OT vaak niet of nauwelijks beschermd tegen cyberaanvallen
Een fabriek die stilligt, kost al snel miljoenen per uur. Toch draaien veel machines (operational technology of OT) onbeschermd op verouderde systemen. Een groot probleem, vertelt Tim de Groot van Kaspersky, zeker nu veel van die machines verbonden zijn met het internet. “Als we bij een klant een eerste scan doen, dan zien we vaak dat hackers al binnen zijn, alleen nog niet in actie zijn gekomen.” Maar dat is natuurlijk alleen maar een kwestie van tijd.
Een fabriek die stilligt, kost al snel miljoenen per uur. Toch draaien veel machines (operational technology of OT) onbeschermd op verouderde systemen. Een groot probleem, vertelt Tim de Groot van Kaspersky, zeker nu veel van die machines verbonden zijn met het internet. “Als we bij een klant een eerste scan doen, dan zien we vaak dat hackers al binnen zijn, alleen nog niet in actie zijn gekomen.” Maar dat is natuurlijk alleen maar een kwestie van tijd.
“Eén van de eerste grote aanvallen op de industrie is de aanval geweest in Iran op een kerncentrale. Met malware genaamd stuxnet werd het nucleaire programma met opzet stilgelegd. Het werd geen ramp zoals Tsjernobyl, maar het was wel één van de eerste grote aanvallen op een industriële omgeving. En dat is inmiddels zo’n tien jaar geleden.” Aan het woord is Tim de Groot, General Manager UKI, Benelux en Nordics bij Kaspersky.
Een hele andere industriële wereld
Tien jaar geleden zag de wereld er alleen heel anders uit dan nu. Veel van de industrie was nog niet verbonden met het internet. De machines en apparaten draaiden op zichzelf en om deze besmetting in Iran te realiseren, is iemand fysiek binnengedrongen om een USB met malware te koppelen. “Dankzij COVID is een hele andere industriële wereld gecreëerd, want ook machines en apparatuur moest ineens van buitenaf gemanaged kunnen worden.”
Hoewel al tien jaar geleden de eerste grote aanval is geweest en nu steeds meer industrie verbonden is aan het internet, kan de beveiliging van machines en apparaten nog verbeterd worden, aldus De Groot. “Er is tot nu toe weinig tot geen aandacht voor het beschermen van operational technology (OT). Het begint nu eindelijk een beetje te komen, maar de meeste prospects waar wij komen hebben nog niets geregeld.”
Een fabriek die stilligt kost miljoenen
Als ze al aan cybersecurity hebben gedacht, dan gaat het over het beschermen van het computernetwerk en de medewerkers. “Eerlijk? Als ik een dag niet kan mailen, dan is dat heel jammer en dan kost dat mijn tijd. Maar als een fabriek een uur stilligt en een machine kost tien miljoen om draaiende te houden, dan loopt dat zwaar in de papieren. Maar die bewustwording begint wel te komen.”
De reden waarom de bewustwording ook groeit, is de missie van Kaspersky om dit onderwerp bij de hele industrie onder de aandacht te brengen. “Als we dan bij een klant op bezoek gaan en we doorzoeken het netwerk, dan zien we vaak dat hackers al binnen zijn door bestanden of verkeer dat daar niet hoort te zijn. Het geluk is dat hackers tot nu toe vaak niet weten wat ze precies moeten doen om schade te berokkenen.”
Hackers zijn vaak al binnen
Dat hackers nog niet weten wat ze kunnen op het netwerk van zo’n fabriek heeft deels te maken met de specifieke systemen waarop de machines draaien, zoals PLC van Siemens. Ook weten hackers soms niet hoeveel het oplevert om een machine stil te leggen: “Maar ik zie daar echt een trend in. Die hackers zitten al in het netwerk, dus het is een kwestie van tijd dat ze weten hoeveel het kost voor een bedrijf als de productieband stilligt en ze daarop acteren.”
Het is niet nieuw voor Kaspersky om klanten die zich veilig wanen te vertellen over de risico’s die ze lopen. “Jaren geleden zijn we begonnen om consumenten te vertellen over anti-virus. Ook toen kregen we het antwoord: ‘Ik zie nooit een virus. Ik ben nooit platgelegd, dus waarom zou ik ervoor betalen? Tegenwoordig is het beschermen van je computer de normaalste zaak van de wereld, want je wilt je bankgegevens beschermen en je foto’s niet kwijtraken.”
Kritieke infrastructuur al wel goed beschermd
Het is ook niet zo dat niemand in de industrie hun machines en apparaten beschermd. “Zeker de organisaties die de kritieke infrastructuur in Nederland leveren, zijn daar allang mee bezig. Maar alles daaronder, MKB en grote organisaties, zoals meubelbedrijven, textielproductie, de voedselindustrie: daar is het minder goed geregeld. Daarom wordt vanuit de overheid, bijvoorbeeld, steeds meer aandacht gegeven aan OT-beveiliging.”
Natuurlijk heeft Kaspersky ook een industrial cybersecurity oplossing ontwikkeld om de Nederlandse industrie te helpen om weerbaarder te worden tegen cyberaanvallen, vertelt De Groot. “Er zijn meerdere spelers die zo’n oplossing bieden, maar uniek aan die van ons is dat de bescherming van je kantoor en je fabrieken in één console samenkomen. De oplossing bestaat uit twee delen: één die netwerken scant en één die endpoints beveiligd.”
Machines die draaien op Windows XP
Het beveiligen van de industrie is ook hard nodig, omdat veel machines draaien op verouderde besturingssystemen die door de leverancier niet meer gepatcht wordt. “Veel machines draaien op Windows XP, dat niet meer wordt ondersteund, maar wij zorgen ervoor dat die machines alsnog veilig kunnen draaien. Waarbij we ook kijken naar de bandbreedte van wat de machine mag doen en zorgen dat de machine binnen die marge blijft.”
Om industriebedrijven bewust te maken van de risico’s die ze lopen, vertelt Kaspersky er niet alleen over. Ze laten het ook zien. “Wat we vaak doen, samen met partners, is een simulatie, oftewel een KIPS (Kaspersky Interactive Protection Simulation). Het is een interactief spel waarin verschillende groepen mensen meedoen. We simuleren een aanval om vervolgens te bepalen: wat moeten we doen en welke systemen vallen uit? Maar ook: welke investeringen moeten we doen om veilig te blijven?”
Waarom investeren als je geen problemen hebt?
Overigens is niet alleen de IT- en OT-afdeling bij deze simulatie betrokken, vaak doen de HR- en financiële afdeling ook mee. “Zij hebben een heel ander beeld waarop je je moet focussen. Bij de financiële afdeling denken ze misschien: waarom moeten we een miljoen uitgeven als we geen problemen hebben? Maar HR kan denken: we moeten steeds meer mensen aannemen om alles draaiend te houden.”
Omdat iedereen zijn eigen beweegredenen en overwegingen heeft om wel of niet te investeren in cybersecurity, is het uiteindelijk belangrijk dat het gedreven wordt vanuit C-level. Daarom trekt Kaspersky op met resellers en partners die de klant vaak beter kennen en niet alleen het onderdeel dat gaat over security. “Die partners bieden een totaaloplossing in die niche en daarmee lossen ze meer problemen op dan alleen security.”
Meer managed services
Ook in de manier waarop oplossingen worden aangeboden aan klanten zit overigens een verschuiving. “Onze resellers verkochten traditioneel jaarlicenties, maar verschuiven nu meer naar een managed services model. Daardoor hebben ze een veel korter lijntje naar hun eindklant, omdat partners continu monitoren hoe het loopt bij de klant. Ze kunnen dan veel meer toegevoegde waarde bieden en zo een langetermijnrelatie opbouwen.”
Auteur: Anne van den Berg