‘Procesbedrijven onderschatten dreiging cyberspionage’

Columns | 1310 keer bekeken
‘Procesbedrijven onderschatten dreiging cyberspionage’

Onder de oppervlakte van de samenleving, daar waar de voertaal uit enen en nullen bestaat, woedt een fel conflict tussen meerdere partijen. Inzet: kennis en informatie. Een deel van het strijdperk strekt zich uit over de ICT-systemen van de procesindustrie. 

Enkele vragen aan Marcel Jutte, managing director van het Cyber Security Solution Provider Hudson Cybertec, over de digitale dreiging waaraan procesbedrijven blootstaan.

Wat maakt dat procesbedrijven een interessant doelwit zijn voor cybercriminelen?

“Vooropgesteld: er zijn meerdere groepen cybercriminelen actief, elk opererend uit een ander belang. Voor een terroristische organisatie kan een procesbedrijf in de chemie-, olie- en gassector interessant zijn voor het manipuleren voor de procescontrollers om zo – ik zeg maar wat - een soort bom te maken en de Botlek plat te leggen. Wat ook bestaat, is hacktivisme, de term voor milieuorganisaties die hacks zetten bij bedrijven waarin ze zich niet kunnen vinden. Maar denk ook aan buitenlandse mogendheden, die uit economische en strategische overwegingen geïnteresseerd zijn in bijvoorbeeld productiedata of recepturen. Genoeg smaken dus.”

Met buitenlandse mogendheden doelt u op andere landen die hier via internet inbreken?

“Inderdaad, nation states. Nationale overheden die hackers sponsoren om informatie te achterhalen of zelfs een cyberleger op de been hebben. Zoiets gebeurt niet alleen in China, elk land doet dit. Ja, ook Nederland.”

Is er in al dat cybergeweld een trend te ontwaren?

“Dat de intensiteit van cybercrime ontzettend toeneemt. Wat nu hot is, is economische cyberspionage. Ook de AIVD bevestigt dat deze vorm van criminaliteit weer steeds vaker voorkomt. Het fenomeen speelt zich wereldwijd af en beperkt zich niet tot alleen Nederland. Wie dat doen en waarom? Dat kunnen concurrenten zijn die jacht maken op een of ander productontwerp of een engineeringplan. En ook hierin zijn nations states actief. Als we het over cybercrime hebben, moeten we af van het beeld van de nerd op een zolderkamer. Achter deze activiteiten gaan professionele organisaties schuil, en die activiteiten vinden structureel plaats. Daar zijn tal van voorbeelden van te noemen.”

hudson.jpg

Noemt u eens een voorbeeld.

“Laat ik het zo zeggen: alle olie- en gasbedrijven zijn wel een keer gehackt. U vroeg waarom ze een doelwit kunnen zijn: wat dacht u van de rapporten over de mogelijke boorvelden? Alleen al omdat aan die rapporten gigantische investeringen vooraf zijn gegaan, zijn de plannen voor bepaalde partijen heel interessant.”

Wat is hier het grootste probleem?

“Dat zowel overheden als bedrijven cyberspionage nog steeds zwaar onderschatten. Maar eigenlijk vooral bedrijven. Veel bedrijven, ook procesbedrijven, gaan hier veel te laks mee om. Ze denken dat het sciencefiction is, dat het alleen in films als Mission: Impossible voorkomt. Maar het is de realiteit van nu. Kijk maar naar aanvallen die de afgelopen jaren zijn uitgevoerd met onder andere complexe malware als Dragonfly, Shamoon, Flame of Regin.”

En waar ligt de oplossing?

“Er is eerst bewustwording nodig. Tegelijk ontbreekt de nodige kennis. Bij veel bedrijven, tot aan de CEO’s toe, denken ze: we hebben een IT–afdeling en een firewall, dus zal alles wel oké zijn. Maar dat is een misverstand omdat je bij het beveiligen van een procesbedrijf niet alleen praat over IT, over informatietechnologie, maar ook over OT, ofwel operationele technologie. Dat vereist een totaal andere aanpak. Het grote verschil tussen IT en OT zie je bijvoorbeeld in een raffinaderij die 24/7 draait. Daarvan kun je het operationele proces niet even stilleggen om te patchen. Dat gegeven vereist een andere manier van inrichten van de cybersecurity.

Nog een verschil tussen IT en OT zit ‘m in de doorlooptijd. In de IT veranderen systemen om de drie, vier jaar, terwijl de PLC- en SCADA-omgevingen – die weer onderdeel uitmaken van de OT - soms wel twintig tot dertig jaar draait. Dergelijke systemen zijn vaak in een tijd ontworpen dat de dreiging veel minder was. Er is zoveel veranderd, inclusief de toenemende risico’s. Het is dus essentieel de systemen binnen de OT goed te beveiligen, want het draait hier wel om je primaire processen.”

hudson1.jpg

Hudson Cybertec is actief voor klanten in de chemie- en procesindustrie. Hoe ontstaat zo’n relatie?

“Het begint ermee dat een bedrijf zich realiseert dat het risico loopt, dat er bewustwording komt. De volgende stap is het uitvoeren van een assessment, om erachter te komen hoe het met de cybersecurity staat. Zo’n nulmeting doen wij en bestaat uit het uitvoeren van onderzoeken, site visits en houden van gesprekken. Die gesprekken voeren we niet alleen met de CEO, maar ook met de man aan de poort en de receptioniste. Want als zij iedereen maar doorlaten en elke usb-stick in ontvangst nemen, dan gaat het ook niet goed. Minstens zo belangrijk zijn ook de procesvoerders en operators, want zij staan midden in het proces. Al deze personen maken deel uit van de organisatie en er hoeft maar één zwakke schakel tussen te zitten om het slachtoffer te worden van een cybersecurity-incident. Behalve naar de factor mens, kijken we ook naar de twee andere security-pijlers: organisatie (wat is het beleid, hoe wordt met risico’s omgegaan?) en techniek (hoe is het gesteld met de technische systemen en de beveiliging daarvan?). Waarmee ik bedoel dat je wel dure firewalls kunt installeren, maar als werknemers altijd maar dezelfde wachtwoorden gebruiken, zal zo’n firewall op enig moment niet veel helpen. Andersom kan ook. Je kunt wel alert personeel hebben, maar als je detectiesystemen niet up-to-date zijn, is de procesomgeving nog steeds niet beveiligd. Ook hier geldt weer het zwakste-schakelprincipe. Uiteindelijk resulteert dat in een rapport waarin vermeld adviezen, plannen en maatregelen om alle risico’s te minimaliseren.”

Wat leert een gemiddelde assessment bij een procesbedrijf?

“Dat het op IT-vlak vaak nog wel op orde is; geen programma’s downloaden, geen usb-sticks in de systemen brengen om een spelletje te spelen, oppassen met inloggen op openbare netwerken... Algemeen bekend, mag ik hopen. Maar het beveiligingsniveau van de OT daarentegen laat vaak te wensen over. Het blijkt dat veel bedrijven daar geen beleid voor hebben geformuleerd, een handleiding over hoe om te gaan met de cybersecurity van de OT.”

Zo’n assessment klinkt ingrijpend.

“Dat valt mee. Maar de uitkomst kan ingrijpend zijn omdat er soms een complete security-implementatie, detectie- en/of monitoringsystemen nodig zijn of opleidingsplannen voor het personeel. Toch zijn die assessments erg populair omdat het een ideale startpunt is voor bedrijven. Zij weten dan hoe het ervoor staat en waar men dient te beginnen met het verbeteren van de cybersecurity.”

Komt het vaak voor dat bedrijven slachtoffer zijn zonder het zelf te weten?

“Dat komt wel voor, hoewel het niet altijd aantoonbaar is. Dat kan op allerlei vlakken zijn. Soms hebben bedrijven geen exit-policy. Personeel dat ontslagen is, kan gewoon nog inloggen en heeft alle rechten nog. Of een externe system integrator, die tijdens onderhoudswerkzaamheden zijn niet virusvrije laptop gewoon in het systeem kan hangen. We maken niet zelden mee dat complete engineering workstations gewoon open en bloot in het netwerk liggen. Dat wordt vaak gezien als ‘lekker makkelijk’ voor de engineer die dan direct van internet de laatste tools kan downloaden. Het heeft allemaal te maken met procedures, dus met de pijler organisatie. En als bedrijven niet monitoren wat er gebeurt binnen de proces-automatiseringsomgeving, en de cybersecurity op een goede manier managen, kunnen de aanvallers ook lange tijd onopgemerkt hun gang gaan.”

Hoe groot schat u de awareness in van procesbedrijven voor cybercrime?

“Het wisselt. Olie- en gasbedrijven maken onderdeel uit van de vitale infrastructuur – waartoe bijvoorbeeld ook de drinkwatervoorziening en het betalingsverkeer behoren - dus daar zijn ze al een beetje op dreef. Wat niet betekent dat deze bedrijven altijd een voldoende scoren. Maar in veel andere sectoren zoals bijvoorbeeld de voedingsmiddelenindustrie en op- en overslag is het vaak nog zwaar onvoldoende. Veel bedrijven zien cybersecurity als een kostenpost, wat natuurlijk gek is, want we investeren toch ook in safety? De lijn tussen security en safety is dun. Vergeet niet dat als security een safety-issue wordt, je een groot probleem hebt. Als hackers je procesomgeving platgooien, loop je niet alleen productieschade, maar mogelijk ook imago- of milieuschade op. Er kunnen dan zelfs doden vallen.”

Welk boodschap heeft u voor de procesindustrie?

“Zorg ervoor dat de cybersecurity op de agenda komt van het safetybeleid. Werk aan de awareness binnen de organisatie. Weet waar je staat als organisatie door het laten uitvoeren van een assessment. Het is essentieel om cybersecurity te managen en dit te verankeren binnen de organisatie. Gebruik hiervoor bewezen standaarden die speciaal zijn ontwikkeld voor cybersecurity van de OT, zoals de ISA/IEC 62443.”


Hudson Cybertec

Hudson Cybertec, is een mondiaal opererende security Solution Provider, met volledige focus op Cyber Security in de Operational Technology (OT). Het bedrijf levert gespecialiseerde security en industriële netwerkkennis aan bedrijven in het industriesegment én aan bedrijven waar de technische installaties essentieel zijn voor de bedrijfsvoering. Als ISA/IEC 62443 Subject Matter Expert (SME) heeft Hudson Cybertec het volledige Cyber Security certificaat programma in haar training-portfolio namens de International Society of Automation (ISA). Hudson Cybertec is vooral actief in de domeinen behorend tot de Vitale Infrastructuur.

hudson12.jpg

www.hudsoncybertec.com

Aanmelden nieuwsbrief

Op de hoogte blijven van het laatste nieuws, producten en aanbiedingen? Schrijf je in voor de nieuwsbrief

Deel dit artikel

Reacties (0)

Reageren