Operational Technology is een blinde vlek in cybersecurity

Het aantal cyberaanvallen is de afgelopen 5 tot 10 jaar wereldwijd toegenomen. Dit heeft veel bedrijven gemotiveerd om hun IT-beveiliging op te schroeven en te professionaliseren. Hierdoor is er gelijk aandacht besteed aan de procedures, de noodplannen, back-up- en hersteloplossingen, perimeterbeveiliging, endpointbeveiliging en encryptie.

Ondanks dat cybersecurity nu een essentieel onderdeel is binnen bedrijven, wordt de beveiliging van Operational Technology (OT) nog te vaak vergeten. Dit terwijl in dezelfde periode bedrijven miljoenen productiesystemen en machines, sensoren, regelsystemen, thermostaten en vele andere apparaten op het internet hebben aangesloten als onderdeel van de modernisering en digitalisering. Deze ontwikkeling, die we Industrial Internet of Things (IIoT) noemen, zal de komende jaren versnellen. Maar aangezien veel Industrial Control Systems (ICS) en productiebeheersystemen dertig tot veertig jaar geleden zijn ontwikkeld – nog voordat de eerste antivirusprogramma’s beschikbaar waren – staan veel industriële bedrijven voor een grote uitdaging.

Gebrek aan toezicht betekent een groter risico

Het is opmerkelijk dat er tot een paar jaar geleden niet dezelfde aandacht was voor OT-beveiliging als voor IT-beveiliging. OT-omgevingen omvatten immers vaak duizenden apparaten, die allemaal potentiële ingangen naar het netwerk kunnen zijn. Ingangen die lang niet zo goed beschermd zijn als bijvoorbeeld cloudoplossingen, servers, pc’s en de vele andere endpoint apparaten.

De toename van het aantal IIoT-apparaten heeft het aantal aanvalsmogelijkheden bij bedrijven aanzienlijk vergroot en bij de bedreigingen gaat het niet langer alleen om versleutelde bestanden en financiële afpersing. Waarvan we in 2021 wereldwijd een stijging van ruim negentig procent hebben gezien. Aanvallen kunnen fatale gevolgen hebben voor de samenleving als cybercriminelen toegang krijgen tot de controlesystemen van bijvoorbeeld elektriciteitscentrales en andere nutsbedrijven waar grote delen van de samenleving afhankelijk van zijn.

Daarom is het belangrijk dat bedrijven een overzicht hebben van alle apparaten in hun netwerken, wat we ook wel Asset Visibility noemen. Cybercriminelen hebben slechts één ongezien en onbeveiligd apparaat nodig om het netwerk binnen te dringen en veel schade aan te richten.

Een kwestie van verantwoordelijkheid

Wij zien helaas dat verschillende bedrijven die geld en resources toekennen aan klassieke cybersecurity zonder focus op de bescherming van OT-omgevingen. In feite zie ik vaak dat de bevoegdheden, verantwoordelijkheden en budgetten van de IT-manager beperkt blijven tot de klassieke IT. Als het gaat om het beveiligen van de productieomgeving ligt de verantwoordelijkheid meestal bij de productiemanager, die zich vanuit historisch perspectief nooit zorgen hoefde te maken over cyberdreigingen, maar zijn aandacht richt op productiesystemen die 24 uur per dag moeten draaien.

Het probleem is dat bedrijven achterlopen bij het implementeren van technologische oplossingen voor het beveiligen en bewaken van hun apparaten in de productieomgeving. Tijdens mijn bezoeken en ontmoetingen met bedrijven die een grote invloed hebben op de Europese voorzieningen en kritieke infrastructuur, blijkt dat bedrijven hun IT-systemen over het algemeen beveiligen met de meest geavanceerde IT-beveiligingsoplossingen die beschikbaar zijn in de markt, maar schiet zoals gezegd in de beveiliging van hun Operational Technology (OT) tekort.

De meeste bedrijven zijn zich bewust van het probleem, maar beschikken niet over voldoende kennis en stellen niet de nodige middelen beschikbaar om hun Industrial Control Systems (ICS) te beheren en te beschermen.

Tijd voor actie!

Als we in Nederland het risico van aanvallen op bedrijven – zeker die verantwoordelijk zijn voor kritieke infrastructuur – willen verkleinen, dan moeten we onze aandacht richten op OT-beveiliging. De snelle uitbreiding van zowel IT en OT en de convergentie van deze netwerken voor het uitwisselen van data zorgt voor meer aanvalsmogelijkheden voor cybercriminelen. Ongeacht of de verantwoordelijkheid nu bij de IT-manager of productiemanager ligt, bedrijven zullen een manier moeten vinden om adequaat om te gaan met het toenemende dreigingsniveau voor miljoenen IoT-apparaten.

Over de auteur: Mirko Bülles is Director Technical Account Management EMEA/APAC bij Armis.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op sociale media: LinkedIn, Twitter en Facebook.