4 mythes over security in de industrie
Hoewel aanvallen in de industrie zeldzaam zijn, leggen ze ernstige tekortkomingen van IT-beveiliging bloot. In juni 2010 werd Stuxnet ontdekt, een van de meest schadelijke malware. Sindsdien is de manier waarop de wereld kijkt naar de beveiliging van industriële IT-systemen voorgoed veranderd. De spraakmakende cyberaanval saboteerde industriële systemen. Door Stuxnet lekte informatie over het Iraanse kernprogramma met alle gevolgen van dien. Het veroorzaakte ernstige ongevallen en kostte zelfs een leven op de Iraanse kerncentrale.
In de jaren na de eerste Stuxnet- aanval zijn er steeds meer energie- en nutsbedrijven ten prooi gevallen aan cyberaanvallen. Enkele publieke elektriciteitscentrales geven aan dat zij constant worden aangevallen. Toch denkt de meerderheid van bedrijven in de sector veilig te zijn. Hoe staat de industriële sector er werkelijk voor? Tijd voor myth busting!
Hier zijn vier mythes over security in de industrie:
1. Niemand kan bij de controlesystemen
Elektriciteitscentrales worden gekenmerkt door een complex ecosysteem. Van de opwekking tot en met de distributie van energie moeten alle schakels in de keten met elkaar in verbinding staan. Voor de beveiliging van de systemen tegen kwaadwillende buitenstaanders wordt vaak een reeks firewalls ingezet. Echter, bij een goede beveiliging van de omgeving komt meer kijken dan alleen de beveiliging van de connectie met het internet. Verwijderbare media, USB-tokens en zelfs laptops worden gebruikt voor onderhoud van verschillende infrastructuurpunten. Deze tools kunnen ook gebruikt worden om malware en andere gevaren te introduceren. Hackers worden steeds slimmer en firewalls zijn niet toereikend. Myth busted.
2. Niemand wil de industrie aanvallen
Een ding is zeker, het motief van veruit de meeste hackers is het verdienen van geld. Echter, de redenen om te hacken liggen steeds verder uit elkaar. Ook al komt het maar zelden voor dat fysieke schade beoogt wordt met een hack, leven we in een tijd waarin criminelen, boze werknemers, terroristen en zelfs overheden steeds meer interesse tonen in het digitaal aanvallen van kritieke infrastructuren. Aanvallen komen vaker voor. Bovendien neemt de dreiging toe omdat hackers steeds geavanceerder te werk gaan en omdat systemen meer open zijn. Het denkbeeld dat hacks aan de industriële sector voorbij gaan, is dus volledig achterhaald. Myth busted.
3. Netwerken en systemen zijn veilig
Energie- en nutsbedrijven zouden alleen gebruik maken van opzichzelfstaande netwerken en systemen. In het verleden was dit misschien waar, maar vandaag de dag wordt ook in de industrie gebruik gemaakt van gangbare en commerciële technologieën. Van communicatieprotocollen, operating systems zoals Microsoft en Linux tot gemeenschappelijke databases. Energie- en nutsbedrijven hebben zich gericht tot gangbare software en hardware om kostenbesparingen en efficiency te realiseren. Helaas kunnen hackers deze systemen eenvoudig doorgronden, waardoor ze een makkelijker doelwit zijn dan bij proprietary systeem. Myth busted.
4. Encryptie alleen is voldoende
Energie- en nutsbedrijven zetten encryptie in voor beveiliging, integriteit en betrouwbaarheid van data. Met behulp van cryptografische sleutels is het encrypten en decrypten van data mogelijk. Hierdoor wordt het risico verplaatst van de data en systemen naar de sleutels. Het toepassen van deze aanpak, is minstens zo belangrijk als een goed beheer van de sleutels. Het beheer is de kritische succesfactor. Alleen dan kunnen organisaties ervoor zorgen dat de sleutels niet in handen komen van hackers om gevoelige informatie te decoderen of om malware aan te merken als betrouwbaar. Myth busted.
Lang werd gedacht dat de industriële sector weinig last zou hebben van hackers en digitale aanvallen. Niets in minder waar en de sector blijkt nog onvoldoende voorbereid op de gevaren en ontwikkelingen die zich in de markt voordoen. Niemand wil een tweede Stuxnet, dus ook energie- en nutsbedrijven moeten zich bewust zijn van deze vier mythes en inzetten op een goede informatiebeveiliging.
Dirk Geeraerts is identity en data protection expert bij Gemalto.