De grootste cyberrisico's voor producenten en hoe ermee om te gaan
Fabrieken en processen worden steeds meer geautomatiseerd, waardoor producenten steeds meer worden blootgesteld aan cyberrisico's. Technologie wordt steeds toegankelijker en automatisering heeft een positieve invloed op de omzet want productiekosten worden gedrukt en de productiviteit verhoogt. Daarom bouwen meer en meer bedrijven slimme fabrieken. Maar de overstap naar de cloud geeft kwaadaardige spelers meer terrein om aan te vallen. Daarbij dreigen ze elke machine die de groei van het bedrijf bevordert tegen het bedrijf te gebruiken.
Het Cybersecurity and Infrastructure Security Agency (CISA) stelt de bescherming van de kritieke productiesector voorop. Dat zijn bedrijven die producten produceren die essentieel zijn voor de infrastructuur van een land. Uit een recent onderzoek van de Amerikaanse kredietbeoordelaar Moody's Investor Servicers blijkt dat die bedrijven een groot risico lopen. Onder die bedrijven zijn er ook producenten van elektriciteit, gas en water, telecommunicatie, chemicaliën en energie.
De laatste jaren worden industriële besturingssystemen zelfs steeds meer gehackt en het ziet er niet naar uit dat die trend zal vertragen. Hackers viseren producenten omdat ze vaak het losgeld betalen en onvoldoende beveiligd zijn. Bedrijven in de sector denken vaak dat ze niet waardevol genoeg zijn om aangevallen te worden. Maar dat is helemaal niet meer het geval.
Hoe hackers de sleutels tot een bedrijf bemachtigen
Één productiefabriek kan al honderden toestellen in een netwerk hebben, vaak zonder de nodige beveiligingsmaatregelen te treffen. Cybercriminelen profiteren van het feit dat de managers niet elk toestel kunnen monitoren en kunnen zo onopgemerkt veel schade aanrichten. Hackers kunnen bijvoorbeeld toestellen compromitteren of infecteren om ze te gebruiken bij een grotere aanval. Dat kan soms dagen of zelfs weken onopgemerkt blijven.
Als cybercriminelen de controle krijgen over een heleboel individuele toestellen kunnen ze die gebruiken in een botnet, een computernetwerk dat schadelijke code uitvoert. Dat wordt vaak gedaan in Distributed Denial-of-Service-aanvallen (DDoS) en phishing-aanvallen. In de meeste gevallen zijn mensen de grootste zwaktepunten, vooral werknemers die schadelijke e-mails openen en zo gevoelige bedrijfsgegevens vrijgeven. Hieronder enkele voorbeelden:
- De retail-gigant Target werd slachtoffer van kwaadaardige spelers die toegang kregen tot de klantendatabase via een phishingmail die gestuurd was naar een externe leverancier. De HVAC-leverancier Fazio Mechanical Services had toegang tot het netwerk van Target voor de facturatie en de uitvoering van contracten. Via de malware stalen de criminelen de gegevens van de werknemers en kregen ze toegang tot het netwerk. Zo konden ze malware op de computers installeren. In enkele dagen werden 40 miljoen krediet- en debetrapporten en 70 miljoen klantenbestanden gestolen. Dat lek kostte Target 18,5 miljoen dollar aan boetes.
- Ransomware is ook lucratief en is nog steeds de grootste bedreiging voor grote en middelgrote bedrijven. De gevolgen kunnen desastreus zijn voor bedrijven en zelfs voor de hele economie. Colonial Pipeline betaalde hackers 4,4 miljoen dollar aan losgeld om hun bedrijfsactiviteiten verder te kunnen zetten. Door de aanval konden miljoenen vaten benzine, diesel en vliegtuigbrandstof niet gevuld worden. Colonial beheert de grootste pijpleiding van de Verenigde Staten. Een woordvoerder van het bedrijf gaf in interviews toe dat de economische impact van de stillegging veel groter was dan die van de betaling van het losgeld.
- Veel hackers gebruiken social engineering om waardevolle informatie te bemachtigen. Social engineers viseren geen technologie om handige informatie te vergaren, maar mensen. De term social engineering verwijst naar een brede waaier van manipulatietactieken. Criminelen doen zich vaak voor als vertegenwoordigers van bestaande organisaties om zo mensen te manipuleren en informatie zoals wachtwoorden of persoonlijke gegevens los te krijgen.
- Sabotage-aanvallen kunnen intern gebeuren door een ontevreden werknemer of door een concurrent. Dankzij operationele technologie (OT) kunnen hackers machines gebruiken als toegangspunten tot een beveiligd netwerk. Eenmaal binnen kunnen ze die machines stilleggen of beschadigen en zo de bedrijfsactiviteiten verstoren.
- Net zoals een sabotage-aanval kan een DDoS-aanval machines of een netwerk stilleggen en ontoegankelijk maken voor een bedrijf. In een DDoS-aanval wordt het doel overbelast of wordt er informatie naartoe gestuurd waardoor het crasht. Eind 2016 vonden er verschillende, krachtige DDoS-aanvallen plaats die later getraceerd werden naar de malware-variant Mirai. Google beweerde vorig jaar dat het de grootste DDoS-aanval tot op heden had afgeweerd. De aanval zou zo'n 46 miljoen verzoeken per seconde (RPS) hebben bereikt. Op amper tien seconden zijn dat volgens Google evenveel verzoeken als het aantal dat Wikipedia op een dag moet verwerken. De laatste tijd zijn dit soort aanvallen complexer en frequenter geworden. Daarom is het noodzakelijk dat bedrijven de juiste tools hebben om snel het verkeer te detecteren en te analyseren.
Preventief Ransomware- en DDoS-aanvallen en aanvallen van binnenuit afweren
Organisaties moeten zich meer bewust worden van hun beveiligingspostuur en in cyberbeveiliging investeren. Zo kunnen ze aanvallen afweren. Experten in de cyberoorlog raden hun klanten aan om hun werknemers bewuster te maken via opleidingen. Ze stellen de volgende oefeningen en tests voor:
- Red team-oefeningen
- Phishing- en e-mailoefeningen
- Aanvalssimulaties
- Voortdurende tests van back-up- en beveiligingssystemen
Werkgevers zien in dat ze soms niet over voldoende middelen beschikken voor opleidingen en beveiliging en besteden het daarom uit. Uit onderzoek van Canalys blijkt dat outsourcing, consultancy en managed services steeds populairder zullen worden en dit jaar al bijna 65% van de globale cyberbeveiligingsmarkt zullen uitmaken. Managed Service Providers (MSP's) en Managed Security Service Providers (MSSP's) bieden ontwerpen, implementaties en ondersteuning op lange termijn aan. MSP's zijn vaak flexibel waardoor klanten vrij kunnen bepalen hoeveel ondersteuning ze willen. Dat kan dan eenmalige zijn of een langdurige overeenkomst.
Acronis biedt uitgebreide cyberrisicoanalyses aan. Omdat producenten steeds vaker een beroep doen op MSP's om hun gegevens te beveiligen, compliant te blijven en productiever te worden, onderhouden we ook een uitgebreid informatiebeveiligings- en complianceprogramma. MSP's en bedrijven kunnen bij Acronis terecht voor beveiliging tegen ransomware, herstel van IT-rampen, voortdurende gegevensbeveiliging en nog veel meer.
Candid Wuest, Acronis VP of Research