OT-security is een pijnpunt, blijkt meermaals. De cijfers liegen er niet om: 94 procent van alle bedrijven in de industriële sector is slachtoffer.
Dat blijkt uit onderzoek van Kaspersky over de staat van industriële cybersecurity. 203 Nederlandse besluitvormers vanuit de C-suite werden voor het interview geraadpleegd. Deze organisaties, elk meer ten minste 1.000 werknemers, zijn actief in de energie-, productie-, olie- en gassector.
Bewust maar onvoorbereid
82 procent van de ondervraagden is van mening dat men kwetsbaar is voor cyberaanvallen. Dat geldt niet alleen voor de organisaties zelf, maar ook de toeleveringsketen. Dat is, zoals Kaspersky zelf al aangeeft, verrassend laag. Met name de productiesector blijft achter met 69 procent, terwijl organisaties binnen olie, gas en energie wél het risico hoog inschatten (94 procent olie en gas, 92 procent energie).
Tip: 50.000 industriële systemen kwetsbaar binnen Europa
De cijfers zijn nog duidelijker als het om de frequentie van cyber-incidenten gaat. Elk ondervraagd bedrijf dat actief is in de olie- en gassector heeft met een aanval te maken gehad (!). Energiebedrijven komen er met 96 procent zelden zonder cyber-kleerscheuren uit, terwijl 90 procent binnen de productiesector een cyber-incident heeft gehad in het afgelopen jaar.
Een kleine mate van blootstelling is al genoeg om onvoorbereid te zijn op een dergelijk incident. Dat vertelt Evgeny Goncharov, hoofd van Kaspersky’s ICS CERT. Enkel bewustzijn is niet genoeg. “Desondanks blijft het algehele risico hoog, omdat voor geraffineerde hackers zelfs een kleine mate van blootstelling al genoeg is. En de zaken worden steeds gecompliceerder nu industrieën slimme technologieën gaan gebruiken die nieuwe toegangspunten voor aanvallers introduceren, evenals nieuwe manieren om de aanval uit te breiden naar vergelijkbare organisaties.”
Ransomware-schade
Het grootste probleem is ransomware, dat zomaar ICS-apparatuur platlegt. Industriële infrastructuur wordt tevens steeds vaker via IT-tooling aangedreven, waardoor een fabriek of haven simpelweg het werk stil moet leggen. Voorbeelden zijn er al genoeg: LockBit in Japan en Australië, Hive dat Tata Power in India trof en een aanval bij een leverancier van de Deense treinmaatschappij.
Kaspersky legt de vinger op een andere zere plek dan enkel de disruptie. Namelijk de immense financiële schade die een aanval teweegbrengt, geïllustreerd door Kaspersky met recente voorbeelden. Johnson Controls verloor naar eigen zeggen 30 miljoen dollar aan omzet, autochipmaker MKS Instrument liep 200 miljoen schade op en ontsmetter Clorox moest zelfs 357 miljoen dollar afschrijven.
Maar waarom juist OT?
Het is logisch om je af te vragen waarom aanvallers het gemunt hebben op de OT (Operationele technologie)-sector. Meer dan alleen de disruptie kan niet verklaren waarom hackers regelmatig toeslaan in de industriële wereld. Hoewel social engineering volgens 16 procent van de door Kaspersky ondervraagden het grootste risico vormt, zijn andere factoren uniek aan OT. Denk aan de grootschalige aanwezigheid van legacy-systemen. Deze ongepatchte en veelal onopgemerkte onderdelen van de IT-stack zijn enkel veilig omdat niemand erover weet. Zodra ze met het internet verbonden zijn, is elke CVE sinds end-of-support een sleutel voor aanvallers om door de deur te komen.
Eveneens is de toeleveringsketen geregeld complex en daardoor lastig te beveiligen. De supply chain wordt door 74 procent van de respondenten gezien als gevoelig voor cybergevaren. Hoewel deze IT-beslissers ongetwijfeld hun eigen organisatie goed bij de les willen houden, is dat voor een externe partij een stuk lastiger. Alleen harde compliance-eisen lijken te helpen, maar zijn niet voldoende.
Zorgwekkende trend
Jornt van der Wiel, security-expert bij Kaspersky’s Global Research & Analysis Team, merkt op dat er een zorgwekkende trend plaatsvindt. Organisaties bereiden zich namelijk vooral voor op een cyberaanval in plaats van dat men het tracht te voorkomen. “Organisaties en risicomanagers vinden de verzekeringskosten onbetaalbaar. Velen weten niet wat ze anders moeten doen. Er is een zwart gat van onbegrip. Het is een echte zorg voor hen. Ze maken zich zorgen, maar ze vertrouwen erop dat IT alles regelt. Het is als een tikkende tijdbom.”
Met andere woorden: een cyberaanval lijkt welhaast gezien te worden als een act of God. Organisaties zijn dermate ingesteld op een incident dat het wordt gezien als een aardbeving, tsunami of orkaan. Toch is een sterkere fundatie mogelijk, het bouwen van dammen of dikkere muren. Hetzelfde geldt voor OT-security. Het verkleinen van het aanvalsoppervlak ligt voor de hand, maar Kaspersky heeft nog meer ideeën in petto.
Het tekort aan security-experts en een gebrek aan OT-specifieke training kan Kaspersky niet zomaar oplossen. Maar het is wel één van de weinige partijen met een specifieke oplossing voor OT-/IT-problemen met Kaspersky Industrial CyberSecurity. De enige voor de hand liggende toepassing die hier enigszins op lijkt is Azure IoT Hub, maar dat vereist een hyperscaler-omarming waar OT-spelers wellicht niet al te comfortabel mee zijn. Het zal ons niet verrassen als meer vendoren in deze ruimte stappen, zeker met on-prem mogelijkheden voor de hoogste compliance-eisen. Dan is er wellicht eindelijk verbetering op komst voor de OT-wereld.
Lees ook: Er is geen OT-apocalyps, maar OT-security verdient wel meer aandacht