Cybercriminaliteit maakt een flinke opmars, niet alleen onder IT-bedrijven. Ook de fabrieksindustrie is kwetsbaar. Machines en robots (Operational Technology, oftewel OT) worden namelijk steeds vaker en sterker gekoppeld met elkaar en andere systemen. Dat maakt hen een doelwit voor kwade bedoelingen. Een derde van de fabrieken heeft één keer per jaar te kampen met een cyberaanval. Hoe bescherm je een industrie waarin fysieke veiligheid de prioriteit heeft boven cybersecurity? Dit blog gaat over hoe detectie en respons bedrijfsverlies in deze sector tot een minimum beperken.
De laatste 30 à 40 jaar was veiligheid de hoogste prioriteit van OT, dus het voorkomen van schade aan systemen en mensen: een machine die kapotgaat, of een werknemer die gewond raakt. Dat is echt een andere benadering dan die van de IT, die gericht is op digitale beveiliging of security, dus het voorkomen van bewuste aanvallen op systemen. Fysieke tegenover virtuele kosten. Kosten voor reparaties of recovery, tegenover zakelijk verlies.
Deze benadering is vanuit zakelijk oogpunt begrijpelijk: wanneer ransomware de IT kaapt, kan dat leiden tot het uitvallen van de gehele bedrijfsvoering. In OT kunnen alleen bepaalde elementen geïnfecteerd raken, maar de gehele fabriek wordt niet vernietigd. Daarom waren de cybersecurityrisico’s in OT relatief geïsoleerd in vergelijking tot IT. Maar vanwege de steeds hogere mate van connectiviteit, nemen ook de risico’s toe.
Van gesloten naar geïntegreerde systemen
Er zijn twee redenen waarom de fabrieksindustrie weinig security-incidenten heeft ervaren. Allereerst kenden OT-systemen een hoge mate van isolatie. Omdat ze nauwelijks beveiligd waren, waren ze bewust afgesloten van de buitenwereld. Maar nu vraagt iedereen – van de mensen op het kantoor tot externe leveranciers – om data. Zelfs de kleinste machines hebben een wifiverbinding. Hierdoor kunnen systemen niet langer geïsoleerd blijven, waardoor de kwetsbaarheid van OT toeneemt.
Ook kwamen aanvallen zo weinig voor omdat OT-systemen eenvoudigweg erg onbekend waren. Slechts weinig mensen wisten hoe ze ermee om moesten gaan. Ook dit is veranderd. De kwetsbaarheid van OT is een belangrijk gespreksonderwerp geworden dat regelmatig wordt behandeld tijdens conferenties over security. Mede hierdoor is er veel (publieke) kennis over OT.
Op gebied van security is de houding van IT inmiddels verschoven van perimeterbeveiliging naar assume breach: het ervanuit gaan dat er ergens wel inbreuk is gedaan op je systeem. Hierdoor is ook de focus verschoven van preventie naar preventie plus detectie én respons. Ditzelfde stappenplan gaat weliswaar op voor OT, maar er is één groot verschil: preventie is vaak onmogelijk op de korte termijn, alleen op de lange. OT-systemen zijn zeer gesloten en fragiel, waardoor ze het niet toelaten om aanpassingen te doen om de security te verhogen. Ook dit is het gevolg van de hogere prioritering van betrouwbaarheid en fysieke veiligheid.
Detectie & respons zijn dé beschermingsmethode voor OT
Het zou een decennium duren om OT-systemen – die een lange levensduur hebben – die inmiddels de legacy-status hebben, bij te werken zodat ze geheel voldoen aan de veiligheidsnormen van IT. Daardoor is detectie en respons wel de enige optie. Dan hoef je geen systemen te vervangen, omdat je constant monitort op verdachte activiteit. Dit is een krachtige oplossing, indien goed uitgevoerd. In veel gevallen ontdekken bedrijven echter een inbreuk wanneer het al te laat is: bijvoorbeeld wanneer hun systeem gegijzeld wordt door ransomware. Gemiddeld duurt het tweehonderd dagen om indringers te detecteren nadat ze voor het eerst het systeem zijn binnengedrongen. Maar stel dat het maar een paar minuten kost om zo’n inbreuk op te merken. Dan kun je snel en gericht actie ondernemen en zo je bedrijfsverlies beperken. Dat klinkt simpel, maar er is een complicerende factor: je hebt wel de juiste kennis nodig om mogelijke dreigingen te herkennen en te onderzoeken. Helaas zijn er niet veel experts beschikbaar voor dit werk, dat bovendien duur is.
Daarom kiest 95% van de bedrijven ervoor om detectie en reactie uit te besteden aan een derde partij. Die kan functioneren als een managed Security Operations Center (SOC), wat tot goede resultaten leidt in de IT en ook voor de OT een goede oplossing kan zijn. Het enige dat nodig is. zijn specifieke monitoringstools voor fabriekssystemen en mensen die die specifieke omgevingen goed begrijpen. Bedrijven in de fabrieksindustrie kunnen veel baat hebben bij detectie en reactie, terwijl ze tegelijkertijd bezig zijn met de transitie naar beter beveiligde systemen.
Hoe vind je de juiste veiligheidspartner?
De juiste partner beschikt over de relevante kennis, ervaring en capaciteiten op gebied van OT-monitoring. Dat wil zeggen dat hij/zij niet alleen kan informeren of consulteren over wat er op dat moment aan de hand is, maar je ook daadwerkelijk kan helpen. De daadwerkelijke waarde zit hem immers niet in het monitoren of de tools, maar in de service van experts die eerst de situatie goed analyseren en daarna de klant inlichten.
Vraag jij je af wat voor jouw bedrijf de volgende stap in security zou moeten zijn? Vul dan het contactformulier in en een van Conscia’s securityspecialisten neemt zo snel mogelijk contact met je op!
Deze blog is geschreven door Jan Bervar, Group Security Architect, Conscia.
