud de productie effectiever maakt doordat het de transformatie van belangrijke activiteiten ondersteunt. 

In het rapport staat nog een interessante conclusie: het beschermen van investeringen in cloud en het waarborgen van de veiligheid is een belangrijke prioriteit voor Europese fabrikanten: 

- Het beschermen van cloud-investeringen biedt een basis voor een betere klantenservice en cyberveiligheid. Een van de grootste voordelen die 58 procent van de leiders heeft ontdekt, is daarnaast een verlaging van de kosten. 

- 61 procent van de cloud-leiders zegt dat het ontwikkelen van cyberbeveiligingsteams en cybersecurity-vaardigheden de belangrijkste stap is die zij nemen om hun cloud-investeringen te beschermen, zodat hun overstap naar de cloud effectief is en vitale activiteiten die door de cloud worden aangedreven, worden veiliggesteld.

Cybersecurity staat dus volop op de agenda van de Europese industrie. Toch hebben we de afgelopen jaren veel berichten gezien die aangeven dat het lang niet altijd goed gesteld is met IT-security in de industrie. Dat zou deels te maken hebben met het gebruik van relatief oude en niet altijd up-to-date gehouden software, een probleem dat kan zitten in zowel het patch-beleid van bedrijven als te weinig aandacht voor onderhoud en updates bij de aanbieders. Daarnaast ontbrak het volgens deze analyses nog weleens aan voldoende aandacht voor security en waren cybersecurity-teams in andere gevallen onvoldoende bemand en ontbrak het ook nog wel eens aan kennis.

De stand van industrial cybersecurity 

Hoe staan we er als industrie nu precies voor als het om cyberveiligheid gaat? Security-firma Trend Micro heeft hier onlangs een interessant rapport over gepubliceerd. Het bevat een aantal conclusies en aanbevelingen die tot stand zijn gekomen op basis van gegevens die verzameld zijn in februari en maart van dit jaar. De onderzoekers hebben gekeken naar drie branches: manufacturing, olie & gas, en elektriciteit. Deze sectoren hebben alle drie de afgelopen jaren met incidenten te maken gehad die “het nieuws hebben gehaald”. Dat zien we in dit rapport heel duidelijk terug. Maar liefst 89 procent van de ondervraagde bedrijven heeft als gevolg van cyberaanvallen te maken gehad met verstoring van de supply chain (figuur 1). 

Als we dan kijken naar de impact van zo’n verstoring, dan mogen we gerust concluderen dat deze aanzienlijk is. Iets minder dan de helft van de bedrijven die te maken had met een probleem in de supply chain als gevolg van een cyberincident meldt dat het maximaal zo’n drie dagen heeft gekost om deze problemen op te lossen. Aan de andere kant zegt 56 procent dat het oplossen van het probleem vier of meer dagen heeft gekost. Manufacturing doet het hier van de drie groepen overigens het beste: 50 procent zegt minder dan drie dagen en een even groot percentage zegt dat het oplossen van het incident meer dan vier dagen heeft gekost. 

Forse kostenpost 

Een begrip als ‘verstoring van de supply chain’ is natuurlijk vrij abstract. Als we de schade iets preciezer willen aanduiden, dan is het goed om naar de kosten te kijken die een incident veroorzaakt. Trend Micro heeft de vraag hierover op een interessante manier gesteld. Zij vragen namelijk niet naar de kosten per incident, maar naar de totale kosten als gevolg van cyberincidenten gedurende de afgelopen twaalf maanden. Deze kosten liggen gemiddeld op 2,8 miljoen dollar per jaar. Manufacturing doet het hier nog relatief het beste: gemiddeld 1,8 miljoen dollar aan schade als gevolg van cyber attacks gedurende het afgelopen jaar. De twee andere groepen komen op gemiddeld 3,3 miljoen dollar per jaar. 

Waar bestaan deze kosten dan precies uit? Denk hier aan: 

- Uitgaven voor het reageren op het cyberincident. 

- Kosten voor herstel, bijvoorbeeld betalen na een ransomware-aanval. 

- Financiële middelen die nodig zijn om maatregelen te nemen om herhaling van een cyber-incident te voorkomen. 

- Kosten voor het inhuren van extra mensen of externe expertise. 

- Misgelopen omzet. 

- Schadevergoeding voor de impact van het incident op bijvoorbeeld toeleveranciers of partners. 

Hoe verlopen deze cyberincidenten nu precies? Eerst iets over het aantal incidenten. Iets meer dan 40 procent van de ondervraagde bedrijven (44 procent) geeft aan dat zij het afgelopen jaar met 6 tot 10 cybersecurity-incidenten te maken hebben gehad. Bijna driekwart (72 procent) heeft minstens één incident meegemaakt. In figuur 2 zien we hoe de verdeling van de incidenten is over de IT- en de OT-kant van het bedrijf. 

Maturity-model van NIST 

Het is uiteraard cruciaal dat bedrijven die met security-incidenten te maken krijgen hier ook lessen uit weten te trekken. Om enigszins grip te krijgen op dit leerproces heeft het Amerikaanse National Institute of Standards and Technology (NIST) een zogeheten Cybersecurity Framework ontwikkeld (zie kader ‘Meer weten?’). Het is in feite een model dat aangeeft hoe volwassen de aanpak van een bedrijf is als het gaat om cybersecurity. Zeg maar: een ’maturity model’. 

In figuur 3 is te zien hoe de ondervraagde bedrijven zichzelf inschatten op de vier niveaus van volwassenheid die dit framework kent. Veel organisaties zijn naar eigen inschatting dus nog bezig met het implementeren van dit model - zowel aan de IT- als aan de ICS/OT-kant (respectievelijki figuur 3A en 3B). Als het gaat om de IT-zijde van de organisatie dan geeft zo’n veertig procent aan dat zij zichzelf zien in Tier 2 (‘risk informed’). Aan de OT-kant zit men echter vaak naar eigen inschatting lager: dertig procent is van mening dat men wat security-aanpak nog in Tier 1 zit (‘partial’). Bovendien concludeert Trend Micro dat zowel bij IT als OT 60 tot 70 procent nog in Tier 1 of Tier 2 zit. Kenmerkend voor deze eerste twee lagen is met name dat men vooral reactief werkt. Pas vanaf Tier 3 is er sprake van regelmatig plaatsvindende reviews van de cybersecurity-aanpak en wordt het beleid meer proactief. 

Zoals het eerder genoemde rapport van Wipro al aangaf, zien industriële bedrijven het grote belang van veilige IT en OT maar al te goed in. Dat blijkt ook uit het Trend Micro-rapport (figuur 4). Bedrijven investeren meer in cybersecurity om incidenten te voorkomen, wat natuurlijk ook logisch is gezien de kosten per jaar waar men mee te maken heeft. Interessant genoeg spelen ook business partners hier een duidelijke rol: zij vragen hun ecosysteem om maatregelen op het gebied van IT-security. Ook het feit dat industriële bedrijven steeds meer investeren in cloud wordt als een belangrijke reden gezien voor meer inspanningen op het gebied van industrial cybersecurity. Enkel incidenten voorkomen is dus niet langer voldoende. 

Meer en betere cybersecurity 

Trend Micro is een aanbieder van security-software. Gelukkig is 'meer tools kopen' echter zeker niet het belangrijkste advies dat het bedrijf de lezers van dit rapport wil meegeven. 

Wat dan wel? 

- Voor organisaties waarvan de houding ten aanzien van cybersecurity op het gebied van ICS/OT nog altijd ad hoc en reactief is (in het NIST-framework dus Tier 1 en 2) is het noodzakelijk om een systeem op te zetten dat inzicht geeft wat er in hun ICS/OT-omgeving is gebeurd, zodat men de oorzaak van een incident kan analyseren. Deze bedrijven doen er goed aan te anticiperen op aanvalsscenario’s in de ICS/OT-omgeving en passende beveiligingscontroles te implementeren in hun ICS/OT-systemen en -netwerken. 

- Belangrijk hierbij is te beseffen, zo stelt Trend Micro, dat de ICS/OT-omgeving andere kenmerken heeft dan IT. Hierdoor kunnen dezelfde methodes als we bij IT zien vaak niet in een ICS/OT-omgeving worden toegepast. Hier zullen dus vaak andere tools en methoden nodig zijn.

- Ook bedrijven die al meer proactief werken (Tier 3 en 4 in het NIST-model) kunnen verdere verbeteringen doorvoeren. Zij beoordelen en updaten reeds regelmatig hun IT- en OT-cyberbeveiliging, maar doen er ook goed aan hun cyberbeveiligingsstrategie zodanig te plannen dat zij nu al rekening gaan houden met het feit dat cloud en 5G in hun infrastructuur worden opgenomen. Op dit moment zijn IT- en ICS/OT-cyberbeveiliging onlosmakelijk met elkaar verbonden om cruciale operaties draaiende te houden. Met de in gebruiksname van industriële clouds en netwerktechnologieën zoals private 5G is het van groot belang dat hun cyberbeveiliging zodanig is opgezet dat deze zich kan aanpassen aan omgevingen waarin een mix van oude(re) en nieuwe technologieën met elkaar samenwerken. Deze gemengde omgevingen zullen op een geïntegreerde manier moeten worden beheer én beveiligd, zo adviseert het bedrijf tenslotte.

Meer weten?

Het rapport ‘Redefining Manufacturing for the Digital Era is geschreven in opdracht van IT-gigant van Wipro en is hier te vinden: https://www.wipro.com/en-EU/manufacturing/ europe-manufacturers-thrive-on-cloud/. 

Het rapport ‘The State of Industrial Cybersecurity’ van Trend Micro vindt u hier: https:// resources.trendmicro.com/IoT-survey-report.html. 

Meer informatie over het Cybersecurity Framework van NIST is hier te vinden: https:// www.nist.gov/cyberframework.

Altijd op de hoogte blijven?