artikel

Vijf belangrijkste technische problemen rond industriële cybersecurity

Manufacturing

Een aantal basale cybersecurity-maatregelen wordt nog steeds niet toegepast in de industrie. Dat stelt het Nederlandse bedrijf Applied Risk in een recent verschenen rapport. Hoe kunnen maakbedrijven zich beter beschermen tegen cybercrime?

Vijf belangrijkste technische problemen rond industriële cybersecurity

Tekst: Evi Husson 

‘De afgelopen maanden hebben we uitgebreid onderzoek gedaan naar hoe cybersecurity is ingebed in organisaties. Daaruit blijkt dat er veel variatie is tussen wat het MKB onderneemt en hoe internationale ondernemingen cybersecurity aanpakken’, vertelt Jalal Bouhdada, CEO van het in industriële cybersecurity gespecialiseerde Applied Risk. ‘De vitale infrastructuur (elektriciteit, water-, gasvoorzieningen) heeft een hoog cybersecurity-niveau, net als veel bedrijven in de olie- en gassector. Deze sectoren lopen duidelijk voorop. Logisch, aangezien de maatschappelijke impact van een aanval vaak veel hoger is dan in andere sectoren. De laatste twee jaar – sinds de aanval met ransomware die wereldwijd meerdere bedrijven en instellingen trof – heeft ook de maakindustrie actief stappen gemaakt. Andere sectoren zitten vaak nog in de bewustzijn-fase.’

Een grote misvatting is dat wie veel investeert in cybersecurity, automatisch goed is beveiligd tegen cyberaanvallen. ‘Helaas klopt dit niet. Sommige bedrijven denken dat ze goed bezig zijn, maar dat is niet noodzakelijk het geval. Uit ons onderzoek blijkt dat veel bedrijven een aantal technische, procesmatige en management tekorten hebben, daar waar het gaat om industriële cyberbeveiliging. Het is vooral belangrijk om de basis op orde te hebben en niet zozeer de aandacht op ‘Shiny objects’ te vestigen.’

Bouhdada licht de vijf belangrijkste technische problemen rond industriële cybersecurity toe.

1) Verouderde en kwetsbare software

Software is vaak kwetsbaar. Het komt in productie-omgevingen regelmatig voor dat voor oudere systemen geen software-updates meer beschikbaar zijn. Dit laat de deur open voor aanvallers die zwakheden gemakkelijk kunnen misbruiken. Bouhdada: ‘Bovendien is een software-update uitvoeren in productieomgevingen vaak niet eenvoudig. Hiervoor moet in een aantal gevallen de productie worden stilgezet. Een update kan ook storingen teweegbrengen of een andere impact hebben op de productie. Bedrijven staan dan voor een dilemma: draai ik productie met kwetsbare software of aanvaard ik de tijdelijke impact van software-updates op de productie en produceer ik de komende tijd weer met veilige systemen. Veel bedrijven kiezen voor de eerste optie. Er is immers nog nooit wat gebeurd.’

2) Onvoldoende netwerksegmentatie

Segmentatie in het OT-domein (operationele technologie) is van cruciaal belang, maar vaak nog ontoereikend, stelt het rapport. Zo zijn bijvoorbeeld firewalls vaak niet optimaal ingericht en kennen de grensvlakken tussen OT- en IT-omgevingen zwakheden. Bouhdada: ‘Vroeger waren IT en OT volledig van elkaar gescheiden, als losse eilanden. Door de hogere complexiteit en digitalisering zijn inkoop/verkoop enerzijds en de productie anderzijds tegenwoordig vaak sterker met elkaar verweven. In- en verkoop (die vaak in een IT-omgeving werken) willen hun business afstemmen op basis van de input van productie. Toch zou er een scheiding moeten zijn en blijven tussen de IT en OT. Uit de praktijk blijkt dat IT-omgevingen vaker geïnfecteerd zijn door de veelheid aan gebruikersinteractie en de connecties met de buitenwereld. Aanvallers die via het IT-netwerk controle willen krijgen over het OT-domein zijn vaak goed thuis in het zoeken naar slecht geconfigureerde gateways en andere apparatuur Ze benutten zwakheden in het IT-netwerk om uiteindelijk de OT-omgeving te bereiken.’
Er gebeurt gelukkig veel op het gebied van scheiding van netwerken. ‘Echter, vooral voor grote organisaties is het niet altijd eenvoudig om die scheiding hard te maken. Belangrijk is daarom dat er voldoende wordt gesegmenteerd. Het moet duidelijk zijn op welke manier systemen in het netwerk hangen en aan elkaar zijn gekoppeld. Is dit inzichtelijk, dan kan worden bepaald welke systemen op welke manier met elkaar mogen communiceren en kan men beginnen te segmenteren. Dit verhoogt de mate van cybersecurity sterk.’

3) Niet voldoende beveiligingseisen voor hard- en software

Aan hard- en software die wordt ingekocht, worden vaak geen of onvoldoende beveiligingseisen gesteld. ‘Bedrijven schaffen systemen aan om te integreren in de aansturing van het productieproces. Of ze kopen systemen in die deel uit gaan maken van het eindproduct zelf. Deze zijn vaak plug&play, maar worden niet noodzakelijk met het nodige beveiligingsniveau geleverd. Je moet als productiebedrijf niet zomaar vertrouwen op wat je inkoopt. Het is aan te bevelen toegeleverde producten of componenten te onderzoeken op kwetsbaarheden. Denk bijvoorbeeld aan kwetsbaarheden zoals software-issues of security bugs waarvan leveranciers zich niet bewust zijn. Zwaktes in de systemen van toeleveranciers kunnen invloed hebben op de privacy of het intellectuele eigendom van de producent, maar ook op de continuïteit en kwaliteit van het productieproces. Daarom is het aan te raden om deze zwaktes op te sporen vóór implementatie.’

Om problemen achteraf te voorkomen, kan een producent vooraf duidelijke afspraken maken. ‘Je kunt aan je toeleveranciers een aantal security-eisen stellen waaraan de systemen of componenten, die ze leveren, moeten voldoen. Belangrijk is om deze eisen vóór de aankoop of overeenkomst op tafel te leggen. Ontwikkelt een toeleverancier een systeem en je bespreekt vooraf niet de securityvoorwaarden waaraan moet worden voldaan, dan kan dit voor problemen zorgen. Deze partij kan op een later moment aangeven dat dit geen vereiste was en meer geld vragen om dit alsnog op orde te brengen. Dit gebeurt in de praktijk helaas regelmatig.’
Grote ondernemingen zoals bedrijven in de olie- en gassector hebben security-eisen standaard geïmplementeerd in hun inkoopproces. ‘Ze stellen erg hoge security-eisen voor ze systemen implementeren in hun eigen processen. Dit zouden maakbedrijven ook meer mogen doen. Het wordt in deze sector helaas nog niet zo serieus opgepakt.’

4) Zwakke toegangscontrole

Een vierde veelgemaakte fout is dat de toegang tot systemen in het OT-domein vaak slecht is geregeld. Dit kan de complete set aan veiligheidsmaatregelen ondermijnen. ‘De fysieke beveiliging van productiebedrijven is op papier vaak goed op orde. Er zijn badges en fysieke toegangscontroles opdat alleen bevoegden toegang kunnen krijgen tot de productie-omgeving. In de praktijk zijn deze echter wel te omzeilen als je een beetje inventief bent. Eenmaal binnen ligt vaak alles open. Wij zien vaak dat de digitale toegang tot systemen beter kan en ook beter moet. Zwakke wachtwoorden worden gebruikt voor de toegang tot OT-systemen, wachtwoorden worden gedeeld of ergens opgeschreven en opgeplakt. Of er worden helemaal geen wachtwoorden gebruikt. Nu is dat in productie-omgevingen nog wel gebruikelijk omdat operators snel moeten kunnen optreden in het geval zich problemen in het productieproces voordoen, maar dan zijn extra beveiligingsmaatregelen nodig. En dan heb ik het nog niet over de mensen die op afstand toegang hebben tot de productie-omgevingen, zoals leveranciers en werknemers buiten werktijd. Het is belangrijk om hier een integrale aanpak te kiezen met heldere procedures.’

5) Onvoldoende monitoring

In de praktijk worden OT systemen nog maar weinig in realtime gemonitord op ongewoon gedrag. Dit kan veel toegevoegde waarde opleveren als het goed is ingeregeld. Niet alleen vanuit veiligheidsperspectief, maar ook om de productie te optimaliseren en mogelijke communicatiefouten in het netwerk proactief op te kunnen sporen. Daarnaast is het aan te bevelen systeemdata in logbestanden vast te leggen om na een aanval de oorzaak te kunnen achterhalen. ‘Een inbraak in een systeem blijft vaak voor een langere periode onopgemerkt. Aanvallers verschaffen zich toegang tot de bedrijfsomgeving en blijven daar om informatie te verzamelen, soms vanuit het perspectief van spionage, soms om een grotere aanval voor te bereiden. Professionele hackers laten daarbij nauwelijks sporen achter. Wat er in het systeem gebeurt, gebeurt geruisloos, tot er ineens na verloop van tijd vage zaken gebeuren en foutmeldingen opduiken als een soort cascade-effect. Vaak blijkt bij onderzoek dat de oorspronkelijke hack enige maanden eerder heeft plaatsgevonden. Realtime monitoring had de aanval waarschijnlijk eerder kunnen ontdekken. Een goede set logbestanden helpt om achteraf duidelijk te krijgen hoe en wanneer de hackers het bedrijf zijn binnengedrongen. Dit is erg belangrijk om de juiste maatregelen te kunnen nemen om dit in de toekomst te voorkomen.’

Hoe ga je de strijd aan tegen cybercrime?

Cybersecurity mag in de industrie niet langer worden gezien als bijzaak. ‘Cybersecurity is geen rocket science. Het is veel werk, maar met de juiste investeringen en mindset kom je al heel ver. Belangrijk is dat het bewustzijn nog verder moet groeien, maar ook dat er actie wordt ondernomen. Zo moeten bijvoorbeeld het bewustzijn groeien dat je extra alert moet zijn zodra er een koppeling met het internet wordt gemaakt. Een systeem dat rechtstreeks in verbinding staat met het internet, introduceert een kwetsbaarheid als dit niet op een verantwoorde manier gebeurt en er niet het juiste beheer op wordt nagehouden. Inzicht in wat je als bedrijf aan systemen hebt, is daarom van groot belang. ‘Maak als bedrijf een analyse van je netwerken, je systemen en je connecties met de buitenwereld en stel vervolgens een plan op waarbij je zorgt voor voldoende diversiteit en beveiligingsmaatregelen, zodat je je systemen adequaat kunt beveiligen tegen mogelijke aanvallen.’

Daarbij is aanval de juiste verdediging: ‘Door te oefenen en te trainen en periodiek je omgeving te laten testen door bijvoorbeeld een ethische hacker, komen zwakheden sneller boven water. Dit geeft je de mogelijkheid om de weerbaarheid van de organisatie te verbeteren. Cybersecurity is niet noodzakelijk een last of kostenpost, maar kan ook een business enabler zijn. Een flexibele en weerbare digitale omgeving is voor productiebedrijven cruciaal om te vernieuwen en de vruchten te plukken van alle technologische innovaties in de markt. Dit werkt echter alleen als cybersecurity goed is ingericht. Het biedt de mogelijkheid om als organisatie te groeien en draagt bij aan het vertrouwen van klanten, partners en aandeelhouders. Het beveiligen van systemen zie ik ook niet als een keuze. We zijn aan onze organisatie en aan de BV Nederland verplicht om onze digitale omgevingen veilig te houden. We doen in Nederland al veel op het gebied van cybersecurity en de mindset is goed. Nu is het zaak om de leidersrol op ons te nemen door gezamenlijk te investeren in innovatie en het delen van informatie rond cybersecurity. Op die manier wordt iedereen er sterker van.’

Reageer op dit artikel