Door de enorme efficiencyvoordelen is de industrie gestaag aan het digitaliseren. Wie niet op tijd meebeweegt verliest zijn concurrentiepositie, dus de druk is groot om nieuwe digitale systemen zo snel mogelijk in gebruik te nemen. Daardoor wordt lang niet altijd genoeg tijd genomen om ze op veiligheid te testen en de weerbaarheid te verbeteren. Dat vergroot de kans op hacks, die juist in industriële omgevingen een enorme impact kunnen hebben.
Het goede nieuws: het besef hoe belangrijk de beveiliging is van operationele technologie en het industriële internet der dingen (IIoT) is enorm gegroeid. Dat bleek tijdens het onderzoek dat we bij Applied Risk deden voor ons jaarlijkse rapport over de cyberveiligheid in de industrie. Die gegroeide bewustwording komt onder meer doordat er steeds vaker digitale veiligheidsincidenten bij industriële installaties in het nieuws zijn.
Ook hameren toezichthouders en beleidsmakers wereldwijd steeds nadrukkelijker op het belang van cyberbeveiliging. Dat werd vorige maand nog geïllustreerd door de oproep van de Tweede Kamer om belangrijke infrastructuur te laten testen op kwetsbaarheid voor cyberaanvallen. Ook de toename van de verzekeringen tegen cyberaanvallen getuigt van een groeiend besef van cyberrisico’s.
Het slechte nieuws
Het slechte nieuws is dat in de praktijk nog te weinig naar dit besef wordt gehandeld. Zelfs basale cybersecurity-maatregelen worden nog steeds niet structureel toegepast in de industrie.
Zo bleek tijdens ons onderzoek dat de governance betreffende cybersecurity heel laag is. Dat betekent dat basale maatregelen, zoals een beleid dat voor het hele bedrijf geldt, regelmatige risicotoetsing en veiligheidsplanning, allemaal schitteren door afwezigheid.
Daarnaast merkten we dat netwerken vaak niet goed worden gescheiden. Dat nieuwe apparatuur tegenwoordig verbindingsmogelijkheden heeft biedt een hoop voordelen, maar wanneer alle apparaten en systemen met elkaar verbonden zijn, hoeft er maar eentje een kwetsbaarheid te hebben, en dan is meteen het hele netwerk kwetsbaar. Segmenteren van netwerken is dus cruciaal, maar wordt onvoldoende gedaan.
Temeer omdat we ook zagen dat die kwetsbaarheden daadwerkelijk ontstaan, onder meer door veroudering van systemen. De ondersteuningstermijn van fabrikanten loopt te vroeg af, en OT-managers die verantwoordelijk zijn voor het beheer van de operationele systemen verzuimen te vaak om firmware te updaten. Firewalls voldoen veelal niet, en maatregelen om apparaten weerbaarder te maken zijn vaak minimaal, als ze er al zijn. Controle op wie toegang heeft tot de systemen is vaak gebrekkig.
Wat moet er dus gebeuren?
Cybersecurity moet meer prioriteit krijgen; de risico’s zijn te groot om het als bijzaak te beschouwen. Voor een goede bescherming moet beveiliging steeds vanaf het begin deel uitmaken van alle processen en besluiten. Iedereen moet sterk doordrongen zijn van het belang van beveiliging, het moet echt in het hart van de bedrijfscultuur komen te zitten.
Werkgevers doen er daarom goed aan als ze regelmatige trainingen organiseren om hun personeel te helpen om potentieel onveilig gedrag te veranderen. Het helpt enorm als er een gedetailleerd plan is voor hoe het bedrijf moet reageren op incidenten, met duidelijk omschreven processen voor hoe de oorzaak wordt geïsoleerd, en welke stappen geschikt zijn om processen weer op gang te krijgen die van vitaal belang zijn bij het beperken van downtime, gegevensverlies en reputatieschade.
Zolang er nog geen wetgeving is die voldoende maatregelen voor cybersecurity afdwingt, is het aan bedrijven om hier zelf hun verantwoordelijkheid in te nemen. Ze moeten kritisch zijn op cybersecurity bij nieuwe aankopen, juist omdat er leveranciers zijn die snelheid voor veiligheid laten gaan. Dat is op zichzelf nog wel een uitdaging, want dat vergt expertise die schaars voorhanden is. Dat betekent dat je als bedrijf voor goede cybersecurity onafhankelijke partners nodig hebt die beschikken over de juiste opleiding en instrumenten. Grote bedrijven kunnen hier een voortrekkersrol in spelen; zij hebben daar immers de sterkste positie voor.
Dit is een ingezonden bijdrage van Jalal Bouhdada, oprichter en CEO bij Applied Risk. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
7 uur geleden
