Waarom cyber security meer aandacht verdient in Operationele Technologie (OT)

Zegt de Stuxnet malware attack je iets? Deze in 2010 ontdekte computerworm wordt beschouwd als de eerste specifiek op OT gerichte cyber attack. De Stuxnet-worm werd verspreid via USB, en richtte zich op het platleggen van industriële installaties. Het heeft flinke schade toegebracht aan het Iraanse kernprogramma (“een achterstand van enkele jaren”) en talloze centrifuges voor uraniumverrijking vernietigd.  

Onder OT verstaan we de hardware en software die industriële processen uitvoeren, controleren en aansturen. Denk bijvoorbeeld aan de aansturing van een lopende band met pakketjes of een vulmachine voor melkpakken, maar ook het controleren van waterkwaliteit of het aansturen van programma’s rondom bruggen, sluizen en verkeersstromen. Verstoring van deze operationele technologie heeft grote gevolgen voor de organisatie, en kan potentieel ook grote impact op de samenleving hebben. 

Tekst gaat verder na afbeelding

Serieuze risico’s

In IT speelt cyber security een hoofdrol, in OT geldt dat helaas nog onvoldoende. Hoewel de operationele bedrijfsvoering van oudsher veel aandacht heeft voor veiligheid, is cyber security op dit gebied een ondergeschoven kindje. Toen OT en IT nog duidelijk gescheiden werelden waren, was dat logisch en niet direct problematisch.

Nu OT en IT steeds meer verbonden zijn, en OT systemen steeds slimmer worden, ontstaan er nieuwe kwetsbaarheden en serieuze risico’s. Er zijn legio voorbeelden:

• Tientallen Britse ziekenhuizen offline
  Herinner je je de wereldwijde WannaCry ransomware attacks in mei 2017? Meer dan 230.000 computers in 150 landen raakten besmet en onbruikbaar via deze aanval door Noord-Korea. Onder andere de Britse Nationale Gezondheidsdienst (NHS) werd zwaar getroffen: zo’n 70.000 devices, waaronder computers, MRI-scanners, koelkasten voor bloedopslag en medische andere apparatuur raakten geïnfecteerd en werden daarmee onbruikbaar. Ook patiëntgegevens en andere medische data werd versleuteld. Tientallen ziekenhuizen kwamen piepend en krakend tot stilstand. NHS was vatbaar voor deze aanval omdat een eerdere kritieke security patch in Microsoft XP nog niet doorgevoerd was. De schadepost voor NHS wordt geschat op £92 miljoen aan verstoring van diensten en IT-upgrades.

• Noorse energiegigant moet over op handmatige aansturing
  In 2019 werd het Noorse energie- en aluminiumconcern Norsk Hydro slachtoffer van LockerGoga ransomware. De distributie verliep vermoedelijk via de Active Directory services van het bedrijf zelf en heeft zich verspreid over locaties in vijftig landen. De ransomware blokkeerde bedrijfssystemen, waardoor men overschakelde op handmatige aansturing en workarounds – zonder moderne IT. De productiviteit van afdelingen verantwoordelijk voor productie van componenten voor autoproductie, bouw en andere industrieën zakte tot onder 50%. Het duurde weken voordat de administratieve systemen, voor bijvoorbeeld rapportage en facturatie weer op schema liepen. De schadepost wordt geschat op $70 miljoen aan verloren marges en lage productievolumes.

• Ransomware legt Universiteit Maastricht volledig lam
  Wat dichter bij huis: in december 2019 werd Universiteit Maastricht getroffen door Clop-ransomware. Vrijwel alle Windows-systemen gingen offline. De file- en e-mailservers, printers en VPN-diensten waren weken onbruikbaar. Ook informatiesystemen rondom roosters, studiemateriaal en het studentenportaal lagen plat. Uiteindelijk bleek de cyberaanval slechts twee maanden eerder gestart te zijn middels een phishingmail: een link in de mail leidde naar een Excel-document met daarin een macro, die malware van een externe server ophaalde en installeerde op het werkstation van de gebruiker. De universiteit heeft € 197.000 losgeld betaald in ruil voor een sleutel om de systemen weer toegankelijk te maken.

Deze drie horrorscenario’s voor iedere organisatie laten duidelijk zien dat cyber security ook in OT een belangrijke factor is voor de bedrijfscontinuïteit. Het is belangrijk om je te realiseren dat dit soort aanvallen bij alle soorten bedrijven plaatsvinden:

• Niet enkel bij grote of bekende bedrijven: de grote multinationals zijn logische targets gezien hun schaalgrootte, toch is bijna de helft van alle cyber attacks gericht op het MKB.
• Niet alleen in bepaalde sectoren: het ligt voor de hand dat onder andere bedrijven in de maakindustrie, infrastructuur en energie vanwege hun aard duidelijk kwetsbaar zijn voor cyber attacks op de operationele systemen. Maar vergis je niet, bedrijven en instellingen van alle soorten en maten worden geraakt.
• En het blijft ook niet bij slechts één keer: de kans lijkt misschien klein dat je vaker dan eens geraakt wordt, maar dat is niet het geval. Ongeveer twee van de drie bedrijven die met een cyber attack te maken krijgen, worden binnen 12 maanden nogmaals getroffen.

Wat kun je doen?

De oplossing is even simpel als ingewikkeld. De simpele variant bestaat uit twee stappen, te weten a) risico’s in kaart brengen en b) de geïdentificeerde risico’s vermijden, overdragen, beheersen of accepteren. Zogezegd, zo gedaan.

Zelf kiezen we graag voor een uitgebreide system health check, waarbij we de operationele technologie in korte tijd flink doorlichten: we analyseren de huidige OT-infrastructuur en brengen de kwetsbaarheden in beeld. Daarbij baseren we ons op ISO 27001 (denk aan sterke wachtwoorden, back-upstrategie, herstelstrategie, netwerkbeveiliging, firewalls e.d.).

Hieruit volgt een advies met suggesties voor het wegnemen van de gevonden kwetsbaarheden. Dat kan intern of extern opgepakt worden, afhankelijk van de wensen en mogelijkheden. We werken hierin samen met doorgewinterde OT-experts, die precies weten hoe de praktijk eruitziet. Zij hebben brede ervaring met het snijvlak tussen OT en IT en weten hoe je daar constructief mee omgaat.

Het meer ingewikkelde antwoord op de vraag ‘wat kun je doen?’ draait om een verandering van mindset. OT en IT zijn twee verschillende werelden die wel steeds dichter bij elkaar komen, maar ook een flinke muur om zich heen hebben. Het onderlinge schakelen laat vaak te wensen over. Daarom vinden we het belangrijk om een brug te slaan, bij voorkeur van OT naar IT. Vanuit onze expertise als transitiemanagers weten we als geen ander hoe we de afstand tussen deze werelden kunnen verkleinen en een succesvolle samenwerking realiseren. Ook denken we graag mee over bijvoorbeeld migratie van legacysystemen en EOL hardware, virtualisatieoplossingen en andere OT/IT integratie services.

Benieuwd wat we voor de operationele systemen van jouw organisatie kunnen betekenen? Zou je graag een betere dynamiek tussen OT en IT realiseren, of heb je interesse in de system health check? Neem even contact op met onze collega Gert Veldhuis op (+31) 085 – 487 29 00 of gert.veldhuis@transitionexperts.nl.