Hoe Fabrikanten kunnen beschermen tegen cyberaanvallen

By Jonathan Wilkins of Stafford based European Automation

In 2014 steeg het totale aantal gedetecteerde cyberveiligheidsincidenten tot 42.8 miljoen op basis van PWC's wereldwijde staat van informatiebeveiligingsenquête 2015, die u kunt vinden op http://goo.gl/MZR3zg. For those of you that have not done the maths, that is 117,339 attacks per day, every day. And these are just the strikes that were detected and reported.

European Automation Johnatan WilkinsTo comprehend the sheer extent of current threats, antivirus business Kaspersky has created an interactive map. It depicts the number and type of cyber threats in real time. If you are reading this white paper online, I am sure you will agree that it is almost hypnotic. If you are reading offline, I recommend you visit http://cybermap.kaspersky.com.

Maar de kaart is ook ongelooflijk zorgwekkend. Het totale aantal gedetecteerde beveiligingsaanvallen steeg met 48 procent van 2013 naar 2014 en er zijn weinig aanwijzingen dat dit percentage in 2015 zal afnemen. Ondanks deze cijfers lijken informatiebeveiligingsprogramma's feitelijk te zijn verzwakt, voornamelijk als gevolg van naïveteit en ontoereikende investeringen.

Alleen al in de industriële sector rapporteerden bedrijven een 17 procent toename van gedetecteerde beveiligingsincidenten in 2014. De resulterende financiële kosten stegen met 34%, terwijl onderzoek van Barclays suggereert dat bijna 50% van bedrijven die te maken hebben met een cyberveiligheidsaanval, stopt met handelen.

Dit speciale rapport analyseert de toenemende wereldwijde cyberdreiging en schetst de waarde van het implementeren van een bedrijfsgerichte beveiligingsstrategie om het welzijn van zowel werknemers als industriële geautomatiseerde systemen te waarborgen.

Wie heeft het gedaan?

Het jaar waarin 2014 enkele van de grootste inbreuken op hacking en cyberbeveiliging van het afgelopen decennium liet zien. Het lijkt erop dat niemand veilig was, zelfs niet de grootste zakelijke spelers. eBay, Sony Pictures Entertainment, Apple en Sony Playstation waren allemaal het slachtoffer van cyberaanvallen in een of andere vorm.

Interessant genoeg is er één ding dat de meeste beveiligingsbedreigingen gemeen hebben en dat is de bron. De resultaten van het onderzoek van PWC illustreren dat 34.55 procent van de ondervraagde bedrijven meldde dat de aanslagen op hen vorig jaar naar schatting afkomstig waren van huidige werknemers van het bedrijf en 30.42 procent van voormalige werknemers. Dit waren de twee grootste boosdoeners.

Statistisch gezien valt je veel vaker onder cyberaanvallen omdat iemand een beschadigde USB-stick op je netwerk aansluit, dan moet je specifiek worden aangevallen door een hacker die probeert een zwakheid in een geautomatiseerd systeem te misbruiken. Dat wil echter niet zeggen dat je je niet op beide eventualiteiten moet voorbereiden.

Hackers scoorden nog steeds hoog in de enquête - ten derde met 23.89 procent van de ondervraagde bedrijven die hun beveiligingsaanvallen op hen vastlegden. Er is echter nog een andere, minder voorkomende bedreiging waar bedrijven zich ook bewust van moeten zijn.

Elk bedrijf stuit dagelijks op derden - zoals consultants, aannemers, leveranciers en leveranciers. Het is absoluut noodzakelijk dat de informatie die met deze partijen wordt gedeeld, op en buiten de site, tot een passend niveau wordt beperkt. 18.16 procent van de ondervraagde bedrijven antwoordde dat ze dachten dat hun huidige externe leveranciers verantwoordelijk of actief waren voor hun cyberaanvallen.

Zo had de Amerikaanse retailgigant Target een aanzienlijke inbreuk op 2013 toen de persoonlijk identificeerbare informatie (PII) en creditcardgegevens van klanten werden gestolen. De multi-gestage hack begon met de leverancier van verwarming, ventilatie en airconditioning van Target, die blijkbaar toegang had tot het netwerk van Target. Referenties werden gestolen van de Amerikaanse leverancier met behulp van gewone malware geïmplementeerd via een e-mail-phishing-campagne. Dit was de manier van de hackers.

De moraal van het verhaal is dat bedrijven, om veilige systemen te ontwikkelen, technische, conceptuele en organisatorische maatregelen moeten nemen om verschillende soorten beveiligingsbedreigingen te voorkomen.

Waar te beginnen

In een productiecontext omvatten typische beveiligingsincidenten infectie door malware, ongeoorloofd gebruik, manipulatie van gegevens, spionage en denial of service. Dit laatste is een poging om een ​​machine- of netwerkresource niet beschikbaar te maken voor de beoogde gebruikers.

Verdediging tegen dit soort dreigingen vergt meer dan alleen maar investeren in nieuwe software of het inhuren van een Chief Information Security Officer (CISO), hoewel deze maatregelen een goed begin zijn. Wijzigingen moeten van de grond af worden geïmplementeerd. Voordat we een voorsprong nemen op onszelf, zijn er bepaalde stappen die voorafgaand aan iets anders moeten worden genomen.

Om de waarschijnlijke dreigingen goed te kunnen evalueren, moeten systeemeigenaren eerst de zwakke punten van dat systeem beoordelen, inclusief het menselijke element. In een geautomatiseerde omgeving kan dit een scenario onthullen waarin een eigenschap van het geheel vanuit een automatiseringsperspectief voordelig wordt geacht, maar nadelig voor de beveiliging.

Bijvoorbeeld, een apparaat op afstand dat vrij is om toegang te krijgen tot een programmeerbare logische controller (PLC) zonder authenticatie, spaart tijd in een geautomatiseerd proces. Vanuit beveiligingsoogpunt is dit echter een absoluut zwak punt. Het is noodzakelijk deze tekortkomingen te identificeren om risico's te kunnen nemen en passende maatregelen te nemen.

Fabrikanten en industriële bedrijven moeten bijzondere aandacht schenken aan drie kerngebieden. De eerste is de zwakke punten die ontstaan ​​als gevolg van onjuiste apparatuur of software-implementatie. Dit kan een defect apparaat of een stukje programmeren zijn.

Door de opkomst van interconnectiviteit en het internet der dingen kan alles in een fabriek communiceren met behulp van een gemeenschappelijk protocol, waardoor een grote hoeveelheid gegevens wordt gegenereerd. Dit brengt ons bij het tweede gebied waarop bedrijven zich moeten concentreren: het beveiligen van de massale gegevensstroom zodat hackers het niet kunnen misbruiken.

Ten slotte ontstaan ​​vaak zwakke punten als gevolg van organisatorische maatregelen, of het ontbreken daarvan. Het is bijvoorbeeld belangrijk om ervoor te zorgen dat het team de besturingssystemen, webbrowsers en applicaties van de CISO bijwerkt wanneer dat nodig is. Dit neemt de zorg weg van het gebruik van een product met bekende fouten, die een ontwikkelaar in een latere versie heeft gecorrigeerd. U moet een bedrijfsbeleid implementeren dat is gericht op het updaten van software om dit probleem op te lossen.

In het algemeen is het essentieel dat het team tijdens een eerste veiligheidsbeoordeling de kritieke informatie van het bedrijf identificeert, groepeert en isoleert, zodat het team van het CISO het goed kan beschermen. Dit zou de belangrijkste prioriteit moeten zijn voor elk bedrijf dat zich bezighoudt met cybersecurity.

Netwerk bescherming

Een van de meest effectieve manieren om geautomatiseerde productiesystemen te beschermen, is celbescherming. Deze vorm van verdediging is vooral effectief tegen een aantal verschillende bedreigingen, waaronder man-in-the-middle-aanvallen, waarbij de aanvaller berichten in een communicatiesysteem kan controleren, wijzigen en injecteren.

Celbeveiliging maakt gebruik van een geïntegreerde beveiligingscomponent die de toegang tot een geautomatiseerde cel bewaakt. Dit wordt vaak een portier genoemd, omdat het dezelfde rol speelt als zijn menselijke naamgenoot door te beslissen wie wel en wie niet kan komen. Het meest gebruikte apparaat voor dit doel is een industriële Ethernet-communicatieprocessor die een firewall en virtual private network (VPN), het filteren van aanvallen en het veilig houden van de netwerkverbinding.

Celbescherming voorkomt ook ongeoorloofde toegang en controle, denial of service-aanvallen en online bedreigingen via het kantoornetwerk.

Het is echter belangrijk dat risicobeoordelingen en beveiligingsmaatregelen niet uitsluitend op geautomatiseerde systemen zijn gericht. Ook personeel, leveranciers en externe leveranciers moeten onder de loep worden genomen.

Beveiliging via onderwijs

Een deel van het huidige probleem is dat het onderwerp cybersecurity niet wordt verheven tot een discussie op bestuursniveau in de meeste bedrijven, ondanks de schadelijke gevolgen van beveiligingsinbreuken, waaronder productieverlies, verminderde productkwaliteit en veiligheidsbedreigingen voor zowel mensen als machines.

De meeste overheden hebben cybersecurityvoorschriften opgesteld of zijn bezig met het creëren van cyberveiligheidsvoorschriften die voorwaarden stellen aan het beschermen en gebruiken van PII. Bedrijven die gevoelige informatie onvoldoende beschermen, riskeren financiële sancties. Desondanks blijven sommige bedrijven onwetend.

Verordeningen komen vooral in Europa voor en zouden een voorbeeld moeten zijn van wat landen die nog geen wetgeving hebben in de nabije toekomst kunnen verwachten. De VS heeft ook verplicht conformiteitsbeleid als het gaat om bedrijven die PII beschermen.

Aan het begin van 2104 implementeerden de VS een raamwerk voor het verbeteren van de cyberbeveiligingsinfrastructuur: een reeks industriestandaarden en best practices gericht op het helpen van organisaties bij het beheren van cyberbeveiligingsrisico's. Deze maatregelen zijn echter zwaar bekritiseerd omdat ze niet ver genoeg gaan, vooral in het licht van het recente, opvallende hackersschandaal van Sony Pictures Entertainment waarbij Noord Korea zou zijn betrokken.

Om bedrijven te informeren over manieren om informatie te beveiligen, heeft de Britse regering £ 860 miljoen toegewezen tot 2016 om een ​​nationaal cyberbeveiligingsprogramma op te zetten. Onderdeel van deze agenda is ervoor te zorgen dat het Verenigd Koninkrijk een van de meest veilige plaatsen is om online zaken te doen. Dit komt nadat bekend werd dat 81 procent van de grote bedrijven en 60 procent van de kleine bedrijven in het Verenigd Koninkrijk een cyberbreuk meldde in 2014.

Under the programme, the Government has developed a cyber essentials scheme to give companies a clear goal to aim for. This will allow businesses to protect themselves against the most common cyber security threats but also advertise that they meet this standard. For more information about the scheme, go naar www.gov.uk/government/publications/cyber-essentials-scheme-overview.

Daarnaast is er een 'Ten steps to cyber security booklet' beschikbaar voor iedereen die advies wil over de huidige risico's en preventiemethoden. De literatuur schetst belangrijke elementen bij het creëren van een bedrijfsgerichte beveiligingsstrategie, zoals risicobeheersregimes, veilige configuratie, netwerkbeveiliging, gebruikersprivileges, voorlichting en bewustwording, incidentbeheer, malwarepreventie, monitoring en thuis- of mobiele toegang. Het beveiligingsboekje kan worden gedownload door naar www.gov.uk/government/publications/cyber-risk-management-a-board-level-responsibility.

Bedrijven die meer willen weten over het verhogen van hun beveiligingsniveaus, hebben ook toegang tot een nuttig richtlijndocument van het branche-standaardbureau PROFIUBUS & PROFINET International (PI).

De beveiligingsrichtlijn voor PROFINET is oorspronkelijk ontwikkeld in 2006 en later herzien aan het einde van 2013. Het specificeert ideeën en concepten met betrekking tot hoe en welke beveiligingsmaatregelen moeten worden geïmplementeerd. Het bevat ook een lijst met veelgebruikte beveiligingsafkortingen en biedt een reeks beproefde best practices, zoals het eerder genoemde concept voor celbescherming. PROFINET-gids kan worden gedownload door naar http://goo.gl/yT7rKW.

De informatie is beschikbaar voor bedrijven die advies willen over cyberbeveiliging. Uit de statistieken van de enquête van PWC blijkt echter dat industriële productbedrijven al toonaangevend zijn.

Industrie

Over het algemeen nemen de cyberdreigingen toe en toch lijken de budgetten voor de informatiebeveiliging in 2014 af te nemen. De markt van industriële producten is de uitzondering omdat het budget heeft gecreëerd om zichzelf te beschermen.

Volgens de PWC-beveiligingsenquête lijkt deze sector meer dan alle andere ondervraagde - macht en nutsbedrijven, gezondheidszorg, detailhandel en consumenten, technologie en financiële diensten - stijgende veiligheidsrisico's te begrijpen. Bovendien investeert het dienovereenkomstig.

Informatiebeveiligingsbudgetten voor industriële producten bedrijven zijn in de afgelopen twee jaar meer dan 150 procent gestegen. In 2014 vertegenwoordigden de uitgaven voor informatiebeveiliging 6.9 procent van het totale IT-budget van de PWC-enquête-respondenten, het hoogste van elke onderzochte sector. In 2014 namen beveiligingsincidenten in de sector echter ook zesvoudig toe. Dus misschien is zelfs een toename van 150% niet genoeg.

Het resultaat van deze investering was opmerkelijke verbeteringen in beveiligingsprocessen en -technologieën, evenals opleidingsinitiatieven. Er is echter nog steeds veel ruimte voor verbetering.

Blijf veilig

Megatrends zoals Industry 4.0, het internet der dingen en big data hebben de industriële automatisering naar een geheel nieuw niveau gebracht, waardoor efficiëntere en verfijndere productielijnen werden gecreëerd. De industrie integreert zijn productielijnen met IT-lagen en de traditionele industriële automatiseringspiramide stort in elkaar vanwege de behoefte aan snellere, goedkopere en effectievere productie. Er is echter een prijs voor deze voordelen: met grotere openheid, interconnectiviteit en afhankelijkheid komt meer kwetsbaarheid.

Er is een duidelijke behoefte aan meer training als het gaat om cyberbeveiliging, zowel bovenaan als onderaan de productieladder. Te vaak glippen bedrijven over gemeenschappelijke valkuilen - in de overtuiging dat ze onaantastbaar zijn of geen doelwit.

Als de meerderheid van de cyberaanvallen in 2014 werd gepleegd door huidige werknemers van het getroffen bedrijf, hoeveel van deze zijn volgens u bewust ondernomen? Of waren ze het resultaat van een persoon die niet volledig begreep dat zijn of haar acties kunnen leiden tot beveiligingsinbreuken?

Inzicht in het feit dat u geen gewenst doelwit hoeft te zijn voor hackers en dat cyberbedreigingen het gevolg kunnen zijn van een niet-kwaadwillige, slechte beoordeling van één medewerker, is de sleutel tot het begrijpen van de risico's.

Zelfs als het management van ganser harte een speciale cyberbeveiliging naar beneden implementeert, volstaat het om één met malware geïnfecteerd apparaat dat op het netwerk is aangesloten verstoring te veroorzaken. We kunnen ongevallen niet voorkomen, maar het is mogelijk om deze te beheren door kennis bij te brengen in werknemers en betrouwbare bewakingsapparatuur en -procedures in te stellen voor wanneer een aanval plaatsvindt.

Beveiligingstraining moet niet worden beperkt tot een eenmalig seminar voor het personeel en een eerste systeemupgrade. Patch onderhoud en updates moeten worden uitgevoerd wanneer kwetsbaarheden worden onthuld of nieuwe software wordt vrijgegeven. Het hogere management moet een krachtig onderhouds- en monitoringbeleid implementeren. Beveiliging is een constante en zich ontwikkelende zorg, niet iets dat met één snelle oplossing kan worden opgelost.

Risicobeoordelingen moeten worden uitgevoerd voor leveranciers, leveranciers en aannemers en er moeten beperkingen op informatie worden ingevoerd. Nogmaals, dit kan niet zomaar een eerste beoordeling zijn. Uniforme procedures moeten worden geschreven en worden gevolgd bij het omgaan met een derde partij die een bepaald niveau van informatie van een bedrijf vereist.

Met financiële investeringen en passende aandacht voor cyberveiligheidsinfrastructuur en -procedures, is een bedrijf klaar voor een kwaadaardige externe aanval.

Anders wordt een bedrijf niet alleen geconfronteerd met productieverlies en financiële sancties; er is ook verlies van reputatie en potentieel gevaar voor zowel machines als mensen om te overwegen.

Procesindustrie Informer

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.