De modernisering van digitale systemen heeft de afgelopen tijd geleid tot een explosieve groei van het aantal verbindingen tussen traditionele bedrijfsnetwerken en omgevingen met Operationele Technologie (OT). Dit fenomeen staat bekend als het Industrial Internet of Things (IIoT) en wordt ook wel Industrie 4.0 genoemd.
Deze digitale transformatie belooft organisaties verschillende voordelen te bieden. Door het analyseren van data die is opgehaald uit fysieke apparatuur en IIoT kunnen zij problemen op tijd signaleren en hun operationele efficiëntie een boost geven.
De integratie van IT en OT zet echter de deur open voor nieuwe cyberbedreigingen. Deze kunnen hun weg vinden naar de voorheen hermetisch afgesloten OT-omgevingen. Dit weerhoudt organisaties ervan om optimaal te profiteren van deze integratie. OT-beveiliging wordt dan ook op wereldwijde schaal als belangrijker dan ooit gezien. Zo dringt de Europese Unie aan op de invoering van de Network & Information Security Directive 2 (NIS2). Deze richtlijn heeft ten doel om de netwerk- en informatiebeveiliging van organisaties te verbeteren.
De belangrijkste onderzoeksbevindingen voor 2023
Fortinet bracht met een recent wereldwijd onderzoek het huidige OT- en Cyber Security-landschap in kaart, en het resulterende onderzoeksrapport (2023 State of Operational Technology and Cybersecurity Report), wijst op een bemoedigende ontwikkeling. Het blijkt namelijk dat organisaties met OT-omgevingen hun beveiligingsaanpak aanzienlijk hebben verbeterd. De onderzoeksresultaten wijzen echter op de noodzaak van verdere verbetering. Belangrijke conclusies zijn meer:
Operationele Technologie blijft een belangrijk doelwit voor cybercriminelen
Cybercriminelen blijven OT-omgevingen in hoog tempo met aanvallen bestoken. Het aantal organisaties dat desondanks gevrijwaard bleef van beveiligingsincidenten is fors gestegen (van 6% in 2022 naar 25% in 2023). Desondanks blijkt er volop ruimte voor verbetering. Zo zei driekwart van alle organisaties met OT-omgevingen dat ze vorig jaar met minstens één beveiligingsincident te maken hadden gekregen. Malware (56%) en phishing (49%) blijven het grootste probleem. Bijna een derde van de respondenten werd vorig jaar slachtoffer van een ransomware-aanval (32%, onveranderd ten opzichte van afgelopen jaar).
Security-experts hebben de volwassenheid van hun OT-security overschat
In 2023 beschouwde slechts 13% van de respondenten de OT-security van hun organisatie als “zeer volwassen”. In 2022 was dat nog 21%. Deze daling lijkt te wijzen op een groeiende bewustwording onder OT-professionals en het gebruik van effectievere tools om hun interne beveiligingsmechanismen mee te beoordelen. Bijna een op de drie respondenten (32%) zei bovendien dat cyberaanvallen gevolgen hadden voor zowel hun IT- als OT-systemen. Vorig jaar was dat nog slechts 21%. Dit benadrukt de mogelijkheid dat een cyberaanval die oorspronkelijk op de IT-omgeving is gericht, per ongeluk een bijvangst in de OT-omgeving kan opleveren.
De explosieve groei van verbonden apparaten stelt organisaties voor complexe uitdagingen
Bijna 80% van alle respondenten zei dat hun OT-omgeving meer dan 100 apparaten met IP-adressen bevat. Hieruit blijkt dat security-teams voor forse uitdagingen worden gesteld bij het bieden van bescherming tegen het almaar groeiende bedreigingslandschap. Volgens de onderzoeksresultaten leveren security-oplossingen nog altijd een cruciale bijdrage aan het succes van de meeste OT-professionals (76%), zeker als het gaat om het verbeteren van de efficiëntie (67%) en flexibiliteit (68%). Het blijkt echter ook dat de wildgroei aan security-oplossingen het steeds moeilijker maakt om beveiligingsregels consistent te integreren en toe te passen binnen de steeds sterker geconvergeerde IT/OT-omgeving. Dit probleem wordt verder verergerd door het gebruik van verouderende systemen. De meerderheid van organisaties (74%) gaf aan dat hun IT-systemen gemiddeld tussen de zes en tien jaar oud zijn.
Centralisatie van de OT-security
Er is momenteel sprake van een groeiend tekort aan experts in cybersecurity. Bijna elke organisatie heeft moeite met het vinden van gekwalificeerde beveiligingsprofessionals. De onderzoeksresultaten geven echter aan dat organisaties met OT-omgevingen onvermoeibaar prioriteit blijven toekennen aan Cyber Security. Zo zijn bijna alle organisaties (95%) van plan om de verantwoordelijkheid voor OT-security de komende 12 maanden toe te vertrouwen aan hun Chief Information Security Officer (CISO) in plaats van een operationeel team. De onderzoeksresultaten wijzen bovendien op een verschuiving in de achtergrond van experts in OT-security. Deze zijn steeds vaker afkomstig uit leidinggevende IT-beveiligingsfuncties dan uit productmanagement. Het zwaartepunt van de besluitvorming rond Cyber Security verschuift daarnaast van de hoofden van operationele afdelingen naar andere leidinggevenden, en met name de CISO of Chief Security Officer (CSO).
Na vijf jaar onderzoek onder OT-professionals heeft het rapport van dit jaar dus voor het eerst positief nieuws te melden. De OT-security blijkt namelijk de aandacht te hebben getrokken van managementteams en managers op C-niveau. Het groeiende besef van het belang van OT-beveiliging is een veelbelovende ontwikkeling. Desondanks moeten CISO’s en hun organisatie waakzaam blijven en hun beveiligingsmechanismen verder versterken. Want er liggen nog forse uitdagingen voor hen in het verschiet rond het waarborgen van uitgebreide bescherming van hun OT-omgeving.
NIS2 is IT & OT!
NIS2 gaat niet alleen om IT-security. NIS2 is veelomvattender dan dat. De richtlijn voorziet in incidenten die verder gaan dan alleen cyberincidenten maar eigenlijk op alles wat een impact heeft op netwerk- en informatiesystemen.
We hebben het dus over ransomware, uitval van telecommunicatienetwerken, stroomstoringen maar ook diefstal, brand en overstromingen. Hiervoor is een grondige evaluatie nodig om alle potentiële risico’s in kaart te brengen.
Hieronder valt dus ook de Operationele Technologie (OT). OT gebruikt hardware en software om industriële apparatuur en systemen te beheren. OT bestuurt hightech gespecialiseerde systemen, zoals die in de energie-, industrie-, productie-, olie- en gas-, robotica-, telecommunicatie-, afvalcontrole- en watercontrole-industrie.
En dat zijn precies de branches die opgenomen zijn in de branchelijst van de NIS2; precies die leveranciers van essentiële en belangrijke diensten waarvoor de weerbaarheid omhoog moet. Dit zijn organisaties die gebruik maken van zowel IT als OT en dus ook de huidige vervaging van de grens tussen deze twee stromingen meemaken, met alle gevaren van dien als hier niet serieus rekening mee gehouden wordt.
Het is dan ook goed om te zien in het rapport van Fortinet dat OT-security anno 2023 steeds serieuzer wordt genomen. Het is om het even of dat komt doordat de NIS2-richtlijn er aan komt, of omdat de organisaties zelf ook in de gaten hebben dat het een dermate belangrijk onderwerp is dat iedereen zich er mee gaat bezig houden, en niet alleen de IT-afdeling of de OT-manager.”
Dit artikel is eerder verschenen in het Claranet Security Magazine Najaar 2023
Event: Cyber Security Event 2023: NIS2 - Nog één jaar te gaan!
Ons jaarlijkse Event in de oktober Cyber Security-maand staat dit jaar in het teken van “NIS2 – nog één jaar te gaan!”. Op dinsdag 31 oktober geven we de handvatten om je organisatie voor te bereiden en een duidelijk beeld te krijgen wat er moet gebeuren.
Lees meer over het event en meld je aan!
