Beheer

Infrastructuur
hacked

Falende industriële IT-beveiliging kost bedrijven half miljoen per jaar

1 op 2 Industrial Control Systems wereldwijd werd vorig jaar gecompromitteerd

© CC0, pixabay,  Gerald
8 juni 2017

1 op 2 Industrial Control Systems wereldwijd werd vorig jaar gecompromitteerd

Geautomatiseerde industriële ondernemingen lijden jaarlijks gemiddeld 497 duizend US-dollar schade door beveiligingsincidenten. De drie belangrijkste schadeposten bij incidenten zijn kwaliteitsschade aan producten en diensten, verlies van vertrouwelijke informatie en vermindering of verlies van productie. 

Hoewel de meerderheid van de organisaties die gebruik maken van twee Industrial Control Systems (ICS) meent goed te zijn voorbereid op cyberbeveiligingsincidenten, is dit vertrouwen mogelijk niet gegrond. Mitigatie van een gemiddeld incident kost zo'n industriële organisaties 255.000 dollar kost. Doordat het vaak niet bij een incident blijft komen de gemiddelde kosten door beveiligingsincidenten bij deze bedrijven uit op 497 duizend US-dollar per jaar. Dat becijferde IT-beveiliger Kaspersky-lab.

Industrie 4.0

De opkomende Industrie 4.0-trend maakt cyberbeveiliging wereldwijd een topprioriteit, stelt Kaspersky vast. Het gaat daarbij onder meer om convergentie van IT en operationele technologie (OT) en om het borgen van de beschikbaarheid van industriële controlenetwerken. Om meer inzicht te krijgen in de problemen en kansen waar ICS-organisaties mee worden geconfronteerd, voerde Kaspersky Lab samen met Business Advantage tussen februari en april van dit jaar een wereldwijd onderzoek uit. Daarvoor werden 359 professionals binnen de industriële cyberbeveiliging bevraagd over hun ervaringen.

Een van de belangrijkste bevindingen die daaruit naar voren kwam, is het bestaan van een kloof tussen de perceptie en de realiteit van ICS-incidenten. Zo meent 83% van de respondenten goed te zijn voorbereid zijn op een OT/ICS cyberbeveiligingsincident, terwijl de helft van de ondervraagden in de afgelopen 12 maanden te maken had met één tot vijf IT-beveiligingsincidenten, en 4% zelfs zes of meer.

Bescherming nog zeer basaal

De ICS-bedrijven zijn zich volgens Kaspersky terdege bewust van de cyberrisico's: 74% van de respondenten is van mening dat er een online aanval kan plaatsvinden op hun infrastructuur. Ondanks dit bewustzijn van nieuwe dreigingen zoals gerichte aanvallen en ransomware, is conventionele malware nog steeds het grootste knelpunt voor de meeste ICS-organisaties. Het voert de lijst van zorgen over incidenten aan: 56% van de respondenten beschouwt het als de meest zorgwekkende vector. In dit geval voldoet de perceptie aan de realiteit: een op de twee respondenten moest vorig jaar de gevolgen tegengaan van conventionele malware.

Bij veel ICS-bedrijven zijn de IT-beveiligingsvoorzieningen nog zeer basaal. Het meest voorkemend zijn bijvoorbeeld antimalware-oplossingen, network monitoring en toegangscontrole op devices. Maar meer dan de helft van de ondervraagden (54%) heeft scanning op kwetsbaarheiden of patch-management nog niet eens overwogen. Van de bedrijven die aan patch-management zeggen te doen blijkt 41% daarbij een frequentie van eens per maand of minder aan te houden; een riskante zaak, zo laat de WannaCry-casus zien. 

Kennis ontbreekt

86% van de onderzochte organisaties heeft een goedgekeurd en gedocumenteerd ICS-cyberbeveiligingsbeleid om hen te beschermen tegen potentiële incidenten. Maar de incidenten laten zien dat dat op zich niet voldoende is. Worstelend met gebrek aan expertise erkennen industriële organisaties tegenover de onderzoekers dat gebrek aan vaardigheden het belangrijkste punt van zorg is met betrekking tot ICS-beveiliging. Zo verklaarde een ICS-professional van een productiefaciliteit in Duitsland: “Interne dreigingen zijn gevaarlijker. We zijn goed beschermd tegen externe dreigingen, maar wat er intern plaatsvindt, volgt een directe route, zonder een firewall ertussen. De dreiging komt voor medewerkers uit een onbekende hoek.”

Niet alleenmaar ellende

Pluspunten die uit het onderzoek naar voren komen, zijn dat de een grote groep respondenten aangeeft de komende 12 maanden instrumenten voor industriële anomaliedetectie-instrumenten (42%) te implementeren en cursussen beveiligingsbewustzijns voor medewerkers te organiseren. Vooral de industriële anomaliedetectie is relevant, meent Kaspersky, omdat een op de twee ondervraagde ICS-bedrijven externe aanbieders toegang geeft tot industriële controlenetwerken.

 

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.